Vă rugăm sa citiţi cu atenţie informaţiile care urmează:

                                                                                                                        Ed 1/ 01.06.2021

1.  DESPRE ACEASTA POLITICA

SC ATM CONSTRUCT SRL este obligată, ca parte a responsabilității sale sociale, să respecte legea internațională privind protecția datelor, Regulamentului (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date  și de abrogare a Directivei 95/46/CE. Această politică se bazează pe legislația europeană actuală valabilă și directivele romanesti privind protecția datelor. Protejarea protecției datelor este o bază pentru relațiile de încredere – atât la nivel de angajați, cât și pentru relațiile cu partenerii de afaceri.

Această directivă conține o prezentare a celor mai relevante reglementări privind protecția datelor care trebuie respectate de către conducere și angajați în cadrul ATM CONSTRUCT. Procedura de protecție a datelor ATM CONSTRUCT este de asemenea disponibilă pentru toți angajații pentru informații și explicații cu privire la subiectul protecției datelor.

2.                  TERMENI SI DEFINITII

Reglementările aplicabile pentru legislația privind protecția datelor (în continuare pe scurt: Legea privind protecția datelor) folosesc propria lor terminologie. Acest lucru permite explicații scurte în text și îmbunătățește lizibilitatea.

În această politica de protecție a datelor, folosim următorii termeni:

Date personale – orice informație referitoare la o persoană fizică identificată sau identificabilă („persoana vizată”). Persoana fizică identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire la un identificator, cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau unul sau mai mulți factori specifici fizic, genetic, mental, economic, cultural sau social al acelei persoane fizice.

Legea privind protecția datelor se referă la utilizarea „datelor cu caracter personal”, adica toate informațiile despre o persoană fizică a cărei identitate este specificată sau poate fi determinată. Astfel de informații pot fi numele, data nașterii, adresa, numărul de telefon, adresa IP etc. Detalii despre comportamentul general al unei persoane sau obiceiurile acesteia (de exemplu, judecăți de valoare), precum și fotografiile și imaginile înregistrate de o cameră de supraveghere sunt, de asemenea, date cu caracter personal.

Prin urmare, ori de câte ori o informație poate fi atribuită unei persoane fizice, trebuie asumată aplicarea legii privind protecția datelor.

  • Persoana vizata –fiecare persoană fizică ale carei date sunt prelucrate.

ü  Procesarea datelor – Prelucrarea datelor cu caracter personal semnifică orice procedură, cu sau fără ajutorul proceselor automatizate, pentru colectarea, stocarea, organizarea, modificarea, solicitarea, utilizarea, transmiterea, răspândirea sau combinarea și potrivirea datelor. Aceasta include, de asemenea, eliminarea, ștergerea și blocarea datelor și a operatorilor de date.

