P.S. nr. 43 GDPR
PROCEDURA DE SISTEM PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL
COD: P.S. – 43
Ediția I Revizia 0
AVIZAT
Comp. Juridic
Canbolant Singrid
Intocmit
Insp. Mediu Jurist
Camelia Teodorescu
- Cuprins:
Numărul componentei în cadrul procedurii documentate
Denumirea componenței din cadrul procedurii documentate
Pagina
1 Cuprins 2
2 Scopul procedurii 2
- Domeniu de aplicare 3
- Documente de referinţă 3
- Definiții și abrevieri 7
- Descrierea procedurii 8
- Responsabilități 18
8 Formular evidență modificări 19 - Formular analiză procedură 20
10 Anexe 20 - Scopul procedurii
2.1. Prezenta procedură stabileşte aplicarea Regulamentului nr. 679/2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) – (General Data Protection Regulation – GDPR).
2.2. Orice prelucrare a datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator din Uniunea Europeană ar trebui efectuată în conformitate cu regulamentul, indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii Europene. Sediul implică exercitarea efectivă și reală a unei activități în cadrul unor înțelegeri stabile.
2.3. Dă asigurări cu privire la existența documentației adecvate derulării activității. - Domeniul de aplicare
Procedura se aplică de către toate compartimentele Salubrizare Sector 5 S.A. în vederea derulării următoarelor activități:
prelucrarea datelor cu caracter personal;
respectarea principiilor de protecție a datelor cu caracter personal în activitățile operaţionale ale companiei;
transparența în legătură cu categoriile de date cu caracter personal prelucrate în cadrul Salubrizare Sector 5 S.A, precum şi în legătură cu scopurile prelucrărilor și destinatarii datelor cu caracter personal;
drepturile persoanelor vizate: dreptul la informare, dreptul de acces, dreptul la rectificare, dreptul la ștergerea datelor, dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul la opoziție, dreptul de a nu face obiectul unei decizii individuale bazate exclusiv pe prelucrare automată, dreptul de a depune plângere la o autoritate de supraveghere şi dreptul de a se adresa justiției;
efectuarea evaluării de impact;
efectuarea unei centralizări a tuturor datelor care se prelucrează în companie;
păstrarea unei evidențe a operațiunilor de prelucrare de către compartimentele companiei;
completarea Codului de conduită cu norme adecvate pentru protecţia drepturilor persoanelor ale căror date cu caracter personal pot fi prelucrate de către companie;
elaborarea procedurii de notificare a încălcării securității datelor personale.
Organizațiile cu personalitate juridică distinctă care încheie contracte cu Salubrizare Sector 5 S.A și care prin obiectul lor prespun accesul si/sau prelucrarea datelor cu caracter personal vor avea obligativitatea semnării unei anexe distincte la contract (Anexa 7) în care se va specifica tipul de date cu caracter personal prelucrat, scopul și durata prelurării, cât și angajamentul ca aceste date vor fi folosite strict în scopul în care au fost încredințate.
- Documente de referinţă
4.1. Reglementari internaţionale
Regulamentul nr. 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) – (General Data Protection Regulation – GDPR);
Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului din 09.07.2008 de stabilire a cerințelor de acreditare și de supraveghere a pieței în ceea ce privește comercializarea produselor și de abrogare a Regulamentului (CEE) nr. 339/1993.
4.2. Legislație primară
Legea 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date;
Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal;
O.G. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificari și completări prin Legea 180/2002, cu modificările și completările ulterioare.
Legea Arhivelor Naționale nr. 16/1996 cu modificările și completările ulterioare.
4.3. Legislație secundară
• Ordinul Secretariatului General al Guvernului nr. 600/2018 privind aprobarea Codului controlului intern managerial al entităţilor publice;
• Ordinul Secretariatului General al Guvernului nr. 201/2016 pentru aprobarea Normelor metodologice privind coordonarea, îndrumarea metodologică și supravegherea stadiului implementării și dezvoltării sistemului de control intern managerial la entitătile publice.
4.4. Alte documente, inclusiv reglementări interne ale societăţii
• Regulamentul de organizare şi funcţionare a Salubrizare Sector 5 S.A;
• Regulamentul intern al Salubrizare Sector 5 S.A;
• Codul de conduită al Salubrizare Sector 5 S.A - Definiţii, abrevieri şi termeni utilizaţi
5.1. Definiţii
Nr. crt. Termenul Definiţia si/sau, daca este cazul, actul care defineste termenul
1
Date cu caracter personal Reprezintă orice informaţii privind o persoană fizică identificată sau identificabilă (“persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume- prenume, un număr de identificare, date de localizare, un identificator online, unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
2
Prelucrarea datelor cu caracter personal Reprezintă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea.
3
Operator Înseamnă persoana fizică sau juridică, autoritatea publică, sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern.
4
Destinatar Înseamnă persoana fizică sau juridică, autoritatea publică sau alt organism căruia îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării.
5 Persoană împuternicită de operator/ instituție Înseamnă persoana fizică sau juridică, autoritatea publică sau alt organism care prelucrează datele cu caracter personal în numele operatorului/instituției.
6
DPO Data Protection Officer – reprezintă persoana desemnată de operator/instituție, responsabilă cu prelucrarea datelor cu caracter personal.
7 Sistem de evidenţă a datelor cu caracter personal
Orice structură organizată de date cu caracter personal, accesibilă potrivit unor criterii determinate, indiferent dacă această structură este organizată în mod centralizat ori descentralizat sau este repartizată după criterii funcţionale ori geografice.
8
Consimţământul persoanei vizate Înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.
Salariații instituției, petiționari, colaboratori
9
Date privind sănătatea Înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia.
10
Date biometrice Înseamnă date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice.
11 Autoritate de supraveghere Înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 51 din RGPD.
12 Încălcarea securităţii datelor cu caracter personal
Înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
13
Activitate Totalitatea atribuţiilor de o anumită natură care determină procese de muncă cu un grad de omogenitate și similaritate ridicat; cunoștinţele necesare realizării activității sunt din domenii limitate, personalul utilizat putând avea astfel o pregătire profesională sensibil unitară; activitatea cuprinde atribuţii omogene ce revin compartimentelor entității publice.
14 Activitatea procedurabila Totalitatea atribuţiilor de o anumită natură care determină procese de muncă cu un grad de complexitate și omogenitate ridicat, pentru care
se pot stabili reguli și modalități de lucru, general valabile, în vederea îndeplinirii, în condiţii de regularitate, eficacitate, economicitate și eficienţă, a obiectivelor compartimentului/entității publice
15
Atribuţie Un ansamblu de sarcini de același tip, necesare pentru realizarea unei anumite activități sau unei părţi a acesteia, care se execută periodic sau continuu și care implică cunoștinţe specializate pentru realizarea unui obiectiv specific.
16 Ediţie a unei proceduri..de sistem
Forma iniţială sau actualizată, după caz, a unei proceduri documentate aprobată și difuzată.
17
Proces Un flux de activități sau o succesiune de activități logic structurate, organizate în scopul atingerii unor obiective definite, care utilizează resurse, adaugându-le valoare.
18
Gestionarea documentelor Procesul de administrare a documentelor unei entități publice, pentru a servi intereselor acesteia, pe parcursul întregii lor durate de viață, de la început, prin procesul de creare, revizuire, organizare, stocare, utilizare, partajare, identificare, arhivare, și până la distrugerea lor.
19
Consultarea prealabilă Operatorul consultă autoritatea de supraveghere înainte de prelucrare atunci când evaluarea impactului asupra protecţiei datelor prevăzută la art. 35, din GDPR, indică faptul că prelucrarea ar genera un risc ridicat în absenţa unor măsuri luate de operator pentru atenuarea riscului.
20
Cookie Cookie-ul http sau un modul cookie este un text special, deseori codificat, trimis de un server unui navigator web și apoi trimis înapoi (nemodificat) de către navigator, de fiecare dată când accesează acel server. Cookie-urile sunt folosite pentru autentificare precum și pentru urmărirea comportamentului utilizatorilor; aplicații tipice sunt reținerea preferințelor utilizatorilor. În realitate ele sunt doar texte, și nu pot să execute nicio operație. Ele nu sunt nici spyware și nici viruși informatici.
5.2. Abrevieri
Nr.
crt. Abrevierea Termenul abreviat
- S 5 S.A. Salubrizare Sector 5 S.A
- DG Director General
- PS Procedura de sistem
- PO Procedură operațională
- CM Comisia de monitorizare
- DCP Date cu caracter personal
- E Elaborare
- V Verificare
- A Aprobare
- Ap Aplicare
- Ah Arhivare
- GDPR General Data Protection Regulation – Regulamentul (UE) nr. 679/2016
- RGPD Regulamentul General privind Protectia Datelor cu caracter personal
- DPO Data Protection Officer – Responsabil cu protectia datelor
- O.U.G. Ordonanța de Urgență a Guvernului
- O.G. Ordonanță a Guvernului
- S.C.I.M. Sistemul de control intern managerial
- ANSPDCP Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
- Descrierea procedurii
Procedura se aplică în cadrul Salubrizare Sector 5 S.A și face referire la prelucrarea datelor cu caracter personal efectuate, în tot sau în parte, prin mijloace automate, precum şi prelucrarea prin alte mijloace decât cele automate a datelor cu caracter personal, care fac parte dintr-un sistem de evidenţă sau care sunt destinate să fie incluse într-un asemenea sistem.
Prelucrarea datelor cu caracter personal se va face ținând cont de următoarele:
prelucrare cu bună-credinţă şi în conformitate cu dispoziţiile legale în vigoare;
colectarea în scopuri determinate, explicite şi legitime; prelucrarea ulterioară a datelor cu caracter personal în scopuri statistice, de cercetare istorică sau ştiinţifică nu va fi considerată incompatibilă cu scopul colectării dacă se efectuează cu respectarea dispoziţiilor prezentei legi, inclusiv a celor care privesc efectuarea notificării către autoritatea de supraveghere, precum şi cu respectarea garanţiilor privind prelucrarea datelor cu caracter personal, prevăzute de normele care reglementează activitatea statistică ori cercetarea istorică sau ştiinţifică;
datele trebuie să fie adecvate, pertinente şi neexcesive prin raportare la scopul în care sunt colectate şi ulterior prelucrate;
să fie exacte şi, dacă este cazul, actualizate; în acest scop se vor lua măsurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate şi pentru care vor fi ulterior prelucrate, să fie şterse sau rectificate;
stocarea datelor într-o formă în care să se permită identificarea persoanelor vizate (personalul salariat, petiționarii, colaboratorii, după caz) strict pe durata necesară realizării scopurilor în care datele sunt colectate şi în care vor fi ulterior prelucrate; stocarea datelor pe o durată mai mare de timp decât cea menţionată, în scopuri statistice, de cercetare istorică sau ştiinţifică, se va face cu respectarea garanţiilor privind prelucrarea datelor cu caracter personal, prevăzute în normele care reglementează aceste domenii, şi numai pentru perioada necesară realizării acestor scopuri.
6.1. Responsabilul cu protecția datelor (DPO – ”Data Protection Officer”)
Numirea responsabilului cu protecția datelor cu caracter personal trebuie să respecte următoarele cerințe:
• Criteriul competenței profesionale, conform art. 37 alin 5 din Regulament. În mod special se va ține cont de cunoștințele sale de specialitate, de practică în domeniul protecției datelor personale, precum și de capacitatea de a îndeplini sarcinile care îi revin. Considerentul 97, precizează că nivelul necesar al cunoștințelor de specialitate va fi apreciat, în mod particular, în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele cu caracter personal prelucrate de operator sau de persoana împuternicită de operator/împuternicită de DG. Acești responsabili cu protecția datelor, indiferent dacă sunt sau nu salariați ai operatorului, trebuie să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent.
• Capacitatea de a îndeplini sarcinile este o cerință care se referă la calitățile personale (integritatea profesională, respectarea regulilor de etică) și poziția responsabilului cu protecția datelor în cadrul companiei.
Funcția responsabilului cu protecția datelor
În conformitate cu dispozițiile art. 37-39 din GDPR, desemnarea unui responsabil cu protecţia datelor, în cadrul Salubrizare Sector 5 S.A, este o cerință obligatorie.
DPO poate fi salariat sau colaborator extern, în directă subordine a conducătorului companiei. Conform prevederilor din GDPR, funcția de DPO poate fi de asemenea exercitată în baza unui contract de prestări servicii încheiat cu o persoană fizică sau o organizaţie din afara companiei/ operatorului, cu îndeplinirea tuturor cerințelor aplicabile din Secțiunea 4 (Desemnarea DPO) dinRGPD privitoare, printre altele, la conflictul de interese (evitarea conflictului de interese presupune faptul că DPO să nu dețină funcții de conducere în cadrul instituției (de ex: director executiv, director operaţional, director financiar, șeful serviciului resurse umane), dar în acelaşi timp, şi alte funcții inferioare, dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacele de prelucrare.
