Politică de confidențialitate

1. Obiectiv, Domeniu de Aplicare și Utilizatori

ASOCIAȚIA ABA LIFE START respecta legile și reglementările aplicabile, legate de protecția datelor cu caracter personal.

Această Politică stabilește principiile de bază prin care ASOCIAȚIA ABA LIFE START prelucrează datele cu caracter personal ale copiilor, părinților, furnizorilor, partenerilor de afaceri, angajaților și altor persoane fizice și indică responsabilitățile organizației și angajaților săi în timpul prelucrării datelor cu caracter personal.

Prezenta Politică se aplică intregii Organizații, punctelor sale de lucru, precum și paginilor digitale care își desfășoară activitatea în Romania sau prelucrării datelor cu caracter personal ale persoanelor vizate pe teritoriul României.

Utilizatorii acestui document sunt toți angajații permanenți sau temporari si toți contractorii care lucrează în numele Organizației.

Prezenta Politica are în vedere atât situația în care ASOCIAȚIA ABA LIFE START este operator, cât și situația în care ASOCIAȚIA ABA LIFE START este împuternicit (după caz) fată de o anumită prelucrare de date cu caracter personal sau operator asociat.

2. Documente de Referință

 

  • EU GDPR 2016/679 (Regulamentul (EU) 2016/679 al Parlamentului European și al Consiliului din 27 Aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și abrogarea Directivei 95/46/EC) (“Regulamentul” sau “GDPR”)
  • Legea 190/2018
  • Politica privind Securitatea a Prelucrarii Datelor

3. Definiții

 

Următoarele definiții ale termenilor utilizați în acest document sunt extrase din Articolul 4 din Regulament: Date cu Caracter Personal: Orice informație referitoare la o persoană fizică identificată sau identificabilă (“Persoana Vizată”) care poate fi identificată, direct sau indirect, în special prin referire la un identificator cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale a acelei persoane fizice.

Date cu Caracter Personal Sensibile: Datele cu caracter personal care, prin natura lor, sunt deosebit de sensibile în raport cu drepturile și libertățile fundamentale, merită o protecție specifică, deoarece contextul prelucrării acestora ar putea crea riscuri semnificative pentru drepturile și libertățile fundamentale.

Aceste date cu caracter personal includ date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, credințele religioase sau filozofice sau calitatea de membru al sindicatelor, datele genetice, datele biometrice în scopul identificării unice a unei persoane fizice, datele privind sănătatea sau datele referitoare la viața sexuală sau orientarea sexuală a unei persoane fizice.

Operator: Persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau în comun cu alții, determină scopurile și mijloacele de prelucrare a datelor cu caracter personal.

Persoană Împuternicită: O persoană fizică sau juridică, o autoritate publică, o agenție sau orice alt organism care prelucrează date cu caracter personal în numele unui Operator.

Prelucrare: O operațiune sau un set de operațiuni care se efectuează pe date cu caracter personal sau pe seturi de date cu caracter personal, indiferent dacă sunt efectuate sau nu prin mijloace automate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, recuperarea, consultarea, utilizarea, dezvăluirea prin transmitere, difuzare sau punerea la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea datelor. 

Anonimizare: Procesul ireversibil de de-identificare a datelor cu caracter personal, astfel încât persoana să nu poată fi identificată prin utilizarea de timp, costuri și tehnologie rezonabile, fie de către operator, fie de către orice altă persoană care intenționează să identifice persoana respectivă. 

Principiile de procesare a datelor cu caracter personal nu se aplică datelor anonime, deoarece acestea nu mai sunt date cu caracter personal. 

Pseudonimizare: Prelucrarea datelor cu caracter personal în așa fel încât datele cu caracter personal să nu mai poată fi atribuite unei anumite persoane vizate fără utilizarea unor informații suplimentare, cu condiția ca aceste informații suplimentare să fie păstrate separat și să facă obiectul unor măsuri tehnice și organizatorice care să asigure că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau identificabile. Pseudonimizarea reduce, dar nu elimină complet, capacitatea de a lega date cu caracter personal de o persoană vizată. 

Deoarece datele pseudonime sunt în continuare date cu caracter personal, prelucrarea datelor pseudonime ar trebui să respecte principiile de prelucrare a Datelor cu Caracter Personal.

Prelucrarea transfrontalieră a datelor cu caracter personal: Prelucrarea datelor cu caracter personal care are loc în contextul activităților sediilor din mai multe State Membre ale operatorului sau persoanei împuternicite din Uniunea Europeană atunci când operatorul sau persoana împuternicită este stabilită în mai multe State Membre; sau prelucrarea datelor cu caracter personal care are loc în contextul activităților unui singur sediu al operatorului sau persoanei împuternicite în Uniune, dar care afectează în mod substanțial sau care poate afecta în mod substanțial persoanele vizate în mai multe State Membre;

Autoritate de supraveghere: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal Autoritate de supraveghere principală: Autoritatea de supraveghere cu responsabilitatea principală pentru gestionarea unei activități de prelucrare a datelor transfrontaliere, de exemplu atunci când persoană vizată face o plângere cu privire la prelucrarea datelor sale cu caracter personal; este responsabilă, printre altele, pentru primirea notificărilor privind încălcarea datelor, pentru a fi notificată cu privire la activitatea de prelucrare riscantă și va avea autoritate deplină în ceea ce privește îndatoririle sale pentru a asigura respectarea dispozițiilor EU GDPR;

Fiecare “autoritate de supraveghere locală” va continua să funcționeze pe propriul teritoriu și va monitoriza orice prelucrare locală a datelor care afectează persoanele vizate sau care este efectuată de către un operator sau o persoană împuternicită din UE sau din afara UE atunci când prelucrarea acestora urmărește persoanele vizate care locuiesc pe teritoriul său. 