  • Prelucrarea – procesarea, prelucrarea, stocarea, adaptarea sau modificarea, recuperarea, consultarea, utilizarea, prelucrarea, dezvăluirea prin transmitere, diseminare sau punerea la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.
  • Restricționarea prelucrării – restricționarea procesării este marcarea datelor cu caracter personal stocate în scopul limitării procesării acestora în viitor.
  • Profilarea – profilare înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale legate de o persoană fizică, în special pentru a analiza sau prezice aspectele performanței persoanei fizice la locul de muncă, situația economică, sănătatea, preferințele personale, interese, fiabilitate, comportament, locație sau mișcări.
  • Pseudonimie – prelucrarea datelor cu caracter personal astfel încât datele personale nu mai pot fi atribuite unui anumit subiect de date fără utilizarea unor informații suplimentare, cu condiția ca astfel de informații suplimentare să fie păstrate separat și să facă obiectul măsurilor tehnice și organizatorice pentru a se asigura că datele personale nu sunt atribuite unei persoane fizice identificate sau identificabile.
  • Controlor sau responsabil pentru prelucrare – persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau în comun cu alții, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; în cazul în care scopul și mijloacele unei astfel de prelucrări sunt determinate de legislația Uniunii sau a statului membru, operatorul sau criteriile specifice de numire a acestuia pot fi furnizate de legislația Uniunii sau de statul membru.
  • Procesor – persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism care prelucrează date cu caracter personal în numele operatorului.
  • Destinatar – Beneficiarul, persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism, căruia i se dezvăluie datele cu caracter personal, indiferent dacă este vorba despre un terț sau nu. Cu toate acestea, autoritățile publice care pot primi date cu caracter personal în cadrul unei anchete anume în conformitate cu legislația Uniunii sau a statelor membre nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective trebuie să fie în conformitate cu normele aplicabile privind protecția datelor în conformitate cu scopurile procesării.
  • Terț – persoană fizică sau juridică, o autoritate publică, o agenție sau un organism altul decât persoana vizată, controlor, procesator și persoane care, sub directa autoritate a operatorului sau a prelucrătorului, sunt autorizate să proceseze date cu caracter personal.
  • Consimțământ – orice indicație specifică, informată și lipsită de ambiguitate a dorințelor persoanei vizate prin care acesta, printr-o declarație sau printr-o acțiune clară afirmativă, acceptă prelucrarea datelor cu caracter personal care îi privesc.

Consimtamantul este declaratie scrisa in limbaj clar si simplu. Persoana vizata este informata ca are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia.

Daca sunt prelucrate si date personale ale minorilor persoanelor vizate, este necesar consimtamant al minorilor peste 16 ani; in cazul celorlalti, tutorele este cel care acorda consimtamant.

  • Cookie –fișiere text care sunt stocate într-un sistem informatic prin intermediul unui browser de Internet.

Multe site-uri Internet și servere utilizează cookie-uri. Multe module cookie conțin un ID cookie. Un ID cookie este un identificator unic al cookie-ului. Se compune dintr-un șir de caractere prin care paginile și serverele Internet pot fi atribuite browserului de Internet în care a fost stocat cookie-ul. Aceasta permite site-urilor Internet și serverelor vizitate să diferențieze browserul individual al persoanei vizate de alte browsere de Internet care conțin alte cookie-uri. Un anumit browser de Internet poate fi recunoscut și identificat utilizând unicul ID cookie.

Prin utilizarea cookie-urilor, putem oferi utilizatorilor acestui site mai multe servicii ușor de utilizat, care nu ar fi posibile fără setarea prealabila.

Prin intermediul unui cookie, informațiile și ofertele de pe site-ul nostru pot fi optimizate în funcție de utilizator. Cookie-urile ne permit, după cum am menționat anterior, să recunoaștem utilizatorii site-ului nostru web. Scopul acestei recunoașteri este de a ușura utilizarea de către utilizatori a site-ului nostru web. Utilizatorul site-ului web care utilizează module cookie, de ex. nu trebuie să introducă date de acces de fiecare dată când site-ul este accesat, deoarece acesta este preluat de site-ul web, iar cookie-ul este astfel stocat în sistemul informatic al utilizatorului.

ü  Incident de protecție a datelor – un eveniment în care există o suspiciune justificată că datele cu caracter personal au fost descoperite, colectate, modificate, copiate, transmise sau utilizate ilegal. Acest lucru se poate referi la acțiuni efectuate atât de terți, cât și de angajați.

3.  PRINCIPII PENTRU PRELUCRAREA DATELOR PERSONALE

ü  Corectitudine și legalitate

Datele cu caracter personal trebuie colectate și prelucrate în mod legal.

ü  Scop

Prelucrarea datelor cu caracter personal poate urmări doar scopurile pentru care a fost stabilită colectarea datelor. Modificările retrospective ale scopurilor sunt posibile numai în limite și necesită justificare.