Atribuțiile responsabilului cu protecția datelor (DPO-ului):
- să informeze și să consilieze Directorul General și șefii de compartimente, precum și angajații acestora, cu privire la obligațiile existente în domeniul protecției datelor cu caracter personal;
- să monitorizeze respectarea GDPR și a legislației naționale în domeniul protecției datelor. Șefii de servicii trebuie să trimită la sfârșitul fiecărei luni sau de fiecare dată când au nevoie de consilierea DPO-ului, o situație centralizată privind implementarea și respectarea prezentei proceduri, în vederea realizării studiului de impact privind protecția datelor;
- să coopereze cu autoritatea pentru protecția datelor și să reprezinte punctul de contact în relația cu aceasta.
- să își asume rolul de punct de contact pentru ANSPDCP privind aspectele legale de prelucarea datelor, inclusiv consultarea prealabilă menţionată la art. 36 din GDPR precum şi, dacă este cazul, consultarea cu privire la orice altă chestiune.
- să informeze, de îndată, conducerea instituției despre vulnerabilităţile şi riscurile semnalate în sistemul de securitate a prelucrării datelor cu caracter personal al companiei şi propune măsuri pentru înlăturarea acestora; Informarea se va face în scris și va cuprinde evidenţierea dovezilor care au condus la nerespectarea prevederilor legale privind prelucarea datelor, cât și indicarea serviciilor vizate.
- să informeze, imediat, conducerea companiei în legătură cu orice încălcare a normelor de protecţie a datelor cu caracter personal de natură a prejudicia drepturile persoanei vizate (personalul salariat, petiționarii, colaboratorii, după caz), cu privire la măsurile dispuse pentru identificarea persoanei responsabile şi limitarea efectelor unei diseminări neautorizate a datelor,
precum şi cu privire la situaţiile în care au fost emise recomandări sau aplicate sancţiuni de către autoritatea naţională de supraveghere sau când aceasta a dispus efectuarea unui control prealabil ori a unor investigaţii.
Derularea operaţiunilor și acţiunilor activităţii.
Înainte de începerea activităților de prelucare a datelor cu caracter personal, persoana vizată (personalul salariat, petiționarii, colaboratorii, după caz) trebuie să îşi dea consimţământul expres şi neechivoc pentru prelucrarea datelor (consimțământul se va exprima sub forma declarației prevăzute la Anexa 1), S 5 S.A. având obligaţia de a înștiința persoana vizată (personalul salariat, petiționarii, colaboratorii, după caz) cu privire la politica de confidențialitate privind prelucrarea datelor cu caracter personal, cât şi scopul pentru care acestea au fost colectate.
Persoana vizată (personalul salariat, petiționarii, colaboratorii, după caz) are dreptul de a se opune sau să își retragă în orice moment consimțământul, în mod gratuit și fără nicio justificare .
Excepții de la consimțământ: - când prelucrarea este necesară în vederea executării unui contract sau antecontract la care persoana vizată (personalul salariat, petiționarii, colaboratorii, după caz) este parte, ori în vederea luării unor măsuri, la cererea acesteia, înaintea încheierii unui contract sau antecontract;
- când prelucrarea este necesară în vederea protejării vieţii, integrităţii fizice sau sănătăţii persoanei vizate (personalul salariat, petiționarii, colaboratorii, după caz) ori a unei alte persoane ameninţate;
- când prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale a DG;
- când prelucrarea este necesară în vederea aducerii la îndeplinire a unor măsuri de interes public sau care vizează exercitarea prerogativelor de autoritate publică cu care este învestit D.G. sau terţul căruia îi sunt dezvăluite datele;
- când prelucrarea este necesară în vederea realizării unui interes legitim al D.G. sau al terţului căruia îi sunt dezvăluite datele, cu condiţia ca acest interes să nu prejudicieze interesul sau drepturile şi libertăţile fundamentale ale persoanei vizate(personalul salariat, petiționarii, colaboratorii, după caz);
- când prelucrarea priveşte date obţinute din documente accesibile publicului, conform legii;
- când prelucrarea este făcută exclusiv în scopuri statistice, de cercetare istorică sau ştiinţifică.
Conform art. 13 din GDPR operatorul (Directorului General), în momentul obținerii de date cu caracter personal, este obligat să furnizeze persoanei vizate (personalul salariat, petiționarilor, colaboratorilor, după caz) informațiile cuprinse la lit. a)-f), din GDPR.
Notificarea către pesroana vizată (personalul salariat, petiționarii, colaboratorii, după caz) va cuprinde cel puţin următoarele informaţii:
a) identitatea, datele de contact şi adresa sediului S 5 S.A.;
b) scopul și temeiul legal în baza căruia se efectuează prelucrarea, raportat la art. 6 din GDPR (ex. consimțământul persoanelor vizate, contract, obligația legală);
c) o descriere a categoriei sau a categoriilor de persoane vizate (personalul salariat, petiționarii, colaboratorii, după caz) şi a datelor ori a categoriilor de date ce vor fi prelucrate;
d) destinatarii sau categoriile de destinatari cărora se intenţionează să li se dezvăluie datele;
e) garanţiile care însoţesc dezvăluirea datelor către terţi;
f) modul în care persoanele vizate (personalul salariat, petiționarii, colaboratorii, după caz) sunt informate asupra drepturilor lor; data estimată pentru încheierea operaţiunilor de prelucrare, precum şi destinaţia ulterioară a datelor;
g) transferuri de date care se intenţionează să fie făcute către alte state; (nu se aplică această cerință pentru S 5 S.A.).
h) o descriere generală care să permită aprecierea preliminară a măsurilor luate pentru asigurarea securităţii prelucrării;
i) specificarea oricărui sistem de evidenţă a datelor cu caracter personal, care are legătură cu prelucrarea, precum şi a eventualelor legături cu alte prelucrări de date sau cu alte sisteme de evidenţă a datelor cu caracter personal, indiferent dacă se efectuează, respectiv dacă sunt sau nu situate pe teritoriul României;
j) în cazul în care operatorul intenţionează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante, conform alin. (2) a art.13 din regulament și anume asigurarea unei prelucrări echitabile și transparente.
6.2. Descrierea activității şi impactul procedurii în cadrul S 5 S.A. pe compartimente
Cartografierea datelor – întocmirea unei evidențe de către şefii compartimentelor care prelucrează datele cu caracter personal în cadrul S 5 S.A..
Fiecare șef de compartiment trebuie să pună la dizpoziția DPO-ului, cât mai curând posibil, în format Word, următoarele: - datele cu caracter personal (în sensul definit de GDPR) pe care le prelucrează;
- scopul și temeiul legal în baza căruia se efectuează prelucrarea, raportat la art. 6 din regulament (ex. consimțământul persoanelor vizate, contract, obligație legală);
- o descriere a categoriilor de persoane vizate (personalul salariat, petiționarii, colaboratorii, după caz) și a categoriilor de date cu caracter personal (S 5 S.A. prelucrează date cu caracter personal în scopurile de organizare, gestiune economică-financiară-administrativă, privind proprii angajați în cadrul activității de resurse umane; prelucrează, de asemenea, date cu caracter personal cu ocazia organizării de concursuri, examene prin care se stabilesc condiții concrete de asigurare a securității prelucrării datelor, precum și de informare a persoanelor vizate-personalul salariat, petiționarii, colaboratorii, după caz – privind drepturile acestora, cât și a altor situații privitoare la prelucarea datelor cu caracter personal); datele cu caracter personal astfel prelucrate se arhivează conform legii după realizarea scopului în care au fost prelucrate. Stocarea acestor date pentru o perioadă mai mare decât cea necesară realizării scopului se poate efectua numai pentru interes statistic, după ce au fost transformate în date anonime.
- categorii de destinatari (personalul salariat, instituții, bănci, ITM, instanțe, executori judecătorești, case de avocatură, secții de poliție, ministere, cabinete medicale, spitale etc.) cărora le-au fost sau le vor fi divulgate datele cu caracter personal.
Întocmirea acestei evidențe are un dublu scop: - facilitarea punerii în aplicare în mod concret potrivit specificului instituției a Regulamentului UE;
- centralizarea datelor de către DPO, pentru a fi furnizate, la cerere, Agenției Naţionale de Supraveghere a Datelor cu Caracter Personal, pentru situațiile în care Agenția efectuează controlul aplicării Regulamentului de către S 5 SA., în calitate de operator de prelucrare a datelor cu caracter personal.
O altă măsura impusă este limitarea accesului în încăperile în care se află documente ce conțin date cu caracter personal și/sau echipamente care prelucrează date cu caracter personal, la utilizatorii desemnați pentru îndeplinirea atribuțiilor de serviciu.
În cazul în care nu se poate restricționa accesul în aceste încăperi, documentele se securizează în dulapuri prevăzute cu încuietori.
În cazul încălcării, la un moment dat, a procedurii prelucrării datelor cu caracter personal, DPO-ul va informa, în scris, în maxim 72 de ore, persoanele care ar putea fi vizate cât şi Directorul General și va soluționa împreună cu șefii de compartimente problema.
Datele colectate trebuie să fie corecte, iar în cazul în care persoana vizată (personalul salariat, petiționarii, colaboratorii, după caz) va cere actualizarea sau ștergerea datelor operatorul trebuie să
se conformeze. Actualizarea sau ștergerea datelor se va face prin cerere scrisă la sediul C.M.P.C.V.B. SA, la secretariat sau prin email la adresa office@salubrizare5.ro – Anexa 9.
DPO-ul va redirecţiona solicitarea către departamentul vizat şi va informa utilizatorul care a dorit ștergerea datelor, prin răspuns scris sau prin email, cu privire la soluționarea cererii.
Este interzisă prelucrarea datelor care conțin informații privind: etnia sau originea rasială, opiniile politice, confesiunea religioasă, apartenența la sindicate, orientarea sexuală. Serviciul RU are obligaţia ca la semnarea fiecărui contract individual de muncă să întocmească
Anexa 1și Anexa 3 a prezentei proceduri.
În cazul contractelor încheiate înainte de intrarea în vigoare a GDPR, cât și în cazul personalului salariat prin transfer sau detașare, se va semna Anexa 1 cu fiecare persoană în parte în termen de cel mult 30 de zile de la primirea prezentei. Serviciul RU va efectua o evidență a tuturor salariaților care au luat la cunoştinţa și au semnat, iar aceasta se va transmite DPO – ului, Evaluarea impactului asupra protecției datelor cu caracter personal.
S 5 S.A., prin serviciile sale este obligată, potrivit art. 35 din GDPR, să întocmească o evaluare a impactului asupra protecției datelor cu caracter personal.
Acestă evaluare va evidenția riscurile ce pot apărea în procesul de prelucrare a datelor persoanelor vizate. Vor fi avute in vedere: natura datelor, domeniul de aplicare, contextul si scopurile prelucrării, precum si utilizarea noilor tehnologii.
Evaluarea impactului asupra protecției datelor presupune:
(a) o descriere sistematică a operaţiunilor de prelucrare preconizate şi a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de S 5 S.A.;
(b) o evaluare a necesităţii şi proporţionalităţii operaţiunilor de prelucrare în legătură cu aceste scopuri;
(c) o evaluare a riscurilor pentru drepturile şi libertăţile persoanelor vizate;
(d) măsurile preconizate în vederea abordării riscurilor, inclusiv garanţiile, măsurile de securitate şi mecanismele menite să asigure protecţia datelor cu caracter personal şi să demonstreze conformitatea cu dispoziţiile prezentului regulament, luând în considerare drepturile şi interesele legitime ale persoanelor vizate şi ale altor persoane interesate.
Scopul întocmirii evaluării impactului asupra protecției datelor cu caracter personal
urmărește:
- realizarea unei prelucrări de date cu caracter personal sau a unui produs care respectă viața privată;
- estimarea impactului asupra vieţii private a persoanelor vizate;
- demonstarea faptului că principiile fundamentale ale GDPR sunt respectate;
- obligativitatea întocmirii evaluării impactului rezultă din art. 35 din GDPR, articol care detaliază conținutul şi scopurile acestuia, potrivit celor mai sus arătate.
- GDPR impune realizarea unei evaluări sistematice și cuprinzătoare a aspectelor referitoare la persoanele fizice care se bazează pe prelucrarea automată, inclusiv crearea de profiluri şi care, stă la baza unor decizii care produc efecte juridice privind persoanele fizice sau care o afectează într-o măsura semnificativă.
- Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, potrivit art. 35, alin (4), va întocmi și va publica o listă a tipurilor de operațiuni de prelucare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor. Aceste liste vor fi comunicate de ANSPDCP, Comitetului European pentru protecția datelor.
- Art. 35 alin. (11) mai prevede că acolo unde este necesar, instituţia, prin DPO-ul desemnat, efectuează o analiză pentru a evalua dacă prelucrarea are loc în conformitate cu evaluarea impactului asupra protecției datelor cel puțin atunci când are loc o modificare a riscului reprezentat de prelucare.
Având în vedere serviciile care colectează și prelucrează date cu caracter personal, se impune ca aceste compartimente să întocmească punctual, pe sectorul coordonat, evaluarea în discuție.
6.4 Comunicarea datelor cu caracter personal
Datele cu caracter personal se pot comunica operatorului și împuternicițiilor acestora ori organismelor publice/entităților de drept public sau privat, în una din următoarele situații: - dacă persoana vizată (personalul salariat, petiționarii, colaboratorii, după caz) și-a dat consimțământul expres și neechivoc pentru comunicarea datelor sale;
- fără consimțământul persoanei vizate în cazurile prevăzute de lege.
