I INTRODUCERE
Aceasta Politica privind prelucrarea si protectia datelor cu caracter personal (denumita in continuare “Politica”) defineste procedura de prelucrare si protectie a datelor cu caracter personal in NEW BUSINESS DIMENSIONS S.R.L., societate cu raspundere limitata organizata si functionand in conformitate cu prevederile din Romania, cu sediul in Romania, Bucuresti, Sos. Orhideelor nr. 15A, etajul 9, sector 6, inregistrata la Registrul Comertului Bucuresti sub nr. J40/7003/2010, CUI RO27202001 (denumita in continuare “NEW BUSINESS DIMENSIONS S.R.L.” sau “Operator”), si stabileste procedurile care vizeaza prevenirea si evidentierea oricaror incalcari ale legii aplicabile cu privire la datele cu caracter personal.
Aceasta Politica a fost elaborata in conformitate cu legislatia Romaniei si a Uniunii Europene, cu urmatoarele documente:
Regulamentul General de Protectia Datelor (RGPD), adoptat de Parlamentul European si de Consiliul European la 27 Aprilie 2016;
Legislatia in vigoare privind protectia datelor cu caracter personal ce se aplica in Romania.
SCOPUL POLITICII DE PROTECTIE A DATELOR
Scopurile principale:
Stabilirea unei proceduri, precum si a termenilor si conditiilor privind prelucrarea datelor cu caracter personal, inclusiv procedurile care vizeaza prevenirea incalcarii legilor si procedurilor de realizare a controlului intern in conformitate cu legislatia aplicabila privind datele cu caracter personal;
Prezentarea personalului NEW BUSINESS DIMENSIONS S.R.L responsabil cu prelucrarea datelor cu caracter personal a Politicii aplicabile cu privire la datele cu caracter personal si a cerintelor New Business Dimensions privind prelucrarea datelor cu caracter personal;
Stabilirea responsabilitatilor pentru personalul care prelucreaza datele cu caracter personal in cazul nerespectarii legii aplicabile privind datele cu caracter personal.
Respectarea dreptului subiectilor de a fi informati asupra modalitatii in care se prelucreaza datele lor cu caracter personal.
Astfel, scopul acestei Politici este sa explice care sunt datele cu caracter personal pe care le prelucram, de ce le prelucram, precum si ce facem cu acestea. Avand in vedere faptul ca informatiile personale apartin fiecarui utilizator, facem tot posibilul sa le stocam in siguranta si sa le prelucram cu atentie. Nu oferim informatii unor parti terte fara a ne indeplini obligatia prealabila de informare.
II DOMENIUL DE APLICARE SI MODIFICAREA POLITICII DE PROTECTIE A DATELOR
Aceasta politica de protectie a datelor se aplica NEW BUSINESS DIMENSIONS S.R.L si angajatilor companiei. Politica privind protectia datelor se extinde la toate prelucrarile de date cu caracter personal.
Cea mai recenta versiune a politicii de protectie a datelor poate fi accesata cu informatiile privind confidentialitatea datelor pe site-ul NEW BUSINESS DIMENSIONS SRL: www.nbd.ro.
IV DEFINITII DE BAZA
In sensul prezentei Politici, se folosesc urmatoarele definitii:
“Responsabil cu Protectia Datelor ” inseamna o persoana care este responsabila cu monitorizarea aplicarii RGPD si a altor legi aplicabile privind protectia persoanelor vizate de prelucrarea datelor cu caracter personal si care exercita functiile care ii sunt atribuite de prezenta Politica si de alta legislatie aplicabila, furnizeaza consultanta managementului NEW BUSINESS DIMENSIONS S.R.L.
“Date cu caracter personal” inseamna orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale ale acelei persoane;
“Prelucrare” inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea
“Restrictionarea prelucrarii” inseamna marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
“Creare de Profiluri” inseamna orice forma de prelucrare automata a datelor cu caracter personal care consta in utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizica, in special pentru a analiza sau prevedea aspecte privind performanta la locul de munca, situatia economica, sanatatea, preferintele personale, interesele, fiabilitatea, comportamentul, locul in care se afla persoana fizica respectiva sau deplasarile acesteia;
“Operator” inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal. In sensul prezentei Politici, prin operator de intelege NEW BUSINESS DIMENSIONS S.R.L;
“Persoana imputernicita de operator” inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului;
“Destinatar” inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism careia (caruia) ii sunt divulgate datele cu caracter personal, indiferent daca este sau nu o parte terta;
“Parte terta” inseamna o persoana fizica sau juridica, autoritate publica, agentie sau organism altul decat persoana vizata, operatorul, persoana imputernicita de operator si persoanele care, sub directa autoritate a operatorului sau a persoanei imputernicite de operator, sunt autorizate sa prelucreze date cu caracter personal;
“Consimtamant” al persoanei vizate inseamna orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate;
“Incalcarea securitatii datelor cu caracter personal” inseamna o incalcare a securitatii care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, sau la accesul neautorizat la acestea;
“Date privind sanatatea” inseamna date cu caracter personal legate de sanatatea fizica sau mentala a unei persoane fizice, inclusiv prestarea de servicii de asistenta medicala, care dezvaluie informatii despre starea de sanatate a acesteia;
“Prelucrarea transfrontaliera” inseamna fie prelucrarea datelor cu caracter personal care are loc in contextul activitatilor sediilor din mai multe state membre ale unui operator sau ale unei persoane imputernicite de operator pe teritoriul Uniunii, daca operatorul sau persoana imputernicita de operator are sedii in cel putin doua state membre; sau fie prelucrarea datelor cu caracter personal care are loc in contextul activitatilor unui singur sediu al unui operator sau al unei persoane imputernicite de operator pe teritoriul Uniunii, dar care afecteaza in mod semnificativ sau este susceptibila de a afecta in mod semnificativ persoane vizate din cel putin doua state membre.