ü  Transparenţă

Persoana vizata trebuie să fie informată cu privire la manipularea datelor sale. În principiu, datele personale trebuie colectate chiar de la Persoana vizata. La colectarea datelor, Persoana vizata trebuie să fie cel puțin conștientă de următoarele sau să fie informată în consecință cu privire la:

  • identitatea autorității responsabile
    • scopul prelucrării datelor
    • perioadele de depozitare specificate
    • terți sau categorii de terți cărora le sunt transmise datele

Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cereri fără întârzieri nejustificate și în orice caz în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ținându-se seama de complexitatea și numărul cererilor. Operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând și motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic acolo unde este posibil, cu excepția cazului în care persoana vizată solicită un alt format.

Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana vizată, fără întârziere și în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri și la posibilitatea de a depune o plângere în fața unei autorități de supraveghere și de a introduce o cale de atac judiciară.

În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate:

(a)    fie să perceapă o taxă rezonabilă ținând cont de costurile administrative pentru furnizarea informațiilor sau a comunicării sau pentru luarea măsurilor solicitate;

(b)    fie să refuze să dea curs cererii.

În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii. Operatorul poate solicita furnizarea de informații suplimentare necesare pentru a confirma identitatea persoanei vizate.

Informațiile care urmează să fie furnizate persoanelor vizate pot fi furnizate în combinație cu pictograme standardizate pentru a oferi într-un mod ușor vizibil, inteligibil și clar lizibil o imagine de ansamblu semnificativă asupra prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea trebuie să poată fi citite automat.

ü  Evitarea datelor și economia datelor

Înainte de prelucrarea datelor cu caracter personal, trebuie verificat dacă și în ce măsură este necesar pentru a atinge scopul asociat prelucrării. Dacă este posibil pentru atingerea scopului și măsura este în raport adecvat cu scopul intenționat, ar trebui utilizate date anonimizate sau statistice. Datele cu caracter personal nu pot fi stocate în scopuri viitoare, cu excepția cazului în care acestea sunt prescrise sau permise de legislația națională.

ü  Ștergerea și limitarea stocării

Datele cu caracter personal care nu mai sunt necesare după expirarea perioadelor legale de stocare trebuie șterse. Dacă, în cazuri individuale, există motive pentru interese în aceste date demne de protecție, datele trebuie să rămână stocate până când interesul demn de protecție este clarificat legal.

ü  Acuratețea procesului de protectie date

Datele personale stocate trebuie să fie corecte, complete și – în măsura în care este necesar – actualizate. Trebuie luate măsuri adecvate pentru a se asigura că datele irelevante, incomplete sau învechite sunt șterse, corectate, completate sau actualizate.

ü  Confidențialitate și securitate a datelor

Confidențialitatea se aplică datelor cu caracter personal. Acestea trebuie tratate în mod confidențial și protejate prin măsuri organizatorice și tehnice adecvate împotriva accesului neautorizat, prelucrării sau transmiterii ilegale, precum și pierderii, modificării sau distrugerii accidentale.

4.  ADMISIBILITATEA PRELUCRĂRII DATELOR / CIRCUMSTANȚELOR DE ADMISIE

Colectarea, prelucrarea și utilizarea datelor cu caracter personal sunt permise numai dacă este dată una dintre circumstanțele de autorizare mentionate mai jos.

ü  Prelucrarea datelor pentru o relație contractuală

Datele personale ale clientului, furnizorului sau altui partener de afaceri pot fi prelucrate în scopul, executarea și îndeplinirea unui contract. În așa-numita fază de inițiere a contractului (elaborarea unei oferte, contactul cu părțile interesate folosind datele furnizate de acestea), este permisă și prelucrarea datelor cu caracter personal.

ü  Acord privind prelucrarea datelor

Prelucrarea datelor poate avea loc după acordul persoanei afectate. Înainte de a consimți, Persoana vizata trebuie să fie informată cu privire la reglementări. Declarația de consimțământ trebuie prezentată în scris sau electronic, din motive de probă. În anumite circumstanțe, de exemplu, o consultație telefonică, acordul poate fi furnizat și în formă vorbită. Emiterea trebuie documentată.