Comunicarea datelor cu caracter personal se va efectua doar după semnarea Anexei 7 a procedurii și se va considera anexă la contractul de prestări servicii semnat cu persoana vizată
(colaboratorii, după caz) care trebuie să conțină cel puțin: numărul de înregistrare a notificării, temeiul legal al prelucrării și scopul acesteia, termenul maxim de prelucrare, drepturile şi obligațiile părților, modalitățile de asigurare a securității prelucrării şi de respectarea datelor persoanei vizate, precum și mențiunea că datele pot fi utilizate doar de structura beneficiară și numai în scopul pentru care au fost solicitate; în cazul contractelor semnate înaintea intrării legii în vigoare, acestea se vor semna la data aprobării procedurii cu fiecare colaborator în parte, Anexa 7, responsabilitatea revenindu-i Serviciului Urmărire Contracte. Șeful de serviciu are obligaţia de a informa, prin email la adresa office@salubrizare5.ro centralizarea documentelor semnate, în maxim 7 zile de la primirea prezentei proceduri.
6.5. Organizarea procedurilor interne.
Pentru a asigura permanent un nivel ridicat de protecție a datelor cu caracter personal, Directorul General, prin prin şefii de compartimentei, trebuie să elaboreze proceduri interne care să garanteze respectarea protecției datelor în orice moment, luând în considerare toate evenimentele care pot apărea pe parcursul efectuării prelucrărilor de date, precum: - breșe de securitate;
- solicitări privind exercitarea drepturilor persoanelor vizate;
- modificarea datelor cu caracter personal colectate;
- schimbarea prestatorului/furnizorului – se vor respecta prevederile din Anexa 8 a prezentei proceduri.
Organizarea procedurilor interne implică, în special:
luarea în considerare a protecției datelor cu caracter personal încă de la momentul conceperii (privacy by design) unei aplicații sau a unei prelucrări : minimizarea colectării datelor în funcție de scop, cookie-uri, perioada de stocare, informațiile furnizate persoanelor vizate, obținerea consimțământului persoanelor vizate (personalul salariat, petiționarii, colaboratorii, după caz), securitatea și confidențialitatea datelor cu caracter personal, garantarea rolului și responsabilităților părților implicate în efectuarea prelucrării datelor;
aplicarea de măsuri tehnice și organizatorice, de către șefii de compartimente, adecvate pentru a se asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării (privacy by default) având în vedere: volumul de date colectate, gradul de prelucrare al acestora, perioada de stocare și accesibilitatea lor, astfel încât datele cu caracter personal să nu fie accesate, fără intervenția persoanei, de un număr nelimitat de persoane;
sensibilizarea și organizarea diseminării informației, în special prin stabilirea unui plan de pregătire și de comunicare cu persoanele care prelucrează date cu caracter personal; această procedură revine în sarcina șefilor de serviciu dar şi a personalului salariat angajat direct în prelucrarea datelor cu caracter personal;
soluționarea plângerilor şi cererilor adresate de persoanele vizate (personalul salariat, petiționarii, colaboratorii, după caz) în exercitarea drepturilor lor, stabilind părțile implicate și modalitățile de exercitare a acestora; exercitarea drepturilor trebuie să se poată realiza inclusiv pe cale electronică, la adresa de email office@salubrizare5.ro, în cazul în care datele au fost colectate prin astfel de mijloace. Această procedură revine în sarcina șefilor de compartimente, prin consilierea acestora de către DPO;
anticiparea unei posibile încălcări a securității datelor specificând, pentru anumite cazuri, obligativitatea notificării ANSPDCP în termen de 72 de ore și a persoanelor vizate în cel mai scurt timp. Această procedură revine în sarcina șefilor de compartimente, prin consilierea acestora de către DPO;
asigurarea confidențialității și securității prelucrării, de către șefii de compartimente, prin consilierea acestora de către DPO și prin adoptarea de măsuri tehnice și organizatorice adecvate, incluzând printre altele, după caz:
a) pseudonimizarea și criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor și serviciilor de prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util, în cazul în care are loc un incident de natură fizică sau tehnică (Anxa 5);
d) un proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
Implementarea acestora va avea loc prin întocmirea unei situații centralizatoare privind implementarea și respectarea prezentei proceduri, în vederea realizării studiului de impact privind protecția datelor, ce se va transmite pe adresa de mail office@salubrizare5.ro, la comunicarea DPO.
6.6 Condiții de legitimitate ale prelucrării datelor.
Orice prelucrare de date cu caracter personal, cu excepţia prelucrărilor care vizează date legate de originea rasială sau etnică, de convingerile politice, religioase etc., a prelucrării codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală ori a prelucrării datelor privind starea de sănătate, poate fi efectuată numai dacă persoana
vizată (personalul salariat, petiționarii, colaboratorii, după caz) şi-a dat consimţământul, în mod expres şi neechivoc pentru acea prelucrare.
Evidența păstrată de S 5 S.A. va cuprinde: - numele și datele de contact ale Directorul General și, după caz, ale şefilor de servicii și ale DPO-ului,
- scopurile prelucrării;
- descrierea categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
- categoriile de destinatari cărora le vor fi divulgate datele cu caracter personal;
- acolo unde este posibil, termenele limită preconizate pentru ştergerea diferitelor categorii de date;
- o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la art. 32 alin. (1) din GDPR ;
Evidenţele menţionate anterior se formulează în scris, inclusiv în format electronic şi se pun la dispoziția ANSDCP, la cererea acesteia.
6.7. Notificarea autorităţii de supraveghere în cazul încălcării securităţii datelor cu caracter personal.
Conform art. 32 din regulament, în cazul în care se constată că a avut loc o încălcare a securităţii datelor cu caracter personal, Directorul General va notifica acest lucru autorităţii de supraveghere competente, în temeiul art. 55, fără întârzieri nejustificate şi, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta, cu excepţia cazului în care încălcarea este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor fizice.
Șefii de serviciu înştiinţează Directorul General și DPO-ul, fără întârzieri nejustificate, după ce iau cunoştinţă de o încălcare a securităţii datelor cu caracter personal.
Notificarea către ANSPDCP se întocmește de către DPO și trebuie să cuprindă următoarele elemente:
a) descrierea caracterului încălcării securităţii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi numărul aproximativ al persoanelor vizate în cauză, precum şi categoriile şi numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
(b) comunicarea numelui şi a datelor de contact ale DPO-ului sau un alt punct de contact de unde se pot obţine mai multe informaţii;
(c) descrierea consecinţelor probabile ale încălcării securităţii datelor cu caracter personal;
(d) descrierea măsurior luate sau propuse spre a fi luate de Directorul General pentru a remedia problema încălcării securităţii datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
Atunci când şi în măsura în care, nu este posibil să se furnizeze informaţiile în acelaşi timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.
Directorul General păstrează documentele referitoare la toate cazurile de încălcare a securităţii datelor cu caracter personal, care cuprind o descriere a situaţiei de fapt în care a avut loc încălcarea securităţii datelor cu caracter personal, a efectelor acesteia şi a măsurilor de remediere întreprinse. Această documentaţie permite ANSPDCP să verifice conformitatea aplicării regulamentului.
6.7.1. Informarea persoanei vizate (personalul salariat, petiționarii, colaboratorii, după caz) cu privire la încălcarea securităţii datelor cu caracter personal.
Potrivit art. 34 din GDPR, atunci când încălcarea securităţii datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, șefii de serviciu informează persoana vizată (personalul salariat, petiționarii, colaboratorii, după caz), cât și DPO-ul şi DG, fără întârzieri nejustificate cu privire la această încălcare. Informarea va fi transmisă în format scris sau electronic.
În informarea transmisă persoanei vizate (personalul salariat, petiționarii, colaboratorii, după caz) se include o descriere, într-un limbaj clar şi simplu, a caracterului încălcării securităţii datelor cu caracter personal, precum şi informaţiile şi măsurile menţionate la art.33 alin. (3) lit. b)-d), din GDPR (cele menționate la pct. 6.7. lit.b)-d) de mai sus).
Informarea persoanei vizate (personalul salariat, petiționarii, colaboratorii, după caz) nu este necesară în cazul în care oricare dintre următoarele condiţii este îndeplinită:
(a) Directorul General a implementat măsuri de protecţie tehnice şi organizatorice adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special, măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze (cum ar fi criptarea);
(b) Directorul General a luat măsuri ulterioare, prin care se asigură că riscul ridicat pentru drepturile şi libertăţile persoanelor vizate nu mai este susceptibil să se materializeze;
(c) informarea ar necesita un efort disproporţionat. În această situaţie, se efectuează pe loc o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.
În ipoteza în care Directorul General nu a comunicat deja încălcarea securităţii datelor cu caracter personal către persoana vizată (personalul salariat, petiționarii, colaboratorii, după caz), autoritatea de supraveghere, după ce a luat în considerare probabilitatea ca încălcarea securităţii datelor cu caracter personal să genereze un risc ridicat, poate să îi solicite acestuia să facă acest lucru sau poate decide că oricare dintre condiţiile menţionate la alineatul (3) sunt îndeplinite.
6.8. Sancțiuni
Potrivit art. 83 din GDPR, nerespectarea dispozițiilor Regulamentului atrage aplicarea de sancțiuni pentru impunerea amenzilor administrative.
Fiecare autoritate de supraveghere asigură faptul că impunerea unor amenzi administrative în conformitate cu articolul 83, pentru încălcările prevederilor GDPR menţionate la alin. (4)-(6), este, în fiecare caz, eficace, proporţională şi disuasivă.
Pentru încălcările dispoziţiilor următoare, în conformitate cu art. 83 alin. (2), se aplică amenzi administrative de până la 10.000.000 EURO:
obligaţiile operatorului/insituției şi ale persoanei împuternicite de operator/insituție în conformitate cu art.8, 11, 25-39, 42 şi 43 din RGPD;
obligaţiile organismului de certificare în conformitate cu art. 42 şi 43;
obligaţiile organismului de monitorizare în conformitate cu art. 41 alin. (4).
Pentru încălcările dispoziţiilor următoare, în conformitate cu alin. (2), se aplică amenzi administrative de până la 20 000 000 EUR:
principiile de bază pentru prelucrare, inclusiv condiţiile privind consimţământul, în conformitate cu articolele 5, 6, 7 şi 9;
drepturile persoanelor vizate în conformitate cu art. 12-22;
transferurile de date cu caracter personal către un destinatar dintr-o ţară terţă sau o organizaţie internaţională, în conformitate cu art. 44-49;
orice obligaţii în temeiul legislaţiei naţionale adoptate în temeiul capitolului IX;
nerespectarea unui ordin sau a unei limitări temporare sau definitive asupra prelucrării, sau a suspendării fluxurilor de date, emisă de către autoritatea de supraveghere în temeiul articolului 58 alineatul (2) sau neacordarea accesului, încălcând art. 58 alin. (1).
Pentru încălcarea unui ordin emis de autoritatea de supraveghere în conformitate cu art. 58 alin.
(2) se aplică amenzi administrative de până la 20.000.000 EUR.
6.9. Descrierea procedurii și impactul asupra departamentului IT.
Cu ocazia proiectării, întreţinerii, actualizării aplicațiilor de gestiune a bazelor de date, se interzice accesul progamatorilor/personalului de intreținere a sistemelor informatice în orice fel de date cu caracter personal deținute/create/accesate de personalul din structura respectivă. În aceste situații, se vor pune la dispoziția progamatorilor/personalului de întreținere, numai date anonime.
Pentru cazuri excepționale, numai pe durata intervenției și circumstanțiat limitative la datele strict necesare, persoanele care asigură suportul tehnic pot avea acces la datele cu caracter personal, numai în prezența unui utilizator desemnat de Directorul General în sau a DPO, în această situație, răspunderea pentru păstrarea confidenţialităţii datelor aparține celui în cauză, sens în care trebuie să semneze un angajament de confidențialitate (Anexa 3).
Operațiunile de colectare, introducere, modificare și actualizare a datelor cu caracter personal, se fac numai cu personalul anume desemnat de către Directorul General.
Directorul General dispune măsurile necesare care să permită identificarea utilizatorului care a introdus, modificat sau actualizat datele.
Prin urmare, baza de date (care conține datele cu caracter personal) deținută, creată și programele folosite de instituție sunt salvate prin copii de siguranță, la un interval de timp stabilit de DPO împreună cu seful de compartiment, în departamentul căruia se prelucrează date cu caracter personal, in funcție de mărimea, volumul și importanța acestora și care nu poate depăși 6 luni.
Directorul General va desemna utilizatorii (personalul IT sau altă persoana desemnată de D.G.) care trebuie să aibe ca atribuții de serviciu și executarea copiilor de siguranță ale bazelor de date deținute, create și ale programelor folosite.
