GDPR

POLITICĂ PRIVIND PROTECȚIA DATELOR CU CARACTER PERSONAL

CUPRINS

0. Definiții 1

I. Introducere 4

II. Principiile protecției datelor cu caracter personal 5

III. Drepturile persoanei vizate 6

IV. Prelucrarea legală, echitabilă și transparentă a datelor cu caracter personal 7

V. Scopul specific, explicit și legitim 9

VI. Prelucrarea adecvată, relevantă și limitată 10

VII. Acuratețea și actualizarea datelor cu caracter personal 10

VIII. Stocarea datelor cu caracter personal 10

IX. Prelucarea sigură 11

X. Evidențele activității de prelucrare 11

XI. Evaluarea impactului asupra protecției datelor cu caracter personal 12

XII. Informarea persoanei vizate 12

XIII. Accesul persoanei vizate 14

XIV. Rectificarea datelor cu caracter personal 15

XV. Ștergerea datelor cu caracter personal 15

XVI. Restricționarea prelucrării datelor cu caracter personal 16

XVII. Portabilitatea datelor cu caracter personal 17

XVIII. Opoziția cu privire la prelucrarea datelor cu caracter personal 17

XIX. Procesul decizional individual automatizat 18

XX. Crearea de profiluri 18

XXI. Date cu caracter personal colectate, stocate și prelucrate 19

XXII. Securitatea datelor. Transferul datelor cu cracter personal 23

XXIII. Securitatea datelor. Stocarea datelor cu caracter personal 24

XXIV. Securitatea Datelor. Ștergerea datelor cu caracter personal 25

XXV. Securitatea datelor. Utilizarea datelor cu caracter personal 25

XXVI. Securitatea datelor. Securitatea IT 26

XXVII. Măsuri organizatorice 27

XXVIII. Transferul datelor cu caracter personal în afara Spațiului Economic European 28

XXIX. Încălcarea securității datelor cu caracter personal 30

XXX. Implementarea Politicii de Protecție a Datelor cu Caracter Personal 31





0. Definiții1

 

Date cu caracter personal

Orice informații privind o persoană fizică identificată sau identificabilă (”persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specific, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Prelucrare2

Orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Restricționarea prelucrării

Marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora.

Crearea de profiluri

Orice formă de prelucrare automata a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personal referitoare la o persoană fizică, în special pentru a analiza sau prevederea aspect privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia.

Pseudonimizare

Prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.

Sistem de evidență a datelor

Orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice.

Operator

Persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii Europene sau dreptul intern, operatorul sau criteriile specific pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii Europene sau în dreptul intern.

Persoană împuternicită de operator

Persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.

Destinatar

Persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unui anumite anchete în conformitate cu dreptul Uniunii Europene sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respect normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării.

Parte terță

O persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub autoritatea direct a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.

Consimțământ

Orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

Încălcarea securității datele cu caracter personal

O încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

Date genetice

Datele cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice privind fiziologie sau sănătatea persoanei respective și care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză.

Date biometrice

Date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirm identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice.

Date privind sănătatea

Date cu caracter personal legale de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia

Sediu principal

a) În cazul unui operator cu sedii în cel puțin două state membre, locul în care se află administrația centrală a acestuia în Uniunea Europeană, cu excepția cazului în care deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului din Uniune, sediu care are competența de a dispune punerea în aplicare a acestor decizii, caz în care sediul care a luat deciziile respective este considerat a fi sediul principal.

b) În cazul unei persoane împuternicite de operator cu sedii în cel puțin două state membre, locul în care se află administrația centrală în Uniune, sau, în cazul în care persoana împuternicită de operator nu are o administrație centrală în Uniune, sediul din Uniune al persoanei împuternicite de operator în care au loc activitățile principale de prelucrare, în contextul activităților unui sediu al persoanei împuternicite de operator, în măsura în care aceasta este supusă unor obligații specifice în temeiul prezentului regulament.

Reprezentant

Persoană fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana împuternicită în ceea ce privește obligațiile lor respective care le revin în temeiul prezentului regulament.

Întreprindere

Persoană fizică sau juridică ce desfășoară o activitate economică, indiferent de forma juridică a acesteia, inclusiv parteneriate sau asociații care desfășoară în mod regulat o activitate economică.

Grup de întreprinderi

Înseamnă o întreprindere care exercită controlul și întreprinderile controlate de aceasta.

Reguli corporatiste obligatorii

Politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce privește transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe țări terțe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună.

Autoritate de supraveghere

Autoritate publică independent instituită de un stat membru în temeiul articolului 51 al Regulamentului general privind protecția datelor.

Autoritate de supraveghere vizată

Autoritate de supraveghere care este vizată de procesul de prelucrare a datelor cu caracter personal deoarece:

 

    1.  

Operatorul sau persoana împuternicită de operator este stabilită pe teritoriul statului membru al autorității de supraveghere respective,

    1.  

Persoanele vizate care își au reședința în statul membru în care se află autoritatea de supraveghere respectivă sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare sau

    1.  

La autoritatea de supraveghere respectivă a fost depusă o plângere.

Prelucrare transfrontalieră

    1.  

Prelucrarea datelor cu caracter personal care are loc în contextul activităților sediilor din mai multe state membre ale unui operator sau ale unui persoane împuternicite de operator pe teritoriul Uniunii, dacă operatorul sau persoana împuternicită de operator are sedii în cel puțin două state membre sau

    1.  

Prelucrarea datelor cu caracter personal care are loc în contextul activităților unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane vizate din cel puțin două state membre.

Obiecție relevantă și motivate

O obiecție la un proiect de decizie în scopul de a stabili dacă există o încălcare a prezentului regulament sau dacă măsurile preconizate în ceea ce privește operatorul sau persoana împuternicită de operator respectă prezentul regulament, care demonstrează în mod clar importanța riscurilor pe care le prezintă proiectul de decizie în ceea ce privește drepturile și libertățile fundamentale ale persoanelor vizate și, după caz, libera circulație a datelor cu caracter personal în cadrul Uniunii.

Serviciile societății informaționale

Un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva 98/34/CE a Parlamentului European și a Consiliului3.

Organizație internațională

O organizație și organismele sale subordinate reglementate de dreptul internațional public sau orice alt organism care este instituit printr-un acord încheiat între două sau mai multe țări sau în temeiul unui astfel de acord.



I. Introducere



1. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental45.

2. Principiile și normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetățenia sau de locul de reședință al persoanelor fizice, să respecte drepturile și libertățile fundamentale ale acestora, în special dreptrul la protecția datelor cu caracter personal.