NOTĂ! Un acord poate fi retras oricând de către persoana ce face obiectului unei prelucrari de date cu caracter personal

ü  Prelucrarea datelor pe baza permisiunii legale

Prelucrarea datelor cu caracter personal este, de asemenea, permisă dacă reglementările legale naționale impun, presupun sau permit prelucrarea datelor. Tipul și amploarea prelucrării datelor trebuie să fie necesare pentru prelucrarea legală a datelor și să fie orientate către aceste reglementări.

ü  Prelucrarea datelor bazată pe un interes justificat

Prelucrarea datelor cu caracter personal poate avea loc, de asemenea, dacă este necesară pentru realizarea unui interes justificat al companiei. Prelucrarea datelor cu caracter personal pe baza unui interes justificat nu poate avea loc dacă, într-un caz individual, există motive pentru interesele persoanei afectate demne de protecție care depășesc interesul pentru prelucrare. Interesele demne de protecție trebuie verificate și documentate pentru fiecare procesare.

ü  Prelucrarea datelor din categoria specială de date cu caracter personal

Prelucrarea acestor date cu caracter personal, în special demnă de protecție, poate avea loc numai dacă acest lucru este cerut din punct de vedere legal sau dacă Persoana vizata a fost de acord în mod explicit. Prelucrarea acestor date este permisă și în cazul în care este absolut necesar să se formuleze, să se exercite sau să se apere pretenții legale față de Persoana vizata.

ü  Decizii individuale automatizate

Prelucrarea automatizată a datelor cu caracter personal, prin care sunt evaluate trăsăturile personale individuale nu poate fi baza exclusivă pentru deciziile cu consecințe juridice negative sau compromisuri semnificative pentru Persoana vizata. Persoana vizata trebuie să fie informată cu privire la fapt și la rezultatul unei decizii individuale automatizate și să i se ofere posibilitatea de a face o declarație. Pentru a evita deciziile incorecte, trebuie asigurat un control și o verificare a plauzibilității de către un angajat.

ü  Date utilizator și Internet

Dacă datele personale sunt colectate, prelucrate și utilizate pe site-uri web, cei afectați sunt informați cu privire la acest lucru în declarațiile de protecție a datelor și în notificările privind cookie-urile, dacă este cazul. Protecția datelor și, dacă este cazul, notificările cookie-urilor sunt integrate astfel încât să fie ușor de recunoscut, accesibile și disponibile în permanență pentru Persoana vizata.

Dacă profilurile de utilizare (urmărire) sunt compilate pentru a evalua comportamentul de utilizare al site-urilor și al aplicațiilor, persoanele afectate sunt informate în declarațiile privind protecția datelor. Dacă urmărirea se face sub pseudonim, Persoana vizata trebuie să aibă posibilitatea de a obiecta (renunța) la declarațiile privind protecția datelor.

ü  Prelucrarea datelor pentru relația de muncă

Pentru relația de muncă, pot fi prelucrate datele personale care sunt necesare pentru incheierea, executarea și rezilierea contractului de muncă.

În timpul inițierii unei relații de muncă, datele personale ale solicitanților pot fi prelucrate. In cazul unei respingeri a candidatului, datele solicitantului trebuie șterse, având în vedere perioadele de probă legală, cu excepția cazului în care solicitantul a consimțit la stocarea suplimentară pentru un proces ulterior de selecție.

În relația de muncă existentă, prelucrarea datelor trebuie să se refere întotdeauna la scopul contractului de muncă, în măsura în care nu se aplică una dintre următoarele condiții de autorizare pentru prelucrarea datelor.

În timpul inițierii relației de muncă sau în relația de muncă existentă, dacă este necesară colectarea de informații suplimentare despre solicitant de la un terț, trebuie luate în considerare reglementările legale respective. În caz de îndoială, consimțământul trebuie solicitat persoanei vizate.