Ținând cont de impactul mediului online asupra prelucrării și protecției datelor cu caracter personal se impune implementarea pe website a următoarelor:
a) website-ul va avea detaliată politica cookies (Anexa 6), unde se va specifica ce module sunt folosite, ce date se colectează, pentru cât timp și în ce scopuri sunt folosite cookie-urile. În acest sens măsura se va implementa cu ajutorul unui pop-up în care utilizatorul/persoana vizată (personalul salariat, petiționarii, colaboratorii, după caz) are opțiunea să își dea acordul sau să respingă acest lucru printr-un link către o pagina în care sunt detaliate toate informațiile precizate mai sus;
b) Politica de Confidențialitate – scopul ei este de a informa ultilizatorul final despre colectarea, stocarea și folosirea datelor cu caracter personal (Anexa 2), pagina trebuie să apară în website, astfel încât să poată fi accesată în orice moment al navigării pe website-ul www.cmpcvb.ro;
Informațiile esențiale care trebuie cuprinse în politica de confidențialitate:
- datele de identificare ale S 5 S.A.;
- datele colectate de către S 5 S.A. în mediul online (nume, număr de telefon, email, adresa, ip, etc);
- motivele pentru care au fost colectate datele (facturare, ofertare, comunicare email, marketing etc).
- modul de descărcare a datelor (în mod automat, manual, prin personal responsabil pentru protecția datelor);
- dacă un utilizator dorește să își steargă datele personale din baza de date, acesta va trimite un mail de informare cu privire la aceasta cerință pe adresa de mail office@salubrizare5.ro
- respectarea art. 13 si 14 din GDPR.
c) crearea unei adrese de mail destinată atribuțiilor DPO-ului ”dataprotection@cmpcvb.ro”;
d) formularul de contact al paginii de web trebuie să conțină bifă și link către pagina de confidențialitate prin care utilizatorul să își poată da acordul asupra prelucrării datelor. Datele furnizate în acest formular se vor folosi strict în scopul în care au fost furnizate;
e) în cazul în care există utilizatori cu vârste sub 16 ani, trebuie implementat un alt câmp în care minorului i se cere să completeze adresa de mail a unui părinte, pentru a i se cere acordul asupra prelucrării datelor;
f) instalarea certificatelor SSL – certificatele criptează informațiile înainte ca acestea să circule prin Internet. Informațiile criptate să nu poată fi decriptate decât de serverul căruia ii sunt adresate, acest lucru garantând că informațiile trimise către un website nu pot fi modificate sau furate;
g) schimabarea parolelor de acces și setarea unor parole puternice;
h) Reducerea cantității datelor stocate;
i) setarea unui mesaj prestabilit pe pagina de web a GDPR prin care persoanele vizate sunt înstiințate cu privire la politica de confidențialitate a datelor cu caracter personal, împreună cu un link pe pagina www.cmpcvb.ro/politicadeconfidențialitate și li se va cere acordul privind continuarea discuției și prelucrarea datelor cu caracter personal, dacă este cazul. Implementarea va fi comunicată către Biroul Comunicare și Relații Publice.
j) Detalierea unei politici, în cazul încălcării la un moment dat a procedurii prelucrării datelor cu caracter personal, care să cupindă persoanele care ar putea fi implicate, cele care trebuie informate în maxim 72 de ore și modul în care se va rezolva problema.
- Responsabilități.
7.1. Persoanele cu funcții de conducere.
Persoanele cu funcții de conducere din cadrul fiecărui compartiment al S 5 S.A. sunt responsabile cu protecţia datelor cu caracter personal la nivelul companiei și au următoarele atribuții:
- informează și instruiesc personalul contractual de execuție privind importanța respectării și implementării prezentei proceduri privind protecția datelor cu caracter personal;
- întocmesc o situație centralizată privind persoanele instruite, situația va fi semnată de către aceștia și va fi predată DPO-ului.
- în cazul apariției unor posibile probleme sau legat de orice problemă cu privire la protecția datelor cu caracter personal, aceștia au obligația de a se consulta cu DPO-ul instituției;
- stabilesc scopul şi mijloacele de prelucrare a datelor cu caracter personal atunci când acestea sunt necesare pentru exercitarea unor competenţe legale;
- asigură elaborarea procedurilor proprii şi după aprobarea acestora le pun în aplicare, le transmit DPO-ului;
- coordonează şi monitorizează activitatea personalului din subordine, pe linia protecţiei datelor cu caracter personal, la nivelulcompartimentului;
- asigură instruirea utilizatorilor în acest domeniu;
- dispun măsuri de completare sau, după caz, de modificare a fişei de post a utilizatorilor;
- analizează şi dispun în ceea ce priveşte suspendarea sau revocarea dreptului de acces al utilizatorilor la sisteme de evidenţă a datelor cu caracter personal, în condiţiile legii;
- dispun măsuri pentru exercitarea drepturilor de către persoana vizată (personalul salariat, petiționarii, colaboratorii, după caz);
- coordonează soluţionarea cererilor persoanelor vizate (personalul salariat, petiționarii, colaboratorii, după caz) prin centralizarea acestora și transmiterea acestora catre DPO;
- ţin evidenţa cererilor persoanelor vizate (personalul salariat, petiționarii, colaboratorii, după caz);
- analizează periodic activitatea utilizatorilor;
- transmit lunar o situație centralizată privind punerea în practică și respectarea prezentei proceduri, în vederea realizării studiului de impact privind protecția datelor, ce se va transmite pe adresa de mail office@salubrizare5.ro , cel târziu până la data de 5 ale lunii următoare.
7.2. Funcțiile implicate în elaborarea, verificarea și aprobarea procedurii
Nr. crt. Structura funcțională (postul)/acţiunea (operaţiunea) Responsabilul cu protecția datelor cu caracter personal
Comisia de Monitorizare
Director General
Compartimentele din cadrul
S 5 S.A.
0 1 2 3 4 5
- a. Elaborarea procedurii E
- b. Verificarea procedurii V
- c. Aplicarea procedurii Ap Ap Ap
- d. Aprobarea procedurii A
- e. Arhivarea procedurii Ah
- Formular evidență modificări
Nr. crt. Ediţia sau,
după caz, revizia în cadrul ediţiei
Componenta revizuită
Modalitatea reviziei Data de aplicare
0 1 2 3 4
8.1. Ediţia I X X
8.2. Revizia 0 X X
8.3. Ediția II
8.4. Revizia 0
- Formular de analiză procedură
În acest sens, pentru evitarea situaţiilor în care procedura poate deveni neaplicabilă, pentru eliminarea confuziei responsabilităţilor sau pentru eliminarea unor potenţiale erori în procesul de implementare a procedurii, este utilă consultarea compartimentelor implicate în aplicarea (implementarea) procedurii.
Pentru aceasta, anterior intrării în vigoare a procedurii şi difuzării acesteia, procedura se transmite spre analiză compartimentelor implicate, în vederea exprimării unui punct de vedere.
Ulterior, procedura se transmite secretariatului tehnic al Comisiei de monitorizare care analizează conformitatea structurii procedurii cu prevederile Ordinului secretarului general al Guvernului pentru aprobarea Codului controlului intern managerial al entităţilor publice sau cu reglementările interne. - Anexe
Nr.
crt. Denumirea
anexei Elaborat Aprobă Nr.
Exemplare Difuzare Arhivare Pagina
Loc Perioadă
0 1 2 3 4 5 6 7 8
- Declarație de consimțământ privind
prelucrarea DCP
DPO
Director General
1
Compartimente din S 5 S.A.
P. 21 - Angajament confidențialitate DPO Director General 1 Compartimente din S 5 S.A p. 23
- Completări ale Codului de
Conduită
DPO Director General
1 Compartimente din S 5 S.A
p. 24 - Procedura Backup DPO Director General 1 Compartimente din S 5 S.A p. 29
- Politica Cookie-uri DPO
IT Director General 1 Compartimente din S 5 S.A p. 31 - Acord prelucrare DCP-persoană
împuternicită
DPO Director General
1 Compartimente din S 5 S.A
p. 34 - Acord prelucrare DCP -clienți DPO Director General 1 Compartimente din
S 5 S.A p. 40
8 Formular cerere persoană vizată DPO Director General 1 Compartimente din
S 5 S.A p. 44
Anexa 1
DECLARAȚIE
privind consimțământul pentru colectarea și procesarea datelor cu caracter personal
I. Între
Subsemnatul/subsemnata …………………………………….., legitimat/ă cu CI seria.….., nr ,
eliberat de către SPCLEP/SPCEP….……………………. la data de ………………………, denumit în continuare, subiectul
și
Salubrizare Sector 5 S.A.., cu sediul în România, Municipiul Bucureşti, sector 5, str…………………………………………….., telefon: …………….., e-mail: office@salubrizare5.ro , înregistrată la Oficiul Registrul Comerțului sub numărul ………………….., CUI ……………………, reprezentată prin Director General, ANDREI FECIORU, în calitate de angajator, a intervenit următoarea declarație de consimțământ:
II. Obiectul consimțământului
Prezentul consimțământ aprobă colectarea, procesarea și utilizarea de către companie a datelor mele cu caracter personal.
III. Datele colectate
Datele colectate de la subiect sunt, în principal, următoarele:
cod numeric personal
carte identitate/pașaport – copie, serie și număr, fotgrafie
certificat de naștere/căsătorie, stare civilă
marca (număr intern de angajat)
curriculum vitae, studii
permis auto
naționalitatea, sexul
nume și prenume, adresa, număr de telefon, e-mail
locuri de muncă anterioare (foști angajatori)
cont IBAN
cazier judiciar și/sau fiscal
adeverința apt de muncă/medicina muncii
fișe SSM și PSI, date privind mărimile echipamentelor de protecție
monitorizare adresa IP la calculatorul de serviciu
contract de muncă/act adițional/decizie încetare activitate
baza REVISAL
date privind evaluarea performanțelor
informații privind training-urile și instruirile desfășurate în cadrul companiei
date privind persoana/persoanele din familie aflate în întreținere
IV. Scopul în care va fi utilizat consimțământul
Datele cu caracter personal, care fac obiectul prezentei, vor fi utilizate strict în următoarele scopuri:
întocmirea dosarului de personal;
înscrierea în Registrul de evidență a salariaților (REVISAL);
întocmirea fișelor de SSM și PSI;
întocmirea borderourilor/ordinelor de plată/dispozițiilor de plată/alte documente impuse de bănci/casierie.
V. Drepturile subiectului
Subiectul este protejat de Regulamentul UE nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date, poate interveni când dorește și poate solicita:
- informarea și consultarea informațiilor vizate;
- actualizarea informațiilor vizate;
- ștergerea informațiilor vizate;
- restricționarea și opunerea în prelucrarea informațiilor vizate.
VI. Valabilitate
Prezentul consimțământ este valabil pe întreaga perioadă a contractului individual de muncă sau până la retragerea acestuia, cu excepția datelor conținute de statele de plată, care se păstrează 50 ani, conform Legii 82/1991 – Legea contabilității – republicată și actualizată, Art. 25 (1).
VII. Declarație:
Îmi exprim consimțământul cu privire la utilizarea datelor mele cu caracter personal în scopurile descrise mai sus. Utilizarea datelor mele cu caracter personal în alte scopuri decât cele descrise mai sus sau transmiterea acestora către terți, fără acordul meu, este strict interzisă.
Locație Data Numele în clar și semnătura subiectului
Notă:
Prezentul consimțământ a fost dat în conformitate cu Regulamentul UE nr. 679 din 27
aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date, cu aplicabilitate obligatorie începând cu data de 25.05.2018, art. 4, pct.11 și art. 7.
Anexa nr. 2
ANGAJAMENT DE CONFIDENŢIALITATE
Subsemnatul/a născut/ă în localitatea
la data de , fiul (fiica) lui
şi a angajat/ă al/a Salubrizare Sector 5 S.A. în funcţia de ,
cu domiciliul în localitatea strada , nr.
, bl. , sc. , et. , ap. , judeţul/sectorul , declar că am luat cunoştinţă de dispoziţiile legale cu privire la protecţia informaţiilor, a datelor cu caracter personal și a altor date, altele decât cele destinate publicității, cu care intru în contact pe timpul desfășurării activității.
Mă angajez să păstrez cu stricteţe secretul acestora, atât pe timpul desfășurării activității cât și după încetarea contractului de muncă, pentru o perioadă de doi ani de zile.
Sunt conştient că, în cazul în care voi încălca prevederile prezentului contract de confidențialitate, voi răspunde, potrivit legii, administrativ, disciplinar, material, civil ori penal, în raport cu gravitatea faptei.
Data …………………. Semnătura
…………………….
DAT ÎN PREZENŢA
, (funcția, numele şi prenumele)
Semnătura
Notă: Prezentul angajament de confidențialitate a fost încheiat în conformitate cu Legea 53/2003 actualizată în 2018 – Codul Muncii Art. 26 (1) ,,Prin clauza de confidenţialitate părţile convin ca, pe toată durata contractului individual de muncă şi după încetarea acestuia, să nu transmită date sau informaţii de care au luat cunoştinţă în timpul executării contractului, în condiţiile stabilite în regulamentele interne, în contractele colective de muncă sau în contractele individuale de muncă.”
Anexa 3
COMPLETAREA CODULUI DE CONDUITĂ AL SALUBRIZARE SECTOR 5 S.A.
CONFIDENŢIALITATEA INFORMAŢIILOR ŞI A DATELOR
Salariaţii trebuie să păstreze confidenţialitatea informaţiilor şi înregistrărilor nepublice care le sunt încredinţate de S 5 S.A. şi a tuturor celorlalte informaţii care le sunt comunicate, indiferent de sursă, în timpul îndeplinirii responsabilităţilor lor, cu excepţia cazurilor în care divulgarea acestora este autorizată sau este impusă de legile, regulile, reglementările sau procedura legală.