3. Așa cum și legiuitorul european subliniază6, integrarea economică și social care rezultă din funcționarea pieței interne a condus la o creștere substanțială a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracter personal între actori publici și private, inclusive persoane fizice, asociații și întreprinderi, s-a internsificat în întreaga Uniune. Urmând evoluțiilor tehnologice rapide, precum și globalizării, noi provocări pentru protecția datelor cu caracter personal au luat astfel naștere. Tehnologia permite atât societăților private, cât și autorităților publice să utilizeze date cu caracter personal la un nivel fără precedent în cadrul activităților lor.

4. Astfel, noua stare de fapt impune un cadru solid și mai coherent în materie de protecție a datelor în Uniunea Europeană, însoțit de o aplicare riguroasă a normelor, aluând în considerare importanța creării unui cliamt de încredere care va permite economiei digitale să se dezvolte pe piața internă.

5. Așadar, persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal, iar securitatea juridică și practică pentru persoanele fizice, operatori economici și autorități publice ar trebui consolidată.

6. Prezenta politică trasează cadrul de obligații ale COMTEST SRL (”Societatea”), în ceea ce privește protecția datelor cu caracter personal și a drepturilor tuturor persoanelor fizice (”persoane vizate”) așa cum acestea sunt definite prin Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (”GDPR” / ”Regulamentul”).

7. GDPR definește ”datele cu caracter personal ” drept orice informații privind o persoană fizică identificată sau identificabilă (”persoana vizată”); o persoană fizică identificabilă





este o persoană care poate fi identifică, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare,

un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

8. Prezenta politică trasează obligațiile COMTEST SRL cu privire la colectarea, prelucrarea, transferul, stocarea și dispunerea de date cu caracter personal. Procedurile și principiile statuate prin prezenta politică sunt obligatorii pentru toți salariații, agenții, contractorii COMTEST SRL, precum și pentru toate celelalte părți care acționează pentru și în numele COMTEST SRL.

9. COMTEST SRL va depune diligența necesară nu numai pentru a fi în conformitate cu cadrul juridic generat prin noile modificări legislative la nivelul Uniunii Europene, ci și va urmări să satisfacă toate exigențele intenției legiuitorului european cu privire la prelucrarea legală, echitabilă și transparentă a tuturor datelor cu caracter personal, respectând drepturile, intimitatea și încrederea tuturor părților cu care COMTEST SRL interacționează în mod direct.



II. Principiile protecției datelor cu caracter personal



2.1. Prin prezenta politică, COMTEST SRL urmărește să asigure conformitatea cu cadrul creat de GDPR. Regulamentul statuează următoarele principii pe care orice procesator de date cu caracter personal trebuie să le respecte.

2.2. Datele cu caracter personal sunt7:

2.2.1. Prelucrate în mod legal, echitabil și transparentă față de persoana vizată,

2.2.2. Colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale,

2.2.3. Adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (”reducerea la minimum a datelor”),







2.2.4. Exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere (”exactitate”),

2.2.5. Păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate în vederea garantării drepturilor și libertăților persoanei vizate,

2.2.6. Prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (”integritate și confidențialitate).

III. Drepturile persoanei vizate



3.1. GDPR statuează următoarele drepturi ale persoanei vizate:

3.1.1. Dreptul de a fi informat8. Pentru mai multe informații, consultați Cap. XII al prezentei politici.

3.1.2. Dreptul de acces9. Pentru mai multe informații, consultați Cap. XIII al prezentei politici.

3.1.3. Dreptul la rectificare10. Pentru mai multe informații, consultați Cap. XIV al prezentei politici.

3.1.4. Dreptul la ștergerea datelor11. Pentru mai multe informații, consultați Cap. XV al prezentei politici.

3.1.5. Dreptul la restricționarea prelucrării12. Pentru mai multe informații, consultați Cap. XVI al prezentei politici.





3.1.6. Dreptul la portabilitatea datelor13. Pentru mai multe informații, consultați Cap. XVII al prezentei politici.

3.1.7. Dreptul la opoziție14. Pentru mai multe informații, consultați Cap. XVIII al prezentei politici.

3.1.8. Drepturile cu privire la procesul decizional individual automatizat și crearea de profiluri15. Pentru mai multe informații, consultați Cap. XIX și XX ale prezentei politici.

IV. Prelucrarea legală, echitabilă și transparentă a datelor cu caracter personal



4.1. Prin GDPR, legiuitorul dorește să se asigure că datele cu caracter personal sunt prelucrate în mod legal, echitabil și transparent, fără a încălca drepturile persoanei vizate. Astfel, legiuitorul consideră legală prelucrarea dacă cel puțin una dintre condițiile următoare este întrunită16:

4.1.1. Persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice,

4.1.2. Prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract,

4.1.3. Prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului,

4.1.4. Prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul,

4.1.5. Prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.



4.2. În cazul în care se prelucrează date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice, cel puțin una dintre condițiile următoare trebuie să fie îndeplinită17:

4.2.1. Persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specific, cu excepția cazului în care dreptul Uniunii Europene sau dreptul național prevede altfel,

4.2.2. Prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul național ori de un acord colectiv de muncă încheiat în temeiul dreptului național care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate,

4.2.3. Prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de își da consimțământul,

4.2.4. Prelucrarea este efectuată în cadrul activităților lor legitime și cu garanții adecvate de către o fundație, o asociație sau orice alt organism fără scop lucrative și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respective sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele cu caracter personal să nu fie comunicate terților fără consimțământul persoanelor vizate,

4.2.5. Prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată,

4.2.6. Prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau ori de câte ori instanțele acționează în exercițiul funcției lor justificare,

4.2.7. Prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului național, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specific pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate,

4.2.8. Prelucrarea este necesară în scopuri legate de medicina preventive sau a muncii, de evaluarea capacității de muncă a salariatului, de stabilirea unui diagnostic medical, de



furnizarea de asistență medical sau social sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență social, în temeiul dreptului Uniunii sau al dreptului național sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării condițiilor și garanțiilor prevăzute de GDPR,

4.2.9. Prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standard ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului naționale, care prevede măsuri adecvate și specific pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional,

4.2.10. Prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu GDPR, în baza dreptului Uniunii sau a dreptului național, care este proporțional cu obiectivul urmărit, respect esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specific pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate.



