logo


POLITICA DE PROTECȚIE A DATELOR CU CARACTER PERSONAL
Bittnet Systems S.A. (BNET)

 

 

1. Introducere
1.1 Contextul Regulamentului general privind protecția datelor("GDPR")

Regulamentul general privind protecția datelor, 679/2016, înlocuiește Directiva UE din 1995 privind protecția datelor și înlocuiește legislația fiecărui stat membru care a fost elaborată în conformitate cu Directiva 95/46 / CE privind protecția datelor. Obiectivul său este de a proteja "drepturile și libertățile" persoanelor fizice și de a se asigura că datele cu caracter personal sunt prelucrate numai după ce scopul prelucrării a fost adus la cunoștința lor și, ori de câte ori este posibil, că sunt prelucrate cu acordul lor explicit.


1.2 Domeniul de aplicare - Generalități

Domeniul material - GDPR se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate ori prin alte mijloace decât cele automatizate, informații care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.
Domeniul de aplicare teritorial - GDPR se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii. Prezentul regulament se aplică prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:

  1. oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau
  2. monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii. Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public.

1.3 Definiții
”GDPR” - Regulamentul general privind protecția datelor, 679/2016
“Sediul principal” - sediul principal al operatorului(locul în care managementul unității/operatorul adoptă principalele decizii cu privire la scopul și mijloacele activităților sale de prelucrare a datelor). Sediul principal al unei persoane împuternicite de operator în UE va fi centrul său administrativ.
"Date cu caracter personal" - înseamnă orice informații privind o persoană fizică identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
“Categorii speciale de date cu caracter personal” - date cu caracter personal care dezvăluie originea rasială sau etnică, opinii politice, convingeri religioase sau filosofice sau apartenența sindicală și prelucrarea datelor genetice, date biometrice în scopul identificării unice a unei persoane fizice, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală a unei persoane fizice.
"Operator" – unitate care are rolul de a stabilii scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern.
”Persoana împuternicită de operator ” – persoana fizică sau juridica, autoritate publică, agenție sau alt organism care prelucrează datele cu caracter personal în numele operatorului.
“Persoana vizată” - orice persoană vie care face obiectul datelor cu caracter personal deținute de operator.
"Prelucrare" înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
"Creare de profiluri" înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia.
"Încălcarea securității datelor cu caracter personal" înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
"Consimțământ" al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate. ea sau combinarea, restricționarea, ștergerea sau distrugerea.
”Parte terță" înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.
"Sistem de evidență a datelor" înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;


2. Politica de confidențialitate
2.1. Consiliul de Administrație și conducerea Bittnet Group S.A., cu sediul în București B-dul Timosoara nr 26, Plaza Romania Offices, Et 1, Sector 6, Bucuresti se angajează să respecte toate legile relevante ale UE și ale statelor membre cu privire la datele cu caracter personal și protecția "drepturilor și libertăților" persoanelor ale căror informații operatorul le colectează și procesează, în conformitate cu Regulamentul general privind protecția datelor (GDPR).

2.2. Conformitatea cu GDPR este descrisă de această politică și de alte politici relevante, cum ar fi Politica de Securitate a Informațiilor (PIMS), împreună cu procesele și procedurile conexe.

2.3. GDPR va fi aplicată de toate persoanele din cadrul BNET care prelucrează date cu caracter personal, inclusiv toate persoanele din BNET care procesează datele personale ale pacienților, angajaților, furnizorilor și partenerilor, precum și orice alte date personale pe care BNET le procesează de la orice sursă.

2.4. Responsabilul pentru protecția datelor este responsabil pentru revizuirea anuală a Registrului de evidență a activităților de prelucrare a datelor privind orice modificări ale activităților BNET (determinată de schimbările înregistrate în registrul de cartografiere a datelor) și de orice cerințe suplimentare identificate prin evaluări ale impactului protecției datelor. Acest registru trebuie să fie disponibil la cererea autorității de supraveghere.

