EVALUAREA IMPACTULUI ASUPRA PROTECTIEI DATELOR

 

INTRODUCERE

REGULAMENTUL SI IMPACTUL ASUPRA ACTIVITATII

 

Incepand cu 25 mai 2018, Regulamentul abroga si inlocuieste Directiva nr. 95/46/CE privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date (art.94 din Regulament).

Regulamentul  are  aplicabilitate  directa  in  toate  Statele  Membre  in  baza  Tratatului  pentru Functionarea  Uniunii  Europene.  In  consecinta,  incepand  cu  25  mai  2018,  Regulamentul  inlocuieste si actul normativ cadru de reglementare interna a acestui domeniu special, Legea nr.677/2001 pentru  protectia  persoanelor  cu  privire  la  prelucrarea  datelor  cu  carácter personal si libera circulatie a acestor date.

Avand in vedere ca, in desfasurarea obiectului de activitate VISION PROSPERITY SYSTEM SRL prelucreaza date cu caracter personal, Regulamentul va fi incident si acestuia.

Prelucrarea datelor cu caracter personal se va  realiza  cu  respectarea  principiilor  prevazute  in  art.5  din  Regulament:

a) datele cu caracter personal trebuie prelucrate in mod legal, echitabil si transparent;

b)  datele cu caracter personal trebuie prelucrate pentru scopuri determinate, explicite si legitime;

c)   datele cu caracter personal trebuie sa fie adecvate, relevante si neexcesive;

d)  datele cu caracter personal trebuie sa fie exacte si actualizate;

e) datele cu  caracter  personal trebuie sa fie pastrate  pe o perioada  care  nu depaseste perioada necesara prelucrarii pentru scopul identificat;

f)   datele  cu  caracter  personal  trebuie  sa  fie  prelucrate  intr-un  mod  care  asigura securitatea adecvata a acestora.

CALIFICARE

OPERATOR SAU PERSOANA IMPUTERNICITA

 

Conform art. 4 din Regulament:

a)    operatorul este  persoana  fizica  sau  juridica,  autoritatea  publica,  agentia  sau  alt organism  care,  singur  sau  impreuna  cu altele, stabileste  scopurile  si  mijloacele  de prelucrare a datelor cu caracter personal;

b)    persoana  imputernicita de  operator  este  persoana  fizica  sau  juridica,  autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal pe seama operatorului.

 

Obiectul de activitate al VISION PROSPERITY SYSTEM SRL consta in principal in activitati ale agentiilor de publicitate (cod CAEN 7311), ce cuprinde o gama completa de servicii de publicitate si de promovare (prin posibilitati interne sau prin subcontractare), inclusiv consultanta, servicii de creatie, productia de material publicitar.

 

VISION PROSPERITY SYSTEM SRL este:

1.    Operator pentru:

-      colectarea datelor personale ale utilizatorilor site-ului https://alinahlipca.ro/ si clientilor sai si, in ceea ce priveste a doua situatie a incheiat un contract pentru externalizarea serviciilor contabile cu __________ care actioneaza in calitate de persoana imputernicita

-      folosirea de catre clienti a contului pe site-ul https://alinahlipca.ro/, precum si colectarea datelor personale ale clientilor in afara site-ului mentionat, in scopul indeplinirii obligatiilor asumate prin contractul incheiat in forma scrisa, respectiv in forma simplificata.

2.   Persoana imputernicita pentru:

-      prelucrarea datelor personale din bazele de date ale clientilor, aceste baze de date fiind puse la dispozitie de catre clienti.

-      dezvaluirea datelor catre autoritati conform legii, cand exista obligatia de a asista autoritatile, cand este cazul sa raspunda cererilor de exercitare a drepturilor specifice ale persoanelor vizate

TIPURI DE DATE PRELUCRATE

VISION PROSPERITY SYSTEM SRL colecteaza urmatoarele tipuri de date cu privire la utilizatorii site-ului https://alinahlipca.ro/

-     date de identificare (nume, prenume);

-     date de contact (numar de telefon, adresa de e-mail);

 

VISION PROSPERITY SYSTEM SRL colecteaza urmatoarele tipuri de date cu privire la clientii sai:

-       adresa de email reprezentand username

-       orice alte categorii de date urmare a folosirii de catre clienti a contului deschis pe site-ul https://alinahlipca.ro/, in scopul indeplinirii obligatiilor asumate prin contractul incheiat in forma simplificata

-       orice alte catogorii de date personale urmare a incheierii cu clientii a unui contract in forma scrisa

-       imagini foto, imagini video/testimonial video, testimonial scris, insotit eventual de date personale (nume si prenume)

 

VISION PROSPERITY SYSTEM SRL prelucreaza datelor personale din bazele de date ale clientilor, aceste baze de date fiind puse la dispozitie de catre clienti.