Sarcinile și competențele acestora includ desfășurarea de investigații și aplicarea măsurilor administrative și a amenzilor, promovarea gradului de conștientizare a publicului asupra riscurilor, regulilor, securității și drepturilor legate de prelucrarea datelor cu caracter personal, precum și obținerea accesului la orice sediu al operatorului și al persoanei împuternicite, inclusiv la orice echipament și mijloace de prelucrare a datelor.

“Sediul principal în ceea ce privește un operator” cu sedii în mai mult de un Stat Membru, locul administrației sale centrale în Uniune, cu excepția cazului în care deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter personal sunt luate într-un alt sediu al operatorului din Uniune, iar ultima unitate are puterea de a pune în aplicare astfel de decizii, caz în care unitatea care a luat astfel de decizii trebuie considerată a fi sediul principal;

“Sediul principal în ceea ce privește o persoană împuternicită” cu sedii în mai mult de un Stat Membru, locul administrației sale centrale în Uniune, sau, în cazul în care persoana împuternicită nu are o administrație centrală în Uniune, unitatea persoanei împuternicite în Uniune, în care au loc principalele activități de prelucrare în cadrul activităților unei unități a persoanei împuternicite, în măsura în care persoana împuternicită este supusă anumitor obligații în temeiul prezentului Regulament;

4. Principii de Bază privind Prelucrarea Datelor cu Caracter Personal

Principiile de protecție a datelor definesc responsabilitățile de bază ale organizațiilor care prelucrează datele cu caracter personal.

Articolul 5(2) din GDPR prevede că “operatorul va fi responsabil și va putea demonstra conformitatea cu principiile.”

4.1. Legalitate, echitabilitate și transparență

4.1.1. Aspecte generale
Datele cu caracter personal trebuie prelucrate în mod legal, echitabil și transparent în raport cu persoana vizată și pentru scopuri specifice.

Orice acțiune de prelucrare a datelor cu caracter personal trebuie să se întemeieze
pe unul dintre temeiurile prevăzute de Regulament, și anume:

  • persona vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
  • prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
  • prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
  • prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
  • prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este investit operatorul;
  • prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Aceste temeiuri limitative nu sunt menite să interzică sau suprime prelucrarea, ci să asigure faptul că acest lucru se realizează în mod corect și fără a afecta drepturile persoanelor vizate.

4.1.2. Obligația de informare a persoanelor vizate

Datele cu caracter personal pot fi colectate de la persoana vizată însăși, fie de la altă persoană fizică sau juridică ce le deține în mod legal sau din surse publice.

La momentul colectării datelor cu caracter personal sau ,dacă nu sunt colectate de la persoana vizată, în cel mai scurt timp posibil după colectare, ASOCIAȚIA ABA LIFE START are o obligație de informare a persoanelor vizate ,în legătură cu procesarea datelor,în situația în care ASOCIAȚIA ABA LIFE START este operator al acelor date.

Persoana vizată trebuie să fie informată cu privire la următoarele aspecte legate de prelucrarea datelor sale personale:

  • identitatea operatorului și datele acestuia de contact (adică ce entitate colectează datele), precum și datele de contact ale Responsabilului cu Protecția Datelor;
  • tipurile și categoriile de date colectate;
  • scopurile și temeiul legal al prelucrării; în măsura în care este aplicabil, interesul legitim urmărit care justifică prelucrarea;
  • terțele persoane către care datele pot fi comunicate, precum și temeiul legal al unui eventual transfer internațional;
  • durata prelucrării, perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
  • drepturile persoanei vizate: de a solicita accesul la datele cu caracter personal, rectificarea sau ștergerea acestora, restricționarea prelucrării, de a se opune prelucrării, la portabilitatea datelor, de a-și retrage consimțământul pentru prelucrarea datelor, de a depune o plângere în fața autorității;
  • precizarea situației în care colectarea este obligatorie potrivit legii sau a contractului, sau este necesară pentru încheierea unui contract, precum a celei în care persoana vizată trebuie să furnizeze datele cu caracter personal, și consecințele unui refuz;
  • existența unui proces decizional automatizat, incluzând crearea de profiluri, precum și logica utilizată și consecințele unei astfel de prelucrări pentru persoana vizată;
  • pentru ipoteza în care datele cu caracter personal nu au fost colectate de la persoana vizată, operatorul trebuie să informeze persoana vizată cu privire la sursa datelor și, dacă este cazul, dacă acestea provin din surse disponibile public.