ü  Prelucrarea datelor pe baza permisiunii legale

Prelucrarea datelor cu caracter personal ale angajaților este permisă și în cazul în care directivele legale naționale impun, presupun sau permit prelucrarea datelor. Tipul și amploarea prelucrării datelor trebuie să fie necesare pentru prelucrarea legală a datelor și să fie orientate către aceste reglementări. Dacă există libertate legală, trebuie luate în considerare interesele angajatului demne de protecție.

(1)  Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(a)  persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(b)    prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

(c)    prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

(d)    prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

(e)    prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

(f)    prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

ü  Reglementări colective pentru prelucrarea datelor

Dacă prelucrarea depășește scopul îndeplinirii contractului, este permis dacă este acordată printr-un regulament colectiv. Reglementările colective sunt contracte salariale colective sau acorduri între angajatori și reprezentanții angajaților în contextul posibilităților legislației respective a muncii. Reglementările trebuie să se extindă la scopul concret al prelucrării solicitate și pot fi stabilite în raport cu legislația națională privind protecția datelor.

ü  Consimțământul pentru prelucrarea datelor

Prelucrarea datelor angajaților poate avea loc după acordul persoanei afectate. Declarațiile de consimțământ trebuie emise în mod voluntar. Acordurile involuntare sunt nevalide. Declarația de consimțământ trebuie prezentată în scris sau electronic, din motive de probă. Dacă circumstanțele nu permit acest lucru ca o excepție, consimțământul poate fi emis în formă vorbită. Consimțământul trebuie, în toate cazurile, să fie documentat corespunzător. În cazul declarării voluntare informate a datelor de către Persoana vizata, consimțământul poate fi asumat dacă o lege națională nu prevede consimțământul explicit. Înainte de consimțământ, Persoana vizata trebuie informată în conformitate cu acest ghid privind protecția datelor.

ü  Prelucrarea datelor pe baza unui interes justificat

Prelucrarea datelor personale ale angajaților poate avea loc, de asemenea, dacă este necesară pentru realizarea unui interes justificat al companiei. Interesele justificate sunt, de regulă, întemeiate pe motive juridice (de exemplu, depunerea, exercitarea sau apărarea revendicărilor legale) sau comerciale.

Prelucrarea datelor cu caracter personal pe baza unui interes justificat nu poate avea loc dacă, într-un caz individual, există motive care afirmă că interesele angajatului demne de protecție sunt mai mari decât interesul pentru prelucrare. Trebuie verificată prezența unor interese demne de protecție pentru fiecare procesare.

Măsurile de control care necesită prelucrarea datelor angajaților pot fi efectuate numai dacă există o obligație legală sau o cauză justificată. Chiar și în cazul unei cauze justificate, trebuie verificată proporționalitatea măsurii de control. Interesele justificate ale societății în realizarea măsurii de control (de exemplu, respectarea directivelor legale și a reglementărilor interne ale companiei) trebuie puse în balanță cu un posibil interes demn de protecție al angajatului afectat de măsură și pot fi realizate numai dacă sunt proporționale. Interesul justificat al companiei și posibilele interese demne de protecție ale angajaților trebuie stabilite și documentate înainte de fiecare măsură. În plus, orice alte cerințe existente în conformitate cu legislația națională.

ü  Prelucrarea datelor demne de protecție

Compania nu prelucreaza date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

Datele privind sanatatea angajatilor sunt prelucrate de catre furnizor de servicii medicale; compania este informata de calitatea de apt / inapt a persoanei vizate de a desfasura o activitate. Interpretarea datelor referitoare la sanatate sunt prelucrate de companie, cu consimtamantul salariatului. Prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului

În mod egal, datele despre condamnări (de exemplu cazierul judiciar) pot fi deseori prelucrate numai în condiții speciale stabilite de legislația națională.

Prelucrarea trebuie permisă sau prescrisă în mod explicit în baza legislației naționale. În plus, prelucrarea poate fi permisă dacă este necesar, astfel încât funcția responsabilă să își poată îndeplini drepturile și obligațiile în domeniul dreptului muncii.