III. PRINCIPII DE PRELUCRARE A DATELOR CU CARACTER PERSONAL
Corectitudinea si legalitatea
NEW BUSINESS DIMENSIONS S.R.L protejeaza drepturile individuale ale persoanelor fizice (“Persoana vizata”) cu ocazia prelucrarii datelor cu caracter personal, datele cu caracter personal fiind colectate si prelucrate in mod legal si corect.
“Legalitatea” – presupune identificarea bazei legale inainte de prelucrarea datelor cu caracter personal. Acestea sunt denumite adesea „conditiile de prelucrare”, de exemplu, consimtamantul.
“Corectitudinea” – pentru ca prelucrarea datelor sa fie corecta, operatorul de date trebuie sa faca anumite informatii disponibile pentru Persoanele vizate. Aceasta se aplica indiferent daca datele cu caracter personal au fost obtinute direct de la persoanele vizate sau din alte surse.
Restrictii la un anumit scop („limitari legate de scop”)
Datele cu caracter personal sunt prelucrate numai in scopul definit inainte de inceperea colectarii datelor. Modificarile ulterioare ale scopului sunt posibile doar cu titlu exceptional, intr-o masura limitata si necesita o fundamentare.
Transparenta
Persoana vizata este informata cu privire la modul in care sunt prelucrate datele sale. In general, datele cu caracter personal sunt colectate direct de la persoana in cauza. Atunci cand datele sunt colectate, Persoana vizata trebuie sa fie constienta sau sa fie informata despre:
Identitatea Operatorului de Date,
Scopul prelucrarii datelor,
Terte parti sau categorii de terte parti carora le-ar putea fi transmise datele.
Reducerea prelucrarii datelor si economia colectarii datelor („reducerea la minimum a datelor”);
Inainte de prelucrarea datelor cu caracter personal, trebuie determinat daca si in ce masura prelucrarea datelor cu caracter personal este necesara pentru atingerea scopului pentru care este efectuata. Acolo cand scopul permite acest lucru si unde cheltuielile implicate sunt proportionale cu scopul urmarit, sunt utilizate date anonime sau statistice. Datele cu caracter personal nu sunt colectate in avans si stocate in scopuri potentiale viitoare, cu exceptia cazului in care acest lucru este impus sau permis de legislatia in nationala.
Stergerea
Datele personale care nu mai sunt necesare dupa expirarea perioadelor legate de procesele legale sau de afaceri sunt sterse. In cazul in care sunt identificate indicii cu privire la existenta unor interese care necesita protejarea sau legate de importanta istorica a acestor date in cazuri individuale, este posibil ca NEW BUSINESS DIMENSIONS SRL sa pastreze datele pana cand interesele care merita protejate au fost clarificate in mod legal, sau arhiva corporativa a evaluat datele pentru a determina daca trebuie pastrate in scopuri istorice/ arhivistice. In situatia in care stergerea datelor poate avea impact asupra sistemelor informatice ale NEW BUSINESS DIMENSIONS SRL, datele vor fi anonimizate ireversibil, astfel incat sa nu mai existe indicii care sa poata conduce la identificarea persoanei vizate.
Exactitatea si acuratetea datelor
Datele cu caracter personal trebuie sa fie corecte, complete si, daca este necesar, sa fie actualizate. NEW BUSINESS DIMENSIONS S.R.L ia masuri adecvate pentru a se asigura ca datele eronate sau incomplete sunt sterse, corectate, completate sau actualizate.
Confidentialitatea si securitatea datelor („integritate si confidentialitate”).
Datele cu caracter personal sunt supuse obligatiilor legale de pastrare a secretului datelor. Acestea trebuie sa fie tratate ca fiind confidentiale de fiecare angajat al NEW BUSINESS DIMENSIONS S.R.L si sunt asigurate masuri organizatorice si tehnice adecvate pentru a preveni accesul neautorizat, prelucrarea sau distributia ilegala, precum si pierderea accidentala, modificarea sau distrugerea.
IV. TEMEIURILE PRELUCRARII DATELOR
Colectarea, prelucrarea si utilizarea datelor cu caracter personal este permisa numai in temeiurile enumerate mai jos:
Date despre clienti si parteneri
Prelucrarea datelor pentru executarea unui contract
Datele personale ale persoanelor de contact si reprezentantilor clientilor, furnizorilor si partenerilor pot fi procesate pentru a stabili, executa si inceta un contract. Inainte desemnarea contractului – in timpul fazei de initiere a contractului – datele personale pot fi prelucrate pentru a pregati ofertele sau comenzile de cumparare sau pentru a indeplini alte cerinte din perspectiva care se refera la incheierea contractului. Persoanele de contact pot fi contactate in timpul procesului de pregatire a contractului, utilizand doar informatiile pe care acestea le-au furnizat pentru contactare. Orice restrictii solicitate de persoanele de contact respective trebuie sa fie respectate.
Consimtamantul ca temei al prelucrarii datelor
Atunci cand este necesar consimtamantul persoanelor vizate, Datele pot fi prelucrate dupa primirea acordului persoanei vizate. Consimtamantul trebuie obtinut in scris sau in format electronic in scopul documentarii. In anumite circumstante, cum ar fi conversatiile telefonice, consimtamantul poate fi dat verbal. Este obligatorie documentarea acordarii consimtamantului.
Prelucrarea datelor in conformitate cu obligatia legala
Prelucrarea datelor cu caracter personal este permisa si in cazul in care legislatia aplicabila solicita, impune sau permite acest lucru. Tipul si amploarea procesarii datelor trebuie sa fie necesare pentru activitatea legala de prelucrare a datelor si trebuie sa respecte dispozitiile legale relevante.
Prelucrarea datelor in conformitate cu interesele legitime
Datele cu caracter personal pot fi procesate si in cazul in care acest lucru este necesar pentru un interes legitim al NEW BUSINESS DIMENSIONS S.R.L. Interesele legitime sunt in general de natura juridica (de exemplu, colectarea creantelor restante) sau comerciale (de exemplu, evitarea incalcarilor contractului). Datele cu caracter personal nu pot fi prelucrate in scopul unui interes legitim daca, in cazuri individuale, exista dovezi conform carora interesele persoanei vizate merita protectie si ca aceasta are prioritate. Inainte de prelucrarea datelor, este necesar sa se determine daca exista interese care merita protejate.
Prelucrarea datelor sensibile
NEW BUSINESS DIMENSIONS S.R.L nu prelucreaza nicio informatie referitoare la rasa, natiune, opinii politice, credinte religioase sau filosofice, intimitate, viata privata.
Datele cu caracter personale sensibile pot fi prelucrate numai daca legea impune acest lucru sau daca persoana vizata si-a dat consimtamantul in mod expres. Aceste date pot fi, de asemenea, prelucrate daca o asemenea prelucrare este obligatorie pentru recunoasterea, exercitarea sau apararea drepturilor legale referitoare la persoana vizata.
Daca datele cu caracter personal sunt colectate, prelucrate si utilizate pe site-uri web sau in aplicatii, persoanele vizate trebuie sa fie informate despre aceasta printr-o declaratie de confidentialitate si, daca este cazul, sa i se puna la dispozitie informatii despre cookie-uri. Declaratia de confidentialitate si orice informatie privind modulele cookie trebuie sa fie integrate astfel incat sa fie usor de identificat, direct accesibile si disponibile in mod consecvent pentru persoanele vizate.
Datele angajatului/viitorilor angajati
Prelucrarea datelor pentru relatia contractuala de munca
In relatiile de munca, datele cu caracter personal pot fi prelucrate, daca este necesar, pentru initierea, executarea si incetarea contractului de munca. La initierea unui raport de munca, datele personale ale solicitantilor vor fi procesate. In cazul in care candidatul este respins, datele sale trebuie sterse in conformitate cu perioada de pastrare necesara, cu exceptia cazului in care solicitantul a fost de acord sa ramana la dosar pentru un viitor proces de selectie pentru o perioada de 12 luni de la data aplicarii.
In raportul de munca existent, prelucrarea datelor trebuie sa se refere intotdeauna la scopul contractului de munca daca nu se aplica niciuna dintre urmatoarele circumstante pentru prelucrarea datelor autorizate.
Daca in timpul procedurii de solicitare ar trebui sa fie necesara colectarea de informatii despre un solicitant de la o terta parte, trebuie respectate cerintele legilor nationale corespunzatoare. In caz de indoiala, trebuie obtinut un acord de la persoana vizata.
Trebuie sa existe o autorizatie legala pentru prelucrarea datelor cu caracter personal care au legatura cu relatia de munca, dar care nu a facut parte initial din executarea contractului de munca. Acestea pot include cerinte legale, reglementari colective cu reprezentantii angajatilor, consimtamantul angajatului sau interesul legitim al companiei.
Prelucrarea datelor in conformitate cu obligatia legala
Prelucrarea datelor personale ale angajatilor este permisa si in cazul in care legislatia nationala solicita si impune acest lucru. Tipul si amploarea procesarii datelor trebuie sa fie necesare pentru activitatea legala de prelucrare a datelor si trebuie sa respecte dispozitiile legale relevante. Daca exista o anumita flexibilitate juridica, trebuie luate in considerare interesele angajatului care merita protejate.
Consimtamantul la prelucrarea datelor
Acolo unde este necesar, Datele angajatului pot fi prelucrate dupa consimtamantul persoanei in cauza. Declaratiile de consimtamant trebuie prezentate in mod voluntar. Acordul involuntar este nul. Declaratia de consintamant trebuie obtinuta in scris sau in format electronic si va fi pastrata de operator. In anumite circumstante, consimtamantul poate fi dat verbal, caz in care trebuie sa fie documentat ulterior corespunzator. In cazul furnizarii informate si voluntare de date de catre partea relevanta, se poate presupune existenta unui acord, daca legislatia nationala nu solicita consimtamantul expres.
Prin „consimtamant” se intelege ca persoana vizata si-a dat acordul pentru prelucrarea datelor cu caracter personal cu privire la propria persoana.
Prelucrarea datelor in baza unui interes legitim
Datele personale pot fi procesate si in cazul in care este necesar sa se impuna un interes legitim al NEW BUSINESS DIMENSIONS S.R.L. Interesele legitime sunt in general de natura juridica (de exemplu, colectarea creantelor neachitate, depunerea, aplicarea sau apararea impotriva unor actiuni legale) sau financiare (de exemplu, evaluarea intreprinderilor).
Datele cu caracter personal nu pot fi prelucrate pe baza unui interes legitim daca, in cazuri individuale, exista dovezi ca interesele angajatului merita protectie. Inainte de procesarea datelor, trebuie sa se determine daca exista interese care merita protejate.
Prelucrarea datelor personale sensibile
Datele personale sensibile pot fi procesate numai in anumite conditii. Datele personale sensibile sunt date despre originea rasiala si etnica, convingerile politice, convingerile religioase sau filozofice, calitatea de membru al unei uniuni/formatiuni si sanatatea si viata sexuala a persoanei vizate. In conformitate cu legislatia nationala, alte categorii de date pot fi considerate sensibile sau continutul categoriilor de date poate fi completat diferit. Mai mult, datele care se refera la o infractiune pot fi procesate numai in conformitate cu cerintele speciale din legislatia nationala.
Prelucrarea trebuie permisa in mod expres sau prescrisa de legislatia nationala. In plus, prelucrarea poate fi permisa daca este necesar ca autoritatea responsabila sa isi indeplineasca drepturile si obligatiile in domeniul dreptului muncii. Angajatul poate, de asemenea, sa consimta in mod expres prelucrarea.
Telecomunicatii si internet
Echipamentele telefonice, adresele de e-mail, internetul impreuna cu retelele sociale interne sunt furnizate de companie in primul rand pentru misiuni legate de munca. Ele sunt un instrument si o resursa a companiei. Acestea pot fi utilizate in cadrul reglementarilor legale aplicabile si al politicilor interne ale companiei. In cazul utilizarii autorizate in scopuri personale, legile privind secretul telecomunicatiilor si legile nationale privind telecomunicatiile trebuie sa fie respectate, daca este cazul.
Pentru a asigura confidentialitatea, integritatea si disponibilitatea datelor, NEW BUSINESS DIMENSIONS S.R.L poate implementa masuri de protectie automate, inclusiv analiza traficului, in vederea detectarii vectorilor sau modelelor de atac si prevenirii acestora, ca si in cazul raspunsului la incidentele de securitate informatica.
Pentru asigurarea unui grad ridicat al securitatii informatice si in vederea solutionarii incidentelor de securitate informatica, utilizarea echipamentelor telefonice, a adreselor de e-mail, a retelelor intranet / internet si a retelelor sociale interne poate fi inregistrata pentru o perioada temporara.
Evaluarile acestor date si identificarea/profilarea unei anumite persoane poate fi facuta doar intr-un caz concret si justificat de incalcari suspectate a legilor in vigoare sau politicilor NEW BUSINESS DIMENSIONS S.R.L. Evaluarile pot fi efectuate numai de catre departamentele de investigare, asigurandu-se, in acelasi timp, respectarea principiului proportionalitatii.
NEW BUSINESS DIMENSIONS S.R.L nu va prelucra date cu caracter personal in absenta unuia dintre motivele de mai sus. Aceeasi regula se aplica, de asemenea, in cazul in care scopul colectarii, prelucrarii si utilizarii datelor cu caracter personal trebuie sa fie modificat fata de scopul initial.
NEW BUSINESS DIMENSIONS S.R.L foloseste „cookie”-uri pe site-ul sau in conformitate cu Politica de cookie existenta in site-ul societatii (un „cookie este fisier text de mici dimensiuni utilizat de un site web care, atunci cand este vizitat de un utilizator solicita browserului sa-l stocheze pe dispozitivul dvs. pentru a pastra in memorie informatii despre vizitator, precum si preferintele acestuia de limba sau informatii de conectare”
V. TRANSMITEREA DATELOR CU CARACTER PERSONAL
Transmiterea datelor cu caracter personal catre destinatarii din afara sau in interiorul NEW BUSINESS DIMENSIONS S.R.L face obiectul cerintelor de autorizare pentru prelucrarea datelor cu caracter personal in conformitate cu sectiunea 5. Beneficiarul datelor trebuie sa fie obligat sa utilizeze datele numai in scopurile definite.
In cazul in care datele sunt transmise unui destinatar din afara NEW BUSINESS DIMENSIONS S.R.L catre o tara terta, aceasta tara trebuie sa accepte sa mentina un nivel de protectie a datelor echivalent cu aceasta politica de protectie a datelor. Acest lucru nu se aplica in cazul in care transmiterea se bazeaza pe o obligatie legala. O obligatie legala de acest tip se poate baza pe legile tarii domiciliate a societatii Grupului care transmite datele. In subsidiar, legile tarii domiciliate a societatii din grup pot recunoaste scopul transmiterii datelor in baza obligatiei legale a unei tari terte.
In cazul in care datele sunt transmise de o terta parte NEW BUSINESS DIMENSIONS S.R.L, trebuie sa se asigure ca datele pot fi utilizate in scopul dorit.
VI. PRELUCRAREA DATELOR PRIVIND CONTRACTELE
Prelucrarea datelor in numele sau inseamna ca un furnizor este angajat sa proceseze date cu caracter personal, fara a-si asuma responsabilitatea pentru procesul de afaceri afiliat. In aceste cazuri, un acord privind prelucrarea datelor in numele acestuia trebuie incheiat cu furnizori externi si NEW BUSINESS DIMENSIONS S.R.L. Clientul isi pastreaza intreaga responsabilitate pentru performanta corecta a procesarii datelor. Furnizorul poate procesa date personale numai conform instructiunilor clientului. La emiterea ordinului, departamentul care plaseaza comanda trebuie sa se asigure ca sunt indeplinite urmatoarele cerinte:
Furnizorul trebuie ales pe baza capacitatii sale de a acoperi masurile tehnice si organizatorice de protectie necesare.
Ordinul trebuie trimis in scris. Instructiunile privind prelucrarea datelor si responsabilitatile clientului si furnizorului trebuie sa fie documentate.
Trebuie luate in considerare standardele contractuale privind protectia datelor furnizate de responsabilul cu protectia datelor.
Inainte de inceperea prelucrarii datelor, clientul trebuie sa aiba incredere ca furnizorul isi va respecta obligatiile. Un furnizor poate documenta conformitatea cu cerintele de securitate a datelor, in special prin prezentarea unei certificari adecvate.In functie de riscul de prelucrare a datelor, revizuirile trebuie repetate in mod regulat pe durata contractului.
In cazul procesarii transfrontaliere a datelor din contracte, trebuie indeplinite cerintele nationale relevante pentru divulgarea datelor cu caracter personal in strainatate. In special, datele cu caracter personal din Spatiul Economic European pot fi procesate intr-o tara terta numai daca furnizorul poate dovedi ca are un standard de protectie a datelor echivalent cu aceasta politica de protectie a datelor. Instrumentele adecvate pot fi:
Acordul privind clauzele contractuale standard ale UE pentru prelucrarea datelor din contracte in tarile terte cu furnizorul si cu orice subcontractanti.
Participarea furnizorului la un sistem de certificare acreditat de UE pentru asigurarea unui nivel suficient de protectie a datelor.
Recunoasterea regulilor corporative obligatorii ale furnizorului pentru a crea un nivel adecvat de protectie a datelor de catre autoritatile de supraveghere responsabile pentru protectia datelor.
VII. DREPTURILE PERSOANEI VIZATE
Persoana vizata ale carui date cu caracter personal sunt prelucrate de NEW BUSINESS DIMENSIONS S.R.L au urmatoarele drepturi:
Dreptul de a fi informat – sa obtina de la NEW BUSINESS DIMENSIONS S.R.L urmatoarele informatii:
identitatea si datele de contact ale NEW BUSINESS DIMENSIONS S.R.L, ale reprezentantilor, si ale responsabilului cu protectia datelor;
scopurile si temeiul juridic al prelucrarii datelor cu caracter personal, interesele legitime ale NEW BUSINESS DIMENSIONS S.R.L;
categoriile de date cu caracter personal;
destinatarii datelor cu caracter personal, inclusiv destinatarii din tari terte sau organizatii internationale (daca exista) si referirea la garantiile si mijloacele corespunzatoare;
perioada de stocare a datelor cu caracter personal si criteriile folosite pentru a determina acea perioada, sub rezerva ca NEW BUSINESS DIMENSIONS S.R.L pastreaza si prelucreaza datele cu caracter personal atata timp cat legile si reglementarile legale impun acest lucru. Prelucrarea datelor cu caracter personal inceteaza imediat daca nu mai exista niciun motiv pentru o astfel de prelucrare;
din ce sursa provin datele cu caracter personal (in cazul in care datele cu caracter personal nu au fost obtinute de la persoana vizata);
daca furnizarea de date cu caracter personal este o cerinta legala sau contractuala, sau o cerinta necesara pentru a incheia un contract, precum si daca persoana vizata este obligata sa furnizeze date cu caracter personal si a posibilelor consecinte ale neindeplinirii de furnizare a acestor date.
Dreptul de acces la datele cu caracter personal – sa obtina de la NEW BUSINESS DIMENSIONS S.R.L confirmarea daca datele cu caracter personal sunt prelucrate sau si dreptul de a primi o copie a oricarei inregistrari care contine datele sale cu caracter personal;
Dreptul la rectificare – sa obtina de la NEW BUSINESS DIMENSIONS S.R.L fara intarzieri nejustificate rectificarea unor date cu caracter personal inexacte cu privire la el/ea, completarea datelor cu caracter personal incomplete, inclusiv prin furnizarea unei declaratii suplimentare;
Dreptul la stergerea datelor (“dreptul de a fi uitat”) – sa obtina de la NEW BUSINESS DIMENSIONS S.R.L stergerea datelor cu caracter personal fara intarzieri nejustificate (daca datele cu caracter personal nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost colectate; persoana vizata isi retrage consimtamantul; datele cu caracter personal au fost prelucrare ilegal etc.);
Dreptul la restrictionarea prelucrarii daca datele cu caracter personal sunt inexacte; prelucrarea este ilegala si persoana vizata solicita restrictionarea utilizarii datelor cu caracter personal in locul stergerii lor; datele cu caracter personal nu mai sunt necesare in scopul prelucrarii, dar ele sunt solicitate pentru constatarea, exercitarea sau apararea unui drept in instanta; persoana vizata s-a opus prelucrarii pentru intervalul de timp cand se verifica daca drepturile legitime ale operatorului prevaleaza asupra celor ale persoanei vizate;
Dreptul la portabilitatea datelor – sa primeasca datele cu caracter personal intr-un format structurat, utilizat in mod curent si care poate fi citit automat si are dreptul de a transmite aceste date cu caracter personal unui alt operator fara obstacole din partea NEW BUSINESS DIMENSIONS S.R.L (daca prelucrarea se bazeaza pe consimtamant sau pe un contract, iar prelucrarea este efectuata prin mijloace automate);
Dreptul la opozitie in orice moment al prelucrarii datelor cu caracter personal (inclusiv crearea de profiluri pe baza respectivelor dispozitii si au fost date cu caracter personal prelucrate in scopuri de marketing direct);
Dreptul la retragerea consimtamantului in orice moment, fara a afecta legalitatea prelucrarii bazate pe consimtamant, inainte de retragerea sa. Astfel persoana vizata intelege si este de acord ca, in cazul retragerii, nu se poate ajunge la scopul prelucrarii datelor cu caracter personal;
Dreptul de a depune o plangere la o autoritate de supraveghere, Biroul Comisarului pentru protectia Datelor cu Caracter Personal, in cazul in care persoana vizata decide ca drepturile sale sunt incalcate;
Dreptul la o cale de atac eficienta impotriva unei autoritati de supraveghere, NEW BUSINESS DIMENSIONS S.R.L sau alt procesator;
Dreptul la despagubiri de la NEW BUSINESS DIMENSIONS S.R.L sau de la un alt procesator pentru prejudiciul suferit.
VIII. CONFIDENTIALITATEA PROCESARII
Datele personale sunt considerate infromatii confidentiale si vor fi tratate ca atare. Orice colectare, prelucrare sau utilizare neautorizata a acestor date de catre angajati este interzisa. Prelucrarea datelor cu caracter personal este confidentiala. Ea va fi efectuata numai de persoanele care actioneaza sub autoritatea NEW BUSINESS DIMENSIONS S.R.L si numai pe baza instructiunilor acesteia.
Orice procesare de date efectuata de un angajat, care nu a fost autorizata sa fie desfasurata ca parte a indatoririlor sale legitime, este considerate ca fiind neautorizata. Se aplica principiul “necesitatea de a cunoaste”. Angajatii pot avea acces la informatii personale in functie de adecvarea acestui acces la tipurile de date si de scopul determinat. Acest lucru se bazeaza pe defalcarea si separarea atenta a atributiilor angajatilor NEW BUSINESS DIMENSIONS S.R.L si presupune punerea in aplicare a rolurilor si responsabilitatilor pentru fiecare angajat.
Angajatilor li se interzice sa utilizeze date cu caracter personal in scopuri private sau comerciale, sa le dezvaluie persoanelor neautorizate sau sa le puna la dispozitie in orice alt mod. Superiorii ierarhici isi informeaza angajatii la inceputul relatiei de munca cu privire la obligatia de a proteja secretul datelor.
In cazul utilizarii neautorizate a datelor personale, angajatii pot fi sanctionati in conformitate cu legislatia aplicabila si cu reglementarile in vigoare in cadrul NEW BUSINESS DIMENSIONS S.R.L
Obligatia mentinerii confidentialitatii datelor personale ramane in vigoare si dupa incheierea perioadei de angajare, sanctiunile aplicabile in caz de incalcare a obligtiei de confidentialitate fiind cele prevazute de cadrul legislativ in vigoare.
IX. SECURITATEA PRELUCRARII
Datele personale sunt protejate impotriva accesului neautorizat si impotriva prelucrarii sau divulgarii ilegale, precum si pierderii accidentale, modificarii sau distrugerii. Acest lucru se aplica indiferent daca datele sunt prelucrate electronic, pe suport de hartie sau prin alte mijloace. Inainte de introducerea noilor metode de prelucrare a datelor, in special a noilor sisteme informatice, sunt definite si implementate masuri tehnice si organizatorice de protectie a datelor cu caracter personal. Aceste masuri trebuie sa se bazeze pe stadiul tehnicii, pe riscurile procesarii si pe necesitatea de a proteja datele (determinate de procesul de clasificare a informatiilor).
In special, structura organizatorica responsabila se poate consulta cu Ofiterul de Securitate a Informatiei si cu responsabilul pentru protectia datelor. Masurile tehnice si organizatorice pentru protectia datelor personale fac parte din managementul securitatii informatiilor corporative si sunt adaptate in mod continuu la evolutiile tehnice si schimbarile organizationale.
Accesul la datele cu caracter personal este oferit numai acelor angajati ai NEW BUSINESS DIMENSIONS S.R.L care au nevoie de astfel de date cu caracter personal pentru a-si indeplini sarcinile legate de oricare dintre scopurile prelucrarii mentionate mai sus (inclusiv departamentul resurse umane, departamentul Juridic, departamentul Financiar, IT, Administrativ). Orice acces la datele cu caracter personal pentru alti angajati care nu au drepturi de accesare in conformitate cu prezenta Politica este interzis.
Angajatii NEW BUSINESS DIMENSIONS S.R.L care au acces la datele cu caracter personal au dreptul sa prelucreze numai acele date de care au nevoie pentru a-si indeplini responsabilitatile specifice de munca legate de oricare dintre scopurile de prelucrare mentionate mai sus.
Documentele care contin date cu caracter personal sunt stocate in departamentele structurale ale NEW BUSINESS DIMENSIONS S.R.L ai caror angajati au acces la datele cu caracter personal legat de indeplinirea atributiilor lor oficiale si sunt responsabili de interactiunea datele relevante ale persoanei vizate.
O persoana care prelucreaza date cu caracter personal in numele NEW BUSINESS DIMENSIONS S.R.L respecta principiile si regulile de prelucrare a datelor cu caracter personal stabilite prin prezenta Politica.
Daca NEW BUSINESS DIMENSIONS S.R.L autorizeaza o alta persoana cu prelucrarea datelor cu caracter personal, NEW BUSINESS DIMENSIONS S.R.L este responsabila fata de persoana vizata de prelucrarea datelor cu caracter personal pentru faptele sau omisiunile acelei persoane. O persoana care prelucreaza date cu caracter personal in numele NEW BUSINESS DIMENSIONS S.R.L este responsabila fata de NEW BUSINESS DIMENSIONS S.R.L.
Toate datele cu caracter personal trebuie sa fie tratate cu cea mai inalta securitate si trebuie pastrate:
intr-o camera inchisa cu cheia cu acces controlat; si/sau
intr-un sertar sau dulap inchis cu cheia; si/sau
daca sunt computerizate, parola protejata conform cerintelor din politica de control al accesului; si/sau
stocate in medii de calculator (detasabile) care sunt criptate in conformitate standardele in domeniu;
X. CONTROLUL PROTECTIEI DATELOR
Respectarea politicii de protectie a datelor si a legilor aplicabile privind protectia datelor este verificata in mod regulat prin intermediul auditurilor de protectie a datelor precum si al altor controale. Realizarea acestor controale este responsabilitatea responsabilului cu protectia datelor, a coordonatorilor de protectie a datelor si a altor unitati ale grupului cu drepturi de audit sau a auditorilor externi angajati.
Rezultatele controalelor privind protectia datelor sunt raportate responsabilului cu protectia datelor. Managementul NEW BUSINESS DIMENSIONS S.R.L este informat despre rezultatele primare ca parte a sarcinilor de raportare ale responsabilului cu protectia datelor cu caracter personal. La cerere, rezultatele controalelor privind protectia datelor vor fi puse la dispozitia autoritatii responsabile de protectia datelor. Autoritatea responsabila cu protectia datelor poate efectua propriile controale de conformitate cu reglementarile din aceasta politica, conform legislatiei nationale.
Ca o completare a celor expuse mai sus, NEW BUSINESS DIMENSIONS S.R.L detine o certificare a Sistemului de Management al Securitatii Informatiei conform standardului ISO 27001 si este auditata periodic.
XI. RETINEREA SI ELIMINAREA DATELOR
NEW BUSINESS DIMENSIONS S.R.L nu va pastra Datele personale intr-o forma care permite identificarea persoanelor vizate pentru o perioada mai lunga decat este necesar, in legatura cu scopurile pentru care datele au fost colectate initial.
NEW BUSINESS DIMENSIONS S.R.L poate stoca datele perioade mai lungi conform termenelor imperative de prescriptive aplicabile si cu implementarea unor masuri tehnice si organizationale adecvate pentru a proteja drepturile si libertatile Persoanelor vizate.
Datele personale trebuie sa fie eliminate in siguranta in conformitate cu al saselea principiu al GDPR – prelucrate intr-un mod adecvat pentru a mentine securitatea, cu protejarea „drepturilor si libertatilor” persoanelor vizate. Orice eliminare a datelor va fi efectuata in conformitate cu procedura de eliminare sigura.
XII. INCIDENTE DE PROTECTIE A DATELOR
Toti angajatii sunt obligati sa informeze imediat superiorul sau Coordonatorul cu Protectia Datelor (DPC) cu privire la cazurile de incalcare a acestei politici de protectie a datelor sau alte reglementari privind protectia datelor cu caracter personal (incidente de protectie a datelor), indiferent daca este vorba despre o incalcare a confidentialitatii, a integritatii datelor sau a disponibilitatii acestora. Conducatorul structurii organizatorice este obligat sa informeze imediat Coordonatorul cu Protectia Datelor (DPC) cu privire la incidentele de protectie a datelor.
In cazurile de:
Transmitere necorespunzatoare a datelor cu caracter personal catre terte parti,
Acces neadecvat la datele cu caracter personal sau
Pierdere, distrugere sau alterare a datelor cu caracter personal,
conducatorul structurii organizationale in cauza intocmeste, de urgenta, rapoartele de sesizare, conform regulilor de stabilite pentru Gestionarea Incidentelor de Securitate a Informatiilor, astfel incat sa poata fi luate masurile urgente pentru limitarea afectarii titularilor de date cu caracter personal si pentru respectarea obligatiilor de raportare si notificare a incidentelor catre autoritatea de supraveghere.
XIII. RESPONSABILITATI SI SANCTIUNI
Conducerea NEW BUSINESS DIMENSIONS S.R.L precum si angajatii si prepusii acestora sunt responsabili de prelucrarea datelor in zona lor de responsabilitate. Prin urmare, acestia sunt obligati sa se asigure ca sunt indeplinite cerintele legale pentru protectia datelor si cele continute in politica de protectie a datelor (de exemplu, obligatiile nationale de raportare). Organele de conducere au responsabilitatea de a se asigura ca exista masuri organizationale, resurse umane si tehnice pentru ca orice prelucrare a datelor sa fie efectuata in conformitate cu protectia datelor. Respectarea acestor cerinte reprezinta responsabilitatea conducatorilor de structuri organizatorice.
Responsabilul cu Protectia Datelor de la nivelul NEW BUSINESS DIMENSIONS S.R.L este informat de indata despre controalele efectuate de autoritatile de supraveghere cu privire la protectia a datelor.
Responsabilul cu Protectia Datelor este persoana de contact local din cadrul NEW BUSINESS DIMENSIONS S.R.L Acesta poate efectua verificari si familiarizeaza angajatii NEW BUSINESS DIMENSIONS S.R.L cu continutul politicilor de protectie a datelor. Departamentele responsabile de procesele si proiectele de afaceri informeaza in timp util Coordonatorul cu Protectia Datelor (DPC) cu privire la noile prelucrari de date cu caracter personal. Pentru planurile de prelucrare a datelor care pot prezenta riscuri speciale pentru drepturile individuale ale persoanelor vizate, Coordonatorul cu Protectia Datelor (DPC) sunt informati inainte de inceperea procesarii. Acest lucru se aplica in mod obligatoriu datelor cu caracter personal sensibile. Managerii se asigura ca angajatii lor sunt suficient de instruiti in protectia datelor.
Prelucrarea necorespunzatoare a datelor cu caracter personal sau alte incalcari ale legilor privind protectia datelor pot conduce la cereri de despagubire pentru prejudicii. Incalcarile pentru care angajatii individuali sunt responsabili pot conduce la sanctiuni prevazute in dreptul muncii.
Responsabilul de Protectia Datelor
Orice persoana vizata poate aborda Responsabilul cu Protectia Datelor, in orice moment sa ridice preocupari, sa puna intrebari, sa solicite informatii sau sa depuna plangeri legate de protectia datelor sau de problemele de securitate a datelor. Daca se solicita, preocuparile si plangerile vor fi tratate in mod confidential.
In cazul in care coordonatorul de date in cauza nu poate rezolva o plangere sau remedia incalcarea politicii de protectie a datelor, Responsabilul cu Protectia Datelor este consultat de indata. Deciziile luate de Responsabilul cu Protectia Datelor pentru remedierea incalcarilor privind protectia datelor trebuie sa fie sustinute de conducerea societatii in cauza. Anchetele autoritatilor de supraveghere sunt intotdeauna raportate responsabilului cu protectia datelor.
Prezenta Politica intra in vigoare la data de 01.08.2022.
Contact:
New Business Dimensions SRL
Orhideea Towers, Turnul de Nord, Soseaua Orhideelor, nr. 15A, etajul 9, 060071, Bucuresti, Romania
Tel: +40 31 426 0259
Email: office@nbd.ro