POLITICA PRIVIND PROTECTIA DATELOR CU CARACTER PERSONAL

IN CADRUL SOCIETATII

S.C. RENAISSANCE PUBLIC SERVICE  S.R.L.

1.DOCUMENTE DE REFERINTA

  • Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice în ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE;
  • Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private în sectorul comunicatiilor electronice;
  • Legislatia secundară – decizii ale Autoritătii Nationale pentru Supravegherea Prelucrării Datelor cu Caracter Personal (în continuarea “ANSPDCP”).

2.OBIECTIVE

Obiectul major al politicii de protectia datelor cu caracter personal este de a asigura conformitatea cu legislatia în domeniul protectiei datelor cu caracter personal si de a minimiza riscurile prin prevenirea incidentelor de protectia datelor cu caracter personal si reducerea impactului lor potential.

Obiectivele generale privind protectia datelor cu caracter personal sunt:

  1. Cresterea încrederii clientilor în serviciile oferite de companie;
  2. Cresterea competitivitătii serviciilor prin utilizarea de tehnologii si echipamente performante pentru activitatea privind protectia datelor cu caracter personal;
  3. Dezvoltarea competentelor profesionale ale angajatilor privind protectia datelor cu caracter personal;
  4. Identificarea, analiza si evaluarea realistă a riscurilor privind datele cu caracter personal;
  5. Reducerea impactului negativ al unor potentiale riscuri privind protectia datelor cu caracter personal asupra activitătii companiei;
  6. Asigurarea demonstrării responsabilitătii S.C. Renaissance Public Service S.R.L. (în continuare „Renaissance”) privind protectia datelor cu caracter personal, în special în ceea ce priveste implementarea masurilor tehnice si organizatorice adecvate pentru a demonstra conformitatea cu Regulamentul General de Protectie a Datelor (2016/679);
  7. Îndeplinirea integrală a cerintelor privind protectia datelor cu caracter personal aplicabile solicitate de parteneri;
  8. Cresterea gradului de constientizare a importantei protectiei datelor cu caracter personal în rândul angajatilor;
  9. Asigurarea de planuri si resurse pentru supravietuirea si revenirea în cazul unor situatii de urgentă;
  10. Asigurarea unor canale eficiente de notificare ANSPDCP si persoanele vizate privind incidente de securitate în domeniul protectiei datelor.

3.SCOP

Politica de protectia datelor cu caracter personal are ca scop stabilirea cadrului pentru elaborarea regulamentelor si procedurilor care implică prelucrări de date cu caracter personal precum si pentru asigurarea conformitătii cu normele si regulamentele în vigoare aplicabile. Acestea sunt obligatorii pentru toti angajatii Renaissance, în calitate de subiecti de date cu caracter personal si detinători de date cu caracter personal.

În acest sens, în activitatea de prelucrare a datelor cu caracter personal ale persoanelor vizate, Renaissance asigură:

  • Prelucrarea datelor cu caracter personal ale persoanelor vizate ale căror date sunt colectate de către companie precum si ale angajatilor săi, în conformitate cu prevederile legale;
  • Respectarea principiilor de protectia datelor în activitătile operationale ale companiei;
  • Transparenta în legătură cu categoriile de date cu caracter personal prelucrate în cadrul companiei, precum si în legătură cu scopurile prelucrărilor si destinatarii datelor cu caracter personal;
  • Drepturile persoanelor vizate: dreptul la informare, dreptul de acces, dreptul la rectificare, dreptul la stergerea datelor, dreptul la restrictionarea prelucrării, dreptul la portabilitatea datelor, dreptul la opozitie, dreptul de a nu face obiectul unei decizii individuale bazate exclusiv pe prelucrare automată, dreptul de a depune plângere la o autoritate de supraveghere si dreptul de a se adresa justitiei;
  • Implementarea unor masuri tehnice si organizatorice adecvate pentru garantarea drepturilor si libertătilor persoanelor fizice.

Structura responsabilă din cadrul Renaissance cu gestionarea activitătii de prelucrare a datelor cu caracter personal este Responsabilul cu protectia datelor (în continuare “DPO”)Orice informare sau solicitare în legătură cu responsabilitătile DPO, asa cum acestea sunt prevăzute la capitolul 12 din prezenta politică, se va efectua către DPO la adresa dpo@rserv.ro .

4.DEFINITII

Datele cu caracter personal (date) – orice informatie referitoare la o persoană fizică identificată sau identificabilă (persoana vizată);

Categorii speciale de date cu caracter personal – orice informatie care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenta la sindicate, date genetice, date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau date privind viata sexuală sau orientarea sexuală ale unei persoane fizice;

Prelucrarea datelor cu caracter personal (prelucrare) – orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea,

structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie în orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea;

Sistem de evidentă a datelor cu caracter personal – orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii functionale sau geografice;

Persoana vizată – o persoană fizică identificabilă care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitătii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. În cadrul Renaissance se pot prelucra următoarele categorii de date, fără a se limita la acestea:

  1. Clienti – pentru datele prelucrate în scopul prestării serviciilor de service si livrare al articolelor si aparatelor electronice, în magazine specializate;
  2. Angajatii si colaboratorii Renaissance / membrii familiilor acestora – pentru datele prelucrate în scopuri de gestionarea resurselor umane;
  3. Vizitatori/angajati – pentru datele prelucrate în scopul monitorizării/asigurării securitătii persoanelor, spatiilor si/sau bunurilor publice/private;
  4. Persoane fizice, reprezentanti ai persoanelor juridice cu care Renaissance intră în contact în calitate de client/partener.

Operator – persoana fizică sau juridică, autoritatea publică, agentia sau alt organism care, singur sau împreună cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile si mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia, pot fi prevăzute în dreptul Uniunii sau în dreptul intern;

Persoana împuternicită de către operator (împuternicit) – persoana fizică sau juridică, autoritatea publică, agentia sau alt organism care prelucrează datele cu caracter personal în numele operatorului;

Persoana autorizată să prelucreze date (persoana autorizată) – operatorul sau împuternicitul sau persoanele care, sub autoritatea directă a operatorului sau a împuternicitului, sunt autorizate să prelucreze date;

Parte tertă – o persoană fizică sau juridică, autoritate publică, agentie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator si persoanele care, sub directa

autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;

Consimtământ – orice manifestare de vointă liberă, specifică, informată si lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaratie sau printr-o actiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;

Datele cu functie de identificare de aplicabilitate generală – acele numere prin care se identifică o persoană fizică în anumite sisteme de evidentă si care au aplicabilitate generală, cum ar fi: codul numeric personal, seria si numărul actului de identitate, numărul pasaportului, numărul permisului de conducere, numărul de asigurare socială sau de sănătate.

5.PRINCIPII

Prelucrările de date cu caracter personal din cadrul Renaissance se supune următoarelor principii:

  1. Legalitate, echitate si transparentă – datele vor fi prelucrate în mod legal, echitabil si transparent fată de persoana vizată;
  2. Limitări legate de scop – datele vor fi colectate în scopuri determinate, explicite si legitime si nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri;
  3. Reducerea la minimum a datelor – datele vor fi adecvate, relevante si limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;
  4. Exactitate – datele vor fi exacte si, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt sterse sau rectificate fără întârziere;
  5. Limitări legate de stocare – datele vor fi păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăseste perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare stiintifică sau istorică ori în scopuri statistice, sub rezerva punerii în aplicare a măsurilor de ordin tehnic si organizatoric adecvate;
  6. Integritate, disponibilitate si confidentialitate – datele vor fi prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protectia împotriva prelucrării neautorizate sau ilegale si împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare;
  7. Responsabilitate – datele vor fi prelucrate cu respectarea principiilor sus-mentionate, iar Renaissance va fi responsabil sa demonstreze această îndeplinire/executare.

6.REGULI GENERALE PRIVIND PRELUCRAREA

Renaissance urmăreste efectuarea prelucrărilor de date cu îndeplinirea cel putin a uneia dintre următoarele conditii de legalitate, după caz:

  1. Consimtământul – persoana vizată si-a dat consimtământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
  2. Executarea/Încheierea unui contract – prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
  3. Obligatie legală – prelucrarea este necesară în vederea îndeplinirii unei obligatii legale care îi revine operatorului;
  4. Interese legitime – prelucrarea este necesară în scopul intereselor legitime urmărite de Renaissance sau de o parte tertă, cu exceptia cazului în care prevalează interesele sau drepturile si libertătile fundamentale ale persoanei vizate;

În toate cazurile, la momentul obtinerii datelor, Renaissance va informa persoana vizată despre:

  • identitatea operatorului si a reprezentantului acestuia, dacă este cazul;
  • scopul în care se face prelucrarea datelor, precum si temeiul juridic (dacă prelucrarea se face în temeiul intereselor legitime, se va face referire la acestea);
  • existenta dreptului de a-si retrage consimtământul atunci când prelucrarea se întemeiază pe consimtământ si nu mai exista alt temei de prelucrare;
  • destinatarii sau categoriile de destinatari ai datelor;
  • dacă furnizarea tuturor datelor cerute este obligatorie si consecintele refuzului de a le furniza;
  • existenta drepturilor prevăzute de lege pentru persoana vizată, precum si conditiile în care pot fi exercitate;
  • intentia de a transfera datele în afara Uniunii sau către o organizatie internatională, precum si mentionarea garantiilor aplicabile;
  • perioada de stocare a datelor sau criteriile utilizate pentru a o determina;
  • informatii despre existenta unui proces decizional automatizat, dacă este cazul, precum si informatii utile legate de logica utilizată si importanta prelucrării;
  • orice alte informatii a căror furnizare este impusă prin dispozitie a ANSPDCP, tinând seama de specificul prelucrării.

În cazul în care Renaissance NU obtine datele direct de la persoana vizată, compania este obligată să furnizeze informatiile prevăzute mai sus:

  1. într-un termen rezonabil după obtinerea datelor, dar nu mai mare de o lună, tinându-se seama de circumstantele specifice în care sunt prelucrate datele;
  1. dacă datele urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana respectivă;
  2. dacă se intentionează divulgarea datelor către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

Durata de prelucrare este limitată în functie de termenele de retentie ale datelor raportat la scopul pentru care au fost colectate datele pentru activitătile de prelucrare. Durata de prelucrare a datelor cu caracter personal poate fi exprimată în unităti temporale (ani/luni) sau prin referire la un eveniment viitor (ex: finalizarea relatiilor contractuale etc).

7.REGULI SPECIALE DE PRELUCRARE

.

7.1.PRELUCRAREA    DATELOR    CU    FUNCTIE    DE    IDENTIFICARE    DE APLICABILITATE GENERALĂ

Prelucrarea datelor cu functie de identificare de aplicabilitate generală, precum CNP-ul, inclusiv prin colectarea sau dezvăluirea documentelor ce îl contin se va face numai dacă sunt îndeplinite conditiile de la pct. 6.

În situatiile în care Renaissance prelucrează date cu functie de identificare de aplicabilitate generală, în scopul realizării unor interese legitime, prelucrarea se va efectua respectand urmatoarele garantii:

  1. punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate pentru reducerea la minim a datelor, pentru asigurarea securităţii şi confidenţialităţii prelucrărilor, în conformitate cu cerintele legislatiei de protectia datelor;
  2. numirea unui responsabil pentru protecţia datelor, daca este cazul, in conditiile legii;
  3. stabilirea unor termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi a unor termene specifice în care datele trebuie şterse sau revizuite în vederea ştergerii;
  4. instruirea periodică a persoanelor care prelucrează date cu caracter personal.

7.2.METODE    DE    MONITORIZARE    ÎN    CADRUL   RENAISSANCE PUBLIC SERVICE SRL

  1. Supravegherea video se va efectua, cu respectarea normelor statuate în lege, după cum urmează:
    • Are ca scop asigurarea pazei si protectiei persoanelor, bunurilor si valorilor, a imobilelor si a instalatiilor Renaissance, prevenirea si combaterea săvârsirii infractiunilor, precum si a împrejmuirilor afectate acestora, si/sau realizarea unor interese legitime, cu conditia să nu se prejudicieze drepturile si libertătile fundamentale sau interesul persoanelor vizate;
    • Prelucrarea vizează orice imagine care permite identificarea directă sau indirectă a persoanelor fizice;
    • Camerele de supraveghere video sunt amplasate în locuri vizibile si sunt semnalizate corespunzător;
    • Prelucrarea datelor salariatilor prin mijloace de supraveghere video (de ex. casierie, tezaur, casete valori) este permisă pentru îndeplinirea unor obligatii legale exprese (asigurarea pazei si protectiei bunurilor inclusiv prevenirea si combaterea săvârsirii infractiunilor) sau în temeiul unui interes legitim, cu respectarea drepturilor salariatilor, în special a informării prealabile a acestora.
  1. Asigurarea securitătii sistemului informational si a comunicărilor electronice în cadrul RENAISSANCE PUBLIC SERVICE SRL:
    • Are ca scop protejarea informatiilor confidentiale, securitatea sistemelor informatice, prevenirea si/sau detectarea fraudelor, preîntâmpinării scurgerii informatiei care contine date cu caracter personal prin metoda excluderii accesului neautorizat la aceasta; preîntâmpinării distrugerii, modificării, copierii, blocării neautorizate a datelor cu caracter personal în retelele de telecomunicatii si resursele informationale; respectării cadrului normativ de folosire a sistemelor informationale si a programelor de prelucrare a datelor cu caracter personal; asigurării caracterului complet, integru, veridic al datelor cu caracter personal în retelele de telecomunicatii si resurselor informationale; păstrării posibilitătilor de gestionare a procesului de prelucrare si păstrare a datelor cu caracter personal, precum si protectia reputatiei RENAISSANCE PUBLIC SERVICE SRL. Vizează, de asemenea, urmărirea evolutiei amenintărilor aferente sistemelor informatice si mai ales riscurile de natură logică (intruziune, blocarea serviciilor, etc). Prelucrările vizează doar datele de trafic si datele de acces/transmitere a corespondentei;
    • Cu toate acestea, accesarea/monitorizarea datelor de continut este realizată numai în circumstante exceptionale temeinic justificate precum si în cazurile determinate de necesitatea îndeplinirii unor prevederi legale;
    • Angajatii vor fi informati la angajare, precum si ori de cate ori este cazul, despre modul de utilizare a conexiunii la Internet si e-mail, precum si despre exceptiile aplicabile.
  1. Monitorizarea autoturismelor în utilizarea RENAISSANCE PUBLIC SERVICE SRL, in cazul in care se va implementa:
  • Are ca scop securitatea autoturismelor aflate în utilizarea Renaissance (paza si protectia bunurilor). Datele care pot fi prelucrate în acest caz sunt: detaliile autovehiculului, ruta planificată, datele privind incidentul (data, ora, locul accidentului).
  1. Controlul de acces în cadrul Renaissance al angajatilor
    • Are ca scop asigurarea unui control al accesului în cadrul Renaissance si datele obtinute în urma acestei prelucrări nu vor fi utilizate în alte scopuri subsecvente.
  1. Durata de prelucrare a datelor monitorizate în cadrul RENAISSANCE PUBLIC SERVICE SRL:
    • În vederea scopurilor mentionate la punctele A, B, C si D, Renaissance va prelucra datele pe parcursul relatiei cu persoana vizată sau pe perioada impusă de prevederile legale si documentată în procedurile operationale aplicabile fiecărui departament în parte;
    • Ulterior încheierii operatiunilor de prelucrare a datelor, în scopurile pentru care au fost colectate, acestea vor fi arhivate de către Renaissance pe durata de timp prevăzută în documentele normative interne, ulterior, la împlinirea termenului de stocare, fiind distruse astfel cum este precizat în procedura aplicabilă.

Comunicarea si dezvăluirea datelor care reprezintă secret profesional se realizează cu respectarea documentelor normative interne specifice ale Renaissance.

  1. DREPTURILE PERSOANEI VIZATE Dreptul de acces la date

Orice persoană vizată are dreptul de a obtine de la Renaissance, atunci când aceasta actionează în calitatea sa de operator, la cerere si în mod gratuit pentru o solicitare pe an, confirmarea faptului că datele care o privesc sunt sau nu prelucrate de aceasta, iar în caz afirmativ, se vor furniza informatiile referitoare la: scopurile prelucrării, categoriile de date vizate, destinatarii sau categoriile de destinatari ale datelor, în special destinatari din tări terte sau organizatii internationale, acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă, existenta dreptului de a solicita Renaissance rectificarea sau stergerea datelor ori restrictionarea prelucrării lor sau a dreptului de a se opune prelucrării, dreptul de a depune o plângere în fata unei autorităti de supraveghere, dacă datele nu sunt colectate de la persoana vizată, orice informatii disponibile privind sursa acestora, existenta unui proces decizional automatizat, precum si informatii pertinente privind logica utilizată si importanta preconizată ale unei astfel de prelucrări pentru persoana vizată.

Dreptul de rectificare

Persoana vizată are dreptul de a obtine de la Renaissance în calitate de operator de date, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc.

tinându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obtine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaratii suplimentare.

Dreptul la stergerea datelor

Persoana vizată are dreptul de a obtine stergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar Renaissance va avea obligatia de a sterge datele fără întârzieri nejustificate în cazul în care:

  1. datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
  2. persoana vizată îsi retrage consimtământul pe baza căruia are loc prelucrarea;
  3. datele cu caracter personal au fost prelucrate ilegal;
  4. persoana vizată îsi exercită dreptul la opozitie în conditiile Regulamentului General pentru Protectia Datelor;
  5. datele trebuie sterse pentru respectarea unei obligatii legale a operatorului;
  6. datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale  societătii informationale minorilor în conditiile Regulamentului General pentru Protectia Datelor.

Renaissance, în calitate de operator de date, poate refuza cererea de stergere a datelor în următoarele conditii:

  1. prelucrarea este necesară pentru exercitarea dreptului la liberă exprimare si la informare;
  2. prelucrarea este necesară pentru respectarea unei obligatii legale aplicabile operatorului;
  3. prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare stiintifică sau istorică ori în scopuri statistice, în conditiile Regulamentului General pentru Protectia Datelor, în măsura în care exercitarea dreptului poate face imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective;
  4. prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instantă.

Dreptul la restrictionarea prelucrării

Persoana vizată are dreptul de a obtine din partea Renaissance în calitate de operator de date, restrictionarea prelucrării în următoarele cazuri:

  1. persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
  2. prelucrarea este ilegală, dar persoana vizată se opune stergerii datelor cu caracter personal, solicitând în schimb restrictionarea utilizării lor;
  3. Renaissance nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instantă;
  4. persoana vizată s-a opus prelucrării, pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.

Dreptul de opozitie

Persoana vizată are dreptul:

  1. de a se opune în orice moment, din motive întemeiate si legitime legate de situatia sa particulară, ca datele care o vizează să facă obiectul unei prelucrări, cu exceptia cazurilor în care există dispozitii legale contrare. În caz de opozitie justificată, prelucrarea nu mai poate viza datele în cauză decât dacă există motive legitime si imperioase care justifică prelucrarea si care prevalează asupra drepturilor persoanei vizate sau dacă scopul este constatarea, exercitarea sau apărarea unui drept în instantă;
  2. de a se opune în orice moment, în mod gratuit si fără nicio justificare, ca datele care o vizează să fie prelucrate în scop de marketing direct, inclusiv în ceea ce priveste crearea de profiluri în acest scop.

Dreptul la portabilitatea datelor

Persoana vizată are dreptul de:

  1. a primi datele cu caracter personal care o privesc si pe care le-a furnizat Renaissance într-un format structurat, utilizat în mod curent si care poate fi citit automat;
  2. a transmite aceste date altui operator, fără obstacole din partea Renaissance căruia i-au fost furnizate datele cu caracter personal, în cazul în care:
    1. prelucrarea se bazează pe consimtământ sau pe un contract; si
    2. prelucrarea este efectuată prin mijloace automate.

În exercitarea dreptului său la portabilitatea datelor, persoana vizată are dreptul ca datele sale să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.

În plus fată de drepturile de mai sus, persoana vizată mai are si următoarele drepturi:

  1. de a nu fi supus unei decizii individuale (dreptul de a cere si de a obtine: (1)retragerea sau anularea oricărei decizii care produce efecte juridice în privinta sa, adoptată exclusiv pe baza unei activităti de prelucrare a datelor efectuată prin mijloace automate, destinată să evalueze unele aspecte ale personalitătii sale, precum competenta profesională, credibilitatea, comportamentul ori alte asemenea aspecte; (2) reevaluarea oricărei alte decizii luate în privinta sa, care o afectează în mod semnificativ, dacă decizia a fost adoptată exclusiv pe baza unei activităti de prelucrare care îndeplineste conditiile prevăzute la punctul (1));
  2. de a se adresa justitiei si ANSPDCP.

9.ACTIVITĂTILE DE PRELUCRARE A DATELOR REALIZATE ÎN BAZA UNUI CONTRACT DE PRESTĂRI SERVICII

În cazul activitătilor de prelucrare a datelor în baza unui contract de prestări servicii încheiat intre Renaissance si un prestator/furnizor/partener, este necesar să se respecte următoarele conditii:

  • contractul se încheie în scris;
  • contractul contine clauze specifice privind prelucrarea datelor, pentru următoarele situatii:
    • În cazul în care prestatorul are calitatea de împuternicit, în contract se vor insera clauze standard. În situatia în care există dificultăti în stabilirea calitătii furnizorului de împuternicit, se pot adresa DPO si, în functie de specificul contractului, altor departamente relevante, cum ar fi Departamentul Juridic;
    • În cazul în care prelucrarea presupune un transfer al datelor în tări care, conform punctului 10 din prezentul document, nu asigură un nivel adecvat de protectie, se va insera în contract clauza referitoare la transfer.

În relatiile contractuale pe care Renaissance le are cu diversi prestatori/furnizori de servicii, departamentele implicate în negocierea si încheierea contractelor trebuie să aibă în vedere:

  • optarea pentru un prestator care prezintă garantii în ceea ce priveste măsurile de securitate tehnică si organizatorice cu privire la activitătile de prelucrare ce vor fi efectuate (locatia serverelor, locatia de back-up, dacă este cazul etc);
  • să identifice dacă prestarea serviciilor ce fac obiectul contractului care urmează să fie încheiat presupune un transfer de date în afara Spatiului Economic European (ex: date stocate de către prestator pe servere aflate în SUA etc);
  • să introducă în contract clauze specifice activitătilor de prelucrare de date cu caracter personal;
  • să existe posibilitatea verificării conformitătii furnizorului cu privire la respectarea măsurilor de protectie a datelor (verificarea documentelor, expertiză, audit etc).
  1. TRANSFERUL DE DATE ÎN AFARA SPAtIULUI ECONOMIC EUROPEAN Transferul de date cu caracter personal către un stat tert Spatiului Economic European poate avea loc numai dacă statul către care se intentionează transferul asigură un nivel de protectie adecvat.

Transferul de Date către un stat a cărui legislatie nu prevede un nivel de protectie cel putin egal cu cel oferit de Regulament este posibil numai dacă există garantii suficiente cu privire la protectia drepturilor fundamentale ale persoanelor vizate. Aceste garantii vor fi stabilite de Renaissance în contracte încheiate cu furnizorii/prestatori de servicii către care se va realiza transferul datelor.

11.SECURITATEA PRELUCRĂRILOR DE DATE. INCIDENTE DE SECURITATE ÎN DOMENIUL PROTECTIEI DATELOR

Renaissance aplică măsurile tehnice si organizatorice adecvate pentru protejarea datelor împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectivă comportă transmisii de date în cadrul unei retele, precum si împotriva oricărei alte forme de prelucrare ilegală. Aceste măsuri asigură un nivel de securitate adecvat în ceea ce priveste riscurile pe care le reprezintă prelucrarea, precum si în ceea ce priveste natura datelor care trebuie protejate.

Renaissance are implementată o politică de securitate IT care prezintă principiile de securitate si măsurile care trebuie respectate în cadrul companiei pentru a mentine siguranta informatiilor, inclusiv a datelor cu caracter personal, a procesărilor si a sistemelor informatice la un nivel adecvat.

Incidentul în domeniul protectiei datelor, stocate sau transmise, reprezintă orice eveniment care afectează confidentialitatea, integritatea sau disponibilitatea acestor date.

În principal, constituie incident de protectia datelor:

  • pierderea, sustragerea, înlocuirea, alterarea sau distrugerea neautorizată ori accidentală a datelor;
  • modificarea neautorizată si nejustificată a datelor;
  • accesul neautorizat la mediile pe care sunt stocate date. Reprezintă risc de incident următoarele:
  • nerespectarea regulilor privind depozitarea, utilizarea sau distrugerea mediilor de stocare în uz pe care sunt păstrate date;
  • orice situatie de natură să afecteze confidentialitatea, integritatea sau disponibilitatea datelor.

Orice incident de protectia datelor trebuie comunicat în cel mai scurt timp DPO, în vederea notificării ANSPDCP despre acest fapt, sau pentru notificarea operatorului de date în cazurile în care Renaissance actionează ca împuternicit. Notificarea către ANSPDCP trebuie formulată în termen de 72 de ore de la momentul la care operatorul a luat la cunostintă despre incident.

De asemenea, Renaissance asigură securitatea fizică prin desfăsurarea neîntreruptă a unor activităti/actiuni efectuate în scopul asigurării unui nivel de securitate adecvat specificului activitătii fiecărui obiectiv al Renaissance cât si pentru adaptarea permanentă la conditiile de mediu în care îsi desfăsoară compania activitatea.

  1. RESPONSABILITĂtI DPO ÎN DOMENIUL PROTECtIEI DATELOR Responsabilul cu protectia datelor DPO din cadrul Renaissance este responsabil cu următoarele activităti de protectie a datelor cu caracter personal:
    1. Furnizarea de informatii si consiliere Renaissance si angajatilor acesteia în ceea ce priveste obligatiile care le revin în materia  protectiei datelor;
    2. Monitorizarea respectării dispozitiilor legale, atât din legislatia primară, cât si cea secundară privind protectia datelor;
    3. Monitorizarea respectării politicilor si procedurilor operationale si de securitate Renaissance în ceea ce priveste protectia datelor cu caracter personal;
    4. Trasarea rolurilor si responsabilitătilor în ceea ce priveste protectia datelor cu caracter personal;
    5. Promovarea actiunilor de aducere la cunostintă/sensibilizare si de formare a personalului implicat în operatiunile de prelucrare;
    6. Efectuarea auditurilor de protectie a datelor cu caracter personal;
    7. Furnizarea de informatii la cerere în ceea ce priveste evaluarea impactului asupra protectiei datelor si monitorizarea functionării acesteia;
    8. Cooperarea cu autoritatea de supraveghere;
    9. Punct de contact pentru autoritatea de supraveghere, precum si pentru persoanele vizate.

Potrivit punctului 6 de mai sus, DPO poate evalua/audita oricând procesul de prelucrare date în cadrul Renaissance.

13.RESPONSABILITĂTILE SALARIATILOR SI ALE STRUCTURILOR RENAISSANCE PUBLIC SERVICE SRL PRIVIND PRELUCRAREA DATELOR

Responsabilităti generale

Toate structurile Renaissance au obligatia:

  • să cunoască si să respecte prevederile politicilor si procedurilor interne privind prelucrarea datelor;
  • să identifice si să transmită DPO activitătile desfăsurate de respectiva structură ce presupun prelucrare de date si să actualizeze informatiile ori de cate ori intervin modificări.

Responsabilităti specifice:

  1. Responsabilitătile structurilor/salariatilor care au acces la date:
  2. să cunoască si să respecte prevederile politicilor si procedurilor interne privind protectia datelor, precum si a celor care privesc securitatea informatiei;
  3. să prelucreze numai datele minime necesare îndeplinirii atributiilor de serviciu si să acorde sprijin DPO pentru realizarea evaluărilor/auditurilor specifice;
  4. să păstreze confidentialitatea datelor, a user-ului, a parolei/codului de acces la sistemele informatice/baze de date prin care sunt gestionate/stocate date, în conformitate cu procedurile interne;
  5. să aducă de îndată la cunostinta orice situatie de încălcare a prevederilor legale sau a procedurilor interne ale Renaissance referitoare la protectia datelor;
  6. să acorde suport DPO (în functie de responsabilităti) în formularea răspunsurilor la solicitările ANSPDCP.
  1. Responsabilitătile structurilor care încheie contracte de prestare/furnizare servicii în baza cărora se prelucrează date:
  • să solicite opinia DPO si, după caz, a altor structuri relevante, precum Departamentul Juridic, în situatia în care clauzele standard privind prelucrarea datelor cu caracter personal nu sunt acceptate/sunt modificate de potentialul prestator;
  • să comunice prestatorului necesitatea stergerii/modificării datelor unei anumite persoane după caz (în baza informatiilor primite de la DPO) în cazul în care persoana vizată îsi manifestă unul dintre drepturile conferite de lege, în vederea respectării solicitării acesteia;
  • să gestioneze Acordurile de confidentialitate ale colaboratorilor care au acces la date în baza contractului respectiv.
  1. Responsabilitătile Departamentului de Resurse Umane
  2. să asigure formarea profesională a salariatilor Renaissance implicati în procesul de prelucrare. În acest scop, DPO va acorda Departamentului de Resurse Umane suport în vederea realizării materialelor de sensibilizare si formare.

   14.           CONTROLUL OPERATIUNILOR DE PRELUCRARE DATE

ANSPDCP are, în temeiul legii, atributii de investigare în scopul verificării respectării de către operatori si/sau împuterniciti a legislatiei din materia protectiei datelor. În acest sens:

  • ANSPDCP poate întreprinde investigatii din oficiu sau la primirea unei plângeri cu privire la orice încălcare a drepturilor persoanelor vizate;
  • În exercitarea atributiilor de investigare, ANSPDCP poate solicita Renaissance orice informatii legate de prelucrarea datelor si poate verifica orice document sau înregistrare referitoare la prelucrarea datelor.
  • Renaissance, si după caz, reprezentantul acesteia păstrează o evidentă a activitătilor de prelucrare desfăsurate sub responsabilitatea lor, si va pune evidentele, în scris/format electronic la dispozitia autoritătii de supraveghere, la cererea acesteia.

    15.           DISPOZITII FINALE

Respectarea prevederilor prezentei politici este obligatorie pentru întreg personalul Renaissance Public Service SRL.

Pentru orice întrebări sau comentarii legate de Politica noastră, sau de maniera în care Renaissance Public Service SRL colectează și folosește Datele dumneavoastră cu Caracter Personal, precum și pentru a vă exercita drepturile legate de Datele dumneavoastră cu Caracter Personal care au fost colectate, vă rugăm să contactați Responsabilul cu Protecția Datelor din cadrul Renaissance Public Service SRL (DPO), la următoarea adresă: dpo@rserv.ro  sau Ilfov, Sos. de Centura nr 27-28, Hala C5, Chiajna, în atenția Responsabilului cu Protecția Datelor.