ü  Decizii automatizate

În măsura în care relația de lucru implică prelucrarea automată a datelor prin care sunt evaluate trăsăturile individuale ale personalității (de exemplu, ca parte a selecției personalului sau a evaluării profilurilor de calificare), o astfel de prelucrare automată nu poate fi baza exclusivă pentru deciziile cu consecințe negative sau semnificative.

Pentru a evita deciziile incorecte, trebuie să se asigure în proceduri automatizate că o persoană fizică efectuează o evaluare a conținutului de fapt și că această evaluare este baza deciziei. Angajatul afectat va fi informat cu privire la fapt și la rezultatul unei decizii individuale automatizate și să i se ofere posibilitatea de a face o declarație.

 

ü  Telecomunicații și Internet

Sistemele telefonice, adresele de e-mail, Intranet și Internet, precum și rețelele sociale interne, sunt furnizate în primă instanță de companie în scopul sarcinilor companiei. Sunt suporturi de lucru și o resursă a companiei. Acestea pot fi utilizate în conformitate cu reglementările legale aplicabile și cu liniile directoare interne ale companiei.

Există o monitorizare generală a comunicării prin telefon și e-mail, precum și utilizarea intranetului și a internetului. Pentru a preveni atacurile asupra infrastructurii IT sau asupra utilizatorilor individuali, au fost implementate măsuri de protecție la interfețele rețelei companiei, care blochează conținutul dăunător din punct de vedere tehnic sau analizează tiparele atacurilor. Din motive de securitate și trasabilitate, este documentată utilizarea sistemelor telefonice, a adreselor de e-mail, a Intranetului, a internetului și a rețelelor sociale interne.

Evaluările personale ale acestor date pot avea loc numai în cazul unei suspiciuni concrete și justificate de încălcare a legilor sau a orientărilor companiei. Aceste controale pot avea loc numai în conformitate cu principiul proporționalității. Legile naționale trebuie respectate împreună cu reglementările existente ale companiei.

5.  TRANSMITEREA DE DATE PERSONALE

Transmiterea datelor cu caracter personal către destinatari din afara ATM CONSTRUCT este supusă condițiilor de autorizare pentru prelucrarea datelor cu caracter personal. Destinatarul datelor este obligat să le utilizeze numai în scopurile stabilite.

În cazul transmiterii datelor către un destinatar din afara grupului de companii dintr-o țară terță, destinatarul trebuie să asigure un nivel de securitate a datelor echivalent cu prezentul regulament de protecție a datelor. Acest lucru nu se aplică dacă transmiterea se datorează unei obligații legale.

În cazul transmiterii datelor de către terți către grupul companiei, trebuie să se asigure că datele pot fi utilizate în scopurile prevăzute.

6.  PRELUCRAREA ALOCATĂ (in caz de cesiune, transfer, fuziune, etc)

Prelucrarea atribuită este în cazul în care un contractant este însărcinat cu prelucrarea datelor cu caracter personal fără transferul responsabilității pentru procesul comercial asociat. În aceste cazuri, trebuie încheiat un contract de prelucrare atribuit cu contractanții externi.

Compania cedentă își păstrează întreaga responsabilitate pentru efectuarea corectă a prelucrării datelor. Contractantul poate prelucra date cu caracter personal numai în legătură cu instrucțiunile contractantului.

  1. Antreprenorul trebuie să fie selectat în funcție de caracterul adecvat pentru asigurarea măsurilor de protecție tehnice și organizaționale necesare.
  • Cesiunea trebuie emisă în scris. Instrucțiunile pentru prelucrarea datelor și responsabilitățile contractantului și ale contractantului trebuie să fie documentate.
  • Contractantul trebuie să fie convins înainte de a începe prelucrarea datelor cu privire la îndeplinirea obligațiilor. Conformitatea cu cerințele de securitate a datelor poate fi dovedită de un contractant, în special prin prezentarea unei certificări adecvate. În funcție de riscul prelucrării datelor, verificarea trebuie repetată în mod regulat, dacă este necesar în perioada contractului.
  • În cazul prelucrării datelor pentru o atribuire transfrontalieră, trebuie îndeplinite cerințele naționale respective pentru transmiterea datelor cu caracter personal în străinătate. În special, prelucrarea datelor cu caracter personal din Spațiul Economic European într-o țară terță poate avea loc numai dacă contractantul poate dovedi un nivel de securitate a datelor echivalent cu prezenta directivă privind protecția datelor.