TEMEIURI JURIDICE DE PRELUCRARE

Analiza dispozitiilor art.6 din Regulament raportat la tipul activitatilor derulate:

1.    realizarea obiectului de activitate care implica necesitatea incheierii sau executarii contractelor comerciale: temeiul juridic al colectarii datelor cu caracter personal consta in incheierea si executarea unui contract (art.6 alin.(1) lit.b) din Regulament)

2.    masuri specifice de cunoastere a clientelei si de raportare a unor tranzactii suspecte: temeiul juridic al colectarii datelor cu caracter personal consta in indeplinirea unei obligatii legale (art.6 alin.(1) lit.c) din Regulament)

3.    mentinerea de evidente specifice (de ex. contracte, facturi, etc.): temeiul juridic al colectarii datelor cu caracter personal consta in indeplinirea unei obligatii legale (art.6 alin.(1) lit.c) din Regulament)

4.    publicitate si promovare proprie: temeiul juridic al colectarii datelor cu caracter personal consta in obtinerea consimtamantului (art.6 alin.(1) lit.a) din Regulament

INFORMAREA

PERSOANELOR

VIZATE

Documentul  de  informare  al  persoanelor vizate  cu  privire  la  prelucrarile  datelor  lor  cu caracter personal trebuie sa indeplineasca anumite cerinte formale si de continut.

In cazul de fata forma tipica impusa de Regulament este nota de informare, inclusiv in cazul clientilor persoane juridice, caz in care se prelucreaza  datele personale  ale  reprezentantilor  sau  imputernicitilor  clientului, persoane  fizice.

Nota de informare va contine:

-       identitatea si datele de contact ale VISION PROSPERITY SYSTEM SRL

-       scopul in care sunt prelucrate datele cu caracter personal precum si temeiul juridic al prelucrarii, inclusiv daca datele sunt obtinute din alte surse

-       in cazul in care prelucrarea se face in baza temeiului legitim, cu precizarea intereselor legitime urmarite

-       categoriile de date cu caracter personal vizate

-       destinatarii sau categoriile de destinatari ai datelor cu caracter personal

-       perioada pentru care vor fi stocate datele cu caracter personal sau criteriile utilizate pentru a stabili aceasta perioada

-       existenta dreptului de a solicita accesul la datele personale, rectificarea sau stergerea acestora, restrictionarea prelucrarii, dreptul de a se opune prelucrarii, dreptul la portabilitatea datelor

-       atunci cand prelucrarea are ca temei juridic consimtamantul persoanei vizate, existenta   dreptului   de   a   retrage consimtamantul  in  orice  moment,  fara  a  afecta  legalitatea prelucrarii  efectuate  pe  baza  consimtamantului  inainte  de retragerea acestuia

-       dreptul de a depune o plangere in fata autoritatii de supraveghere

-       sursa din  care  provin  datele  cu  caracter  personal  si,  daca este cazul, daca acestea provin din surse disponibile public

-       daca  furnizarea  de  date  cu  caracter  personal  reprezinta  o obligatie  legala  sau  contractuala  sau  o  obligatie  necesara pentru  incheierea unui  contract,  precum  si  daca  persoana  vizata  este  obligata  sa  furnizeze  aceste  date  cu  caracter personal   si   care   sunt   eventualele   consecinte   ale nerespectarii acestei obligatii.

In ceea ce priveste orice alte categorii de date urmare a prelucrarii datelor personale din bazele de date ale clientilor, aceste baze de date fiind puse la dispozitie de catre clienti, nota de informare este inlocuita cu clauze specifice inserate in contractul de prestari servicii.

MOMENTUL

INFORMARII

In cazul datelor cu caracter personal colectate direct de la persoana vizata, informarea se face in momentul obtinerii datelor.

In cazul datelor cu caracter personal colectate din alte surse, informarea se face:

a)  intr-un termen rezonabil dupa obtinerea datelor cu caracter personal, dar nu mai mare de o luna, tinandu-se seama de circumstantele specifice in care sunt prelucrate datele cu caracter personal;

b)  daca  datele  cu  caracter  personal  urmeaza  sa  fie  utilizate  pentru  comunicarea  cu persoana  vizata,  cel  tarziu  in  momentul  primei  comunicari  catre  persoana  vizata respectiva; sau

c) daca se intentioneaza divulgarea datelor cu caracter personal catre un alt destinatar, cel mai tarziu la data la care acestea sunt divulgate pentru prima oara.

 

Exceptii de la obligatia de informare:

Indiferent daca prelucrarile de date cu caracter personal obtinute de la persoana vizata sau din alte surse, informarea nu este necesara daca si in masura in care persoana vizata detine deja informatiile respective.