Informaţii cum ar fi rezultatele financiare, estimări ale câştigurilor sau pierderilor viitoare, ştiri despre achiziţia sau cedarea de bunuri materiale sau entităţi de afaceri, probleme legate de lichidităţile financiare, câştigarea sau pierderea unui client sau a unui furnizor important, anunţuri importante despre produse noi, oferte noi privind capitalul sau datoriile etc. trebuie să fie considerate întotdeauna ca materiale.
Manipularea responsabilă a datelor personale reprezintă o componentă în păstrarea încrederii în S 5 S.A. şi asigurarea persoanelor că li se respectă dreptul la confidenţialitate.
Principiile care guvernează prelucrarea datelor cu caracter personal, de către
membrii companiei, sunt:
Legalitatea prelucrării
Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii:
a) persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
c) prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;
d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
e) prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul.
Consimțământul persoanei vizate
(1) În cazul în care prelucrarea se bazează pe consimţământ, compania trebuie să fie în măsură să demonstreze că persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal.
(2) În cazul în care consimţământul persoanei vizate este dat în contextul unei declaraţii scrise, cererea privind consimţământul trebuie să fie prezentată într-o formă inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Nicio parte a respectivei declaraţii care constituie o încălcare a prezentului regulament nu este obligatorie.
(3) Persoana vizată are dreptul să îşi retragă în orice moment consimţământul.
(4) Atunci când se evaluează dacă consimţământul este dat în mod liber, se ţine seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiţionată sau nu de consimţământul cu privire la prelucrarea datelor cu caracter personal.
5) Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.
Transparența
Compania ia măsuri adecvate pentru a furniza persoanei vizate orice informaţii şi orice comunicări referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu, în special pentru orice informaţii adresate în mod specific unui copil. Informaţiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic.
La solicitarea persoanei vizate, informaţiile pot fi furnizate verbal, cu condiţia ca identitatea persoanei vizate să fie dovedită prin alte mijloace.
Informare şi acces la date cu caracter personal
În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, compania, în momentul obţinerii acestor date cu caracter personal, furnizează persoanei vizate toate informaţiile următoare:
a) identitatea şi datele de contact ale companiei şi, după caz, ale reprezentantului acesteia;
b) datele de contact ale responsabilului cu protecţia datelor;
c) scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării;
d) interesele legitime urmărite de operator sau de o parte terţă;
e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
f) dacă este cazul, intenţia operatorului de a transfera date cu caracter personal către o ţară terţă sau o organizaţie internaţională;
g) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
Dreptul de acces al persoanei vizate
Persoana vizată are dreptul de a obţine din partea companiei o confirmare că se prelucrează sau nu date cu caracter personal care o privesc şi, în caz afirmativ, acces la datele respective şi la următoarele informaţii:
a) scopurile prelucrării;
b) categoriile de date cu caracter personal vizate;
c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din ţări terţe sau organizaţii internaţionale;
d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
e) existenţa dreptului de a solicita operatorului rectificarea sau ştergerea datelor cu caracter personal ori restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
f) dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;
g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informaţii disponibile privind sursa acestora.
3.2. Informaţiile referitoare la datele personale ale angajaților, aflate în posesia Companiei, trebuie să fie protejate după cum urmează:
datele personale sunt colectate, procesate, stocate şi transferate cu măsurile de precauţie adecvate pentru a asigura confidenţialitatea şi pot fi accesate numai de un număr strict limitat de persoane, desemnate de Directorul General, care au semnat un angajament de confidențialitate inainte de a procesa datele respective, respectându – se principiul ,,nevoia de a cunoaște”;
personalul desemnat pentru a colecta, procesa, stoca și gestiona datele personale ale angajaților își va desfășura activitatea în încăperi separate, prevăzute cu încuietori, acesta
având obligativitatea de a securiza încăperea ori de câte ori o părăsește;
dosarele conținând date cu caracter personal vor fi păstrate în dulapuri încuiate, dispuse în încăperea în care își defășoară activitatea personalul desemnat;
persoanele desemnate, care operează datele personale ale angajaților pe sisteme informatice, au obligația de a pseudonimiza aceste date, de a stoca și procesa aceste date intr-un fișier parolat, astfel încât accesul la acestea să fie restricționat și controlat;
fișierul care conține datele personale ale angajaților va fi stocat și pe un mediu de stocare portabil securizat, astfel încât, capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea să se efectueze timp util, în cazul în care are loc un incident de natură fizică sau tehnică;
eficacitatea măsurilor tehnice și organizatorice pentru garantarea securității prelucrării datelor cu caracter personalva fi supusă unui proces de testare, evaluare și apreciere periodică;
personalul desemnat pentru a colecta, procesa, stoca și gestiona datele personale ale angajaților are obligația notificării autorităţilor de supraveghere cu privire la încălcările securităţii datelor cu caracter personal şi informarea persoanelor vizate cu privire la aceste încălcări;
ori de câte ori va fi necesar, salariaţilor şi altor persoane li se vor cere consimţământul în vederea colectării, procesării, transferului şi stocării datelor personale;
salariaţii pot să revizuiască datele personale privind eventualele erori;
salariaţii au obligaţia comunicării schimbărilor provenite în datele personale;
la plecarea din S 5 S.A., foștii angajați au dreptul de a obţine din partea societatii ştergerea datelor cu caracter personal care îi privesc, iar operatorul desemnat are obligaţia de a şterge datele cu caracter personal fără întârzieri, în cazul în care se aplică unul dintre următoarele motive:
- datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
-persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea, şi nu există niciun alt temei juridic pentru prelucrarea acestora.
3.3. Raportarea şi comunicarea informaţiilor de interes public
Salariaţii sunt responsabili, pe zona de activitate, pentru raportări, rapoarte şi documente pe care societatea le depune la autoritaţi şi alte comunicate publice – trebuie să conţină informaţii financiare sau de altă natură complete, corecte, exacte, actuale şi logice.
Accesul la informaţii, înregistrări sau facilităţi ale S 5 S.A. se permite cu dispoziţia/aprobarea unui reprezentant abilitat din societate.
3.4. Relaţia cu autorităţi şi instituţii publice
Salariaţii au obligaţia să apere în mod loial prestigiul companiei şi să se abţină de la orice act ori fapt care poate produce prejudicii imaginii sau intereselor legale ale acesteia.
3.5. Salariaţilor le este interzis:
să exprime în public aprecieri neconforme cu realitatea în legatură cu activitatea societăţii, cu politicile şi strategiile acesteia;
să dezvăluie informaţiile la care au acces în exercitarea funcţiei, dacă aceasta dezvăluire este de natură să atragă avantaje necuvenite ori sa prejudicieze societatea; această prevedere se aplică şi după încetarea raportului de serviciu, pentru o perioadă de 2 ani;
să dezvăluie informaţiile care nu au caracter public sau să remită documente care conţin asemenea informaţii, fără acordul Directorului General;
să folosească telefonul sau oricare alte mijloace tehnice pentru a înregistra, atât video
cât și audio, ședințele la care participă, alți angajați sau persoanele de conducere ale companiei.
3.6. Legile antitrust şi legile referitoare la concurenţă
. Se interzice salariaţilor, contractorilor, consultanţilor, agenţilor şi altor persoane care reprezintă compania să încheie acorduri oficiale/neoficiale/scrise/verbale care încalcă politica societăţii:
acorduri sau înţelegeri cu competitorii în privinţa preţurilor sau în privinţa „împărţirii” clienţilor, produselor, serviciilor sau a teritoriilor;
participarea la „licitaţii cu oferte trucate” ex. acorduri sau inţelegeri cu competitorii pentru impunerea comportamentului în licitare sau pentru a nu licita, în scopul dezavantajării altor competitori.
3.7. Oportunităţi corporaţionale; conflicte de interese
Salariaţilor le este interzis să obţină avantaje personale din oportunităţi în care pot anticipa în mod rezonabil un interes al S 5 S.A. pentru o afacere în care este în relaţie directă, este în legătură cu aceasta sau a anunţat intenţia sa de a se angaja.
Salariaţii S.5.S.A., indiferent de funcţie, nu trebuie:
să întreprindă acţiuni sau să aibă interese care i-ar putea împiedică să îşi desfăşoare obiectiv şi eficient activitatea în favoarea societăţii;
să aibă un interes direct sau indirect într-o tranzacţie în care societatea este sau poate deveni parte ex. relaţii de afaceri, achiziţii etc.;
să aibă un membru al familiei care primeşte beneficii personale necorespunzătoare ca urmare a poziției sale ca salariat al societăţii;
să lucreze pentru sau să reprezinte un client sau un furnizor în negocierile cu societatea. Al doilea job trebuie să fie separat de angajamentul în societate, nu trebuie să genereze sau să pară că generează un conflict de interese cu responsabilităţile în societate; nu trebuie să discrediteze societatea sau să afecteze independenţa şi obiectivitatea salariatului.
Orice salariat care lucrează în afara S 5 S.A. este obligat să respecte în continuare contractele de confidenţialitate pe care le-a încheiat cu societatea.
3.8. Interdicţia privind practicile de corupere
. Prevederile anticorupţie interzic plata (mita) către un salariat al unei autorităţi în scopul obţinerii, păstrării, direcţionării de afaceri precum şi intenţia de a asigura un avantaj necuvenit in afaceri.
Societatea prin salariaţi, agenţi, reprezentanţi, consultanţi sau terţe părţi nu trebuie să încerce direct sau indirect să influenţeze afacerile prin plăţi ilegale, mită, sau alte mijloace imorale sau ilegale.
Politica S 5 S.A. incriminează şi interzice oferirea sau acordarea de obiecte de valoare/bani/divertisment/favoruri etc. funcţionarilor autorităţilor, partidelor politice sau candidaţilor pentru o funcţie politică în vederea obţinerii, păstrării, direcţionării afacerilor sau în scopul obţinerii unui avantaj necuvenit în afaceri.
Prevederile contabile ale societăţii impun să păstreze registre şi înregistrări contabile care să reflecte exact şi corect tranzacţiile, precum şi să planifice şi să întreţină un sistem adecvat de controale contabile interne pentru a asigura acurateţea registrelor şi înregistrărilor contabile.
3.12 Standarde de conformitate, raportare şi acţiuni disciplinare
S 5 S.A. se angajează să îşi desfăşoare activitatea conform cu standardele de conduită în raporturile de muncă impuse angajaților şi în afaceri.
Salariaţii trebuie să raporteze cu bună credinţă încălcările reale sau posibile ale legilor în vigoare sau neconformitatea cu acest cod de etică – adresate ierarhic, către structuri abilitate sau direct Directorului General.
Compartimentul Juridic este responsabil în general pentru aplicarea Codului de Etică în ceea ce priveşte salariaţii.
Informaţiile furnizate vor fi păstrate confidenţial şi se va impune o politică antirepresivă pentru protejarea celor care, de bună credinţă, raportează posibile încălcări ale politicilor societăţii sau legilor în vigoare.
Orice derogare de la acest cod se analizează punctual, după dezvăluirea tuturor faptelor de către persoana care solicită derogarea şi va fi solutionată, conform legii şi reglementărilor aplicabile.
3.13. Interzicerea acţiunilor represive
S 5 S.A. interzice acţiunile represive împotriva unei persoane pentru raportarea unei activităţi pe care aceasta, de bună credinţă, o consideră a fi o încălcare a unei legi, politici, reglementări sau prevederi ale acestui cod.
Orice salariat care consideră că este victimă a unei acţiuni represive de orice natură trebuie să raporteze situaţia ierarhic sau unui reprezentant Compartientul Juridic.
Anexa 4
PROCEDURA DE BACKUP POLITICADEREALIZAREA COPIERIIDATELOR
- Scop
Politica de copiere a datelor furnizează o documentație cuprinzătoare a reglementărilor aplicabile în companie și măsurile luate pentru back-upul datelor. Aceasta servește ca dovadă terțelor părți, faptul că, controlul disponibilității legale necesare este efectuat corect. - Responsabilități in cadrul companiei
S 5 S.A. trebuie să asigure securitatea IT și backup-ul datelor.
Conducerea S 5 S.A. este direct responsabilă pentru acest lucru și este responsabilă personal atunci când este aplicabilă. - Condiții legale generale
Legea impune anumite controale prin măsuri tehnice și organizatorice, atât cu prelucrarea datelor în scopuri proprii, cât și cu prelucrarea datelor comandate; în acest context, se aplică, în special, un control al disponibilității.
Verificarea controalelor sau a măsurilor tehnice și organizatorice trebuie, printre altele, să fie oferită clienților în cadrul prelucrării datelor comandate. - Riscuri
eroare umană: funcționare incorectă / accident, sabotaj, atac;
întreruperi tehnice: defecțiuni tehnice, defecțiuni hardware, tulburări de linie;
forță majoră, accidente, catastrofe: apă, incendiu etc.;
posibile efecte existente amenințătoare asupra companiei. - Proceduri de backup de date, opțiuni
• suport complet;
• backup incremental;
• backup diferențial. - Reglementări tehnice și organizatorice minime
6.1 Reglementări generale:
• suportul de date trebuie să fie efectuat în mod responsabil și competent;
• fără ocolirea accidentală a modelelor de autorizare prin măsuri de salvare a datelor;
• confidențialitatea și obligația de protecție a datelor;
• nominalizarea persoanelor responsabile pentru fiecare domeniu de activitate;
• determinarea nevoii de confidențialitate, integritate și disponibilitate.