În situația în care datele cu caracter personal nu au fost obținute de la persoana vizată, ASOCIAȚIA ABA LIFE START în calitate de operator trebuie să furnizeze, persoanelor vizate, informațiile menționate mai sus:

  • într-un termen rezonabil după obţinerea datelor cu caracter personal, dar nu mai mare de o lună, ţinându-se seama de circumstanţele specifice în care sunt prelucrate datele cu caracter personal;
  • dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă;
  • dacă se intenţionează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

În cazul în care ASOCIAȚIA ABA LIFE START , în calitate de operator ,intenționează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost obținute, va furniza persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și orice informații suplimentare relevante.

Informarea nu este necesară dacă și în măsura în care persoana vizată deține deja informațiile, sau în cazul în care datele au fost obținute din altă sursă:

  • dacă furnizarea acestor informații se dovedește a fi imposibilă sau ar implica eforturi disproporționate sau în măsura în care obligația de informare este susceptibilă să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective. În astfel de cazuri, operatorul ia măsuri adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate, inclusiv punerea informațiilor la dispoziția publicului;
  • obținerea sau divulgarea datelor este cerută de lege, aceasta prevăzând măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate;
  • în cazul în care datele cu caracter personal trebuie să rămână confidențiale în temeiul unei obligații statutare de secret profesional reglementate de dreptul Uniunii Europene sau de dreptul intern.

4.1.3. Particularități pentru ca prelucrarea datelor să fie permisă

i. Protecția intereselor legitime 

Atunci când prelucrarea datelor este făcută în exercițiul unui interes legitim al operatorului trebuie ca cei care realizeaza această prelucrare să precizeze în ce constă interesul legitim și să aprecieze că interesele, drepturile și libertățile fundamentale ale persoanei vizate care trebuie protejate nu sunt mai importante decât interesul legitim al Organizației.

ii. Îndeplinirea obligațiilor contractuale

Obligațiile contractuale se referă la obligațiile Organizației rezultând dintr-un contract încheiat direct cu persoana vizată ale cărei date sunt prelucrate sau prelucrările sunt necesare pentru a face demersuri înainte de încheierea unui contract, la cererea persoanei vizate.

Un exemplu în acest sens este contractul individual de muncă în temeiul căruia ASOCIAȚIA ABA LIFE START prelucrează date cu caracter personal ale angajaților.

iii. Existența consimțământului persoanei vizate

Prelucrarea datelor se poate întemeia și pe existența consimțământului explicit al persoanei vizate în vederea unei activități de prelucrare specifice, cu menționarea scopurilor specifice pentru care vor fiprelucrate datele.

Declarația prin care persoana vizată își dă consimțământul este revocabilă și trebuie dată în mod liber și în deplină cunoștință de cauză, folosind un limbaj clar, în limba pe care o cunoaște. 

Tăcerea persoanei vizate, căsuțele pre-bifate în diverse formulare sau chestionare, precum și inactivitatea, nu vor fi considerate suficiente pentru validarea existenței consimțământului.

Pentru probarea existenței consimțământului, Operatorul trebuie să păstreze dovada obținerii acestuia.

Revocarea consimțământului poate fi făcută oricând, iar consecințele acesteia sunt: (i) ASOCIAȚIA ABA LIFE START trebuie să verifice dacă există alte temeiuri legale pentru prelucrare, (ii) dacă nu există niciun alt temei legal pentru prelucrare, ASOCIAȚIA ABA LIFE START trebuie să înceteze prelucrarea și să anonimizeze datele cu caracter personal ale solicitantului.

De asemenea, în cazul în care se au în vedere alte modalități de prelucrare pe care persoana vizată nu le-a cunoscut la momentul la care și-a dat consimțământul, trebuie obținută o nouă declarație de consimțământ. Cu excepția situațiilor în care prelucrarea se poate întemeia pe dispoziții legale, consimțământul expres este întotdeauna necesar atunci când sunt prelucrate date personale sau atunci când există un proces decizional automatizat.

iv. Legi, regulamente și alte reglementări obligatorii

Prelucrarea datelor este permisă în măsura în care acest lucru este necesar pentru îndeplinirea unei obligații legale.

v. Interesele vitale ale persoanei vizate

Prelucrarea este permisă pentru protejarea intereselor vitale ale persoanei vizate sau pentru ale unei alte persoane fizice.

vi. Prelucrarea categoriilor de date sensibile

Prelucrarea datelor sensibile este permisă numai dacă:

  • persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice;
  • prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii Europene sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate;
  • prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se afla în incapacitate fizică sau juridică de a-și da consimțământul;
  • prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată;
  • prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau ori de câte ori instanțele acționează în exercițiul funcției lor judiciare;
  • prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului Uniunii Europene sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării condițiilor și garanțiilor prevăzute de Regulament.

Este interzisă prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni, cu excepția prelucrarii de astfel de date in vederea respectarii prevederilor legislative aplicabile cum ar fi Regulamentul 20/2009 privind instituţiile financiare nebancare referitoare la administratori, conducatori și potentiali client, iar in situatia in care potentialii client sunt persoane juridice, prevederile aplicabile în cazul persoanelor responsabile de administrarea Oganizației. 

De asemneae exceptiile se aplica si in cazul unor cerinte legale specifice anumitor functiile ocupate de angajatii ASOCIAȚIA ABA LIFE START ex.: casier etc.

4.2. Limitarea Scopului

Datele cu caracter personal trebuie colectate în scopuri specificate, explicite și legitime și nu trebuie prelucrate ulterior într-o manieră incompatibilă cu aceste scopuri. Datele cu caracter personal trebuie să fie folosite doar pentru scopurile pentru care au fost inițial colectate. În cazul în care prelucrarea se face în alt scop decât cel pentru care datele cu caracter personal au fost colectate și nu se bazează pe consimțământul persoanei vizate sau pe dreptul Uniunii Europene sau dreptul intern, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate inițial, ASOCIAȚIA ABA LIFE START ia în considerare, printre altele:

  • i. orice legătură dintre scopurile în care datele cu caracter personal au fost colectate și scopurile prelucrării ulterioare preconizate;
  • ii. contextul în care datele cu caracter personal au fost colectate, în special în ceea ce privește relația dintre persoanele vizate și ASOCIAȚIA ABA LIFE START;
  • iii. natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale de date cu caracter personal, sau în cazul în care sunt prelucrate date cu caracter personal referitoare la condamnări penale și infracțiuni;
  • iv. posibilele consecințe asupra persoanelor vizate ale prelucrării ulterioare preconizate;
  • v. existența unor garanții adecvate, care pot include criptarea sau pseudonimizarea.

O astfel de analiză este necesară și în cazul în care scopul prelucrării s-a schimbat față de cel avut în vedere inițial când a fost obținută permisiunea.

4.3. Minimizarea Datelor

Datele cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate. Acest principiu are în vedere că trebuie colectate, utilizate și în general, prelucrate doar acele date cu caracter personal necesare pentru atingerea scopurilor legitime care au fost urmărite inițial.

ASOCIAȚIA ABA LIFE START trebuie să aplice anonimizarea sau pseudonimizarea datelor cu caracter personal, dacă este posibil, pentru a reduce riscurile pentru persoanele vizate în cauză. Anonimizarea și pseudonimizarea trebuie folosite, atunci când este necesar, pentru reducerea sau protejarea datelor cu caracter personal prelucrate și doar dacă costurile ocazionate de acestea sunt proporționale într-un mod rezonabil cu scopul propus.

Datele cu caracter personal nu trebuie să fie stocate pentru potențiale scopuri viitoare, cu excepția cazului în care există un temei legal pentru stocarea datelor (de exemplu, obligația legală de a păstra statele de plată pentru o perioadă de timp mai îndelungată).

Stocarea datelor cu caracter personal trebuie să se realizeze prin metode care să poată asigure respectarea confidențialității și a limitării accesului la date, inclusiv prin limitarea imprimării datelor pe format material doar la situațiile strict necesare.

4.4. Exactitate

Datele cu caracter personal trebuie să fie corecte, complete și actualizate; trebuie luate măsuri rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate în timp util. 

Acuratețea datelor trebuie verificată la momentul la care acestea sunt colectate, precum și la diferite intervale de timp.

4.5. Limitarea Perioadei de Stocare

Datele cu caracter personal nu trebuie păstrate decât în măsura necesară scopurilor pentru care datele cu caracter personal sunt prelucrate.
Datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare stiințifică sau istorică ori în scopuri statistice, sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate în vederea garantării drepturilor și libertăților persoanei vizate.

Având în vedere cele de mai sus, ASOCIAȚIA ABA LIFE START trebuie să stabilească perioade de stocare a datelor cu caracter personal sau, dacă acest lucru nu este posibil, criterii pentru determinarea perioadei de stocare. După expirarea perioadei de stocare, datele trebuie șterse, iar ASOCIAȚIA ABA LIFE START trebuie să poată face dovada ștergerii datelor respective.

ASOCIAȚIA ABA LIFE START trebuie să dezvolte programe adecvate pentru ștergerea fiecărui tip de prelucrare a datelor, putând să se coordoneze în acest sens cu Responsabilul cu Protecția Datelor.
Respectarea acestui principiu este obligatorire pentru toti angajații din cadrul ASOCIAŢIA ABA LIFE START, să stabilească perioade de timp pentru care datele pot fi stocate, precum și criteriile care au dus la determinarea perioadelor respective.

4.6. Integritate și Confidențialitate

Având în vedere stadiul tehnologic și alte măsuri de securitate disponibile, costul de implementare și probabilitatea și gravitatea riscurilor în ceea ce privește datele cu caracter personal, ASOCIAȚIA ABA LIFE START trebuie să utilizeze măsuri tehnice sau organizatorice adecvate pentru prelucrarea Datelor cu Caracter Personal într-un mod care să asigure o securitate adecvată a datelor cu caracter personal, inclusiv protecția împotriva distrugerii accidentale sau ilegale, pierderii, alternării, accesului neautorizat sau divulgării acestora.

Datele cu caracter personal sunt considerate date cu caracter secret și trebuie tratate ca fiind confidențiale. Angajații Organizației trebuie să acceseze date cu caracter personal doar în măsura necesară îndeplinirii îndatoririlor de serviciu. Angajații nu trebuie să folosească date cu caracter personal în scopuri personale, să le divulge sau să le facă accesibile către persoane neautorizate.

Noii angajați vor fi informați la momentul angajării despre obligațiile ce le revin pentru păstrarea secretului datelor cu caracter personal. Aceaste obligații continuă și după încetarea relațiilor de muncă. 

Angajații vor respecta măsurile tehnice și organizaționale luate de ASOCIAȚIA ABA LIFE START pentru a preîntâmpina accesul neautorizat, prelucrarea nelegală sau divulgarea datelor cu caracter personal, precum și a pierderilor accidentale, a modificărilor și distrugerilor acestora. 

Angajații vor coopera la evaluarea și testarea periodică cu privire la eficiența măsurilor tehnice și organizaționale în asigurarea protecției datelor cu caracter personal. Datele cu caracter personal pot fi transferate unor terți furnizori de servicii care respectă aceleași politici și proceduri și care sunt de acord să implementeze măsuri adecvate cu privire la aceste aspecte. 

Toți angajații vor coopera la menținerea securității datelor prin protejarea confidențialității, integrității și disponibilității acestora, definite după cum urmează:

  • confidențialitate înseamnă că doar persoanele care au nevoie să stie și sunt autorizate să folosească date cu caracter personal, le pot accesa;
  • integritate înseamnă că datele personale sunt corecte și potrivite pentru scopul pentru care au fost prelucrate;
  • disponibilitatea acestora înseamnă că persoanele autorizate au acces la datele cu caracter personal atunci când le sunt necesare pentru scopurile autorizate.

4.7. Răspundere

Operatorii/Conducatorii ASOCIAȚIA ABA LIFE START sunt responsabili pentru aplicarea prezenelor prevederi si vor pastra suficiente informatii astfel incat sa poată demonstra oricand conformitatea cu principiile enunțate mai sus.

5. Crearea Protecției Datelor în Activitățile Organizației

Pentru a demonstra conformitatea cu principiile protecției datelor, ASOCIAȚIA ABA LIFE START asigura protecția datelor în toate activitățile sale.

5.1. Notificări către Persoanele Vizate

(Consultați secțiunea FORMULARE.)

5.2. Opțiunile și Consimțământul Persoanei Vizate

(Consultați secțiunea FORMULARE.)

5.3. Colectare

ASOCIAȚIA ABA LIFE START depune eforturi pentru a colecta cel mai mic număr de date cu caracter personal posibil. Dacă datele cu caracter personal sunt colectate de la o terță parte, administratorul, trebuie să se asigure că datele cu caracter personal sunt colectate în mod legal.

5.4. Utilizarea, păstrarea și ștergerea

Scopurile, metodele, limitarea stocării și perioada de păstrare a datelor cu caracter personal trebuie să fie în concordanță cu informațiile conținute în Notificarea privind Confidențialitatea.

ASOCIAȚIA ABA LIFE START menține corectitudinea, integritatea, confidențialitatea și relevanța datelor cu caracter personal pe baza scopului de prelucrare. Mecanismele de securitate adecvate pentru protejarea datelor cu caracter personal trebuie utilizate pentru a preveni furtul, utilizarea necorespunzătoare sau abuzivă a datelor cu caracter personal și prevenirea încălcării datelor cu caracter personal responsabilul cu protectia datelor cu character personal, este responsabil pentru respectarea cerințelor enumerate în această secțiune.

5.5. Dezvăluirea către Terțe Părți

5.5.1. Tipurile și scopurile divulgărilor de date cu caracter personal

Datele cu caracter personal pot fi divulgate doar dacă partea care le primește este personal responsabilă de datele pe care le-a primit sau doar dacă partea care le primește le va folosi în conformitate cu intrucțiunile primite de la partea care a divulgat.

Datele cu caracter personal pot fi divulgate doar pentru scopuri permise menționate în evidența Organizației, în vederea desfășurării activității Organizației, pentru respectarea obligațiilor legale sau dacă există consimțământul persoanei vizate.

Astfel, pot fi comunicate date cu caracter personal către terțe persoane, precum furnizorii de servicii, dacă:
d) este necesar ca aceste persoane să cunoască aceste informații pentru îndeplinirea obligațiilor contractate;
e) comunicarea datelor este în acord cu notificarea transmisă persoanei vizate referitoare la protecția datelor sau, dacă este necesar, a fost obținut consimțământul persoanei vizate;
f) terța persoană s-a obligat să respecte standardele de protecția datelor cu caracter personal, politicile și procedurile aplicabile, precum și să ia măsuri adecvate de securitate;
g) în cazul transferului de date într-o țară terță sunt respectate măsurile de protecție detaliate în acest capitol și în Regulament, conform consultării cu Responsabilul cu Protecția Datelor.

5.5.2. Persoanele împuternicite

Ori de câte ori ASOCIAȚIA ABA LIFE START utilizează un terț furnizor sau partener de afaceri pentru prelucrarea datelor cu caracter personal în numele său, aceasta va fi un împuternicit în sensul Regulamentului și trebuie să ofere suficiente garanții pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate pentru protecția datelor cu caracter personal pe care le va procesa pe seama Operatorul și respectarea drepturilor persoanelor vizate. Administratorul trebuie să se asigure că această persoană împuternicită va oferi măsuri de securitate pentru a proteja datele personale care sunt adecvate riscurilor asociate. În acest scop, trebuie utilizate Chestionarul de Conformitate GDPR al Persoanei Împuternicite și eventual, Politica de Securitate a Furnizorului.

ASOCIAȚIA ABA LIFE START trebuie să impună în mod contractual furnizorului sau partenerului de afaceri să ofere același nivel de protecție a datelor. Furnizorul sau partenerul de afaceri trebuie să prelucreze date cu caracter personal numai pentru a-și îndeplini obligațiile contractuale față de ASOCIAȚIA ABA LIFE START sau la instrucțiunile Operatorului și nu în alte scopuri. Atunci când ASOCIAȚIA ABA LIFE START prelucrează datele cu caracter personal împreună cu o terță parte independentă, ASOCIAȚIA ABA LIFE START trebuie să își precizeze în mod explicit responsabilitățile respective și ale părții terțe în conventiile incheiate cu organizațile care actioneză in calitate de “imputernicit” conform prevederilor regulamentului.â

Împuternicitul nu trebuie să folosească datele cu caracter personal pe care le primește în scopuri personale sau ale unei terțe persoane fără consimțământul prealabil al Operatorului.
ASOCIAȚIA ABA LIFE START trebuie să fie notificată în prealabil dacă împuternicitul intenționează să subcontracteze obligațiile ce îi revin în executarea acelui contract. ASOCIAȚIA ABA LIFE START are dreptul să se opună unei astfel de subcontractări. 

Însă, dacă subcontractarea este permisă, ASOCIAȚIA ABA LIFE START trebuie să se asigure că împuternicitul va impune și noilor subcontractanți aceleași obligații de securitate,
tehnice și organizatorice ce ii revin împuternicitului potrivit contractului încheiat cu acesta.

5.6. Transferul Transfrontalier al Datelor cu Caracter Personal

Înainte de a transfera date cu caracter personal din Spațiul Economic European (SEE) garanții adecvate trebuie utilizate, inclusiv semnarea unui Acord de Transfer de Date, în conformitate cu cerințele Uniunii Europene și, dacă este necesar, trebuie obținută autorizația Autorității Competente pentru Protecția Datelor. Entitatea care primește datele cu caracter personal trebuie să respecte principiile de prelucrare a datelor cu caracter personal prevăzute în Procedura privind Transferul Transfrontalier al Datelor.

5.7. Drepturile de Acces ale Persoanelor Vizate

Atunci când ASOCIAȚIA ABA LIFE START acționează în calitate de operator, DPO supervizeaza functionarea mecanismului ce furnizeaza persoanelor vizate accesul la datele lor cu caracter personal și trebuie să le permită să le actualizeze, rectifice, șteargă sau își transmită Datele cu Caracter Personal, dacă este cazul sau dacă este cerut de lege. Mecanismul de acces va fi detaliat în detaliu în Procedura de Solicitare a Accesului Persoanei Vizate.

5.8. Portabilitatea Datelor

Persoanele Vizate au dreptul să primească, la cerere, o copie a datelor pe care le-au furnizat într-un format structurat și să le transmită gratuit unui alt operator. DPO supervizeaza procesul pentru a se asigura că aceste cereri sunt procesate în termen de o lună, nu sunt excesive și nu afectează drepturile la datele cu caracter personal ale altor persoane fizice.

5.9. Dreptul de a fi uitat

La cerere, Persoanele Vizate au dreptul să obțină de la ASOCIAȚIA ABA LIFE START ștergerea datelor cu caracter personal ale acestora. Atunci când ASOCIAȚIA ABA LIFE START acționează în calitate de Operator, trebuie să ia măsurile necesare (inclusiv măsurile tehnice) pentru a informa părțile terțe care utilizează sau prelucrează aceste date, pentru a se conforma cererii.

6. Ghiduri pentru Prelucrare Echitabilă

Datele cu caracter personal trebuie prelucrate numai când este autorizat în mod explicit de către responsabilul cu protecta datelor cu caracter personal. Dacă ar exista un risc mare cu privire la drepturile și libertățile persoanelor vizate ce ar putea fi asociat cu activitatea de prelucrare a datelor, din cauza naturii, scopului și circumstanțelor prelucrării sau a utilizării noilor
tehnologii, angajatul operatorului care este responsabil cu respectiva aplicație ce prelucrează datele cu caracter personal, trebuie ca mai întâi să evalueze consecințele activităților de prelucrare pe care intenționează să le întreprindă pentru a proteja cât mai eficient datele cu caracter personal („Evaluarea Impactului asupra Protecției Datelor”).

ASOCIAȚIA ABA LIFE START trebuie să decidă dacă va efectua Evaluarea Impactului asupra Protecției Datelor pentru fiecare activitate de prelucrare a datelor în conformitate cu Ghidurile de Evaluare a Impactului asupra Protecției Datelor.

Evaluarea Impactului asupra Protecției Datelor ar trebui realizată mai ales dacă:

  • Se prelucrează un volum mare de date sensibile sau date personale referitoare la fapte penale sau contravenționale ale persoanelor vizate;
  • Există o evaluare cuprinzătoare și sistematică a aspectelor personale ale persoanelor fizice, bazată pe o prelucrare automată, inclusiv crearea de profile, ce vor forma baza pentru decizii ce vor avea efecte cu privire la acele persoane sau le-ar putea dezavantaja în alt fel;
  • Există o monitorizare extensivă și sistematică a ariilor de activități comerciale accesibile publicului.

Evaluarea Impactului asupra Protecției Datelor ar trebui să cuprindă:

  • o descriere a prelucrării, scopurile ei și interesul legitim al operatorului, dacă este cazul;
  • o evaluare a necesității și proporționalității activității de prelucrare în relație cu scopul avut în vedere;
  • o evaluare a riscului pentru drepturile persoanelor fizice;
  • măsurile de diminuare a riscului luate și demonstrarea îndeplinirii acestora.

Dacă în urma Evaluării impactului asupra protecției datelor reiese că prelucrarea ar genera un risc ridicat în absența unor măsuri luate de ASOCIAȚIA ABA LIFE START pentru atenuarea riscului, ASOCIAȚIA ABA LIFE START consultă autoritatea de supraveghere competentă înainte de prelucrare conform Regulamentului și va proceda conform instrucțiunilor acesteia.

6.1. Notificări către Persoanele Vizate

În momentul colectării sau înainte de colectarea datelor cu caracter personal pentru orice fel de activități de prelucrare, inclusiv, dar fără a se limita la vânzarea de produse, servicii sau activități de marketing, ASOCIAȚIA ABA LIFE START este responsabil să informeze în mod corespunzător persoanele vizate despre următoarele:
tipurile de date cu caracter personal colectate, scopul prelucrării, metodele de prelucrare, drepturile persoanelor vizate cu privire la datele lor cu caracter personal, perioada de păstrare, potențiale transferuri internaționale de date, dacă datele vor fi comunicate terților și măsurile de securitate ale Operatorului pentru a proteja datele cu caracter personal . Aceste informații sunt furnizate prin Notificarea privind Confidențialitatea. 

Continutul notei de informare este de asemenea explicat la Sectiunea 4.1.2 de mai sus În cazul în care datele cu caracter personal sunt dezvaluite catre o terță parte, Responsabilul cu Protecția Datelor trebuie să supervizeze că persoanele vizate au fost notificate despre acest lucru printr-o Notificare privind Confidențialitatea. 

În cazul în care datele cu caracter personal sunt transferate către o țară terță în conformitate cu Politica privind Transferul Transfrontalier al Datelor (Sectiunea 5.6) sau Transferul datelor intr-o tara terta (Sectiunea 5.10), Notificarea privind Confidențialitatea ar trebui să reflecte acest lucru și să indice în mod clar unde și către ce entitate sunt transferate datele cu caracter personal.

În cazul în care se colectează date cu caracter personal sensibile, Responsabilul cu Protecția Datelor trebuie să se asigure că Notificarea privind Confidențialitatea specifică explicit scopul pentru care sunt colectate aceste date cu caracter personal sensibile.

6.2. Obținerea Consimțămintelor

Ori de câte ori prelucrarea datelor cu caracter personal se bazează pe consimțământul persoanei vizate, ASOCIAȚIA ABA LIFE START este responsabil de păstrarea unei înregistrări a acestui consimțământ. ASOCIAȚIA ABA LIFE START este responsabil pentru furnizarea opțiunilor de acordare a consimțământului către persoanele vizate și trebuie să informeze și să asigure retragerea în orice moment a consimțământului acestora (ori de câte ori consimțământul este utilizat ca temei legal pentru prelucrare).

Atunci când colectarea de date cu caracter personal se referă la un copil cu vârsta sub 16 ani, ASOCIAȚIA ABA LIFE START trebuie să se asigure că acordul părinților este acordat înainte de colectare, utilizând Formularul de Consimțământ Parental.

Atunci când se solicită corectarea, modificarea sau distrugerea înregistrărilor de date cu caracter personal, ASOCIAȚIA ABA LIFE START trebuie să se asigure că aceste solicitări sunt abordate într-un interval de timp rezonabil. Persoana desemnata de catre ASOCIAȚIA ABA LIFE START trebuie, de asemenea, să înregistreze solicitările și să păstreze un registru al acestora.

Datele cu caracter personal trebuie prelucrate numai în scopul pentru care au fost colectate inițial. În cazul în care ASOCIAȚIA ABA LIFE START dorește să prelucreze datele cu caracter personal colectate într-un alt scop, ASOCIAȚIA ABA LIFE START trebuie să solicite consimțământul persoanelor vizate în fromă scrisă clară și concisă. Orice astfel de solicitare ar trebui să includă scopul inițial pentru care au fost colectate datele și, de asemenea, scopul (scopurile) nou (noi) sau suplimentar(e). Solicitarea trebuie să includă și motivul modificării scopului (scopurilor). 

Responsabilul cu Protecția Datelor este responsabil pentru respectarea regulilor din acest paragraf. În prezent și în viitor, Responsabilul cu Protectia Datelor trebuie să se asigure că metodele de colectare respectă legislația, bunele practici și standardele din domeniu. Responsabilul cu Protecția Datelor supervizeaza întocmirea și menținerea unui Registru al Notificărilor privind
Confidențialitatea.

7. Organizare și Responsabilități

 

Responsabilitatea pentru asigurarea unei prelucrări adecvate a datelor cu caracter personal revine oricărei persoane care lucrează pentru sau cu ASOCIAȚIA ABA LIFE START și care are acces la datele cu caracter personal prelucrate de către ASOCIAȚIA ABA LIFE START.

Domeniile cheie ale responsabilităților pentru prelucrarea datelor cu caracter personal aparțin următoarelor roluri organizaționale:

Administratorul ia hotărâri și aprobă strategiile generale ale organizației privind protecția datelor cu caracter personal.