2.5. Această politică se aplică tuturor angajaților/personalului (și părților interesate) din cadrul BNET, cum ar fi furnizorii externalizați. Orice încălcare a GDPR va fi tratată conform politicii disciplinare a BNET și poate fi, de asemenea, o contravenție, caz în care problema va fi raportată cât mai curând posibil autorităților competente.

2.6. Se așteaptă ca partenerii și orice terțe părți care lucrează cu sau pentru BNET și care au sau ar putea avea acces la date personale să fi citit, înțeles și să respecte această politică. Nicio terță parte nu poate accesa datele cu caracter personal deținute de BNET fără să fi încheiat în prealabil un acord de confidențialitate a datelor.

3. Responsabilități și roluri în temeiul Regulamentului General Privind Protecția Datelor:
3.1 BNET este un operator de date în context GDPR.

3.2 Managementul unității și toți angajații cu roluri de conducere sau de supraveghere din cadrul BNET sunt responsabili pentru dezvoltarea și încurajarea practicilor de gestionare a informațiilor în cadrul unității; responsabilitățile sunt stabilite în fișele de post individuale.

3.3 Operatorul desemnează Responsabilul pentru Protecția Datelor(DPO), asigurându-se că, în cazul în care acesta este un angajat propriu, nici una din sarcinile atribuite nu generează un conflict de interese și că persoana respectivă are calitățile morale, cunoștințele și experiență adecvată pentru a-și asuma răspunderea respectării continue a politicii protecției datelor cu caracter personal la nivelul întregii unități. Operatorul elaborează Fișa de post și descrierea ocupației pentru Responsabilul cu Protecția Datelor(DPO).

3.4.Responsabilul cu Protecția Datelor(DPO) răspunde și urmărește ca:

3.4.1 Operatorul să elaboreze și să pune în aplicare această politică în conformitate cu GDPR.

3.4.2 Operatorul gestionează securitatea și riscurile în ceea ce privește respectarea politicii.

3.5 Responsabilul cu Protecția Datelor are responsabilități specifice în ceea ce privește procedurile precum procedura de solicitare a accesului persoanei vizate și reprezintă primul punct de contact pentru angajați / personal care solicită clarificări cu privire la orice aspect al respectării protecției datelor.

3.6 Conformitatea cu legislația privind protecția datelor este responsabilitatea tuturor angajaților operatorului care procesează datele cu caracter personal.

3.7 Politica de instruire a BNET stabilește cerințe specifice de formare și conștientizare a personalului propriu în legătură cu rolurile specifice în domeniul protecției datelor.

3.8 Angajații / Colaboratorii BNET sunt responsabili pentru a se asigura că datele personale pe care le-au furnizat operatorului sunt corecte și actualizate.

4. Principii legate de prelucrarea datelor cu caracter personal
Prelucrarea datelor cu caracter personal trebuie să se desfășoare în conformitate cu principiile de protecție a datelor, prevăzute la articolul 5 din GDPR. Politica și procedurile BNET sunt concepute astfel încât să asigure respectarea principiilor.

4.1 Datele personale trebuie prelucrate în mod legal, echitabil şi transparent.
Legal – se identifică o bază legală înainte de a se permite prelucrarea datele personale. Aceasta/acestea reprezintă condiția/condițiile de procesare( de exemplu consimțământul scris al persoanei vizate).
Echitabil - pentru ca prelucrarea să fie echitabilă, operatorul de date trebuie să pună la dispoziția persoanelor vizate anumite informații cât mai practic posibil. Aceasta se aplică dacă datele cu caracter personal au fost obținute direct de la persoanele vizate sau din alte surse.
"Transparență" – operatorul va pune accentul pe faptul că notificările privind confidențialitatea sunt înțelese și accesibile. Informațiile trebuie comunicate persoanei vizate într-o formă inteligibilă, folosind un limbaj clar și simplu/accesibil.
Informațiile specifice care trebuie furnizate persoanei vizate trebuie să includă cel puțin:

4.1.1 identitatea și datele de contact ale operatorului și, dacă este cazul, ale reprezentantului operatorului;
4.1.2 datele de contact ale responsabilului cu protecția datelor;
4.1.3 scopul prelucrării pentru care sunt destinate datele cu caracter personal, precum și temeiul juridic al prelucrării;
4.1.4 perioada pentru care vor fi stocate datele cu caracter personal;
4.1.5 existența drepturilor de a solicita accesul, rectificarea, ștergerea sau opoziția față de prelucrare și condițiile (sau lipsa) de exercitare a acestor drepturi, cum ar fi afectarea legalității prelucrării anterioare;
4.1.6 categoriile de date cu caracter personal vizate;
4.1.7 destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
4.1.8 dacă este cazul, că operatorul intenționează să transfere date cu caracter personal unui destinatar dintr-o țară terță și nivelul de protecție acordat datelor;
4.1.9 orice informații suplimentare necesare pentru a garanta o prelucrare corectă.

4.2 Datele personale pot fi colectate doar în scopuri specifice, explicite și legitime
Datele obținute în scopurile specificate nu trebuie utilizate într-un scop care diferă de cele care au fost notificate în mod oficial autorității de supraveghere ca parte a registrului de prelucrare ale operatorului.

4.3 Datele personale trebuie să fie adecvate, relevante și limitate la ceea ce este necesar pentru procesare.

4.3.1 Responsabilul pentru Protecția Datelor se asigură că operatorul nu colectează informații care nu sunt strict necesare pentru scopul pentru care sunt obținute.
4.3.2 În toate formularele de colectare a datelor (electronice sau pe suport de hârtie), inclusiv cererile de colectare a datelor în noile sisteme informatice, trebuie să fie inclusă o declarație de procesare echitabilă sau un link către politica de confidențialitate care să fie aprobată de către responsabilul cu protecția datelor.

4.3.3 Responsabilul cu protecția datelor se va asigura că, anual, toate metodele de colectare a datelor sunt revizuite de către auditul intern pentru a se asigura că datele colectate sunt în continuare adecvate, relevante și limitate.

4.4 Datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere ("exactitate").

4.4.1 Datele care sunt stocate de către operator trebuie revizuite și actualizate, după caz.

4.4.2 Responsabilul cu protecția datelor are responsabilitatea de a se asigura că întreg personalul este instruit cu privire la importanța colectării și menținerii datelor exacte.

4.4.3 De asemenea, este responsabilitatea persoanei vizate să se asigure că datele deținute de operator sunt exacte și actualizate. Completarea unui formular de înregistrare sau o cerere de către o persoana vizată va include o declarație conform căreia datele conținute în aceasta sunt corecte la data depunerii.