V. Scopul specific, explicit și legitim



5.1. COMTEST SRL colectează și prelucrează date cu caracter personal conform Cap. XXI al prezentei politici. Datele cu caracter personal includ:

5.1.1. Date cu caracter personal obținute de la persoana vizată,

5.1.2. Date cu caracter personal obținute de la terțe părți.

5.2. COMTEST SRL colectează, prelucrează și stochează date cu caracter personal conform scopurilor specific stipulate în Cap. XXI al prezentei politici, precum și pentru oricare alt scop permis în mod expres de către GDPR.

5.3. Persoanele vizate vor fi întotdeauna informate cu privire la scopul sau scopurile pentru care COMTEST SRL le colectează, prelucrează și / sau stochează datele cu caracter personal18.



VI. Prelucrarea adecvată, relevantă și limitată



6.1. COMTEST SRL va colecta, prelucra și/sau stoca date cu caracter personal numai în măsura în care astfel de operațiuni sunt necesare în atingerea scopului sau scopurilor specifice cu privire la care persoanele vizate au fost informate sau vor fi informate în conformitate cu Cap. V și/sau Cap. XXI ale prezentei politici192021.



VII. Acuratețea și actualizarea datelor cu caracter personal



7.1. COMTEST SRL se va asigura că toate datele cu caracter personal colectate, prelucrate și stocate sunt exacte și actualizate. Aceasta include, dar nu limitativ, rectificarea datelor cu caracter personal la cererea persoanei vizate conform Cap. XIV al prezentei politici22.

7.2. Acuratețea datelor cu caracter personal va fi analizată în momentul colectării, precum și la intervale regulate de timp, dar niciodată mai târziu de 30 de zile de la momentul ultimei analize. Dacă sunt găsite date cu caracter personal inexacte, vor fi luate imediat măsuri rezonabile pentru a corecta sau șterge datele, după caz.



VIII. Stocarea datelor cu caracter personal



8.1. COMTEST SRL nu va stoca date cu caracter personal pentru o perioadă mai lungă decât este necesar în conformitate cu scop sau scopurile pentru care datele anterior menționate au fost initial colectate, stocate sau prelucrate23.

8.2. Atunci când datele cu caracter personal nu mai sunt necesare, se vor lua imediat măsuri rezonabile pentru ștergerea și / sau distrugerea acestora, după caz.





8.3. Pentru mai multe informații cu privire la politica COMTEST SRL privind stocarea datelor personale, incluzând perioadele de stocare specifice fiecărui tip de date, vă rugăm să consultați Politica de Stocare a Datelor cu Caracter Personal.



IX. Prelucrarea sigură



9.1. COMTEST SRL se va asigura că toate datele cu caracter personal colectate, stocate și prelucrate sunt păstrate într-un mediu sigur, fiind protejate împotriva distrugerii, pierderii, sau modificării ilegale sau accidentale, precum și împotriva divulgării neautorizate24.



X. Evidențele activității de prelucrare



10.1. În cadrul COMTEST SRL, responsabilul cu protecția datelor este ...............................

10.2. Responsabilul cu protecția datelor va fi răspunzător pentru supravegherea implementării prezentei politici și monitorizarea conformității prezentei politici și a celorlalte politici ale COMTEST SRL cu privire la protecția datelor cu Regulamentul și cu legislația în vigoare aplicabilă.

10.3. COMTEST SRL va păstra evidențe scrise cu privire la colectarea, stocarea și prelucrarea tuturor datelor cu caracter personal, ce vor cuprinde următoarele categorii de informații25:

10.3.1. Datele de identificare ale COMTEST SRL, ale responsabilului cu protecția datelor, precum și ale oricăror persoane împuternicite ori operatori asociați.

10.3.2. Scopurile pentru care COMTEST SRL colectează, stochează și prelucrează date cu caracter personal,

10.3.3. Detaliile categoriilor datelor cu caracter personal colectate, stocate și procesate de către COMTEST SRL și a categoriilor datelor în legătură cu date cu caracter personal,

10.3.4. Detaliile oricărui transfer de date personale către o țară terță, incluzând măsurile adecvate de securitate implementate,

10.3.5. Detaliile cu privire la perioadele de stocare a datelor cu caracter personal de către COMTEST SRL, și





10.3.6. Descrierile detaliate cu privire la măsurile tehnice și / sau organizaționale implementate de către COMTEST SRL pentru a asigura securitatea datelor cu caracter personal.



XI. Evaluarea impactului asupra protecției datelor cu caracter personal



11.1. Societatea va evalua impactul asupra protecției datelor cu caracter personal pentru toate proiectele noi și / sau toate utilizările de date cu caracter personal ce implică utilizarea de noi tehnologii și a căror prelucrare poate genera un risc ridicat pentru drepturile persoanei vizate conform GDPR26.

11.2. Responsabilul cu protecția datelor supraveghează evaluarea impactului asupra protecției datelor cu caracter personal, proces ce implică următoarele27:

11.2.1. Tipurile de date cu caracter personal ce vor fi colectate, stocate și procesate,

11.2.2. Scopul / scopurile pentru care date cu caracter personal sunt utilizate,

11.2.3. Obiectivele Societății,

11.2.4. Cum sunt utilizate datele cu caracter personal,

11.2.5. Părțile ce urmează a fi consultate cu privire la utilizarea datelor cu caracter personal,

11.2.6. Necesitatea și proporționalitatea prelucrării datelor în raport cu scopul / scopurile pentru care sunt prelucrate,

11.2.7. Riscurile la care este supusă persoana vizată,

11.2.8. Riscurile atât din interiorul Societății cât și față de Societate,

11.2.9. Măsurile propuse pentru diminuarea și instrumentarea riscurilor astfel identificate.



XII. Informarea persoanei vizate



12.1. Societatea va transmite informațiile prevăzute de art. 12.2 al prezentei politici tuturor persoanelor vizate:



12.1.1. Acolo unde datele personale sunt colectate direct de la persoanele vizate, acestea vor fi informate cu privire la scopul colectării la momentul respectiv.

12.1.2. Acolo unde datele personale sunt obținute de la terțe părți, persoanele vizate vor fi informate cu privire la scopul colectării28:

a) dacă datele cu caracter personal sunt utilizate în vederea comunicării cu persoanele vizate, atunci când prima comunicare are loc,

b) dacă datele cu caracter personal urmează să fie transferate către o terță parte, înainte ca transferul să aibă loc,

c) pe cât de repede este rezonabil și posibil, dar în niciun caz mai târziu de 30 de zile calendaristice de la momentul obținerii datelor cu caracter personal.