7. DREPTURILE PERSOANEI VIZATE

Fiecare persoană afectată poate exercita următoarele drepturi. Afirmația lor urmează a fi procesată imediat de către zona responsabilă și nu poate duce la niciun dezavantaj pentru Persoana vizata.

  1. Persoana vizata poate solicita informații despre ce date personale din ce sursă sunt stocate în ce scop. Dacă în relația de muncă sunt avute în vedere drepturi suplimentare de inspecție asupra documentelor angajatorului (de exemplu, dosarul personalului), acestea nu sunt afectate.
  2. În cazul în care datele cu caracter personal sunt transmise unor terți, trebuie furnizate și informații despre identitatea destinatarului sau despre categoriile de destinatari.
  3. În cazul în care datele cu caracter personal sunt incorecte sau incomplete, Persoana vizata poate solicita corectarea sau completarea acestora.
  4. Persoana vizata poate refuza prelucrarea datelor sale personale în scopuri de publicitate sau de cercetare de piață și sondaj. Datele trebuie blocate în aceste scopuri.
  5. Persoana vizata este îndreptățită să ceară ștergerea datelor sale în cazul în care temeiul legal pentru prelucrarea datelor lipsește sau nu mai este aplicabil. Același lucru se aplică în cazul în care scopul prelucrării datelor nu se mai aplică din cauza trecerii timpului sau din alte motive. Trebuie luate în considerare obligațiile și interesele de stocare existente, demne de protecție, care sunt împotriva ștergerii.
  6. Persoana vizata are dreptul fundamental de a obiecta la prelucrarea datelor sale, care trebuie să fie luate în considerare în cazul în care interesul său demn de protecție depășește interesul pentru prelucrare din cauza unei situații personale speciale. Acest lucru nu se aplică dacă o reglementare legală necesită efectuarea prelucrării.

8. CONFIDENȚIALITATEA PRELUCRĂRII

Datele cu caracter personal sunt supuse confidențialității datelor. Colectarea, prelucrarea sau utilizarea neautorizată de către angajați sunt interzise.

Orice prelucrare pe care o desfășoară un angajat fără a fi desemnată în mod corespunzător și îndreptățită să o facă în cadrul îndeplinirii sarcinilor este considerată neautorizată. Se aplică principiul necesității de a ști: angajaților li se poate acorda acces la datele cu caracter personal numai dacă și în măsura în care este necesar pentru sarcinile lor respective. Acest lucru necesită alocarea și separarea atentă a rolurilor și responsabilităților, precum și implementarea și menținerea acestora ca parte a conceptelor de autorizare.

Angajații nu pot utiliza datele cu caracter personal în scopuri private sau comerciale, nu le pot transmite unor persoane neautorizate sau le pot face accesibile într-un alt mod.

9.      SECURITATEA PRELUCRĂRII

Datele cu caracter personal trebuie protejate în permanență împotriva accesului neautorizat, prelucrării sau transmiterii ilegale, precum și împotriva pierderii, falsificării sau distrugerii. Acest lucru se aplică independent de faptul dacă prelucrarea datelor este electronică sau pe suport de hârtie. Înainte de introducerea noilor proceduri de prelucrare a datelor, în special a noilor sisteme IT, trebuie stabilite și implementate măsuri tehnice și organizatorice pentru protecția datelor cu caracter personal. Aceste măsuri trebuie orientate către tehnologia actuală, riscurile asociate prelucrării și cerințele de protecție a datelor (stabilite prin procesul de clasificare a informațiilor).

Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

(a)    pseudonimizarea și criptarea datelor cu caracter personal;

(b)    capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;

(c)    capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

(d)    un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

Măsurile tehnice și organizaționale pentru protejarea datelor cu caracter personal fac parte din managementul securității informațiilor și protecției datelor la nivelul întregii companii și trebuie adaptate continuu la evoluțiile tehnice și la modificările organizaționale.

10.  CONTROLUL PROTECȚIEI DATELOR

Conformitatea cu directivele privind protecția datelor și cu legile aplicabile privind protecția datelor este verificată în mod regulat prin audituri privind protecția datelor și controale suplimentare.

Rezultatele controalelor de protecție a datelor trebuie notificate conducerii.

11.  INCIDENT DE PROTECȚIE A DATELOR

Fiecare angajat ar trebui să informeze imediat Responsabilul pentru protecția datelor cu privire la cazurile de încălcare a prezentei directive privind protecția datelor sau a altor reglementări pentru protecția datelor cu caracter personal (incidente de protecție a datelor). Notificarea poate fi adresata pe e-mail, la adresa gdpr@atmconstruct.com in cazurile de:

  • transmiterea ilegală de date cu caracter personal către terți,
    • accesul ilegal de către terți la datele cu caracter personal sau
    • pierderea datelor cu caracter personal

Notificările în cadrul companiei trebuie efectuate fără întârziere, astfel încât obligațiile de raportare existente pentru incidentele de protecție a datelor să poată fi îndeplinite în conformitate cu legislația națională.

Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal

În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată din partea autorității de supraveghere în cazul în care.

 Persoana împuternicită de operator înștiințează operatorul fără întârzieri nejustificate după ce ia cunoștință de o încălcare a securității datelor cu caracter personal.

Notificarea menționată la alineatul:

(a)    descrie caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;

(b)    comunică numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;

(c)    descrie consecințele probabile ale încălcării securității datelor cu caracter personal;

(d)    descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

(4)   atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.

(5)   operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație permite autorității de supraveghere să verifice conformitatea cu prezentul articol.

12.  RESPONSABILITĂȚI ȘI SANCȚIUNI

Conducerea este responsabilă pentru prelucrarea datelor cu caracter personal conformă cu directiva.

Prin urmare, este obligat să se asigure că sunt respectate cerințele legale privind protecția datelor (de exemplu, obligațiile naționale de raportare).

În cazul controalelor de protecție a datelor de către autorități, Responsabilul pentru protecția datelor trebuie informat imediat.

Conducerea a numit un responsabil pentru protecția datelor. Responsabilul pentru protecția datelor poate efectua verificări și trebuie să familiarizeze angajații cu conținutul directivelor privind protecția datelor. Conducerea este obligată să sprijine coordonatorul pentru protecția datelor în sarcina lor.

Conducerea trebuie să se asigure că angajații sunt informați în măsura necesară cu privire la protecția datelor. Prelucrarea necorespunzătoare a datelor cu caracter personal sau alte încălcări ale legislației privind protecția datelor au consecințe juridice în multe state și pot atrage cereri de despăgubire. Încălcările pentru care sunt responsabili angajații individuali pot duce la acțiuni disciplinare.

12.  RESPONSABILUL DE PROTECȚIE A DATELOR

În calitate de entitate internă specializată, responsabilul pentru protecția datelor asigură respectarea reglementărilor privind protecția datelor. Acesta este responsabil pentru monitorizarea respectării reglementărilor privind protecția datelor. Responsabilul pentru protecția datelor informează imediat conducerea cu privire la riscurile de securitate a datelor.

Fiecare persoană afectată poate contacta responsabilul pentru protecția datelor cu sugestii, întrebări, cereri de informații sau reclamații în legătură cu probleme de protecție a datelor sau securitatea datelor. Cererile și reclamațiile sunt tratate confidențial la cerere.

13.  IMPLEMENTARE

Acest document trebuie să fie accesibil tuturor persoanelor vizate.