6.1 Implementarea tehnică:
• crearea planului de salvare a datelor;
• determinarea perioadei de păstrare și numărul de generații;
• coordonarea cu politica de prevenire a situațiilor de urgență;
• întocmirea procedurii de recuperare;
• crearea directorului de inventar;
• evaluarea folderelor;
• teste privind reconstrucția/restaurarea datelor și exercițiile de urgență;
• configurarea comenzilor necesare, în special pentru controlul accesului;
• implementarea cerințelor de protecție pentru confidențialitate, integritate și disponibilitate
• specificarea și asigurarea căile de transport;
• alocarea capacităților: capacitatea de transfer, volumul, cantitatea de dispozitive de stocare a datelor;
• implementarea cerințelor de copiere de rezervă (calculatoare mobile, PDA/ MDA, baze de date, fișiere deschise, date de sistem, date din jurnal etc.)
IT: Se va asigura, în special, controlul accesului, controlul permisiunilor de acces, controlul transmisiei, controlul de intrare și controlul separării, inclusiv în ceea ce privește seturile de backup de date.
Politica de utilizare Cookie-uri
POLITICA COOKIE-URILOR
Anexa 5
Această politică se referă la cookie-urile şi paginile web operate de SALUBRIZARE SECTOR 5 S.A. pe websit
Ce sunt Cookie-urile?
Cookie-urile sunt fişiere de mici dimensiuni, format din litere şi numere, care vor fi stocat pe computerul, telefonul mobil sau alte echipamente ale unui utilizator de pe care acesta accesează internetul. Cookie-ul este instalat prin solicitarea emisă de către un web-server unui browser (ex: Internet Explorer, Chrome, Firefox) şi este complet “pasiv” (nu conţine programe software, viruşi sau spyware şi nu poate accesa informaţiile de pe hard driverul utilizatorului).
La ce sunt folosite Cookie-urile?
Aceste fişiere fac posibilă recunoaşterea terminalului utilizatorului şi prezentarea conţinutului într-un mod relevant, adaptat preferinţelor utilizatorului. Cookie-urile asigura utilizatorilor o experienţă plăcută de navigare şi susţin eforturile S 5 S.A. pentru a oferi servicii comfortabile utilizatorilor: ex: – preferinţele în materie de confidenţialitate online, coşul de cumpărături sau publicitate relevanta. De asemenea, sunt utilizate în pregătirea unor statistici anonime agregate care ne ajută să înţelegem cum un utilizator beneficiază de paginile noastre web, permiţându-ne îmbunătăţirea structurii şi conţinutului lor, excluzând indentificarea personală a utilizatorului.
Ce Cookie-uri folosim?
Folosim două tipuri de Cookie-uri: per sesiune şi fixe. Cele din urmă sunt fişiere temporare ce rămân în terminalul utilizatorului până la terminarea sesiunii sau închiderea aplicaţiei (browser-ului web). Fişierele fixe rămân pe terminalul utilizatorului pe o perioadă în parametrii Cookie-ului sau până sunt şterse manual de utilizator.
Cum sunt folosite cookie-urile de către acest site?
O vizită pe acest site poate plasa cookie-uri în scopuri de:
• Cookie-uri de performanţă a site-ului;
• Cookie-uri de analiză a vizitatorilor;
• Cookie-uri pentru geotargetting;
• Cookie-uri de înregistrare;
• Cookie-uri pentru publicitate;
• Cookie-uri ale furnizorilor de publicitate.
Conţin Cookie-urile date personale?
Cookie-urile în sine nu solicită informaţii cu caracter personal pentru a putea fi utilizate şi, în cele mai multe cazuri, nu identifica personal utilizatorii de internet. Datele personale colectate prin utilizarea Cookie-urilor pot fi colectate doar pentru a facilita anumite funcţionalităţi pentru utilizator. Atare date sunt criptate într-un mod care face imposibil accesul persoanelor neautorizate la ele.
Ștergerea..Cookie-urilor
În general, o aplicaţie folosită pentru accesarea paginilor web permite salvarea Cookie-urilor pe terminal în mod implicit. Aceste setări pot fi schimbate în aşa fel încât administrarea automată a Cookie-urilor să fie blocată de browser-ul web sau utilizatorul să fie informat de fiecare dată când Cookie-uri sunt trimise către terminalul sau. Informaţii detaliate despre posibilităţile şi modurile de administrare a Cookie-urilor pot fi găsite în zona de setări a aplicaţiei (browser-ului web). Limitarea folosirii Cookie-urilor poate afecta anumite funcţionalităţi ale paginii web.
De ce sunt cookie-urile importante pentru Internet?
Cookie-urile reprezintă punctul central al funcţionării eficiente a Internetului, ajutând la generarea unei experienţe de navigare prietenoase şi adaptată preferinţelor şi intereselor fiecărui utilizator. Refuzarea sau dezactivarea cookieurilor poate face unele site-uri imposibil de folosit.
Refuzarea sau dezactivarea cookie-urilor nu înseamnă că nu veţi mai primi publicitate online – ci doar că aceasta nu va mai putea ţine cont de preferinţele şi interesele dvs, evidenţiate prin comportamentul de navigare.
Exemple de întrebuinţări importante ale cookieurilor (care nu necesită autentificarea unui utilizator prin intermediul unui cont):
• conţinut şi servicii adaptate preferinţelor utilizatorului – categorii de produse şi servicii;
• oferte adaptate pe interesele utilizatorilor – reţinerea parolelor;
• reţinerea filtrelor de protecţie a copiilor privind conţinutul pe Internet (opţiuni family mode,funcţii de safe search);
• limitarea frecvenţei de difuzare a reclamelor – limitarea numărului de afişări a unei reclame pentru un anumit utilizator pe un site;
• furnizarea de publicitate mai relevantă pentru utilizator;
• măsurarea, optimizarea şi caracteristicile de analytics – cum ar fi confirmarea unui anumit nivel de trafic pe un website, ce tip de conţinut este vizualizat şi modul cum un utilizator ajunge pe un website (ex prin motoare de căutare, direct, din alte website-uri etc). Website-urile derulează aceste analize a utilizării lor pentru a îmbunătăţi site-urile în beneficiul uşerilor.
Securitate şi probleme legate de confidenţialitate
Cookieurile NU sunt viruşi! Ele folosesc formate tip plain text. Nu sunt alcătuite din bucăţi de cod aşa că nu pot fi executate nici nu pot auto-rula. În consecinţă, nu se pot duplica sau replica pe alte reţele pentru a se rula sau replica din nou. Deoarece nu pot îndeplini aceste funcţii, nu pot fi considerate..viruşi.
Cookie-urile pot fi totuşi folosite pentru scopuri negative. Deoarece stochează informaţii despre preferinţele şi istoricul de navigare al utilizatorilor, atât pe un anume site cât şi pe mai multe alte siteuri, cookieurile pot fi folosite ca o formă de Spyware. Multe produse anti-spyware sunt conştiente de acest fapt şi în mod constant marchează cookie-urile pentru a fi şterse în cadrul procedurilor de ştergere/scanare anti-virus/anti-spyware.
În general browserele au integrate setări de confidenţialitate care furnizează diferite nivele de acceptare a cookieurilor, perioada de valabilitate şi ştergere automată după ce utilizatorul a vizitat un anumit site.
Alte aspecte de securitate legate de cookie-uri
Deoarece protecţia identităţii este foarte valoroasă şi reprezintă dreptul fiecărui utilizator de internet, este indicat să se ştie ce eventuale probleme pot crea cookieurile.
Prin intermediul lor se transmit în mod constant în ambele sensuri informaţii între browser şi website; dacă un atacator sau persoană neautorizată intervine în parcursul de transmitere a datelor, informaţiile conţinute de cookie pot fi interceptate.
Deşi foarte rar, acest lucru se poate întâmpla dacă browserul se conectează la server folosind o reţea necriptata (ex: o reţea WiFi nesecurizată).
Alte atacuri bazate pe cookie implică setări greşite ale cookieurilor pe servere. Dacă un website nu solicită browserului să folosească doar canale criptate, atacatorii pot folosi această vulnerabilitate pentru a păcăli browserele în a trimite informaţii prin intermediul canalelor nesecurizate. Atacatorii utilizează apoi informaţiile în scopuri de a accesa neautorizat anumite site-uri. Este foarte important să fiţi atenţi în alegerea metodei celei mai potrivite de protecţie a informaţiilor personale.
Sfaturi pentru o navigare sigură şi responsabilă, bazată pe cookies.
Datorită flexibilităţii lor şi a faptului că majoritatea dintre cele mai vizitate site-uri şi cele mai mari folosesc cookieuri, acestea sunt aproape inevitabile. Dezactivarea cookie-urilor nu va permite accesul utilizatorului pe site-urile cele mai răspândite şi utilizate printre care Youtube, Gmail, Yahoo.şi.altele.
Iată câteva sfaturi care vă pot asigura că navigaţi fără griji, însă cu ajutorul cookieurilor:
• Particularizati-vă setările browserului în ceea ce priveşte cookie-urile pentru a reflecta un nivel confortabil pentru voi al securităţii utilizării cookie-urilor.
• Dacă nu vă deranjează cookie-urile şi sunteţi singura persoană care utilizaeaza computerul, puteţi seta termene lungi de expirare pentru stocarea istoricului de navigare şi al datelor personale de acces.
• Dacă împărţiţi accesul la calculator, puteţi lua în considerare setarea browserului pentru a şterge datele individuale de navigare de fiecare dată când închideţi browserul. Aceasta este o variantă de a accesa site-urile care plasează cookieuri şi de a şterge orice informaţie de vizitare la închiderea sesiunii navigare.
• Instalaţi-vă şi updatati-vă constant aplicaţii antispyware.
Multe dintre aplicaţiile de detectare şi prevenire a spyware-ului includ detectarea atacurilor pe site-uri. Astfel, împiedică browserul de la a accesa website-uri care ar putea să exploateze vulnerabilităţile browserului sau să descarce software periculos.
Asiguraţi-vă că aveţi browserul mereu updatat.
Multe dintre atacurile bazate pe cookies se realizează exploatând punctele slabe ale versiunilor vechi ale browserelor.
Cookie-urile sunt pretutindeni şi nu pot fi evitate dacă doriţi să vă bucuraţi de acces pe cele mai bune şi cele mai mari site-uri de pe Internet – locale sau internaţionale. Cu o înţelegere clară a modului lor de operare şi a beneficiilor pe care le aduc, puteţi lua măsurile necesare de securitate astel încât să puteţi naviga cu încredere pe internet.
Dezactivarea şi refuzul de a primi cookie-uri pot face anumite site-uri impracticabile sau dificil de vizitat şi folosit. De asemenea, refuzul de a accepta cookie-uri nu înseamnă că nu veţi mai primi/vedea publicitate online.
Este posibilă setarea din browser pentru ca aceste cookie-uri să nu mai fie acceptate sau poţi seta browserul să accepte cookie-uri de la un site anume. Dar, de exemplu, dacă nu eşti înregistat folosind cookie-urile, nu vei putea lăsa comentarii. Toate browserele moderne oferă posibilitatea de a schimba setările cookie-urilor. Aceste setări se găsesc de regulă în “opţiuni” sau în meniul de “preferinţe” al browserului tău.
ANEXA 6
ACORD DE PRELUCRARE A DATELOR CU CARACTER PERSONAL
Acest acord de prelucrare date personale („Acordul”) a fost încheiat între:
SALUBRIZARE SECTOR 5 S.A., având punctul de lucru situat în București, sector 5, B-dul Rahova reprezentată prin ANDREI FECIORU, în calitate de Director General, denumită în continuare
„Operatorul”, și
……………………….., având sediul în Bucureşti, ………….., înregistrată la sub nr , Cod Unic de
Înregistrare………, reprezentată prin , în calitate de Director General denumită in continuare
„Persoana Împuternicită de Operator”,
denumite in continuare in mod colectiv, „Părțile” si individual, „Partea”,
- DEFINIȚII
„Contract” înseamnă Contractul ………….sub nr și la CMPCVB SA sub
nr. ………………….,încheiat la data de ……………….
„Date cu caracter Personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă (persoana vizată); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
„Date cu caracter Personal ale Operatorului și ale Persoanei împuternicită de Operator” sau orice altă exprimare similară, înseamnă Datele Personale pe care Operatorul le pune la dispoziția Persoanei Împuternicite de Operator, în vederea îndeplinirii Contractului, precum şi orice alte Date Personale deținute de Operator la care Persoana Împuternicită de Operator are sau dobândește acces în scopul îndeplinirii obligațiilor care îi revin conform Contractului;
„GDPR” înseamnă Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului Uniunii Europene privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor);
„Incident de securitate privind Datele Personale” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a Datelor Personale transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
„Măsuri tehnice și organizatorice” înseamnă acele măsuri destinate protejării Datelor Personale stocate cât şi a celor transmise în cadrul rețelei interne sau către persoane terțe, precum criptare, pseudonimizare, firewall, antivirus etc. ;
„Prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra Datelor Personale sau asupra seturilor de Date Personale, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
„Servicii” înseamnă serviciile prestate de Persoana Împuternicită de Operator pentru Operator care implică prelucrare de Date Personale, astfel cum sunt acestea prevăzute în Contract;
„DPO” înseamnă persoana desemnată de Operator, responsabilă cu prelucrarea datelor cu caracter personal.