Responsabilul cu Protecția Datelor (DPO) este responsabil cu gestionarea programului de protecție a datelor cu caracter personal și este responsabil pentru dezvoltarea și promovarea politicilor de protecție a datelor cu caracter personal pe tot fluxul, după cum este definit în Fișa Postului pentru Responsabilul cu Protecția Datelor;

Administratorul împreună cu Responsabilul cu Protecția Datelor, monitorizează și analizează legile privind datele cu caracter personal și modificările aduse reglementărilor, dezvoltă cerințele de conformitate și asistă conducerea ASOCIAȚIA ABA LIFE START în atingerea obiectivelor lor privind Datele cu caracter personal.

Administratorul, este responsabil pentru:

  • Asigurarea faptului că toate sistemele, serviciile și echipamentele utilizate pentru stocarea datelor respectă standardele de securitate acceptabile.
  • Efectuarea de controale și scanări periodice pentru a se asigura că hardware-ul și software-ul de securitate funcționează în mod corect.

Responsabilul cu Protecția Datelor (DPO), este responsabil pentru:

  • Avizarea modelelor declarațiilor de protecție a datelor atașate la comunicări, cum ar fi e-mailurile și adresele.
  • Avizarea oricăror întrebări referitoare la protecția datelor de la jurnaliști sau mass-media, cum ar fi ziarele.

Serviciul (externalizat) de Contabilitate &Resurse Umane este responsabil pentru:

  • Îmbunătățirea gradului de informare a angajaților cu privire la protecția datelor cu caracter personal ale utilizatorilor.
  • Organizarea cursurilor de instruire de expertiză și conștientizare în ceea ce privește Datele cu caracter personal, pentru angajații care lucrează cu date cu caracter personal.
  • Protecția datelor cu caracter personal ale angajaților pe tot fluxul. Trebuie să se asigure că datele cu caracter personal ale angajaților sunt prelucrate pe baza scopurilor și necesităților de afaceri legitime ale angajatorului.

Administratorul este responsabil de transmiterea către furnizori a responsabilităților privind protecția datelor cu caracter personal și de îmbunătățirea gradului de conștientizare a furnizorilor în ceea ce privește protecția datelor cu caracter personal, precum și de reducerea fluxului de date cu caracter personal către orice terță parte furnizor pe care o utilizează. Administratorul trebuie să se asigure că ASOCIAȚIA ABA LIFE START își rezervă dreptul de a audita furnizorii.

8. Răspuns la Incidentele de Încălcare a Datelor cu Caracter Personal

Atunci când ASOCIAȚIA ABA LIFE START ia cunoștință de o situație suspectă sau o încălcare reală a datelor cu caracter personal, Responsabilul cu Protectia Datelor cu caracter peronal trebuie să efectueze o investigație internă și să ia măsurile de remediere adecvate la timp, în conformitate cu Procedura privind încălcarea securității datelor. 

În cazul în care există riscuri pentru drepturile și libertățile persoanelor vizate, ASOCIAȚIA ABA LIFE START trebuie să notifice fără întârziere autoritățile competente pentru protecția datelor dacă este posibil, în termen de 72 de ore.

9. Audit și Răspundere

 

Responsabilul cu protectia datelor va face auditarea modului în care se implementează această politică în cadrul organizației.
Orice angajat care încalcă această Politică va face obiectul unor măsuri disciplinare, iar angajatul poate fi, de asemenea, supus unor obligații civile sau penale, în cazul în care comportamentul său încalcă legile sau regulamentele.

10.Conflicte de Lege

Această Politică este destinată să respecte legile și reglementările țării unde are sediul ASOCIAȚIA ABA LIFE START.

În eventualitatea unui conflict între această Politică și legile și reglementările aplicabile, acestea din urmă prevalează.

11.Managementul înregistrărilor ținute în baza acestui document

 

12.Evidența activităților de prelucrare a datelor cu caracter personal

 

ASOCIAȚIA ABA LIFE START va păstra o evidență a activităților de prelucrare a datelor cu caracter personal sub forma unui registru, care va conține următoarele informații:

  • numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale Responsabilului cu Protecția Datelor;
  • scopurile prelucrării;
  • o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
  • categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
  • dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor către o țară terță, documentația care dovedește existența unor garanții adecvate;
  • acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
  • acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate.

Evidența prelucrării va fi păstrată de ASOCIAȚIA ABA LIFE START atat pentru prelucrările realizate în calitate de operator, cat și pentru prelucrările realizate ca împuternicit. În acest ultim caz, registrul va conține informațiile reglementate la punctele b), e) și g) de mai sus, precum și datele operatorului și, dacă este aplicabil, ale reprezentantului acestuia.

Registrul de date cu caracter personal va fi verificat periodic de Responsabilul cu Protecția Datelor.

13.Validitate și managementul document

 

Prezentul document este valabil începând cu data aprobării de către presedintele Asociației ABA LIFE START.

Deținătorul acestui document este responsabilul cu prelucrarea datelor cu caracter personal care trebuie să verifice și, dacă este necesar, să actualizeze documentul cel puțin o dată pe an.

Asociația ABA LIFE START
SAMSON ANDA