4.4.4 Angajații/pacienții/alții ar trebui să fie obligați să notifice operatorul, pentru a permite actualizarea în mod corespunzător a evidențelor personale. Este responsabilitatea operatorului să se asigure că orice notificare privind modificările este înregistrată și operată.
4.4.5 Responsabilul pentru Protecția Datelor este responsabil de asigurarea aplicării procedurilor și politicilor adecvate pentru păstrarea datelor cu caracter personal corecte și actualizate, ținând cont de volumul de date colectate, de viteza cu care s-ar putea modifica și de orice alți factori relevanți.
4.4.6 Cel puțin o dată pe an, responsabilul cu protecția datelor va examina datele păstrate a tuturor persoanelor vizate, prelucrate de BNET în inventarul de date și va identifica orice date care nu mai sunt necesare în contextul scopului înregistrat. Aceste date vor fi șterse / distruse în siguranță, în conformitate cu procedura de ștergere/ distrugere în siguranță a suporturilor de stocare.
4.4.7 Responsabilul pentru Protecția Datelor este responsabil de a răspunde solicitărilor de rectificare de la persoanele vizate în termen de o lună (Procedura de Solicitare a Accesului persoanei vizate). Aceasta poate fi extinsă la încă două luni pentru solicitări complexe. Dacă BNET decide să nu se conformeze cererii, responsabilul cu protecția datelor trebuie să răspundă persoanei vizate pentru a-și explica raționamentul și să o informeze cu privire la dreptul lor de a depune o plângere autorității de supraveghere și de a solicita căi de atac.
4.4.8 Responsabilul cu Protecția Datelor este responsabil de luarea măsurilor adecvate care, în cazul în care organizațiile terțe părți ar fi primit date cu caracter personal inexacte sau neactualizate, să le informeze că acestea sunt inexacte și/sau expirate și nu trebuie să fie utilizate; Responsabilul cu Protecția Datelor este responsabil și pentru transmiterea oricărei corecții a datelor cu caracter personal părții terțe în cazul în care acest lucru este necesar.
4.5 Datele cu caracter personal trebuie păstrate într-o formă care să permită identificarea persoanei vizate doar atâta timp cât este necesar pentru prelucrare.
4.5.1 În cazul în care datele cu caracter personal sunt păstrate peste data prelucrării, acestea vor fi minimizate / criptate / pseudonimizate pentru a proteja identitatea persoanei vizate în cazul unei încălcări a datelor.
4.5.2 Datele cu caracter personal vor fi păstrate în conformitate cu procedura de păstrare a înregistrărilor și în situația în care durata păstrării a fost depășită, aceste date trebuie să fie distruse în siguranță.
4.5.3 Responsabilul cu protecția datelor trebuie să aprobe în mod specific orice păstrare a datelor care depășește perioadele de păstrare definite în Procedura de păstrare a înregistrărilor și trebuie să se asigure că justificarea este făcută în mod clar și în conformitate cu cerințele legale privind protecția datelor. Această aprobare se va face in scris.
4.6 Datele personale trebuie prelucrate într-o manieră care să asigure securitatea corespunzătoare.
Responsabilul cu protecția datelor va efectua o evaluare a riscurilor, luând în considerare toate circumstanțele operațiunilor de procesare efectuate de operator. La determinarea caracterului siguranței prelucrării, responsabilul cu protecția datelor trebuie să ia în considerare amploarea eventualelor daune sau pierderi care ar putea fi cauzate persoanelor vizate în cazul unei breșe de securitate.

La evaluarea măsurilor tehnice adecvate, responsabilul cu protecția datelor va lua în considerare cel puțin următoarele:

  • Protecția prin parolă;
  • Blocarea automată a terminalelor (calculator/laptop etc) când nu sunt folosite (idle state);
  • Eliminarea drepturilor de acces pentru USB și alte suporturi de memorie;
  • Software de verificare a virușilor și firewall-uri;
  • Drepturile de acces în funcție de roluri, inclusiv cele atribuite personalului temporar;
  • Criptarea dispozitivelor care părăsesc sediul BNET, cum ar fi laptopurile;
  • Securitatea rețelelor locale si WAN;
  • Tehnologii de îmbunătățire a confidențialității, cum ar fi pseudonimizarea și anonimizarea;
  • Identificarea standardelor internaționale de securitate relevante pentru operator.

La evaluarea măsurilor organizatorice adecvate, responsabilul cu protecția datelor va lua în considerare și următoarele:

  • Nivelurile potrivite de instruire în cadrul unității. ;
  • Includerea măsurilor privind protecția datelor în contractele de muncă;
  • Identificarea măsurilor de acțiune disciplinară pentru încălcarea datelor;
  • Monitorizarea personalului pentru respectarea standardelor de securitate relevante;
  • Controlul accesului fizic la înregistrările electronice și pe hârtie;
  • Stocarea datelor pe suport de hârtie în dulapuri securizate;
  • Restricționarea utilizării dispozitivelor electronice portabile în afara locului de muncă;
  • Restricționarea folosirii dispozitivelor personale ale angajatului la locul de muncă;
  • Adoptarea unor reguli clare despre parole;
  • Realizarea de copii de rezervă periodică a datelor personale;
  • Impunerea obligațiilor contractuale asupra organizațiilor importatoare de a lua măsuri de securitate corespunzătoare atunci când transferă date în afara SEE.

Ar trebui să se acorde atenție riscurilor pe care le prezintă prelucrarea datelor, care pot duce la prejudicii aduse persoanelor fizice ale căror date sunt prelucrate.