- PRELUCRAREA DATELOR PERSONALE
2.1. Îndeplinirea obligațiilor asumate prin Contract şi furnizarea Serviciilor implică prelucrarea de Date Personale de către Persoana Împuternicită de Operator. În acest sens, Persoana Împuternicită de Operator se obligă să respecte toate dispozițiile legale aplicabile cu privire la protecția datelor cu caracter personal.
2.2. Operatorul declară şi garantează prin prezenta că Datele Personale care fac obiectul prelucrării de către Persoana Împuternicită de Operator în baza prezentului Acord au fost colectate cu respectarea tuturor dispozițiilor legale aplicabile şi pot fi prelucrate în condiţiile descrise în prezentul Acord.
2.3. Persoana Împuternicită de Operator va prelucra Datele Personale ale Operatorului exclusiv în scopul furnizării Serviciilor către Operator. În acest sens, Persoana Împuternicită de Operator va acționa exclusiv în limitele prevăzute de Contract şi de prezentul Acord, precum şi în limita oricăror instrucțiuni documentate ulterioare ale Operatorului.
2.4. Persoana Împuternicită de Operator informează imediat Operatorul în cazul în care, în opinia sa, o instrucțiune primită din partea Operatorului încalcă legislația aplicabilă privind protecția Datelor Personale.
2.5. Persoana Împuternicită de Operator va da curs tuturor solicitărilor de informații şi/sau documente formulate de Operator, în scopul verificării respectării de către Persoana Împuternicită de Operator a obligațiilor legale privind protecția Datelor Personale. De asemenea, Persoana Împuternicită de Operator va permite şi va contribui activ la orice inspecție desfășurată de către Operator în acest sens, fără ca aceasta să fie prea împovărătoare sau să necesite eforturi disproporționate sau nerezonabile din partea Persoanei Împuternicite de Operator.
2.6. În temeiul GDPR, Persoana Împuternicită de Operator va crea și menține un registru al activităților de prelucrare desfășurate conform prezentului Acord și va pune la dispoziția Operatorului sau oricărui auditor sau mandatar numit de acesta, la cerere, toate informațiile incluse în registrul menționat necesare pentru a demonstra respectarea prezentului Acord.
2.7. Dacă Operatorul solicită, Persoana Împuternicită de Operator îl va asista pe Operator cu privire la desfășurarea unei evaluări a impactului asupra protecției datelor, ținând cont de natura prelucrării și de informațiile disponibile Persoanei Împuternicite de Operator.
2.8. Tipurile de date cu caracter personal care fac obiectul prelucrării, în baza contractului:
- pentru părțile contarctante: numele și prenumele reprezentanților legali pentru cele două instituții semnatare ale contractului;
- părțile vizate: numele și prenumele, codul numeric personal, seria și numărul actului de identitate, adresa poștală, adresa e-mail de contact, telefon, fax, după caz, precum și toate informațiile necesare derulării contractului.
2.9. Durata prelucării: durata contractuală, la care se adaugă încă 5 ani după împlinirea duratei contractuale.
2.10. Locul unde se prelucrează datele cu caracter personal: la sediile părților contractante, precum și așa cum sunt acestea definite prin contract;
2.11. Natura și scopul prelucrării: Părțile contarctante vor preluca datele cu caracter personal, având temei legal, contractual și pe bază de consimțământ scris. Scopul prelucrării este reprezentat de îndeplinirea drepturilor și obligațiilor contractuale și a activităților corelate pentru îndeplinirea respectivelor drepturi și obligații.
2.12. Dreptul de proprietate asupra datelor cu caracter personal: titularii datelor cu caracter personal sunt și vor rămâne proprietarii respectivelor date cu caracter personal;
Drepturile și obligațiile părților contractante cu privire la prelucrarea datelor cu caracter personal:
a) Părțile vor prelucra datele cu caracter personal în mod legal, echitabil și transparent față de persoanele vizate;
b) Părțile vor colecta datele personale ale persoanelor vizate, pe bază de consimțământ scris, în scopuri determinate, explicite și legitime, ulterior nefiind permisă prelucrarea într-un mod incompatibil scopurilor menționate în prezentulu act adițional;
c) Părțile se vor asigura că datele personale ale persoanelor vizate, care sunt prelucrate sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;
d) Datele cu caracter personal vor fi stocate de părți într-o formă care să permită identificarea persoanelor vizate, pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate, respectiv pe toată durata contractuală și încă timp de 1 an după împlinirea duratei contractuale;
e) Părțile garantează că datele personale sunt prelucrate într-un mod care asigură securitatea adecvată a datelor, inclusiv protecția împotriva prelucrării neautorizate sau ilegale, împotriva pierderii, a distrugerii sau a deteriorării accidentale;
f) Părțile se obligă reciproc să pună în aplicare măsuri tehnice și organizatorice proprii, adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu Regulamentul privind protecția datelor cu caracter personal, revizuind și actualizând în mod efectiv respectivele măsuri;
g) Măsurile tehnice și organizatorice trebuie să asigure faptul că sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific prelucrării;
h) Părțile se asigură că persoanele autorizate să prelucreze datele cu caracter personal păstreză confidențialitatea respectivelor date;
i) Părțile au obligația să se informeze reciproc cu privire la orice date cu caracter personal eronate, rectificate, actualizate sau șterse la adresele de e-mail menționate în cuprinsul contractului.
2.15. Raportarea încălcării securității datelor cu caracter personal:
Părțile se obligă să își notifice reciproc orice violare a datelor cu caracter personal prelucrate, în termen de 24 de ore de la data la care au luat la cunoștință de aceasta și să își transmită reciproc, în scris informații despre încălcarea securității datelor cu caracter personal.
În ceea ce privește fiecare încălcare, fiecare parte va ajuta pe cealaltă, în orice mod, care va include furnizarea de informații suficiente, precum și sprijin în investigațiile efectuate de către autoritatea de supraveghere și reglementare, cu scopul de a remedia și de a investiga încălcarea, de a preveni viitoare incidente, de a limita impactul incidentului asupra părților implicate și/sau limita prejudiciul produs, ca o consecință a încălcării securității datelor.
Partea la care a survenit incidentul cu privire la securitatea datelor, este exonerată față de cealaltă parte, pentru prejudiciul suferit, ca urmare a încălcării securității datelor cu caracter personal prelucrate, dacă dovedește că a luat măsurile adecvate organizatorice și tehnice pentru asigurarea respectivei securități. Orice prejudiciu va fi constatat de instanțele de judecată competente.
2.16. Autoritatea de supraveghere și reglementare.
Părțile agreează că autoritatea de supraveghere și reglementare este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
- MĂSURI TEHNICE ŞI ORGANIZATORICE
3.1. Persoana Împuternicită de Operator va obține și va menține toate licențele, autorizațiile și avizele, solicitate astfel prin legislația aplicabilă, necesare pentru a prelucra Date Personale, precum și orice alte date și informații derivate din acestea.
3.2. Persoana Împuternicită de Operator se obligă să implementeze și să mențină toate măsurile tehnice și organizatorice prevăzute, pe toată durata Acordului și ulterior, până la ștergerea sau distrugerea Datelor Personale ale Operatorului.
3.3. Persoana Împuternicită de Operator va notifica Operatorul cu privire la orice Incident de Securitate privind Datele Personale, în cel mult 48 de ore din momentul în care a luat la cunoștință despre acesta. De asemenea, Persoana Împuternicită de Operator va comunica Operatorului, dacă este posibil, natura încălcării, volumul de date şi numărul aproximativ de persoane afectate, precum şi măsurile luate sau propuse spre a fi luate în vederea remedierii sau atenuării efectelor negative ale incidentului.
- DREPTURILE PERSOANELOR VIZATE
4.1. Persoana Împuternicită de Operator, luând în considerare natura prelucrării şi în limita posibilităților, îl va asista pe Operator să dea curs oricăror plângeri sau solicitări formulate de persoanele vizate, cu privire la prelucrarea Datelor Personale, în conformitate cu drepturile persoanelor vizate prevăzute în Capitolul III din GDPR.
4.2. În acest sens, Persoana Împuternicită de Operator îl va informa pe Operator cu privire la orice plângere sau solicitare primită de la persoanele vizate, în termen de 3 zile din momentul recepționării, și va furniza acestuia orice informații sau documente relevante în vederea soluționării acestora.
- CONFIDENȚIALITATEA DATELOR PERSONALE
5.1. Obligațiile de confidențialitate prevăzute în Contract, se aplică în mod corespunzător şi cu privire la Datele Personale ale Operatorului.
5.2. Persoana Împuternicită de Operator este obligată să se asigure că DPO care are datoria de a prelucra Datele Personale ale Operatorului a informat Operatorul cu privire la obligativitatea acestuia de a încheia angajamente de confidențialitate sau au obligații de confidențialitate profesionale sau legale, după caz.
5.3. La încetarea prezentului Acord, din orice motiv, Persoana Împuternicită de Operator, la alegerea Operatorului, va șterge sau va returna toate Datele Personale ale Operatorului, inclusiv orice copii de rezervă a acestora, cu excepția cazului când stocarea acestora pe o perioadă mai lungă este prevăzută de dispozițiile legale aplicabile. Persoana Împuternicită de Operator va transmite Operatorului o declarație scrisă care să confirme îndeplinirea tuturor cerințelor de ștergere şi/sau returnare a Datelor Personale ale Operatorului.
- ÎNCETARE
6.1. Prezentul Acord încetează de drept la momentul încetării Contractului.
6.2. Cu toate acestea, orice obligație a Persoanei Împuternicite de Operator în baza prezentului Acord, care prin natura ei supraviețuiește încetării Acordului, va continua să producă efecte şi după încetarea acestuia.
- DISPOZIŢII FINALE
7.1. În cazul existenței unor neconcordanțe între prevederile acestui Acord și orice alte acorduri încheiate între Părți, inclusiv, dar fără a se limita la Contract, prevederile acestui Acord vor prevala cu privire la obligațiile Părților de protecție a Datelor Personale.
7.2. Acest Acord şi disputele care pot apărea ca urmare a încheierii, executării, interpretării sau încetării sale vor fi guvernate de legile României.
7.3. În caz de dispute, pretenții sau alte asemenea decurgând din acest Acord, Părțile vor încerca să ajungă la o soluționare a acestora pe cale amiabilă. Dacă nu se poate ajunge la o soluționare pe cale amiabilă a acestora, disputa va fi supusă şi soluționată de instanța judecătorească competentă română.
7.4. Acest Acord nu presupune plata unei remunerații suplimentare de către oricare dintre Părți și nu derogă de la Contract, în ceea ce privește condițiile financiare stabilite de către Părți.
7.5. Dacă orice prevedere a acestui Acord este sau devine nulă sau inaplicabilă, restul Acordului va rămâne valabil și va produce efecte. Dacă orice prevedere a Acordului este sau devine nulă, ilegală sau inaplicabilă, se va considera ca fiind modificată strict cât este necesar pentru a o face validă, legală şi aplicabilă, cu condiția ca asta să nu declanșeze o modificare esențială cu privire la înțelegerea comercială inițială a Părților, conform acestui Acord. Altfel, Părțile vor negocia cu bună-credință
înlocuirea clauzei nule, ilegale sau inaplicabile, cu o clauză validă, legală şi aplicabilă, păstrând pe cât posibil, efectele comerciale ale clauzei inițiale.
7.6. Prezentul Acord și Contractul, în măsura în care se referă la orice aspect ce vizează prelucrarea Datelor Personale, reprezintă întreaga voință a Părților referitor la prelucrarea Datelor Personale ale Operatorului în vederea furnizării Serviciilor și nu poate fi modificat decât cu acordul scris al ambelor Părți.
7.7. Părțile la acest Acord declară și agreează că acest Acord a fost prezentat fiecăreia dintre Părți, a fost în mod atent și detaliat analizat și evaluat de fiecare Parte, şi că au fost asistate pe tot parcursul redactării, negocierii şi semnării, de consultanți şi experți calificați (cel puțin dintr-o perspectivă legală, tehnică şi fiscală).
7.8. Părțile declară și agreează că acest Acord nu reprezintă un contract de adeziune, nu include clauze standard și/sau neuzuale, așa cum sunt acestea definite în legislația românească în mod expres și Acordul a fost negociat „clauză cu clauză” de către Părți. Fiecare Parte agreează și acceptă, în mod irevocabil de la semnarea Acordului de către fiecare Parte, toate clauzele acestuia.
Prezentul Acord a fost redactat şi semnat în (2) două exemplare originale, astăzi,………………………
OPERATOR
SALUBRIZARE SECTOR 5 S.A.
Director General ANDREI FECIORU
PERSOANA ÎMPUTERNICITĂ DE OPERATOR
,,Firma IT,,
Director General
Anexa 7
ACORD DE PRELUCRARE A DATELOR CU CARACTER PERSONAL
SALUBRIZARE SECTOR 5 S.A. ( S 5 S.A.)
se află sub autoritatea Consiliului Local al Primariei Sector 5 al Municipiului Bucureşti, având ca domeniu principal de activitate ,,Colectare deseuri nepericuloase”.