12.2. Următoarele informații vor fi comunicate29:

12.2.1. Datele de identificare la Societății, incluzând, dar nu limitativ, identitatea responsabilului cu protecția datelor,

12.2.2. Scopul / scopurile pentru care datele cu caracter personal sunt colectate și procesate conform Cap. XXI al prezentei politici, precum și temeiul în baza căruia se justifică colectarea și prelucrarea anterior menționată,

12.2.3. Acolo unde este aplicabil, interesul legitim în baza căruia Societatea justifică colectarea și procesarea de date cu caracter personal,

12.2.4. Acolo unde datele cu caracter personal nu sunt obținute direct de la persoana vizată, categoriile de date cu caracter personal colectate și prelucrate,

12.2.5. Acolo unde datele cu caracter personal urmează să fie transferate către una sau mai multe terțe părți, datele de identificare ale acestora,

12.2.6. Acolo unde datele cu caracter personal urmează să fie transferate către o terță parte din afara Spațiului Economic European (SEE/EEA) detaliile transferului, incluzând, dar nu limitative măsurile de securitate implementate30,

12.2.7. Detalii cu privire la stocarea datelor cu caracter personal,

12.2.8. Detalii cu privire la drepturile persoanei vizate conform GDPR,





12.2.9. Detalii cu privire la dreptul persoanei vizate de a își retrage oricând consimțământul în vederea procesării de către Societate a datelor sale cu caracter personal,

12.2.10. Detalii cu privire la dreptul persoanei vizate de a contesta colectarea, prelucarea și / sau stocarea prin înaintarea de plângeri către autoritatea de supraveghere a prelucrării datelor cu caracter personal ori către oricare altă autoritate competentă conform GDPR,

12.2.11. Acolo unde este aplicabil, detalii cu privire la oricare obligație / cerință juridică ori convențională în temeiul căreia datele cu caracter personal sunt necesare a fi colectate, prelucrate și / sau stocate, precum și detalii cu privire la consecințele izvorâte din refuzul persoanei vizate de a le oferi,

12.2.12. Detalii cu privire la orice proces decizional individual automatizat, inclusiv crearea de profiluri, ce utilizează date cu caracter personal, incluzând informații cu privire la modul în care astfel de decizii vor fi luate, semnificațiile acestor decizii și, după caz, consecințele acestora.

XIII. Accesul persoanei vizate



13.1. Persoana vizată poate oricând înainta o cerere de acces (”CDA”) pentru a afla mai multe informații despre datele cu caracter personal pe care Societatea le prelucrează și / sau stochează, precum și cu privire la scopul ori scopurile pentru aceasta o face.

13.2. Persoana vizată poate să înainteze o CDA în scris, utilizând formularul CDA al Societății, sau prin oricare altă modalitate de comunicare. CDA-urile trebuie să fie adresate Responsabilului cu Protecția Datelor31:

a) Număr telefon Responsabil cu Protecția Datelor: ...................................

b) Adresă de email Responsabil cu Protecția Datelor: ...................................

13.3. Răspunsul pentru o CDA ar trebui, în mod normal, să fie primit în cel mult 30 de zile calendaristice de la data primirii unei CDA. Cu toate acestea, acest termen poate fi extins cu până la 30 de zile calendaristice în cazul în care respectiva CDA prezintă un înalt grad de complexitate și / sau un număr ridicat de CDA-uri trebuie procesat de către Societate. În cazul în care termenul va fi extins, persoana vizată va fi informată înăuntrul termenului inițial de 30 de zile calendaristice.

13.4. Toate CDA-urile vor fi primite și instrumentate de către Responsabilul cu Protecția Datelor.



13.5. Societatea nu solicită plăți pentru instrumentarea CDA-urilor. Cu toate acestea, Societatea își rezervă dreptul de a solicita plăți proporționale și echitabile pentru copii adiționale pentru informații ce au fost deja transmise persoanei vizate și pentru CDA-uri care sunt nefondate ori excesive, în special atunci când astfel de CDA-uri au o natură repetitivă și bazate pe rea-credință.



XIV. Rectificarea datelor cu caracter personal



14.1. Persoana vizată are dreptul de a înainte Societății cereri de rectificare a datelor cu caracter personal ce sunt inexacte sau incomplete (”CDR”).

14.2. Societatea va dispune rectificarea datelor cu caracter personal ce fac obiectul unei CDR și va informa persoana vizată cu privire la rectificare în termen de 30 de zile calendaristice de la momentul înaintării CDR-ului. Termenul poate fi extins cu până la 30 de zile calendaristice în cazul situațiilor ce prezintă un înalt grad de complexitate. În cazul în care Societatea va extinde termenul de soluționare, va informa persoana vizată înăuntrul termenului inițial de 30 de zile calendaristice.

14.3. În cazul în care datele cu caracter personal supuse rectificării au fost transmise unei terțe părți, Societatea le va informa cu privire la toate rectificările necesare.

XV. Ștergerea datelor cu caracter personal



15.1. Persoana vizată are dreptul de a înainta Societății cereri de ștergere a datelor cu caracter personal (”CSD”) în următoarele cazuri32:

15.1.1. Nu mai este necesar pentru ca Societatea să stocheze datele cu caracter personal în vederea scopului ori scopurilor pentru care acestea au fost inițial colectate și prelucrate,

15.1.2. Persoana vizată dorește să își retragă consimțământul oferit Societății în vederea stocării și prelucrării datelor sale cu caracter personal,







15.1.3. Persoana vizată obiectează cu privire la stocarea și prelucrarea datelor sale cu caracter personal de către Societate și nu există niciun interes legitim al Societății în baza căruia Societatea ar putea continua să o facă33,

15.1.4. Datele cu caracter personal au fost prelucrate ilegal sau

15.1.5. Datele cu caracter personal trebuie să fie șterse pentru ca Societatea să se conformeze unei obligații legale.

15.2. În cazul în care Societatea nu are un temei pentru a refuza ștergerea de date cu caracter personal, CSD-ul va fi instrumentată de către Societate și persoana vizată va fi informată cu privire la ștergere în termen de 30 de zile calendaristice de la primirea CSD-ului de către Societate. Termenul poate fi extins cu până la 30 de zile calendaristice în cazul cererilor ce prezintă un înalt grad de complexitate. În cazul în care Societatea extinde termenul de soluționare, aceasta va informa persoana vizată înăuntrul termenului inițial de 30 zile calendaristice.

15.3. În cazul în care datele cu caracter personal ce urmează a fi șterse au fost transmise către terțe părți, acestea vor fi informate cu privire la ștergere, excepție făcând situațiile în care o astfel de informare ar fi imposibilă ori ar necesita un efort disproporționat din partea Societății.

XVI. Restricționarea prelucrării datelor cu caracter personal



16.1. Persoana vizată are dreptul de a înainta Societății cereri de restricționare a prelucrării datelor cu caracter personal pe care Societatea le deține cu privire la aceasta (”CRP”). În cazul în care persoana vizată înaintează o astfel de cerere, Societatea va păstra doar datele cu caracter personal cu privire la persoana vizată, dacă este cazul, necesare pentru ca Societatea să se asigure că datele cu caracter personal ce fac subiectul cererii nu vor mai fi prelucrate pe viitor.

16.2. În situația în care datele cu caracter personal ce fac obiectul cererii au fost transmise către terțe părți, acestea vor fi informate cu privire la restrângerea aplicabilă prelucrării, excepție făcând situațiile în care o astfel de informare ar fi imposibilă ori ar necesita un efort efort disproporționat din partea Societății.



XVII. Portabilitatea datelor cu caracter personal



17.1. Societatea prelucrează date cu caracter personal prin utilizarea unuia sau mai multor procese automatizate de prelucrare.

17.2. Acolo unde persoana vizată și-a oferit consimțământul Societății în vederea prelucrării datelor sale cu caracter personal printr-un astfel de proces sau prelucrarea printr-un astfel de proces este necesară pentru executarea unui contract dintre Societate și persoana vizată, persoana vizată are dreptul, conform GDPR, să primească o copie a datelor sale cu caracter personal și să utilizeze respectiva copie pentru alte scopuri (e.g. transmiterea către un alt procesator).

17.3. În vederea facilitării dreptului la portabilitatea datelor, Societatea va pune la dispoziție toate datele cu caracter personal ce fac obiectul art. 17.2.

17.4. Acolo unde este posibil din punct de vedere tehnic, în cazul în care este cerut de către persoana vizată, datele cu caracter personal vor fi trimise direct procesatorului indicat.

17.5. Toate cererile pentru copii ale datelor cu caracter personal vor fi instrumentate de către Societate în termen de 30 de zile calendaristice de la primirea acestora. Termenul poate fi extins cu până la 30 de zile calendaristice în cazul în care cererile prezintă un înalt grad de complexitate sau Societatea trebuie să proceseze un număr ridicat de astfel de cereri. În cazul în care termenul este extins, Societatea va informa persoana vizată înăuntrul termenului inițial de 30 de zile calendaristice.



XVIII. Opoziția cu privire la prelucrarea datelor cu caracter personal



18.1. Persoana vizată are dreptul de a se opune prelucrării de către Societate a datelor cu caracter personal pentru motive temeinice, în cazul în care prelucrarea are drept scop marketingul direct ori în cazul în care sunt prelucrate în scopuri de cercetare științifică sau istorică.

18.2. Atunci când persoana vizată se opune prelucrării de către Societate a datelor sale cu caracter personal pentru motive temeinice, Societatea va dispune încetarea prelucrării în cazul în care nu demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.

18.3. Atunci când persoana vizată se opune prelucrării de către Societate a datelor sale cu caracter personal în scopul marketingului direct, Societatea va dispune imediat încetarea prelucrării.





18.4. Atunci când persoana vizată se opune prelucrării de către Societate a datelor sale cu caracter personal în scopuri de cercetare științifică sau istorică sau în scopuri statistice, aceasta trebuie să demonstreze existența unui motiv temeinic specific situației sale particulare. Societatea nu este obligată să dispună încetarea prelucrării în cazul în care aceasta este necesară pentru îndeplinirea unei sarcini din motive de interes public.



XIX. Procesul decizional individual automatizat



19.1. Societatea utilizează procese decizionale individuale automatizate.

19.2. Unde astfel de decizii produc efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă, persoana vizată are dreptul de a nu face obiectul unei asemenea decizii conform GDPR, dreptul de a obține intervenție umană din partea Societății în vederea exprimării punctului de vedere și dreptul de a contesta decizia în cauză34.

19.3. Drepturile prevăzute de art. 19.2 nu se aplică în următoarele cazuri:

19.3.1. Decizia este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator de date,

19.3.2. Decizia este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, sau

19.3.3. Decizia are la bază consimțământul explicit al persoanei vizate.



XX. Crearea de profiluri



20.1. Societatea prelucrează date cu caracter personal în vederea creării de profiluri.

20.2. Unde date cu caracter personal sunt prelucrate în vederea creării de profiluri, următoarele se vor aplica:

20.2.1. Persoanei vizate îi vor fi transmise informații clare și concise cu privire la metodologia creării profilurilor, incluzând semnificația și consecințele posibile ale creării profilurilor,



20.2.2. Proceduri statistice și / sau matematice corespunzătoare vor fi utilizate,

20.2.3. Măsuri tehnice și / sau organizaționale vor fi implementate pentru a diminua riscul apariției erorilor. În cazul în care apar erori, asemenea măsuri trebuie să ofere posibilitatea facilă de a le corecta și

20.2.4. Toate datele cu caracter personal prelucrate în vederea creării profilurilor vor fi securizate pentru a preveni apariția de efecte discriminatorii35.



XXI. Date cu caracter personal colectate, stocate și prelucrate



21.1. Următoarele date cu caracter personal sunt sau pot fi, de la caz la caz, colectate, stocate și / sau prelucrate de către Societate3637.

 

Date privind salariații / ucenicii

 

1.1.

Nume și prenume

1.2.

Adresa de domiciliu și / sau adresa de reședință

1.3.

CNP

1.4.

Serie și număr de CI și / sau BI și / sau Pașaport

1.5.

Cetățenia

1.6.

Țara de proveniență

1.7.

Sexul

1.8.

Data și locul nașterii

1.9.

Semnătura

1.10.

Datele din actele de stare civilă (căsătorit / necăsătorit)

1.11.

Date din permisul de conducere / certificatul de înmatriculare

1.12.

Numărul dosarului de pensie

1.13.

Numărul asigurării sociale / asigurării de sănătate

1.14.

Caracteristici fizice / antropometrice (e.g. numări pantof, înalțime etc.) pentru echipamentul de protecție

1.15.

Număr telefon și / sau fax

1.16.

Adresă de e-mail

1.17.

Profesie

1.18.

Loc (locuri) de muncă

1.19.

Diplome, studii, formare profesională

1.20.

Situație familială

1.21.

Situație militară

1.22.

Situație economică și financiară

1.23.

Date privind veniturile salariale

1.24.