In plus, pentru cazul particular al prelucrarilor de date cu caracter personal obtinute din alte surse, alte exceptii de la obligatia de informare pot deveni incidente:

a)   in  masura  in  care  obligatia  de  informare  este  susceptibila  sa  faca  imposibila  sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective. In astfel de cazuri se vor lua  masuri  adecvate  pentru  a  proteja  drepturile,  libertatile  si  interesele legitime ale persoanei vizate;

b)     in cazul in care datele cu caracter personal trebuie sa ramana confidentiale in temeiul unei obligatii legale si/sau contractuale.

 

Informarea va fi documentata iar dovada indeplinirii obligatiei de informare se poate face cu orice mijloc adecvat de proba precum: corespondenta  purtata  cu  clientul  in  faza pre-contractuala pe baza ofertei comerciale (continand nota de informare); semnatura a clientului direct pe nota de informare, semnatura a clientului pe contract si altele similare.

DREPTURILE PERSOANELOR

VIZATE

Regulamentul  prevede  8  drepturi  specifice  in  materie  de  prelucrare  a  datelor  cu  caracter personal, care  pot fi exercitate in masura in care nu aduc atingere drepturilor si libertatilor altora:

a.    Dreptul de acces la date;

b.   Dreptul la rectificarea datelor;

c.    Dreptul la stergerea datelor;

d.   Dreptul la restrictionarea prelucrarii;

e.   Dreptul la portabilitatea datelor;

f.     Dreptul de opozitie la prelucrarea datelor;

g.    Dreptul de a nu fi supus unor decizi automatizate, inclusiv profilarea;

h.   Dreptul la notificarea destinatarilor privind rectificarea, stergerea  ori restrictionarea datelor cu caracter personal.

 

Atunci cand VISION PROSPERITY SYSTEM SRL actioneaza in contextul prelucrarii in calitate de operator de date, va respecta drepturile specifice in materie de prelucrare a datelor cu caracter personal.

Daca VISION PROSPERITY SYSTEM SRL actioneaza ca persoana imputernicita, in contextul operatiunilor de prelucrare, cand are obligatia de a asista clientii sau autoritatile, dupa caz, cand este cazul sa raspunda cererilor de exercitare a drepturilor specifice ale persoanelor vizate, prin implementarea de masuri tehnice si organizationale adecvate, intr-o masura rezonabila.

 

Raspunsul la cererile persoanelor vizate va fi trimis in maximum o luna de la primirea acestora, cu posibilitatea prelungirii duratei cu maximum 2 luni, in cazul prelucrarilor  complexe ori a unui volum mare de astfel de cereri (in orice caz  inclusiv informarea cu privire la intarzierea unui raspuns ori refuzul de a lua masuri trebuie transmise in termenul de 1 luna).

Orice activitati desfasurate pentru a raspunde solicitarilor persoanelor vizate vor fi efectuate gratuit, cu exceptia cazurilor in care solicitarile persoanelor vizate sunt excesive  (ex. numar exagerat de solicitari identice, solicitari frecvente).

EXERCITAREA

DREPTURILOR DE CATRE PERSOANELE VIZATE

1.   Dreptul de acces

Informatiile minime ce ar trebui transmise in cazul primirii unor cereri de acces vizeaza:

-      scopurile prelucrarii

-      destintarii sau categoria de destinatari carora datele le-au fost sau urmeaza sa le fie divulgate

-      categoriile de date cu caracter personal vizate

-      acolo unde este posibil, perioada pentru care se preconizeaza ca vor fi stocate datele cu caracter personal sau criteriile utilizate pentru a stabili aceasta perioada, dupa caz

-      existenta drepturilor specifice, orice informatii disponibile privind sursa datelor (daca este cazul)

-      existenta unui proces decizional automatizat

-      daca si unde datele sunt transferate catre state terte ori organizatii internationale

Accesul persoanelor vizate la datele prelucrate in legatura cu acestea este limitat, in sensul ca VISION PROSPERITY SYSTEM SRL este obligata sa raspunda in masura in care nu aduc atingere  drepturilor si libertatilor altor persoane, in special obligatiei de pastrare a confidentialitatii.

 

2.   Dreptul la rectificarea datelor

Atunci cand actioneaza ca operator,VISION PROSPERITY SYSTEM SRL are obligatia de a asigura respectarea drepturilor persoanelor vizate de a obtine fara intarziere rectificarea oricaror date inexacte (eronate sau incomplete) care le privesc.

 

3.   Dreptul la stergerea datelor

Persoanele vizate pot solicitaVISION PROSPERITY SYSTEM SRL care actioneaza in calitate de operator stergerea datelor care le privesc, fara nicio intarziere.