Datele de identificare sunt:
• Sediul societăţii este în România, Municipiul Bucureşti, sector 5, Cal. Rahova ;
• Număr de înmatriculare la Registrul Comerţului: nr. …………………..;
• Cod unic de identificare: ……………………………….;
• Capital social integral de stat : ………………………… lei;
• Telefon: ………………………….;
• E-mail: office@salubrizare5.ro
Vă informăm cu privire la prelucrarea de date cu caracter personal, denumite în continuare Date, pe care o facem în cazul în care datele sunt primite direct de la pesoanele vizate în baza derulării raporturilor comerciale/contractuale sau participări la anumite acțiuni și evenimente desfășurate de S 5 S.A. sau vizitaţi site-ul.
S 5 S.A. prelucrează Datele numai în condițiile prevăzute de Regulamentul General privind Protecția Datelor nr. 679/2016 al Uniunii Europene, denumit în continuare Regulamentul, conform scopurilor şi temeiurilor reflectate în secţiunile de următoare.
„Prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra Datelor cu caracter personal sau asupra seturilor de Date personale, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.
Tipurile de date cu caracter personal care fac obiectul prelucrării, în baza contractului:
- pentru părțile contractante: numele și prenumele și fucțiile reprezentanților legali pentru cele două instituții/societăți semnatare ale contractului;
- părțile vizate: numele și prenumele, codul numeric personal, seria și numărul actului de identitate, adresa poștală, adresa e-mail de contact, telefon, fax, după caz, precum și toate informațiile necesare derulării contractului.
Durata prelucării: durata contractuală, la care se adaugă încă 5 ani după împlinirea duratei contractuale, conform legilor în vigoare.
Locul unde se prelucrează datele cu caracter personal: la sediile părților contractante, precum și așa cum sunt acestea definite prin contract.
Natura și scopul prelucrării
Părțile contractante vor preluca datele cu caracter personal, având temei legal, contractual și pe bază de consimțământ scris. Scopul prelucrării este reprezentat de îndeplinirea drepturilor și
obligațiilor contractuale și a activităților corelate pentru îndeplinirea respectivelor drepturi și obligații, cum ar fi:
• evaluarea eligibilităţii în vederea furnizării unor produse şi servicii;
• derularea oricăror raporturi contractuale (cu clienţii, colaboratorii, partenerii sau angajaţii noştri);
• monitorizarea tuturor obligaţiilor asumate faţă de S 5 S.A. sau faţă de entităţi afiliate;
• îndeplinirea obligaţiilor în materie fiscală;
• constatarea, exercitarea sau apărarea unor drepturi în instanţă ori faţă de alte autorităţi;
• gestionarea de solicitări/reclamaţii/plângeri/petiţii/investigaţii în legătură cu activitatea S 5 S.A. şi serviciile ori produsele acesteia;
• asigurarea securităţii în incintele S 5 S.A.;
• administrarea portofoliului de clienţi, furnizori și colaboratori;
• păstrarea/depozitarea/ stocarea şi arhivarea documentelor;
• furnizarea de raportări şi informaţii la solicitarea autorităţilor (de exemplu, instanţe, organe de cercetare, organe de executare silită, notari publici, autorităţi fiscale);
• punerea în executare a hotărârilor judecătoreşti şi a altor ordine ale autorităţilor;
• gestionarea auditurilor, a raportărilor, precum şi controalelor şi investigaţiilor din partea autorităţilornaționale, locale sau europene;
• îmbunătăţirea calităţii serviciilor furnizate prin eficientizarea fluxurilor, optimizarea costurilor, pregătirea angajaţilor etc;
• diversificarea produselor şi serviciilor şi adaptarea acestora la nevoile clienţilor, administrarea afacerii, inclusiv prin fuziuni, achiziţii, transferuri de portofolii sau de părţi ale afacerii, ori prin alte tranzacţii similare;
• marketing simplu şi efectuare de sondaje cu privire la serviciile oferite de S 5 S.A. şi activitatea acesteia.
• orice alte categorii de date pe care clienţii le furnizează către S 5 S.A. sau pe care aceasta le dobândeşte și le prelucrează cu respectarea legii sau a contractelor aplicabile în relaţia cu clienţii.
Date cu caracter special
• De regulă, nu solicităm şi nu prelucrăm Date cu caracter special;
• Totuși, având în vedere specificul activității noastre, protecție civilă și voluntariat, este posibil ca pe parcursul derulării unor evenimente publice, să intrăm în posesia unor Date cu caracter special, cum ar fi cele legate de starea de sănătate. În această situație, Datele respective vor fi prelucrate în stictă conformitate cu Regulamentul.
Dreptul de proprietate
Titularii datelor cu caracter personalsunt și vor rămâne proprietarii respectivelor date cu caracter personal.
Partajarea/dezvăluirea Datelor
S 5 S.A., pentru a putea desfăşura activitatea la cele mai înalte standarde, în urmărirea intereselor noastre legitime ori pentru că suntem obligaţi prin lege, este posibil să dezvăluim sau să transmitem Date către anumite persoane sau entităţi, cum ar fi:
• reprezentanţii legali (membrii AGA, membrii CA, tutore, curator), împuterniciţi ai clientului ori ai persoanei vizate;
• consultanţi (juridici, fiscali, etc), executori judecătoreşti, auditori, notari, experţi, traducători;
• parteneneri contractuali şi prestatori de servicii cum ar fi: printare extrase şi notificări, curierat, servicii IT şi telecomunicaţii, furnizori, arhivare, de distrugere documente, etc;
• asociaţii profesionale, autorităţi de supraveghere locale, autorităţi de protecţie a consumatorilor etc;
• instanţe de judecată şi alte entităţi autorizate de lege să primească informaţii financiare (organe de executare silită, organe fiscale etc.);
• Agenţia Naţională de Administrare Fiscală, în scopul transmiterii de informaţii, în confomitate cu regulile și legile în vigoare.
În unele cazuri, destinatarii Datelor au obligaţia legală de păstrare a secretului profesional (autorităţile, avocaţii, experţii, alte instituţii financiare etc). În celelalte cazuri, vom solicita, contractual, respectarea confidenţialităţii, inclusiv luarea măsurilor tehnice şi organizatorice adecvate pentru asigurarea securităţii Datelor. S 5 S.A. nu va putea condiţiona dezvăluirea Datelor de luarea unor astfel de măsuri şi de asumarea unei obligaţii de confidenţialitate, când Datele sunt dezvăluite în baza unei obligaţii legale sau în apărarea unui interes legitim.
Implicaţiile refuzului de a furniza Date
Puteţi alege să nu furnizaţi Date către S 5 S.A., însă această opţiune poate determina lipsa conformării cu obligaţiile noastre contractuale sau legale. Poate limita serviciile pe care suntem capabili să vi le oferim. Ne poate împiedica să continuăm a vă furniza sau a vă reînnoi produsele şi serviciile existente.
În cazul în care nu sunteţi de acord cu prelucrarea Datelor, în scop de marketing sau în orice alt scop pentru care v-am solicitat în mod expres acordul, precum şi în situaţia în care vă retrageţi acordul dat, relaţia dumneavoastră contractuală cu S 5 S.A. nu va suferi.
Prelucrarea datelor în afara Spaţiului Economic European (SEE)
În prezent, în vederea îndeplinirii scopurilor pe care vi le-am înfăţişat în această politică S 5 S.A. nu transferă Date în afara României, în state din cadrul SEE și nici în afara SEE.
Drepturile persoanei vizate
În legătură cu prelucrarea exclusiv a Datelor dumneavoastră, beneficiaţi de unele drepturi pe care le puteţi exercita la cerere şi în mod gratuit, în limitele şi în măsura îndeplinirii condiilor legale, după cum urmează:
Dreptul de acces la date – puteţi verifica efectuarea prelucrării Datelor dumneavoastră de către S 5 S.A., precum şi detalii cu privire la prelucrare;
Dreptul la rectificare – puteţi solicita rectificarea Datelor inexacte sau suplimnetarea Datelor incomplete;
Dreptul la ştergerea datelor (“dreptul de a fi uitat”) – îl puteţi exercita în măsura în care sunt îndeplinite condiţiile prevăzute de lege (de exemplu, dacă Datele nu mai sunt necesare scopului prelucrării sau au fost prelucrate ilegal);
Dreptul la restricţionarea prelucrării – puteţi solicita limitarea prelucrării Datelor, de exemplu în caz de contestare a legalităţii prelucrării;
Dreptul la portabilitatea datelor – ne puteţi solicita ca Datele prelucrate prin mijloace automate, pe bază de consimţământ sau în temeiul unui contract, să vi le transmitem dumneavoastră sau către un alt operator de date, dacă acest lucru este tehnic fezabil;
Dreptul la opoziţie – vă puteţi opune în orice moment, din motive întemeiate şi legitime legate de situaţia dumneavoastră particulară, ca Datele dumneavoastră să facă obiectul unei prelucrări, inclusiv prin crearea de profiluri; de asemenea, vă puteţi opune în orice moment, în mod gratuit şi fără nicio justificare, ca Datele să fie prelucrate în scop de marketing;
Dreptul de a nu fi supus unei decizii individuale – puteţi cere şi obţine retragerea, anularea sau reevaluarea oricărei decizii bazate exclusiv pe prelucrări efectuate prin mijloace automate
(incluzând crearea de profiluri) care produce efecte juridice cu privire la dumneavoastră sau vă afectează în mod similar, într-o măsură semnificativă;
Dreptul de a depune o plângere în faţa unei autorităţi sau de a vă adresa justiţiei – aveţi dreptul de a vă adresa cu plângere Autorităţii Naţionale de Supraveghere a prelucrării datelor cu caracter personal, respectiv de a vă adresa justiţiei pentru apărarea oricăror drepturi garantate de legislaţia aplicabilă în domeniul protecţiei datelor cu caracter personal, care au fost încălcate, în măsura în care consideraţi necesar.
Măsuri tehnice și organizatorice
Părțile semnatare se obligă să implementeze și să mențină toate măsurile tehnice și organizatorice prevăzute, pe toată durata Acordului și ulterior, până la ștergerea sau distrugerea datelor cu caracter personal aleacestora.
Părțile se vor notifica cu privire la orice Incident de Securitate privind datele cu caracter personal, în cel mult 48 de ore din momentul în care a luat la cunoștință despre acesta. De asemenea, dacă este posibil, natura încălcării, volumul de date şi numărul aproximativ de persoane afectate, precum şi măsurile luate sau propuse spre a fi luate în vederea remedierii sau atenuării efectelor negative ale incidentului.
Partea la care a survenit incidentul cu privire la securitatea datelor, este exonerată față de cealaltă parte, pentru prejudiciul suferit, ca urmare a încălcării securității datelor cu caracter personal prelucrate, dacă dovedește că a luat măsurile adecvate organizatorice și tehnice pentru asigurarea respectivei securități. Orice prejudiciu va fi constatat de instanțele de judecată competente.
Responsabilul cu protecţia datelor
Vă puteţi exercita oricare dintre drepturile legale în legătură cu prelucrarea Datelor printr-o cerere scrisă, datată şi semnată olograf (de mână), transmisă în format hârtie la sediul companiei sau electronic prin e-mail, scanat, la office@salubrizare5.ro. De asemenea, vă puteţi adresa Responsabilului nostru cu protecția datelor cu caracter personal
Prezentul acord se semnează odată cu încheierea contractului comercial.
Prin semnarea prezentului acord, dumneavoastră confirmați că ați citit, ați fost informat/ informată corect și sunteți de acord cu prevederile acestui document, precum și de faptul că, S 5 S.A. nu va prelucra datele dumneavoastră cu caracter personal decât în măsura în care acest demers este necesar scopurilor menționate în acest document, cu respectarea măsurilor legale de securitate și confidențialitate a Datelor.
Totodtă, prin semnarea acestui document vă dați consimțământul liber și documentat cu privire la prelucrarea datelor dumneavoastră cu caracter personal.
Director General Reperzentant client/furnizor ANREI FECIORU
Compartiment Juridic Canbolant Singrid
Anexa 8
FORMULAR CERERE PERSOANĂ VIZATĂ
(pentru exercitarea drepturilor prevăzute la art. 7, 12-22 din GDPR)
Detalii privind persoana vizată (titularul cererii):
Modalitate de adresare:
Nume, prenume:
Modalitate de contact (adresă de e-mail
sau adresă poștală):
ID client (dacă este
cazul):
Obiectul cererii:
Vă rugăm să selectați care este obiectul cererii:
□ Retragere a consimțământului pentru prelucrarea de date cu caracter personal
□ Cerere de acces la datele cu caracter personal prelucrate
□ Cerere de rectificare a datelor cu caracter personal prelucrate
□ Cerere de ștergere a datelor cu caracter personal prelucrate
□ Cerere de restricționare a prelucrării datelor cu caracter personal
□ Cerere de portare a datelor cu caracter personal prelucrate
□ Cerere de opoziție la prelucrarea datelor cu caracter personal
□ Cerere privind prelucrările automate și crearea de profile
Categoriile de date cu caracter personal care fac obiectul cererii:
Detalii privind cererea dumneavoastră:
Nume, prenume: poștal):
Semnătură
(în cazul cererilor trimise prin serviciul poștal):
Data: