POLITICA DE PROTECȚIE A DATELOR LA NIVELUL OIRPOSDRU REGIUNEA CENTRU
- CONTEXTUL REGULAMENTULUI GENERAL PRIVIND PROTECȚIA DATELOR (GDPR)
Regulamentul general privind protecția datelor (GDPR) 2016 înlocuiește Directiva UE privind protecția datelor din 1995 și înlocuiește legislația fiecărui stat membru care a fost elaborată în conformitate cu Directiva 95/46 / CE privind protecția datelor. Scopul acestuia este de a proteja “drepturile și libertățile” persoanelor fizice identificate sau identificabile (persoane vizate) și de a se asigura că datele cu caracter personal nu sunt prelucrate fără cunoștința lor și, ori de câte ori este posibil, să fie prelucrate cu consimțământul lor.
- POLITICA DE PROTECȚIE A DATELOR
- OIRPOSDRU REGIUNEA CENTRU, cu sediul în Alba Iulia, Piața Iuliu Maniu nr.10, Jud. Alba, trebuie să respecte toate legile relevante ale UE și ale statelor membre cu privire la datele cu caracter personal și protecția “drepturilor și libertăților” persoanelor ale căror informații sunt colectate și procesate în conformitate cu Regulamentul general privind protecția datelor (GDPR).
- Conformitatea cu Regulamentul general privind protecția datelor (GDPR) este pusă în aplicare de această politică împreună cu procesele și procedurile conexe.
- Regulamentul general privind protecția datelor (GDPR) și această politică se aplică tuturor structurilor din cadrul OIRPOSDRU REGIUNEA CENTRU care prelucrează datele personale care se regăsesc în documentele instituţiei, inclusiv celor efectuate asupra datelor personale ale angajaților, furnizorilor și partenerilor, precum și orice alte date personale pe care instituţia le procesează de la orice sursă.
- OIRPOSDRU REGIUNEA CENTRU stabilește prin prezenta politică obiective pentru protecția și confidențialitatea datelor cu caracter confidențial.
- Responsabilul pentru Protecția Datelor este responsabil de păstrarea unei evidenţe actualizate a tuturor categoriilor de activităţi de prelucrare desfăşurate în cadrul instituţiei, sub forma unui registru de prelucrare a datelor personale, precum și a tuturor documentelor specifice/necesare implementării regulamentului, ținând cont de modificările care pot apărea în activitățile OIRPOSDRU REGIUNEA CENTRU (determinate de schimbările înregistrate în registrul de inventariere a datelor și revizuirea managementului) și de orice cerințe suplimentare identificate prin evaluări ale impactului protecției datelor. Acest registru trebuie să fie disponibil la cererea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), în calitatea acesteia de autoritate publică centrală autonomă cu competență generală în domeniul protecției datelor personale.
- Această politică se aplică tuturor angajaților/personalului OIRPOSDRU REGIUNEA CENTRU. Orice încălcare a prevedrilor Regulamentului general privind protecția datelor (GDPR) va fi tratată conform politicii disciplinare a OIRPOSDRU REGIUNEA CENTRU și poate fi, de asemenea, o infracțiune, caz în care problema va fi raportată cât mai curând posibil autorităților competente.
- Partenerii și orice terțe părți care lucrează cu sau pentru OIRPOSDRU REGIUNEA CENTRU și care au sau ar putea avea acces la date cu caracter personal, nu pot avea acces la datele cu caracter personal deținute de OIRPOSDRU REGIUNEA CENTRU fără să fi încheiat în prealabil un acord de confidențialitate a datelor, care conferă OIRPOSDRU REGIUNEA CENTRU dreptul de a verifica respectarea acordului.
- Responsabilități și roluri în temeiul Regulamentului general privind protecția datelor (GDPR)
- OIRPOSDRU REGIUNEA CENTRU este operator de date și / sau procesor de date conform prevederilor Regulamentului general privind protecția datelor (GDPR).
- OIRPOSDRU REGIUNEA CENTRU are obligația de a se asigura de respectarea standardelor de securitate şi confidenţialitate a informaţiilor și de prelucrare a datelor cu caracter personal, în conformitate cu prevederile Regulamentului (UE) 2016/679 al Parlamentului european și al Consiliului din 27 aprilie 2016 (GDPR) privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE. Aceste activităţi sunt desfășurate în scopul implementării/monitorizării programelor/proiectelor, îndeplinirii obiectivelor acestora, precum și în scop statistic, în conformitatea cu regulamentele europene ce guvernează absorbţia fondurilor structurale şi de investiţii.
- În vederea îndeplinirii atribuțiilor în domeniul protecției datelor, la nivelul OIRPOSDRU REGIUNEA CENTRU a fost numit responsabilul cu protecția datelor (DPO) în conformitate cu prevederile art. 37 și 38 din Regulamentului UE nr. 679/2016.
- La nivelul OIRPOSDRU REGIUNEA CENTRU a fost aprobat Regulamentul privind măsurile de natură organizatorică şi tehnică pentru asigurarea securităţii prelucrărilor de date cu character personal, în vederea aplicării regulamentului UE nr. 679/2016.
- Responsabilul pentru protecția datelor (DPO) răspunde în fața conducerii OIRPOSDRU REGIUNEA CENTRU cu privire la îndeplinirea funcţiei şi sarcinilor sale.
- Responsabilul pentru protecția datelor (DPO), reprezintă punct de contact din partea OIRPOSDRU REGIUNEA CENTRU, pentru ANSPDCP privind aspectele legate de prelucrarea datelor cu caracter personal.
- Responsabilul cu protecția datelor (DPO) are responsabilități specifice în ceea ce privește procedurile GDPR și reprezintă primul punct de contact pentru angajații / personalul care solicită clarificări cu privire la orice aspect al respectării protecției datelor.
- Respectarea legislației privind protecția datelor este responsabilitatea întregului personal / tuturor angajaților OIRPOSDRU REGIUNEA CENTRU care procesează datele cu caracter personal.
- Angajații / Personalul OIRPOSDRU REGIUNEA CENTRU sunt responsabili pentru a se asigura că datele personale furnizate către instituție sunt corecte și actualizate.
- Principii privind protecția datelor
Întreaga prelucrare a datelor cu caracter personal trebuie să se desfășoare în conformitate cu principiile de protecție a datelor prevăzute la art. 5 din Regulament (GDPR).
OIRPOSDRU REGIUNEA CENTRU este responsabil de respectarea acestor principii şi se asigură de faptul că:
4.1 Datele personale trebuie prelucrate în mod legal, echitabil și transparent
Legalitate – Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii:
- a) persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
- b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
- c) prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;
- d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
- e) prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul.
Pentru ca procesarea să fie corectă, instituţia trebuie să pună la dispoziția persoanelor vizate anumite informații într-un mod cât mai practic posibil. Acest lucru se aplică dacă datele cu caracter personal au fost obținute direct de la persoanele vizate sau din alte surse.
Transparența – Informațiile specifice care trebuie furnizate persoanei vizate trebuie să includă cel puțin urmatoarele:
- Identitatea și datele de contact ale OIRPOSDRU REGIUNEA CENTRU;
- Datele de contact ale responsabilului cu protecția datelor;
- Scopul prelucrării pentru care sunt destinate datele cu caracter personal, precum și temeiul juridic al prelucrării;
- Perioada pentru care vor fi stocate datele cu caracter personal;
- Existența drepturilor de a solicita accesul, rectificarea, ștergerea sau opoziția față de prelucrare și condițiile (sau lipsa) de exercitare a acestor drepturi, cum ar fi afectarea legalității prelucrării anterioare;
- Categoriile de date cu caracter personal în cauză;
- Destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
- Transferul de date cu caracter personal unui destinatar dintr-o țară terță și nivelul de protecție acordat datelor, dacă este cazul;
- orice alte informații necesare pentru a garanta o prelucrare corectă.
- Datele personale pot fi colectate numai în scopuri specifice, explicite și legitime
Datele obținute în scopuri specificate nu trebuie utilizate într-un scop diferit de cele notificate oficial autorității de supraveghere ca parte a procesului de prelucrare a datelor cu caracter personal la nivelul instituţiei.
4.3 Datele personale trebuie să fie adecvate, relevante și limitate la ceea ce este necesar pentru procesare
4.3.1 Responsabilul pentru Protecția Datelor se asigură de faptul că OIR POSDRU Regiunea Centru nu colectează informații care nu sunt strict necesare pentru scopul pentru care sunt obținute.
4.3.2 Toate formularele de colectare a datelor (electronice sau pe suport de hârtie), inclusiv cerințele de colectare a datelor în noile sisteme informatice, trebuie să includă o declarație de procesare echitabilă sau o legătură cu declarația de confidențialitate, aprobată de către responsabilul cu protecția datelor.
4.3.3 Responsabilul cu protecția datelor se va asigura că, pe o bază anuală, toate metodele de colectare a datelor sunt revizuite de auditul intern pentru a se asigura că datele colectate continuă să fie adecvate, relevante și nu excesive.
4.4 Datele personale trebuie să fie corecte și să fie actualizate.
4.4.1. Trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere;
4.4.2. Datele care sunt stocate de către operatorul de date trebuie revizuite și actualizate, după caz.
4.4.3. Responsabilul cu protecția datelor are responsabilitatea de a se asigura că întreg personalul este instruit cu privire la importanța colectării și menținerii datelor exacte.
4.4.4. De asemenea, este responsabilitatea persoanei vizate să se asigure că datele deținute de instituţie sunt corecte și actualizate. Completarea unui formular de înregistrare sau cerere de către persoana vizată va include o declarație conform căreia datele conținute în acesta sunt corecte la data depunerii.
4.4.5. Angajații/personalul/Persoanele vizate ale căror date sunt prelucrate de instituţie au obligația de a notifica instituţia cu privire la orice schimbări ale datelor personale pentru a permite actualizarea înregistrărilor personale. Este responsabilitatea instituţiei să se asigure că orice notificare cu privire la schimbarea circumstanțelor este înregistrată și că aceasta este actualizată.
4.4.6. Responsabilul pentru Protecția Datelor este responsabil de urmărirea aplicării procedurilor și politicilor adecvate pentru păstrarea datelor cu caracter personal corecte și actualizate, ținând cont de volumul de date colectate, viteza cu care s-ar putea schimba și orice alți factori relevanți.
4.4.7. Cel puțin o dată pe an, responsabilul cu protecția datelor va examina datele de reținere a tuturor datelor personale prelucrate în cadrul instituţiei, prin referire la inventarul de date și va identifica orice date care nu mai sunt necesare în contextul scopului înregistrat. Aceste date vor fi șterse / distruse în mod sigur, în conformitate cu procedura de eliminare sigură a suporturilor de stocare.
4.4.8. Responsabilul pentru Protecția Datelor este responsabil pentru a răspunde solicitărilor de rectificare de la persoanele vizate în termen de o lună. Aceast termen poate fi extins la încă două luni pentru solicitări complexe. În cazul în care instituţia decide să nu respecte cererea, responsabilul cu protecția datelor trebuie să răspundă persoanei vizate pentru a-și explica raționamentul și să o informeze cu privire la dreptul acesteia de a se plânge autorității de supraveghere și de a solicita căi de atac.
4.4.9. Responsabilul pentru Protecția Datelor este responsabil ca, în cazul în care terțe părți au primit date personale inexacte sau neactualizate, să le informeze că informațiile sunt inexacte și / sau expirate și nu trebuie să fie utilizate cât și pentru transmiterea oricărei corecții a datelor cu caracter personal părții terțe în cazul în care acest lucru este necesar.
4.5 Datele cu caracter personal trebuie păstrate într-o formă care să permită identificarea persoanei vizate numai atâta timp cât este necesar pentru prelucrare.
4.5.1. În cazul în care datele cu caracter personal sunt păstrate dincolo de data prelucrării, acestea vor fi criptate / anonimizate pentru a proteja identitatea persoanei vizate în cazul unei încălcări a datelor.
4.5.2 Datele cu caracter personal vor fi păstrate și, odată cu depășirea datei de păstrare, acestea trebuie distruse în siguranță.
4.5.3. Responsabilul cu protecția datelor trebuie să aprobe în mod specific orice reținere a datelor care depășește perioadele de păstrare definite în procedură și trebuie să se asigure că justificarea este identificată în mod clar și în conformitate cu legislația privind protecția datelor.
4.6 Datele personale trebuie prelucrate într-o manieră care să asigure securitatea corespunzătoare
Responsabilul cu protecția datelor va efectua o evaluare a riscurilor la nivelul instituţiei luând în considerare toate circumstanțele operațiunilor de control sau de procesare ale instituției.
Pentru a determina oportunitatea, responsabilul cu protecția datelor ia în considerare amploarea eventualelor daune sau pierderi care ar putea fi cauzate persoanelor în cazul unei încălcări a securității, orice daune reputaționale, etc.
La evaluarea măsurilor tehnice adecvate, responsabilul cu protecția datelor va lua în considerare următoarele:
- Protecția prin parolă;
- Blocarea automată a terminalelor inerte;
- Eliminarea drepturilor de acces pentru USB și alte suporturi de memorie;
- Software de verificare a virușilor și firewall-uri;
- Drepturile de acces bazate pe roluri, inclusiv cele atribuite personalului temporar;
- Criptarea dispozitivelor care părăsesc sediile organizației, cum ar fi laptopurile;
- Securitatea rețelelor la nivel local și larg;
- Tehnologii de îmbunătățire a confidențialității, cum ar fi pseudonimizarea și anonimizarea;
- Identificarea standardelor internaționale de securitate relevante pentru instituţie.
La evaluarea măsurilor organizatorice adecvate, responsabilul cu protecția datelor va lua în considerare următoarele:
- Nivelurile adecvate de instruire în cadrul instituţiei;
- Măsuri care iau în considerare fiabilitatea angajaților (cum ar fi referințele etc.);
- Includerea protecției datelor în contractele de muncă;
- Identificarea măsurilor de acțiune disciplinară pentru neasigurarea securității datelor;
- Monitorizarea personalului pentru respectarea standardelor de securitate relevante;
- Controlul accesului fizic la înregistrările electronice și pe hârtie;
- Stocarea de date pe suport de hârtie în dulapuri închise;
- Restricționarea utilizării dispozitivelor electronice portabile în afara locului de muncă;
- Restricționarea folosirii dispozitivelor personale ale angajatului la locul de muncă;
- Adoptarea unor reguli clare despre parole;
- Realizarea de copii de rezervă periodică a datelor personale și stocarea materialelor media în afara amplasamentului;
- Impunerea obligațiilor contractuale asupra organizațiilor/instituțiilor importatoare de a lua măsuri de securitate corespunzătoare atunci când transferă date în afara SEE.
4.7 OIRPOSDRU REGIUNEA CENTRU, în calitate de operator, trebuie să poată demonstra conformitatea cuprincipiile regulamentului GDPR
OIRPOSDRU REGIUNEA CENTRU va demonstra conformitatea cu principiile de protecție a datelor prin implementarea politicilor de protecție a datelor, respectarea codurilor de conduită, punerea în aplicare a măsurilor tehnice și organizatorice, precum și adoptarea unor tehnici precum protecția datelor prin proiectare, evaluri de impact ale protecției datelor, procedurile de notificare a încălcărilor și planurile de răspuns la incidente.
- Legalitatea prelucrării – Datele cu caracter personal sunt prelucrate pentru îndeplinirea obligațiilor legale care îi revin instituţiei.
În măsura în care sunt necesare categorii speciale de date cu caracter personal, OIR POSDRU REGIUNEA CENTRU va solicita consimțământul persoanelor vizate.
OIRPOSDRU REGIUNEA CENTRU prelucrează datele personale în conformitate cu prevederile regulamentului GDPR, în calitate de operator, prin intermediul structurilor interne, în conformitate cu prevederile specifice aplicabile, pentru derularea următoarelor activități, în scopul prestării serviciilor de interes public:
- Implementarea, monitorizarea, managementul şi verificarea proiectelor finanţate din fonduril nerambursabile;
- relații publice/petiționare/formulare de puncte de vedere la solicitările persoanelor fizice;
- formulare de acțiuni și reprezentare în instanță;
- organizare/derulare evenimente;
- soluționarea plângerilor;
- înregistrarea și soluționarea notificărilor de încălcare a securității datelor cu caracter personal;
- închieiere contracte de furnizare de bunuri/servicii;
- constatarea neregulilor/fraudelor şi stabilirea corecţiilor financiare/ creanţelor bugetare;
- asigurarea măsurilor de securitate necesare (supraveghere video) ;
- comunicări sau raportări către autorităţile, instituţiile sau agenţiile de stat sau guvernamentale abilitate, instituţii europene;
- efectuarea verificărilor şi controalelor de către structurile de specialitate din cadrul instituţiei.
- Tipuri de date cu caracter personal pe care se prelucrează
OIRPOSDRU REGIUNEA CENTRU prelucrează numai datele personale necesare în scopurile menționate și solicită persoanelor vizate comunicarea datelor cu caracter personal strict necesare îndeplinirii acestor scopuri.
Categoriile de date personale (clasice sau digitale) supuse prelucrărilor la nivelul compartimentelor din cadrul instituţiei sunt următoarele:
Pentru relații publice/petiționare/formulare de puncte de vedere la solicitările persoanelor fizice:
- nume, prenume,
- semnătura,
- detalii de contact – număr de telefon personal, adresă de email, adresa de domiciliu/reședință, etc.,
În mod excepțional:
- serie și număr CI/BI
- CNP
Pentru formulare de acțiuni și reprezentare în instanță.
- nume, prenume
- semnătura,
- detalii de contact – număr de telefon personal, adresă de email, adresa de domiciliu/reședință, etc.,
- serie și număr CI/BI
- CNP
Pentru organizare/derulare evenimente:
- nume, prenume,
- funcție, profesie
- denumirea angajatorului
- detalii de contact – număr de telefon personal/de serviciu, adresă de email, adresă poștală
Pentru accesarea site-ului OIRPOSDRU REGIUNEA CENTRU
- adresa IP
- tipul de browser folosit
Pentru soluționarea notificărilor de încălcare a securității datelor:
- nume, prenume,
- funcție
- detalii de contact – număr de telefon personal/de serviciu, adresă de email, adresă poștală
Pentru soluționarea plângerilor/sesizărilor:
- nume, prenume,
- semnătura,
- detalii de contact – număr de telefon personal, adresă de email, adresa de domiciliu/reședință, etc.,
- serie și număr CI/BI
- CNP
Pentru încheiere contracte de furnizare de bunuri/servicii:
- nume, prenume,
- funcție
- denumirea angajatorului/furnizorului
- detalii de contact – număr de telefon personal/de serviciu, adresă de email, adresă poștală
OIRPOSDRU REGIUNEA CENTRU îşi rezervă dreptul de a solicita alte date necesare pentru îndeplinirea atribuțiilor compartimentelor din cadrul instituţiei, strict în conformitate cu prevederile legale.
6.1. Sursa datelor cu caracter personal
OIR POSDRU Regiunea Centru, prin structurile interne, colectează date personale direct de la persoanele vizate sau de la terți (cum ar fi alte instituții ori entități care se adresează instituţiei, beneficiari, parteneri, ori alte persoane vizate) sau din documente publice.
6.2. Categorii de destinatari ai datelor cu caracter personal
Datele personale sunt destinate utilizării de către instituţiei şi sunt comunicate următorilor destinatari, dacă este cazul:
- persoanelor vizate / reprezentanţii legali ai persoanelor vizate
- angajaţi
- împuterniciţi ai instituţiei (persoane fizice sau juridice)
- parteneri contractuali
- alte instituții / autorități centrale și locale;
- instanțelor de judecată în vederea formulării de acțiuni și reprezentării în instanță
- în cadrul activității de organizare/derulare evenimente a instituţiei
- în cadrul activității de investigare/control.
- Auditori interni, externi şi internaţionali
- Organe de cercetare penală.
Dezvăluirea datelor către terți se face conform prevederilor legale pentru categoriile de destinatari precizați anterior.
Datele personale sunt stocate pe perioada necesară pentru scopurile menţionate mai sus, în vederea efectuării tuturor demersurilor întreprinse pentru susținerea activităților compartimentelor din cadrul instituţiei,ţinând cont de prevederile legislaţiei naţionale şi europene în domeniu, după care vor fi arhivate potrivit legislației aplicabile.
- Drepturile persoanelor vizate
Drepturile de care beneficiază persoanele vizate sunt următoarele:
- Dreptul de acces al persoanei vizate
- Dreptul la rectificare
- Dreptul la ştergerea datelor (“dreptul de a fi uitat”)
- Dreptul la restricţionarea prelucrării
- Dreptul la portabilitatea datelor
- Dreptul la opoziţie şi procesul decizional individual automatizat
7.1. Dreptul de acces al persoanei vizate
Persoanele vizate au dreptul să facă cereri de acces la datele personale ale acestora cu privire la natura informațiilor deținute de OIRPOSDRU REGIUNEA CENTRU și cui le-au fost dezvăluite.
Persoanele vizate au dreptul de a obţine din partea instituţiei o confirmare că se prelucrează sau nu date cu caracter personal care o privesc şi, în caz afirmativ, acces la datele respective şi la următoarele informaţii:
- a) scopurile prelucrării;
- b) categoriile de date cu caracter personal vizate;
- c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din ţări terţe sau organizaţii internaţionale;
- d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
- e) existenţa dreptului de a solicita instituţiei rectificarea sau ştergerea datelor cu caracter personal ori restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
Persoana vizată are dreptul de a obţine de la instituţie, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ţinându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obţine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare.
7.2. Dreptul la rectificare
Dreptul de rectificare sau ștergere nu se aplică în măsura în care prelucrarea este necesară:
– pentru exercitarea dreptului la liberă exprimare şi la informare;
– pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică OIRPOSDRU REGIUNEA CENTRU sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit OIRPOSDRU REGIUNEA CENTRU;
– din motive de interes public în domeniul sănătăţii publice, în conformitate cu prevederile regulamentului GDPR, art. 9, alin. (2), lit. (h) şi (i) şi cu art. 9 alin. (3);
– în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu prevederile regulamentului GDPR, art. 89, alin. (1), în măsura în care dreptul menţionat la alin. (1) este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective;
– pentru constatarea, exercitarea sau apărarea unui drept în instanţă.
7.3 Dreptul la ştergerea datelor (“dreptul de a fi uitat”)
Persoana vizată are dreptul de a obţine din partea instituţiei ştergerea datelor cu caracter personal care o privesc, iar instituţia are obligaţia de a şterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:
– datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
– persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea, în conformitate cu art.6 alin. (1) lit. (a) sau cu art. 9 alin. (2) lit. (a) din GDPR, şi nu există niciun alt temei juridic pentru prelucrarea datelor personale;
– persoana vizată se opune prelucrării în temeiul art. 21 alin. (1) şi nu există motive legitime care să prevaleze în ceea ce priveşte prelucrarea sau persoana vizată se opune prelucrării în temeiul art. 21 alin. (2);
– datele cu caracter personal au fost prelucrate ilegal;
– datele cu caracter personal trebuie şterse pentru respectarea unei obligaţii legale care revine instituţiei în temeiul dreptului Uniunii sau al dreptului intern sub incidenţa căruia se află operatorul;
– datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societăţii informaţionale menţionate la art. 8 alin. (1).
În cazul în care instituţia a făcut publice datele cu caracter personal şi este obligată să le şteargă, ţinând seama de tehnologia disponibilă şi de costul implementării și să ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ştergerea acestor date cu caracter personal.
7.4. Dreptul la restricţionarea prelucrării
Persoana vizată are dreptul de a obţine din partea operatorului restricţionarea prelucrării în cazul în care se aplică unul din următoarele cazuri:
– persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
– prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor;
– instituţia nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanţă;
– persoana vizată s-a opus prelucrării în conformitate cu art. 21 alin. (1), pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.
În cazul în care prelucrarea a fost restricţionată, astfel de date cu caracter personal pot, cu excepţia stocării, să fie prelucrate numai cu consimţământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanţă sau pentru protecţia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.
Persoană vizată care a obţinut restricţionarea prelucrării este informată de către OIRPOSDRU REGIUNEA CENTRU înainte de ridicarea restricţiei de prelucrare.
Instituţia este obligată să comunice fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice rectificare sau ştergere a datelor cu caracter personal sau restricţionare a prelucrării efectuate în conformitate cu art. 16, art. 17 alin. (1) şi art. 18 din GDPR, cu excepţia cazului în care acest lucru se dovedeşte imposibil sau presupune eforturi disproporţionate.
Instituţia informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.
7.5. Dreptul la portabilitatea datelor
Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat OIRPOSDRU REGIUNEA CENTRU într-un format structurat, utilizat în mod curent şi care poate fi citit automat şi are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:
a)prelucrarea se bazează pe consimţământ în temeiul art 6 alin. (1) lit. (a) sau al art.9 alin. (2) lit. (a) sau pe un contract în temeiul art. 6 alin. (1) lit.(b) din GDPR;
b)prelucrarea este efectuată prin mijloace automatizate.
În exercitarea dreptului său la portabilitatea datelor, persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.
Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul.
7.6. Dreptul la opoziţie şi procesul decizional individual automatizat
Persoana vizată are dreptul să se opună, din motive legate de situaţia particulară
în care se află, prelucrării în temeiul art. 6 alin. (1) lit. (e) sau (f) din GDPR, a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziţii. Instituţia nu va mai prelucra datele cu caracter personal, cu excepţia cazului în care are motive legitime şi imperioase care justifică prelucrarea şi care prevalează asupra intereselor, drepturilor şi libertăţilor persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanţă.
- OIRPOSDRU REGIUNEA CENTRU trebuie sa se asigure că persoanele vizate pot exercita urmatoarele drepturi:
- Persoanele vizate pot depune cereri prin care solicită acces la datele cu caracter personal colectate de către instituţie.
- Persoanele vizate au dreptul să depună plângere către instituţie în legătură cu prelucrarea datelor lor personale, felul în care s-a soluționat solicitarea persoanei vizate și căile de atac ale persoanei vizate privind modul în care reclamațiile au fost soluționate.
- Consimţământul
- Atunci când prelucrarea se bazează pe art. 6 alin. (1) lit. (a) ”persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice” sau pe art. 9 alin. (2) lit. (a) ”persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepția cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicția prevăzută la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate” din GDPR, persoanele vizate au dreptul de a îşi retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Astfel, se poate modifica sau elimina consimțământul în orice moment, cu excepția cazului în care există un motiv legal sau un interes legitim pentru a nu face acest lucru.
- “Consimțământul” înseamnă că persoana vizată a fost pe deplin informată cu privire la prelucrarea intenționată și că și-a exprimat acordul, în timp ce se află într-o stare de spirit adecvată pentru a face acest lucru și fără a se exercita presiuni asupra acesteia. Consimțământul obținut sub presiune sau pe baza unor informații înșelătoare nu va constitui o bază valabilă pentru procesare.
- Pentru datele sensibile, trebuie obținut un acord scris explicit a persoanelor vizate, cu excepția cazului în care există o bază legitimă de procesare alternativă.
- În majoritatea cazurilor, consimțământul de a procesa date personale și sensibile este obținut în mod obișnuit de către OIRPOSDRU REGIUNEA CENTRU utilizând documentele de consimțământ standard; de ex. atunci când se semnează un contract sau în timpul inducției participanților la programe.
- Securitatea datelor
10.1 Toți angajații / personalul instituţiei sunt responsabili să se asigure că toate datele personale pe care OIRPOSDRU REGIUNEA CENTRU le deține și pentru care sunt responsabili, sunt păstrate în siguranță și nu sunt divulgate în niciun fel unei terțe părți decât dacă acea terță parte a fost autorizată în mod specific prin intermediul instituţiei să primească aceste informații și a încheiat un acord de confidențialitate.
10.2 Toate datele personale ar trebui să fie accesibile numai celor care au nevoie să le prelucreze. Toate datele cu caracter personal trebuie tratate cu cea mai mare siguranță și trebuie păstrate:
- într-o camera inchisă cu acces controlat; și / sau
- într-un sertar închis sau într-un dulap; și / sau
- dacă este computerizat, protejat prin parolă; și / sau
- stocate pe suporturi de calculator (detașabile) care sunt criptate
10.3 Înregistrările manuale nu pot fi lăsate acolo unde pot fi accesate de către personalul neautorizat și nu pot fi înlăturate din instituție fără autorizație explicită. Imediat ce înregistrările manuale nu mai sunt necesare pentru scopul pentru care au fost prelucrate, acestea trebuie să fie eliminate din arhivă, în condiții de securitate.
10.4 Datele personale pot fi șterse sau eliminate. Înregistrările manuale care au ajuns la data limita de păstrare trebuie să fie mărunțite și eliminate ca “deșeuri confidențiale”. Unitățile hard disk de PC-uri redundante trebuie să fie îndepărtate și distruse imediat.
10.5 Prelucrarea datelor cu caracter personal “în afara instituției” prezintă un risc potențial mai mare de pierdere, furt sau deteriorare a datelor cu caracter personal. Personalul trebuie să fie autorizat în mod specific să proceseze datele în afara instituției.
- Dezvăluirea datelor
11.1 OIRPOSDRU REGIUNEA CENTRU trebuie să se asigure că datele cu caracter personal nu sunt divulgate terților neautorizați. Toți angajații instituţiei trebuie să fie precauți atunci când li se solicită să dezvăluie datele cu caracter personal pe care le prelucrează unei terțe părți. Este important să se țină seama de faptul dacă divulgarea informațiilor este sau nu relevantă pentru desfășurarea activității instituţiei.
11.2 Toate solicitările privind furnizarea datelor personale prelucrate de către angajații instituţiei către o terță parte, pentru unul dintre aceste motive trebuie să fie susținute de o documentație adecvată, iar toate aceste dezvăluiri trebuie să fie autorizate în mod specific de către Responsabilul pentru Protecția Datelor.
- Reținerea și eliminarea datelor
12.1 OIRPOSDRU REGIUNEA CENTRU nu va păstra datele cu caracter personal într-o formă care să permită identificarea persoanelor vizate mai mult timp decât este necesar, în funcție de scopul (scopurile) pentru care au fost colectate inițial.
12.2 OIRPOSDRU REGIUNEA CENTRU poate stoca date pe perioade mai lungi dacă datele cu caracter personal vor fi prelucrate exclusiv în scopul arhivării în scopuri de interes public, în scopuri științifice sau istorice de cercetare sau în scopuri statistice, sub rezerva punerii în aplicare a măsurilor tehnice și organizatorice adecvate pentru protejarea drepturilor și libertăților persoanei vizată.
12.3 Perioada de păstrare a fiecărei categorii de date cu caracter personal va fi stabilită, ţinând cont de prevederile legislative naţionale privind pastrarea şi arhivarea documentelor.
12.4 Datele cu caracter personal trebuie să fie eliminate în siguranță, în conformitate cu al șaselea principiu al GDPR – prelucrate într-o manieră adecvată pentru a menține securitatea, protejând astfel “drepturile și libertățile” persoanelor vizate.
- Transferul de date
13.1 Toate exporturile de date din Spațiul Economic European (SEE) către țările din Spațiul Economic Neeuropene (menționate în regulamentul GDPR ca “țări terțe”) sunt ilegale, cu excepția cazului în care există un “nivel adecvat de protecție a drepturilor fundamentale ale persoanele vizate “.
Comisia Europeană poate și va evalua țările terțe, un teritoriu și / sau anumite sectoare din țările terțe pentru a evalua dacă există un nivel corespunzător de protecție a drepturilor și libertăților persoanelor fizice. În aceste cazuri nu este necesară nicio autorizație.
Țările care sunt membre ale Spațiului Economic European (SEE), dar nu și ale UE sunt acceptate ca îndeplinind condițiile unei decizii de adecvare.
O listă a țărilor care îndeplinesc în prezent cerințele de adecvare ale Comisiei este publicată în Jurnalul Oficial al Uniunii Europene. http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.html
- Exceptii
Transferul datelor cu caracter personal către o țară terță sau o organizație internațională se efectuează numai în următoarele condiții:
- persoana vizată și-a dat acordul în mod explicit cu privire la transferul propus, după ce a fost informată cu privire la riscurile posibile ale unor astfel de transferuri pentru persoana vizată;
- transferul este necesar pentru executarea unui contract între persoana vizată și operator sau implementarea măsurilor precontractuale luate la cererea persoanei vizate;
- transferul este necesar pentru încheierea sau executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică;
- transferul este necesar din motive importante de interes public;
- transferul este necesar pentru stabilirea, exercitarea sau apărarea revendicărilor legale; și / sau
- transferul este necesar pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane, în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul.
- Evaluarea impactului prelucrării datelor personale
- În cazul în care un tip de prelucrare, în special prin utilizarea noilor tehnologii și ținând seama de natura, scopul, contextul și scopurile prelucrării, poate duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice, OIRPOSDRU REGIUNEA CENTRU va efectua o evaluare a impactului operațiunilor de prelucrare preconizate asupra protecției datelor cu caracter personal.
- În cazul în care există motive serioase de îngrijorare cu privire la posibilele pagube asupra datelor în cauză, responsabilul cu protecția datelor trebuie să supuna atentiei problema către autoritea de supraveghere.
OIRPOSDRU REGIUNEA CENTRU evaluează şi îmbunătăţeşte în mod constant măsurile de securitate implementate în vederea asigurării unei prelucrări a datelor cu caracter personal în condiţii de siguranţă şi securitate.
Detalii suplimentare precum şi eventualele actualizări ale acestei Politici privind prelucrarea datelor cu caracter personal puteţi găsi pe site-ul instituţiei, secţiunea http://www.fonduri-ue.ro/transparenta/date_cu_caracter_personal.
- Registru informativ de date/Cartografiere date cu caracter personal
15.1 OIRPOSDRU REGIUNEA CENTRU a stabilit un inventar al tipurilor de date și un proces al fluxului de date, ca parte a procedurii de abordare a riscurilor și oportunităților în cadrul proiectului său de conformitate cu GDPR:
- procese operaționale care utilizează date cu caracter personal;
- sursa datelor cu caracter personal;
- volumul persoanelor vizate;
- descrierea fiecărui element de date cu caracter personal;
- activitate de prelucrare;
- menține inventarul categoriilor de date prelucrate;
- documentează scopul (scopurile) pentru care se utilizează fiecare categorie de date cu caracter personal;
- destinatarii și potențialii beneficiari ai datelor cu caracter personal;
- rolul instituţiei pe parcursul fluxului de date;
- sisteme și depozite cheie;
- orice transfer de date; și
- toate cerințele de păstrare și eliminare.
15.2 OIRPOSDRU REGIUNEA CENTRU este conștient de orice riscuri asociate procesării anumitor tipuri de date cu caracter personal.
15.2.1 OIRPOSDRU REGIUNEA CENTRU evaluează nivelul de risc pentru persoanele fizice asociate procesării datelor lor personale. Evaluările impactului privind protecția datelor se efectuează în legătură cu prelucrarea datelor cu caracter personal de către instituție și în legătură cu prelucrarea efectuată de alte organizații/împuterniciți în numele instituţiei.
15.2.2 OIRPOSDRU REGIUNEA CENTRU trebuie să gestioneze orice riscuri identificate prin evaluarea riscurilor, pentru a reduce probabilitatea unei neconformități cu această politică.
15.2.3 În cazul în care un tip de prelucrare, în special prin utilizarea noilor tehnologii și ținând seama de natura, scopul, contextul și scopurile prelucrării, poate duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice, instituţia va efectua o evaluare a impactului operațiunilor de prelucrare preconizate asupra protecției datelor cu caracter personal. O singură evaluare a impactului privind protecția datelor poate aborda un set de operații de procesare similare care prezintă riscuri similare similare.
15.2.4 În cazul în care, ca urmare a unei evaluari a impactului privind protecția datelor, se constată clar că instituţia este pe cale să înceapă prelucrarea datelor cu caracter personal care ar putea cauza daune și / sau primejdie persoanelor vizate, decizia de a organiza sau nu organiza poate fi supusă spre revizuire de către responsabilul cu protecția datelor.
15.2.5 În cazul în care există motive serioase de îngrijorare cu privire la posibilele pagube asupra datelor în cauză, responsabilul cu protecția datelor trebuie să supuna atenţiei problema catre Autoritea de supraveghere.
15.2.6 Se vor selecta controale adecvate și se vor aplica pentru a se reduce nivelul de risc asociat procesării datelor individuale la un nivel acceptabil, prin referire la criteriile de acceptare a riscului ale instituţiei și cerințele GDPR.
- Locație document și aprobare
Responsabilul cu protecția datelor deține acest document și are responsabilitatea de a se asigura că acest document este revizuit în conformitate cu cerințele de revizuire menționate mai sus.