Aceasta se aplica:

-       datele nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost colectate sau prelucrate

-       persoana vizata isi retrage sonsimtamantul pe baza caruia are loc prelucrarea si nu exista niciun alt temei juridic pentru prelucrare

-       persoana vizata se opune prelucrarii si nu exista motive legitime care sa prevaleze in ceea ce priveste prelucrarea sau persoana vizata se opune prelucrarii in scopuri de marketing direct

-       datele cu caracter personal au fost prelucrate ilegal

-       datele cu caracter personal trebuie sterse pentru respectarea unei obligatii legale care revine VISION PROSPERITY SYSTEM SRL in temeiul dreptului Uniunii sau al dreptului intern sub incidenta caruia se afla acesta.

 

Exceptii in cazurile in care prelucrarea este necesara pentru:

-      exercitarea dreptului la libera exprimare si informare

-      respectarea unei obligatii legale care prevede prelucrarea in temeiul dreptului Uniunii sau al dreptului intern care se aplica VISION PROSPERITY SYSTEM SRL

-      din motive de interes public in domeniul sanatatii publice

-      in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, in masura in care stergerea este susceptibila sa faca imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective, sau pentru constatarea, exercitarea sau apararea unui drept in instanta

-      pentru scopul evidentei contractelor comerciale si incheierea acestora

-      pentru scopul evidentei documentelor prevazute de codul fiscal si alte dispozitii legale in vigoare

-      pentru scopul executarii contractelor comerciale prin utilizarea de catre clienti a contului personal pe site-ul https://alinahlipca.ro/.

Atunci cand VISION PROSPERITY SYSTEM SRL a facut publice in vreun context datele a caror stergere se solicita si persoana vizata cere inclusiv stergerea datelor de la orice destinatari, este tinuta in mod rezonabil prin masuri adecvate sa asigure informarea destinatarilor datelor cu privire la o astfel de solicitare.

 

4.   Dreptul la restrictionarea prelucrarii

Persoana vizata are dreptul de a obtine din partea VISION PROSPERITY SYSTEM SRL restrictionarea prelucrarii, respectiv limitarea  acesteia  (cu  exceptia  stocarii  propriu-zise)  strict la prelucrarile cu care persoana vizata este de acord si /sau strict la prelucrarile necesare in scopul constatarii, exercitarii sau apararii unui drept in  instanta sau pentru protectia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.

Restrictionarea se aplica atunci cand:

-      persoana vizata contesta exactitatea datelor, pentru o perioada care ii permite  VISION PROSPERITY SYSTEM SRL sa verifice exactitatea datelor

-      prelucrarea este ilegala, iar persoana vizata se opune stergerii datelor cu caracter personal, solicitand in schimb restrictionarea utilizarii lor

-    VISION PROSPERITY SYSTEM SRL nu mai are nevoie de datele cu caracter personal, dar persoana vizata i le solicita pentru constatarea, exercitarea sau apararea unui drept in instanta

-      persoana vizata s-a opus prelucrarii, pentru intervalul de timp in care se verifica daca interesele legitime ale VISION PROSPERITY SYSTEM SRL prevaleaza asupra celor ale persoanei vizate. 

 

5.   Dreptul la portabilitatea datelor

Dreptul la portabilitatea datelor implica obligatia VISION PROSPERITY SYSTEM SRL atunci cand actioneaza ca operator, de a asigura (i) furnizarea datelor primite de la persoana vizata intr-un format accesibil la cererea acesteia si (ii) transmiterea  unor astfel de date catre alti operatori la cererea persoanei vizate, incidenta cand urmatoarele conditii cumulative sunt indeplinite:

a)   prelucrarea se bazeaza pe consimtamant sau este necesara pentru executarea  unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract; si

b)   este realizata prin mijloace automate (nu in forma fizica / hartie, ci prin orice mijloace automatizate).

 

6.   Dreptul de opozitie la prelucrarea datelor

Persoanele vizate pot sa se opuna oricand la prelucrarea datelor lor cu caracter personal:

a)    din motive legate de situatia particulara in care se afla, operatiunilor de  prelucrare desfasurate in temeiul necesitatii prelucrarii pentru indeplinirea  unei  sarcini care serveste  unui  interes  public  cu  care  este  investita VISION PROSPERITY SYSTEM SRL;  si/  sau  prelucrarilor efectuate in temeiul intereselor legitime urmarite de VISION PROSPERITY SYSTEM SRL sau de o parte terta a datelor cu caracter personal, inclusiv crearii de profiluri.

b)    fara motive si justificare, in cazul prelucrarii datelor in scopuri de marketing direct (ex. pentru promovarea serviciilor VISION PROSPERITY SYSTEM SRL  prin transmiterea de newsletter sau utilizare de imagini foto, imagini video/testimonial video, testimonial scris).

VISION PROSPERITY SYSTEM SRL nu mai poate prelucra datele cu caracter personal in cazul opunerii, cu exceptia cazului in care demonstreaza ca are motive legitime si imperioase care justifica prelucrarea si care prevaleaza asupra intereselor, drepturilor si libertatilor persoanei vizate sau ca scopul prelucrarii este constatarea, exercitarea sau apararea unui drept in instanta.

 

7.   Dreptul de a nu fi supus unor decizii automatizate, inclusiv profilarea

Persoanele vizate au dreptul ca datele lor cu caracter personal sa nu fie prelucrate in contextul luarii unor decizii automatizate in urmatoarele conditii:

-       persoanele vizate au dreptul sa nu fie supuse unor decizii automatizate (fara implicarea factorului uman intr-o masura semnificativa) care produc efecte juridice ori efecte semnificative similare asupra acestora

-       prelucrarea datelor pentru luarea de decizii automatizate este permisa cand:

i.       este necesara pentru incheierea sau executarea unui contract intre persoana vizata si VISION PROSPERITY SYSTEM SRL

ii.  este autorizata prin dreptul Uniunii sau dreptul intern care se aplica VISION PROSPERITY SYSTEM SRL

iii. persoana vizata si-a exprimat acordul explicit pentru o astfel de prelucrare

 

8.   Dreptul la notificarea destinatarilor privind rectificarea, stergerea ori restrictionarea datelor cu caracter personal

VISION PROSPERITY SYSTEM SRL va comunica fiecarui destinatar caruia i-au fost divulgate datele cu caracter personal ale persoanelor vizate orice rectificare sau stergere a datelor cu caracter personal sau restrictionare a prelucrarii efectuate.

O astfel de obligatie este incidenta cu exceptia cazului in care acest lucru se dovedeste imposibil sau presupune eforturi disproportionate.VISION PROSPERITY SYSTEM SRL va  informa persoana vizata cu privire la destinatarii respectivi daca aceasta solicita acest lucru.

MECANISME DE RASPUNS

Pentru a asigura tratarea cu celeritate a cererilor persoanelor vizate pentru  exercitarea drepturilor specifice, respectiv a cererilor altor  entitati (pentru  cazurile in care VISION PROSPERITY SYSTEM SRL actioneaza in calitate de persoana imputernicita), urmatoarele  mecanisme vor fi avute in vedere:

-       redactarea  unor  formulare de exercitare a drepturilor / raspuns tipizat care sa  fie utilizate atunci cand clientii/alte persoane vizate isi exercita drepturile specifice;

-       daca cererile sunt transmise prin mijloace electronice, raspunsul trebuie transmis prin aceleasi mijloace, daca persoanele vizate nu solicita altfel.

EVIDENTA GESTIONARII CERERILOR

VISION PROSPERITY SYSTEM SRL va pastra o evidenta a a raspunsurilor date in contextul cererilor persoanelor vizate de exercitare a drepturilor specifice in materie de prelucrare a datelor cu caracter personal, astfel:

-      in calitate de operator: solicitari primite cu toate informatiile  aferente  cu  evidentierea datei primirii acestora si respectiv raspunsuri transmise, cu  evidentierea datei transmiterii raspunsurilor, iar unde este cazul de prelungire a termenului de raspuns dupa o luna, cu indicarea clara a motivului prelungirii.

-      in calitate de persoana imputernicita: dovezi scrise care sa sustina transmiterea in termen util a informatiilor solicitate, respectiv implementarea in mod rezonabil a masurilor necesare pentru conformarea cu drepturile specifice ale persoanelor vizate a operatorilor care solicita informatii/luarea  de masuri specifice.

Este preferabila pastrarea dovezilor in forma scrisa. Cu toate acestea, daca persoana vizata solicita anumite informatii oral, este admisibila si pastrarea unor dovezi ale  inregistrarilor care sa ateste raspunsul acordat unor asemenea solicitari.

ANALIZA INCIDENTEI OBLIGATIEI DE TINERE A EVIDENTELOR PRELUCRARII

Din interpretarea art.30, para.5 din Regulament, rezulta ca obligatia mentinerii unei evidente a activitatilor de prelucrare a datelor cu caracter personal incumba, de principiu, intreprinderilor sau organizatiilor cu peste 250 de angajati.

Intreprinderile sau organizatiile cu mai putin de 250 de angajati sunt tinute de  aceasta obligatie doar daca ”prelucrarea pe care o efectueaza este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor vizate, prelucrarea nu  este ocazionala sau prelucrarea include categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau date cu caracter personal referitoare la condamnari penale si infractiuni, astfel cum se mentioneaza la articolul 10”.

Avand in vedere cele de mai sus, chiar daca in prezent conditiile descrise nu sunt indeplinite, se va proceda la tinerea unei astfel de evidente:

1.    in calitate de operator:

-        numele si datele de contact ale operatorului

-        scopurile prelucrarii;

-        o descriere a categoriilor de persoane vizate si a categoriilor de date cu  caracter personal;

-        categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu  caracter personal, inclusiv destinatarii din tari terte sau organizatii internationale;

-        daca este cazul, transferurile de date cu caracter personal  catre o tara terta  sau o organizatie internationala, inclusiv identificarea tarii terte sau a  organizatiei internationale respective si, in cazul transferurilor mentionate la articolul 49 alineatul (1) al doilea paragraf, documentatia care dovedeste existenta unor garantii adecvate;

-        acolo unde este posibil, termenele-limita preconizate pentru stergerea  diferitelor categorii de date;

-        acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate mentionate la articolul 32 alineatul (1).

2.    in calitate de persoana imputernicita:

-        numele si datele de contact ale persoanei imputernicite de operator si ale fiecarui operator in numele caruia actioneaza aceasta persoana precum si ale reprezentantului operatorului sau al persoanei imputernicite de operator, dupa caz

-        categoriile de activitati de prelucrare desfasurate in numele fiecarui operator;

-        daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, inclusiv identificarea tarii terte sau a organizatiei internationale respective si, in cazul transferurilor prevazute la articolul 49 alineatul (1) al doilea paragraf din GDPR, documentatia care dovedeste existenta unor garantii adecvate;

-        acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate.

ANALIZA NECESITATII NUMIRII UNUI DPO

Art. 37 alin. (1) din Regulament stabileste situatiile in care este obligatorie numirea DPO:

a)    prelucrarea este efectuata de o autoritate sau un organism public, cu exceptia instantelor care actioneaza in exercitiul functiei lor jurisdictionale;

b)    activitatile principale ale operatorului sau persoanei imputernicite constau in operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o monitorizare periodica si sistematica a  persoanelor vizate pe scara larga sau

c)     activitatile principale ale operatorului sau ale persoanei imputernicite de  operator constau in prelucrarea pe scara larga a unor categorii speciale de date sau a unor date cu caracter personal privind condamnari penale si infractiuni.

 

Activitatea principala a VISION PROSPERITY SYSTEM SRL consta in activitati ale agentiilor de publicitate.

Regulamentul nu ofera criterii precise cu privire la conceptul „pe scara larga”.

Activitatea VISION PROSPERITY SYSTEM SRL poate implica, in sine, activitati de monitorizare periodica si sistematica de date cu caracter personal. Este posibil ca anumite operatiuni realizate de VISION PROSPERITY SYSTEM SRL sa poate fi incluse in categoria monitorizarii periodice si sistematice.

In vederea respectarii regulilor si normelor legale incidente in materie, VISION PROSPERITY SYSTEM SRL va stoca si procesa datele necesare realizarii activitatii sale in mod legal si echitabil, urmand ca persoanele implicate in aceste proceduri sa fie implicate in urmatoarele calitati arondate:

•             Operator de date

•             Manager pentru securitatea informatiilor

•             Responsabil pentru conformitate

Responsabilitatile specifice ale fiecarui rol sunt descrise in continuare in acest document.

 

Operator de date (____________)

Conform prevederilor GDPR, operatorul de date este o persoana fizica sau juridica, o autoritate publica, o agentie sau orice alt organism care singur sau impreuna cu altele stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal.

Operatorul de date are in principiu urmatoarele responsabilitati:

•    asigura conformitatea cu principiile stabilite la articolul 5 din GDPR a modalitatii de gestionare a datelor cu caracter personal, asigurand posibilitatea verificarii si demonstrarii modalitatii de realizare a acestora. Prin urmare, asigura ca informatiile personale:

-        sunt gestionate in mod legal, corect si transparent

-        sunt colectate in functie de obiectivele definite, concrete si legitime

-        sunt limitate la cele adecvate, relevante si necesare

-        sunt exacte si, daca este necesar, actualizate

-        sunt stocate in asa fel incat sa permita identificarea persoanelor vizate doar atat timp cat este necesar

-        sunt gestionate in siguranta adecvata.

•    asigura obtinerea consimtamantului persoanei vizate in ceea ce priveste gestionarea datelor cu caracter personal

•    pune la dispozitia persoanei vizate toate informatiile prevazute de GDPR intr-o forma concisa, transparenta, usor de inteles si usor accesibila, intr-un limbaj simplu si clar;

•    permite exercitarea drepturilor conferite de GDPR de catre persoanele vizate si le informeaza cu privire la prelucrarea cererii sale. In acest sens, persoanele vizate au dreptul de a accesa datele colectate despre ele si au dreptul de a verifica legalitatea gestionarii datelor. De asemenea, pot primi informatii despre durata gestionarii datelor, consecintele gestionarii datelor (cum ar fi identificarea profilului), logica gestionarii datelor.

•    asigura ca va colabora doar cu procesatori de date care ofera garantia corespunzatoare ca se vor lua masurile tehnice si organizatorice adecvate pentru a respecta GDPR si proteja datele personale

•    tine evidenta activitatilor de gestionare a datelor cu caracter personal, ceea ce este responsabilitatea operatorului de date.

•    la cerere coopereaza cu autoritatea de supraveghere in vederea indeplinirii sarcinilor sale.

•    asigura ca orice persoana care actioneaza in numele operatorului de date care are acces la datele cu caracter personal, gestioneaza informatiile numai in conformitate cu instructiunile operatorului de date.

•    notifica autoritatea de supraveghere fara intarzieri nejustificate cu privire la orice incalcare a drepturilor privind datele cu caracter personal, cu exceptia cazului in care este putin probabil ca incalcarea datelor cu caracter personal sa reprezinte un risc pentru drepturile si libertatile persoanelor fizice, in conformitate cu procedurile organizationale.

•    documenteaza orice incalcare a drepturilor privind datele cu caracter personal, inclusiv fapte legate de incalcarea datelor cu caracter personal, efectele acestora si masurile corective luate.

•    daca este cazul informeaza persoana vizata fara intarzieri nejustificate cu privire la incalcarea drepturilor privind datele cu caracter personal.

•    efectueaza o evaluare a impactului privind protectia datelor, dupa caz, in conformitate cu procedurile.

•    in indeplinirea sarcinilor sale este sustinut de responsabilul pentru conformitate care ii asigura resurse necesare indeplinirii sarcinilor si accesarii si gestionarii datelor cu caracter personal respectiv il ajuta din punct de vedere profesional.

•    datele cu caracter personal pot fi transferate unei tari terte sau unei organizatii internationale, in cazul in care operatorul de date sau un procesator de date a furnizat garantii adecvate si cu conditia ca drepturile persoanelor vizate sa fie respectate si sa fie disponibile cai de atac eficiente.

 

Manager pentru securitatea informatiilor (se  combina cu cele ale Responsabilului cu protectia datelor)

Sarcina principala a Managerului pentru Securitatea Informatiilor este elaborarea si mentinerea securitatii informatiilor.

Responsabilitatile Managerului pentru Securitatea Informatiilor sunt urmatoarele:

•    elaboreaza si prezinta conducerii masurile ce trebuie luate pentru asigurarea securitatii informatiilor;

•    conduce implementarea deciziilor luate de conducere pentru a asigura securitatea informatiilor;

•    supravegheaza functionarea sistemului de securitate a informatiilor;

•    identifica, cuantifica si monitorizeaza tipurile, amploarea si impactul incidentelor si erorilor de functionare si ia masurile necesare pentru prevenirea si solutionarea acestora;

•    colaboreaza cu Responsabilul pentru conformitate si executa instructiunile acestuia;

•    informeaza persoana vizata despre regulamentul de securitate a informatiilor;

•    executa prevederile regulamentului privind securitatea informatiilor;

•    se ocupa de managementul riscurilor legate de accesul la servicii sau sisteme;

•    asigura aplicarea si documentarea controalelor de securitate;

•    stabileste planurile de dezvoltare si obiectivele pentru exercitiul financiar;

•    monitorizeaza realizarea planurilor de dezvoltare.

 

Responsabil cu protectia datelor

Responsabilitatile Responsabilului pentru protectia datelor sunt urmatoarele:

•    furnizeaza informatii si consultanta profesionala operatorului de date sau procesatorului de date respectiv angajatilor responsabili pentru gestionarea datelor cu privire la obligatiile care le revin in temeiul legislatiei aplicabile privind protectia datelor;

•    supravegheaza respectarea legislatiei privind protectia datelor si a regulamentului intern privind protectia datelor cu caracter personal de catre operatorul de date sau procesorul de date;

•    elaboreaza si mentine regulamente interne si externe privind protectia datelor, reglementari privind securitatea informatiilor, obiective si planuri;

•    atribuie responsabilitati, contribuie la cresterea gradului de constientizare a personalului in operatiunile de gestionare a datelor, instruieste personalul si efectueaza audituri conexe;

•    la cerere ofera consultanta profesionala privind evaluarea impactului privind protectia datelor si monitorizeaza evaluarea impactului;

•    coopereaza cu autoritatea de supraveghere competenta pentru protectia datelor;

•    este persoana care tine legatura cu autoritatea de supraveghere in subiecte legate de gestionarea datelor si daca este cazul o consulta legat de orice alt subiect.

•    asigura ca cerintele legale si de securitate a informatiilor sunt stabilite si indeplinite pentru a minimiza riscul si a utiliza controale eficiente in cadrul companiei in ceea ce priveste clientii;

•    stabileste resursele pentru planificarea, implementarea, supravegherea, revizuirea si dezvoltarea in ceea ce priveste respectarea prevederilor legale, securitatea si gestionarea informatiilor si ia masuri pentru asigurarea acestora (de exemplu, angajarea personalului adecvat si gestionarea fluctuatiei personalului);

•    supravegheaza gestionarea riscurilor care afecteaza organizatia si serviciile acesteia;

•    periodic efectueaza revizuirea securitatii informatiilor din punct de vedere al aptitudinii, conformitatii si eficientei;

•    examineaza incidentele majore privind securitatea informatiilor;

•    asigura ca accesul organizatiilor externe la sistemele informatice sa se bazeze pe un acord oficial care stabileste toate cerintele legale si de siguranta necesare.

Societatea va examina in mod permanent oportunitatea si actualitatea desemnarii unui Responsabil cu protectia datelor urmand ca in baza acestor concluzii sa desemneze / sau nu responsabilul.

 

CONFIDENTIALITATEA SI SECURITATEA DATELOR

VISION PROSPERITY SYSTEM SRL isi desfasoara activitatea in _____________.

Urmeaza a se descrie cum se face intrarea in imobil, daca este prevazut cu sistem de monitorizare si inregistrare video, unde anume, cat timp se pastreaza inregistrarile, tipul de incuietori. La fel si in ce priveste accesul in birouri, daca este cazul.

Cum se face transmiterea documentelor, cine are acces la ele, daca accesul la laptop/computer este restrictionat prin parolare, la fel si adresa de email. Cum si in ce conditii se pastreaza documentele in forma fizica. Documentele pentru care nu este necesara printarea si stocarea in forma fizica sunt salvate si stocate ___________ . Emailurile sunt arhivate, astfel incat documentele pot fi recuperate electronic sau fizic in cazul deteriorarii sau distrugerii hardurilor externe.

Unde si cum se pastreaza documentele ce contin date cu caracter personal.

Urmeaza a se descrie orice informatii relevante privind datele personale colectate pe site in ce priveste accesul si securitatea datelor.

Datele cu caracter personal sunt stocate:

a.    in cazul contractelor incheiate pe perioada determinata/nedeterminata in scopul executarii acestora; dupa implinirea termenului de prescriptie extinctiva ce curge de la incetarea contractului datele personale vor fi sterse.

b.    pe perioada stabilita in actele normative;

c.    pentru executarea contractelor comerciale si pentru a raspunde eventualelor plangeri/pretentii ale clientilor privind executarea acestora; dupa implinirea termenului de prescriptie extinctiva datele personale vor fi sterse.

 

Aparitia unei brese de securitate va fi identificata imediat si adusa in mod corespunzator la cunostinta persoanelor competente sa implementeze masurile care se impun.

Orice bresa de securitate va fi notificata autoritatii de supraveghere a prelucrarii datelor cu caracter personal, cu informarea persoanelor vizate numai daca incidentul  de  securitate  este susceptibil sa genereze un risc ridicat pentru drepturile si libertatile persoanelor vizate.

DEZVALUIRI DE DATE LA SOLICITAREA AUTORITATILOR PUBLICE

VISION PROSPERITY SYSTEM SRL va transmite date cu caracter personal pe care le prelucreaza ca operator catre autoritati publice doar daca si in masura in care, in principal:

a) aceasta se manifesta intr-o obligatie legala;

b) autoritatea care solicita aceste informatii are competenta in domeniu,  verificata in prealabil;

c) VISION PROSPERITY SYSTEM SRL asigura un nivel de protectie adecvat al datelor prelucrate si astfel transmise;

d) transferul se realizeaza cu respectarea principiilor prevazute de GDPR si sintetizate in art.5 din acesta: legalitate, echitate si transparenta; principiul limitarii transferului in functie  de  scop;  principiul  reducerii  la  minimum  a  datelor  transferate;  principiul exactitatii datelor; principiul limitarii legate de stocarea datelor; principiul asigurarii integritatii si confidentialitatii datelor; principiul responsabilitatii.

TRANSFERUL DATELOR PERSONALE CATRE STATE TERTE

Nu este cazul.

 

Orice modificari intervenite dupa efectuarea prezentei vor fi analizate punctual si dupa caz, se vor lua masuri specifice.

 

24.05.2018                        VISION PROSPERITY SYSTEM SRL,

                                             Prin reprezentant legal Alina Hlipca-Radovici