Date bancare (număr cont IBAN, banca la care este deschis contul)

1.25.

Imagine (poză)

1.26.

Voce

1.27.

Date de geolocalizare (date de trafic)

1.28.

Date cu caracter personal care denotă originea rasială a persoanelor vizate

1.29.

Date cu caracter personal care denotă originea etnică a persoanelor vizate

1.30.

Date cu caracter personal care denotă convingerile politice ale persoanelor

1.31.

Date cu caracter personal care denotă convingerile filozofice ale persoanelor vizate

1.32.

Date cu caracter personal care denotă convingerile religioase ale persoanelor vizate

1.33.

Date cu caracter personal care denotă apartenența sindicală a persoanelor vizate

1.34.

Date cu caracter personal care denotă apartenența la un partid politic a persoanelor vizate

1.35.

Date cu caracter personal care denotă apartenența la o organizație religioasă a persoanelor vizate

1.36.

Date privind starea de sănătate

1.37.

Date genetice

1.38.

Date biometrice

1.39.

Date privind săvârșirea de infracțiuni

1.40.

Date privind condamnări penale / măsuri de siguranță

1.41.

Date privind sancțiuni disciplinare

1.42.

Date privind sancțiuni

1.43.

Date privind cazierul judiciar

1.44.

Date privind cazierul rutier

1.45.

Prezența la locul de muncă (pontaj)

1.46.

Evaluări profesionale

1.47.

Aspecte de personalitate, precum competența profesională, credibilitatea, comportamentul sau altele similare

1.48.

Monitorizare video (imagine, caracteristici biometrice etc.)

1.49.

Accidente la locul de muncă

1.50.

Clasamente / rezultate concursuri (e.g. pentru personalul ISU care participă la concursuri)

 

Date privind copiii salariaților / ucenicilor

( în scopul oferirii de cadouri cu ocazia Crăciunului, Sărbătorilor Pascale, 1 iunie etc.)

2.1.

Nume și prenume

2.2.

Adresa de domiciliu și / sau adresa de reședință

2.3.

CNP

2.4.

Serie și număr de CI și / sau BI și /sau Pașaport

2.5.

Cetățenia

2.6.

Țara de proveniență

2.7.

Sexul

2.8.

Data și locul nașterii

2.9.

Caracteristici fizice / antropometrice (e.g. număr pantof, înălțime etc.)

2.10.

Imagine (poză)

2.11.

Voce

2.12.

Date privind starea de sănătate

Date privind membrii de familie ai salariaților / ucenicilor

(cu excepția copiilor acestora)

3.1.

Nume și prenume

3.2.

Adresa de domiciliu și / sau adresa de reședință

3.3.

CNP

3.4.

Serie și număr de CI și / sau BI și /sau Pașaport

3.5.

Cetățenia

3.6.

Țara de proveniență

3.7.

Sexul

3.8.

Data și locul nașterii

3.9.

Caracteristici fizice / antropometrice (e.g. număr pantof, înălțime etc.)

3.10.

Imagine (poză)

3.11.

Voce

3.12.

Date privind starea de sănătate

Date privind candidații la posturile din cadrul Societății

(inclusiv aplicații spontane)

4.1.

Nume și prenume

4.2.

Adresa de domiciliu și/sau adresa de reședință

4.3.

CNP

4.4.

Serie și număr de CI și/sau BI și/sau Pașaport

4.5.

Cetățenia

4.6.

Țara de proveniență

4.7.

Sexul

4.8.

Data și locul nașterii

4.9.

Semnătura

4.10.

Datele din actele de stare civilă (căsătorit/necăsătorit)

4.11.

Date din permisul de conducere/certificatul de înmatriculare

4.12.

Număr telefon și/sau fax

4.13.

Adresă de e-mail

4.14.

Profesie

4.15.

Loc (locuri) de muncă

4.16.

Diplome, studii, formare profesională

4.17.

Situație familială

4.18.

Situație militară

4.19.

Referințe (ex: scrisori de recomandare)

4.20.

Imagine (poză)

4.21.

Voce (ex: pentru interviuri realizate la distanță)

4.22.

Date cu caracter personal care denotă originea rasială a persoanelor vizate

4.23.

Date cu caracter personal care denotă originea etnică a persoanelor vizate

4.24.

Date cu caracter personal care denotă convingerile politice ale persoanelor vizate

4.25.

Date cu caracter personal care denotă convingerile filozofice ale persoanelor vizate

4.26.

Date cu caracter personal care denotă convingerile religioase ale persoanelor vizate

4.27.

Date cu caracter personal care denotă apartenența la un partid politic a persoanelor vizate

4.28.

Date cu caracter personal care denotă apartenența la o organizație religioasă a persoanelor vizate

4.29.

Date privind starea de sănătate

4.30.

Date genetice

4.31.

Date biometrice

4.32.

Date privind săvârșirea de infracțiuni

4.33.

Date privind condamnări penale/măsuri de siguranță

4.34.

Date privind sancțiuni contravenționale

4.35.

Date privind cazierul judiciar

4.36.

Aspecte de personalitate, precum competența profesională, credibilitatea, comportamentul sau altele similare

Date privind elevi / studenți

(stagii de practică)

5.1.

Nume și prenume

5.2.

Adresa de domiciliu și/sau adresa de reședință

5.3.

CNP

5.4.

Serie și număr de CI și/sau BI și/sau Pașaport

5.5.

Cetățenia

5.6.

Țara de proveniență

5.7

Sexul

5.8.

Data și locul nașterii

5.9.

Semnătura

5.10.

Datele din actele de stare civilă (căsătorit/necăsătorit)

5.11.

Date din permisul de conducere/certificatul de înmatriculare

5.12.

Număr telefon

5.13.

Adresă de e-mail

5.14.

Rezultate școlare (note obținute, premii concursuri etc.)

5.15.

Diplome, studii, formare profesională

5.16.

Situație familială

5.17.

Imagine (poză)

5.18.

Caracteristici fizice/antropometrice (de exemplu, număr pantof, înălțime etc. pentru echipamentul de protecție SSM)

5.19.

Monitorizare video (imagine, caracteristici biometrice etc.)

5.20.

Date cu caracter personal care denotă originea rasială a persoanelor vizate

5.21.

Date cu caracter personal care denotă originea etnică a persoanelor vizate

5.22.

Date cu caracter personal care denotă convingerile religioase ale persoanelor vizate

5.23.

Date cu caracter personal care denotă apartenența la un partid politic a persoanelor vizate

5.24.

Date cu caracter personal care denotă apartenența la o organizație religioasă a persoanelor vizate

5.25.

Date privind starea de sănătate

5.26.

Date genetice

5.27.

Date biometrice

5.28.

Date privind săvârșirea de infracțiuni

5.29.

Date privind condamnări penale/măsuri de siguranță

5.30.

Date privind sancțiuni contravenționale

5.31.

Date privind cazierul judiciar

5.32.

Aspecte de personalitate, precum competența profesională, credibilitatea, comportamentul sau altele similare

 

XXII. Securitatea datelor. Transferul datelor cu caracter personal



22.1. Societatea va dispune ca următoarele măsuri să fie implementate cu privire la întreaga comunicare internă și / sau externă, după caz, precum și cu privire la transferul datelor cu caracter personal:

22.1.1. Toate email-urile ce conțin date cu caracter personal trebuie să fie criptate.

22.1.2. Toate email-urile ce conțin date cu caracter personal trebuie să fie însemnate ”Confidențial”.





22.1.3. Datele cu caracter personal vor putea fi transmise doar prin intermediul rețelelor sigure. Transmiterea datelor prin intermediul rețelelor nesigure nu va fi niciodată permisă.

22.1.4. Datele cu caracter personal nu vor fi transmise prin intermediul rețelelor ”fără fir” (wireless) atunci când este posibilă fără un efort disproporționat din partea Societății transmiterea acestora prin intermediul rețelelor ”cu fir”.

22.1.5. Datele cu caracter personal ce sunt apar în cadrul unui email, indiferent dacă email-ul este trimis sau primit, trebuie să fie copiate din cadrul email-ului și stocate într-un mediu sigur. Email-ul respectiv ar trebui să fie șters. Toate documentele temporare asociate ar trebui, de asemenea, să fie șterse.

22.1.6. Atunci când datele cu caracter personal sunt transmise prin fax, cel care ar trebui să primească datele ar trebui să fie informat în avans cu privire la transmiterea acestora și să aștepte lângă fax pentru a primi respectivele date.

22.1.7. Atunci când datele cu caracter personal sunt transferate pe suport fizic, indiferent de tipul de suport, acestea ar trebui transmise direct celui care trebuie să le primească, și

22.1.8. Atunci când datele cu caracter personal sunt transferate pe suport fizic, indiferent de tipul de suport, acestea vor fi transferate într-un recipient adecvat însemnat ”Confidențial”.



XXIII. Securitatea datelor. Stocarea datelor cu caracter personal



23.1. Societatea va dispune următoarele măsuri cu privire la stocarea datelor cu caracter personal:

23.1.1. Toate copiile electronice ale datelor cu caracter personal vor fi stocate într-un mediu sigur, utilizând parole și criptare,



23.1.2. Toate copiile fizice ale datelor cu caracter personal, alături de toate copiile pe suport electronic fizic vor fi stocate în dulapuri închise sau în alte elemente similare din punct de vedere al securității,

23.1.3. Toate copiile electronice ale datelor cu caracter personal ar trebui să fie duplicate în modul de ”back-up” odată la cel puțin 90 de zile calendaristice, mediile de stocare ale modulelor de ”back-up” fiind stocate în cadrul Societății conform art. 23.1.2. Toate modulele de ”back-up” ar trebui să fie criptate conform art. 23.1.1,





23.1.4. Datele cu caracter personal nu vor fi niciodată stocate pe dispozitive mobile (incluzând, dar nu limitativ, laptop-uri, tablete sau telefoane mobile), indiferent dacă respectivele dispozitive aparțin Societății sau nu. În cazul în care este imperios necesar ca acestea să fie stocate pe dispozitive mobile, stocarea va fi realizată numai în baza acordului scris al administratorului sau al reprezentantului legal al acestuia și o asemenea stocare va fi realizată doar conform instrucțiunilor și limitărilor impuse prin acordul scris al celor menționați anterior, pentru o perioadă cel mult egală cu perioada pentru care este necesară o asemenea stocare,

23.1.5. Datele cu caracter personal nu vor fi niciodată transferate pe dispozitive personale ce aparțin unui salariat. Datele cu caracter personal vor putea fi transferate către dispozitive ce aparțin agenților, contractorilor sau altor părți ce acționează în numele și pentru Societate, unde asemenea agenți, contractori sau alte părți au luat act de prezenta politică și de GDPR, fapt ce ar putea include demonstrațiile necesare către Societate cu privire la măsurile tehnice și organizaționale luate de către aceștia.



XXIV. Securitatea Datelor. Ștergerea datelor cu caracter personal



24.1. Când datele cu caracter personal sunt șterșe sau eliminate prin alte metode pentru orice motiv, incluzând situația în care copii au fost efectuate, dar nu mai sunt necesare, datele cu caracter personal ar trebui să fie șterse sau eliminate într-un mod sigur38.

XXV. Securitatea datelor. Utilizarea datelor cu caracter personal



25.1. COMTEST SRL va dispune următoarele măsuri cu privire la utilizarea datelor cu caracter personal:

25.1.1. Datele cu caracter personal nu vor fi transmise într-un mod informal. Orice salariat, agent, subcontractor sau oricare altă terță parte ce acționează în numele și pentru COMTEST SRL ce necesită acces la date cu caracter personal la care încă nu are acces, va putea să obțină respectivul





acces doar în scris și doar de la administratorul COMTEST SRL sau de la reprezentantul legal al acestuia.

25.1.2. Datele cu caracter personal nu vor fi transferate către salariați, agenți, contractori sau alte terțe părți, indiferent dacă cei menționați anterior acționează în numele și pentru COMTEST SRL. Un asemenea transfer poate fi autorizat doar în scris și de către administratorul COMTEST SRL sau de către reprezentantul său legal.

25.1.3. Datele cu caracter personal trebuie întotdeauna manevrate și utilizate cu grijă și nu ar trebui să fie lăsate nesupravegheate sau să fie lăsate în locuri în care persoane neautorizate ar putea intra în contact cu acestea.

25.1.4. Dacă datele cu caracter personal sunt utilizate pe un calculator și redate pe unul sau mai multe monitoare, persoana autorizată să le utilizeze în situația respectivă este obligată să își blocheze calculatorul, precum și monitorul sau monitoarele în cazul în care părăsește calculatorul sau dacă persoane neautorizate pătrund într-o rază vizuală din care ar putea lua contact cu anterior menționatele date.