4.7 Responsabilitatea în administrarea/guvernanța activității de prelucrare a datelor cu caracter personal.
GDPR include prevederi care promovează responsabilitatea și administrarea/guvernanța activității de prelucrare a datelor cu caracter personal. Acestea completează cerințele de transparență ale GDPR și se demonstrează prin implementarea politicilor de protecție a datelor, punerea în aplicare a măsurilor tehnice și organizatorice, precum și adoptarea unor tehnici precum protecția datelor începând cu momentul conceperii (by design), efectuarea de evaluări de impact privind protecția datelor, procedurile de notificare a încălcărilor și planurile de răspuns la incidente.

5. Drepturile persoanelor vizate
5.1 Persoanele vizate au următoarele drepturi în ceea ce privește prelucrarea datelor și înregistrările acestor date:
5.1.1 Să solicite acces cu privire la informațiile deținute și referitoare la cei cărora le-au fost dezvăluite.
5.1.2 Să se opună prelucrării care ar putea provoca daune sau prejudicii.
5.1.3 Să se opună prelucrării în scopul marketingului direct.
5.1.4 Să fie informați cu privire la procesul decizional individual automatizat, inclusiv crearea de profiluri.
5.1.5 Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.
5.1.6 Să solicite despăgubiri în cazul în care suferă daune prin orice încălcare a GDPR.
5.1.7 Să ia măsuri pentru rectificarea, blocarea, ștergerea, inclusiv dreptul de a fi uitat sau distrugerea datelor inexacte.
5.1.8 Să solicite autorității de supraveghere să evalueze dacă o prevedere a GDPR a fost încălcată.
5.1.9 Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal.
5.1.10 Persoana vizată are dreptul de a se opune creării de profile fără existența unui consimțământ.
5.2 Bittnet Systems S.A. asigură persoanele vizate că își pot exercita aceste drepturi:
5.2.1 Persoanele vizate pot face cereri de acces la date, conform Procedurii de solicitare a accesului persoanei vizate; această procedură descrie, de asemenea, modul în care BNET se va asigura că răspunsul său la solicitarea de acces la date respectă cerințele GDPR.
5.2.2 Persoanele vizate au dreptul să depună o plângere către BNET în legătură cu prelucrarea datelor lor personale, solicitările din partea persoanelor vizate și modul în care au fost soluționate plângerile se vor face în conformitate cu procedura privind reclamațiile.

6. Consimțământul
6.1 Operatorul înțelege prin consimțământ al persoanei vizate privind prelucrarea datelor cu caracter personal orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă prelucrarea, printr-o declarație sau printr-o acțiune fără echivoc. Persoana vizată își poate retrage consimțământul în orice moment.
6.2 Operatorul înțelege prin acordarea consimțământului, că persoana vizată a fost pe deplin informată cu privire la prelucrarea datelor personale, aceasta se afla într-o stare de spirit adecvată pentru a face acest lucru și a fost obținut fără a se exercita presiuni asupra ei. Consimțământul obținut sub presiune sau pe baza unor informații înșelătoare nu va constitui o bază valabilă pentru procesare.
6.3 Trebuie să existe o comunicare activă între părți pentru a demonstra consimțământul activ. Consimțământul nu poate fi dedus din lipsă de răspuns la o comunicare. Operatorul trebuie să poată demonstra obținerea consimțământului pentru operațiunea de procesare.
6.4 Pentru datele sensibile, trebuie obținut un acord scris explicit a persoanelor vizate, cu excepția cazului în care există o bază legală de procesare alternativă.
6.5 În majoritatea cazurilor, consimțământul de prelucrare a datelor personale și sensibile este obținut în mod obișnuit de operator utilizând declarațiile de consimțământ standard.

7. Securitatea datelor
7.1 Toți angajații / personalul sunt responsabili pentru a asigura că toate datele personale pe care operatorul le deține și pentru care este responsabil, sunt păstrate în siguranță și nu sunt divulgate în niciun fel unei terțe părți decât dacă acea terță parte a fost autorizată în mod specific să primească aceste informații și a încheiat un acord de confidențialitate.
7.2 Toate datele personale trebuie să fie accesibile numai celor care au nevoie să le folosească și accesul poate fi acordat numai în conformitate cu Politica de control al accesului. Toate datele cu caracter personal trebuie procesate și păstrate în siguranță.
7.3 Trebuie avută grijă ca ecranele și terminalele PC să nu fie vizibile decât angajaților/ personalului autorizat al operatorului. Toți angajații/personalul sunt obligați să încheie un acord de utilizare acceptabilă înainte de a li se permite accesul la informațiile organizaționale de orice fel, care detaliază normele privind timpul în care ecranul intră în modul ”inactiv (”idle”,”lock”).
7.4 Înregistrările în format fizic nu pot fi lăsate acolo unde pot fi accesate de personal neautorizat și nu pot fi înlăturate din sediu fără autorizație explicită (scrisă). Imediat ce înregistrările în format fizic nu mai sunt necesare pentru clienții de zi cu zi, acestea trebuie să fie distruse în siguranță, în conformitate cu o anumită procedură.
7.5 Datele personale pot fi șterse sau eliminate numai în conformitate cu procedura de păstrare a înregistrărilor. Înregistrările în format fizic care au ajuns la scadență, trebuie să fie mărunțite și aruncate ca "deșeuri confidențiale".
7.6 Prelucrarea datelor cu caracter personal "în afara sediului" prezintă un risc potențial mai mare decât pierderea, furtul sau deteriorarea datelor cu caracter personal. Personalul trebuie să fie autorizat în mod specific să proceseze datele în afara sediului.

8. Divulgarea datelor
8.1 Operatorul trebuie să se asigure că datele cu caracter personal nu sunt divulgate terților neautorizați, care includ membri ai familiei, prieteni, organisme guvernamentale și, în anumite circumstanțe, Poliția. Toți angajații/ personalul trebuie să fie atenți atunci când sunt rugați să dezvăluie datele personale deținute de o altă persoană unei terțe părți și vor fi obligați să participe la o formare specifică care să le permită să gestioneze eficient astfel de riscuri. Este important să se țină seama de faptul conform căruia divulgarea informațiilor este sau nu relevantă pentru desfășurarea activității operatorului.
8.2 GDPR permite anumite dezvăluiri fără consimțământ atâta timp cât informațiile sunt solicitate pentru unul sau mai multe din următoarele scopuri:
8.2.1 - protejarea securității naționale;
8.2.2 - prevenirea sau depistarea infracțiunilor, inclusiv reținerea sau urmărirea penală a infractorilor;
8.2.3 - îndeplinirea funcțiilor de reglementare (include sănătatea, siguranța și bunăstarea persoanelor la locul de
muncă);
8.2.4 - pentru a preveni vătămarea gravă a unui terț;
8.2.5 - pentru a proteja interesele vitale ale individului, aceasta se referă la situațiile ”de viață și de moarte”.
8.3 Toate solicitările de furnizare a datelor pentru unul dintre aceste motive trebuie să fie susținute de o documentație
adecvată, iar toate aceste dezvăluiri trebuie să fie autorizate în mod specific de către Responsabilul pentru Protecția Datelor.

9. Păstrarea și eliminarea datelor
9.1 Operatorul nu va păstra datele cu caracter personal într-o formă care să permită identificarea persoanelor vizate pentru o perioadă mai lungă decât este necesar, în raport cu scopul (scopurile) pentru care datele au fost colectate inițial.
9.2 Operatorul poate stoca date pentru perioade mai lungi în cazul în care datele cu caracter personal vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri științifice sau istorice de cercetare sau în scopuri statistice, sub rezerva punerii în aplicare a măsurilor tehnice și organizatorice adecvate pentru protejarea drepturilor și libertăților persoanei vizate.
9.3 Perioada de păstrare pentru fiecare categorie de date cu caracter personal va fi stabilită în Procedura de păstrare a înregistrărilor împreună cu criteriile utilizate pentru stabilirea acestei perioade, inclusiv obligațiile legale ale operatorului care trebuie să păstreze datele.
9.4 Procedurile de păstrare a datelor și procedurile de ștergere a datelor se vor aplica în toate cazurile și pentru toate tipurile de persoane vizate.
9.5 Datele cu caracter personal trebuie să fie eliminate în siguranță, în conformitate cu al șaselea principiu al GDPR - prelucrate într-un mod adecvat pentru a menține securitatea, protejând astfel "drepturile și libertățile" persoanelor vizate. Orice eliminare a datelor se va face în conformitate cu procedura de ștergere.

10. Transferuri de date
10.1 Toate transferurile de date din Spațiul Economic European (SEE) către țările din Spațiul Economic Noneuropean (menționate în GDPR ca "țări terțe") sunt ilegale, cu excepția cazului în care există un "nivel adecvat de protecție a drepturilor fundamentale ale persoanele vizate ". Transferul de date cu caracter personal în afara SEE este interzis, cu excepția cazului în care se aplică una sau mai multe garanții sau excepții specificate:
10.1.1 Decizie de adecvare
Transferul de date cu caracter personal către o țară terță sau o organizație internațională se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori unul sau mai multe sectoare specificate din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită autorizări speciale. Țările care sunt membre ale Spațiului Economic European (SEE), dar nu și ale UE sunt acceptate ca îndeplinind condițiile unei decizii de adecvare.
O listă a țărilor care îndeplinesc în prezent cerințele de adecvare ale Comisiei este publicată în Jurnalul Oficial al Uniunii Europene: http://ec.europa.eu/justice/dataprotection/international-transfers/adequacy/index_en.htm
10.1.2 Privacy Shield
Dacă BNET dorește să transfere date personale din UE unei organizații din Statele Unite, ar trebui să verifice dacă organizația este înscrisă în cadrul Privacy Shield la Departamentul de Comerț din S.U.A. Obligația aplicabilă societăților înscrise in Privacy Shield este inclusă în Principiile privind confidențialitatea datelor. Departamentul de Comerț din S.U.A este responsabil pentru gestionarea și administrarea Privacy Shield și pentru asigurarea faptului că organizațiile își respectă angajamentele. Pentru a se putea certifica, companiile trebuie să aibă o politică de confidențialitate în conformitate cu principiile de confidențialitate, de ex. utilizare, stocare și transfer de date personale în conformitate cu un set puternic de reguli și garanții de protecție a datelor. Protecția datelor cu caracter personal se aplică indiferent dacă datele cu caracter personal au legătură cu un rezident al UE sau nu. Organizațiile trebuie să-și reînnoiască "statutul de membru" in cadrul Privacy Shield în fiecare an. Dacă nu, ele nu mai pot primi și utiliza datele cu caracter personal din UE.
Evaluarea adecvării de către operatorul de date
La evaluarea adecvării, operatorul care transfera date din UK ar trebui să țină seama de următorii
factori:
natura informațiilor transferate;
țara sau teritoriul de origine și destinația finală a informațiilor;
modul în care informațiile vor fi utilizate și pentru cât timp;
legile și practicile țării cesionarului, inclusiv practicile în materie de protecţie a datelor cu
caracter personal relevante și obligațiile internaționale; și
măsurile de securitate care trebuie luate în ceea ce privește datele din locația externa (valabil doar pentru UK)
10.1.3 Reguli corporatiste obligatorii
BNET poate adopta reguli corporatiste obligatorii aprobate pentru transferul de date în afara UE. Acest lucru necesită prezentarea către autoritatea de supraveghere competentă spre aprobare a regulilor pe care încearcă să se bazeze BNET.
10.1.4 Clauze de contract standard
BNET poate adopta clauze contractuale standard aprobate pentru transferul de date în afara SEE. Dacă BNET adoptă clauzele contract standard aprobat de autoritatea de supraveghere competentă, atunci există o recunoaștere automată a gradului de adecvare.
10.1.5 Excepţii
În lipsa unei decizii de adecvare, transferul datelor cu caracter personal într-o țară terță sau într-o organizație internațională are loc numai în următoarele condiții:

  • persoana vizată și-a dat acordul în mod explicit cu privire la transferul propus, după ce a fost informat cu privire la riscurile posibile ale unor astfel de transferuri pentru persoana vizată, din cauza lipsei unei decizii de adecvare și a garanțiilor adecvate;
  • transferul este necesar pentru executarea unui contract între persoana vizată și operator sau implementarea măsurilor precontractuale luate la cererea persoanei vizate;
  • transferul este necesar pentru încheierea sau executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică;
  • transferul este necesar din motive importante de interes publicț
  • transferul este necesar pentru stabilirea, exercitarea sau apărarea revendicărilor legale;
  • transferul este necesar pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane, în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul.

11. Sistem de evidență a activităților de prelucrare si cartografierea datelor
11.1 Operatorul are obligația să elaboreze un Sistem de evidență a activităților de prelucrare și CARTOGRAFIERE A DATELOR, ca parte a strategiei sale de abordare a riscurilor și a oportunităților în cadrul proiectului său de conformitate cu GDPR. Sistemul de evidență al activităților de prelucrare și cartografierea datelor se referă la procesele care utilizează date cu caracter personal:

  • sursa datelor personale
  • volumul de date corespunzătoare persoanelor vizate;
  • descrierea fiecărui element de date cu caracter personal;
  • activitățile de prelucrare;
  • menținerea inventarului de categorii de date prelucrate;
  • documentarea scopului (scopurilor) pentru care se utilizează fiecare categorie de date cu caracter personal;
  • destinatarii și potențialii beneficiari ai datelor cu caracter personal;
  • rolul operatorului pe întregul flux de date;
  • sisteme de stocare;
  • orice transfer de date;
  • toate cerințele privind păstrarea și ștergerea datelor cu caracter personal.

11.2 Operatorul este conștient de orice riscuri asociate procesării anumitor tipuri de date cu caracter personal.
11.2.1 Operatorul evaluează nivelul riscului pentru procesarea datelor cu caracter personal ale persoanelor vizate. Evaluările impactului privind protecția datelor (DPIA) se efectuează ținând seama de diversitatea datelor prelucrate, a categoriilor de risc intern și a celui privind transferul către terți și/sau prelucrarea de către persoane împuternicite.
11.2.2 Operatorul trebuie să gestioneze orice riscuri identificate de evaluarea riscurilor pentru a reduce probabilitatea neconformității cu această politică.
11.2.3 Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului de prelucrare prevăzute asupra protecției datelor cu caracter personal. O evaluare unică poate aborda un set de operațiuni de prelucrare similare care prezintă riscuri ridicate similare.
11.2.4 În cazul în care, rezultatul DPIA relevă faptul că operatorul este pe cale să înceapă o prelucrare a datelor cu caracter personal care ar putea cauza daune și/sau prejudicii persoanelor vizate, decizia de a începe procesarea revine responsabilului cu protecția datelor.
11.2.5 Responsabilul cu protecția datelor trebuie să anunțe această situație autorității de supraveghere, în cazul în care există motive de îngrijorare semnificative, fie în legătură cu daune și / sau prejudicii, fie cu integritatea datelor.
11.2.6 Alegerea de Standarde de securitate adecvate și aplicarea lor pentru a reduce nivelul de risc asociat procesării datelor individuale la un nivel acceptabil.

12. Aprobarea procedurii
Acest document a fost aprobat de către Responsabilul cu Protecția Datelor, acesta având sarcina ca prezenta procedură să fie revizuită în conformitate cu cerințele revizuite ale Regulamentului General de Prelucrare a Datelor (EU GDPR).
O ediție actualizată a acestei proceduri este disponibilă pe site-ul operatorului la adresa https://ctrln.ro.digital/.

Această politică a fost aprobată de către managerul BNET, la data 25.05.2020.
General Manager,
Mihai LOGOFATU


logo
Copyright @CTRL+N by Bittnet, GDPR