25.1.5. Acolo unde date cu caracter personal sunt prelucrate de către COMTEST SRL pentru scopuri în legătură cu marketingul, este răspunderea persoanei cu rol atribuit de a se asigura că Societatea obține consimțământul corespunzător și că nicio persoană vizată nu și-a exercitat drepturile conform GDPR de a nu îi mai fi prelucrate datele pentru scopurile anterior menționate, fie direct, fie indirect prin serviciile unei terțe părți.



XXVI. Securitatea datelor. Securitatea IT



26.1. COMTEST SRL va dispune următoarele măsuri cu privire la securitatea IT:

26.1.1. Toate parolele utilizate pentru protecția datelor cu caracter personal ar trebui să fie schimbate regulat și să nu fie compuse din cuvinte, propoziții sau fraze care să fie ușor de ghicit sau de compromis prin alte mijloace. Toate parolele trebuie să conțină o combinație între majuscule, litere mici, numere și simboluri. Toate aplicațiile utilizate de către COMTEST SRL trebuie să respecte art. 26.1.1.

26.1.2. În nicio circumstanță, parolele nu ar trebuie să fie scrise pe suport fizic sau împărtășite cu alți salariați, agenți, contractori sau alte părți care acționează în numele și pentru COMTEST SRL, indiferent de vechime și departament. Dacă o parolă a fost uitată, aceasta trebuie să fie resetată conform metodologiei specifice fiecărei aplicații în parte,



aceasta neînsemnând că metodologia respectivă poate deroga de la art. 26.1.2. al prezentei politici.

26.1.3. Toate aplicațiile, incluzând, dar nu limitativ, aplicațiile și sistemele de operare, trebuie să fie în permanență actualizate. Salariații COMTEST SRL răspunzători de securitatea IT vor fi responsabili cu privire la instalarea tuturor actualizărilor în cel mult o zi calendaristică de la data la care acestea au fost disponibile sau pe cât de repede este rezonabil și practic în cazul în care există motive tehnice temeinice pentru întârzierea actualizărilor.

26.1.4. Nicio aplicație nu poate fi instalată pe un terminal sau un dispozitiv al COMTEST SRL fără obținerea aprobării în scris din partea conducătorului Departamentului IT.



XXVII. Măsuri organizatorice



27.1. COMTEST SRL va dispune următoarele măsuri organizatorice cu privire la colectarea, stocarea și prelucrarea datelor cu caracter personal:

27.1.1. Toți salariații, agenții, contractorii și părțile care acționează în numele și pentru COMTEST SRL vor fi informați cu privire la responsabilitățile lor individuale, precum și cu privire la responsabilitățile COMTEST SRL conform GDPR și a prezentei Politici și li se va transmite o copie a acesteia.

27.1.2. Numai salariații, agenții, contractorii și alte părți care acționează în numele și pentru COMTEST SRL care au nevoie de acces la și să folosească date cu caracter personal spre a își îndeplini sarcinile în mod corect, vor primi acces la datele cu caracter personal colectate, stocate și prelucrate de către COMTEST SRL.

27.1.3. Toți salariații, agenții, contractorii și părțile care acționează în numele și pentru COMTEST SRL ce interacționează cu date cu caracter personal vor primi instruiri specifice operațiunilor în legătură cu date cu caracter personal.



27.1.4. Toți salariații, agenții, contractorii și părțile care acționează în numele și pentru COMTEST SRL ce interacționează cu date cu caracter personal vor fi supravegheați corespunzător în ducerea la bun-sfârșit a îndatoririlor profesionale.

27.1.5. Toți salariații, agenții, contractorii și părțile care acționează în numele și pentru COMTEST SRL sunt obligați să interacționeze cu datele cu caracter personal cu grijă și să



manifeste discreția necesară operațiunilor specifice., inclusiv în ceea ce privește orice discuții purtate cu privire la date cu caracter personal, indiferent că aceste discuții sunt purtate în cadrul COMTEST SRL sau în afara ei.

27.1.6. Metodele de colectare, stocare și prelucrare a datelor cu caracter personal vor fi evaluate periodic.

27.1.7. Toate datele cu caracter personal stocate de către COMTEST SRL vor fi evaluate periodic conform Politicii de Stocare a Datelor.

27.1.8. Performanța tuturor salariaților, agenților, contractorilor și a părților care acționează în numele și pentru COMTEST SRL ce interacționează cu date cu caracter personal, va fi evaluate periodic.

27.1.9. Toți salariații, agenții, contractorii și părțile care acționează în numele și pentru COMTEST SRL ce interacționează cu date cu caracter personal sunt obligați să respecte principiile GDPR și a prezentei Politici.

27.1.10. Toți agenții, contractorii și părțile care acționează în numele și pentru COMTEST SRL ce interacționează cu date cu caracter personal trebuie să se asigure că toți salariații acestora ce sunt implicați în colectarea, stocarea și prelucrarea datelor cu caracter personal sunt ținuți de aceleași obligații precum salariații comparabili ai COMTEST SRL în baza GDPR și a prezentei Politici.

27.1.11. În cazul în care un agent, contractor sau o altă parte ce acționează în numele și pentru COMTEST SRL își încalcă obligațiile născute în temeiul prezentei Politici, vor despăgubi și proteja COMTEST SRL împotriva tuturor și oricăror acțiuni, pretenții, solicitări, răspunderi, pierderi, costuri, daune și spețe de orice natură ocazionate de încălcarea obligațiilor anterior menționate, cu excepția celor rezultate din faptele COMTEST SRL sau salariaților acesteia ce au condus la încălcarea obligațiilor de către părțile anterior menționate, săvârșite din fraudă, culpă sau cu intenție.

XXVIII. Transferul datelor cu caracter personal în afara Spațiului Economic European









28.1. COMTEST SRL, ocazional, ar putea să transfere39 date cu caracter personal în afara Spațiului Economic European.

28.2. Transferul conform art. 28.1. va fi realizat numai dacă cel puțin una dintre condițiile următoare este îndeplinită:

28.2.1. Transferul este realizat către o țară, teritoriu sau unul sau mai multe sectoare specifice din respective țară, precum și către o organizație internațională, pe care Comisia Europeană o consideră având un nivel adecvat de protecție pentru datelor cu caracter personal40.

28.2.2. Transferul este realizat către o țară sau o organizație internațională ce prezintă suficiente mecanisme de securitate garantate prin intermediul unui instrument obligatoriu din punct de vedere juridic și executoriu între autoritățile sau organismele publice, regulilor corporatiste obligatorii, clauzelor standard de protecție a datelor cu caracter personal adoptate de către Comisia, conformității cu un cod de conduită aprobat de către o autoritate de supraveghere (e.g. Autoritatea Europeană pentru Protecția Datelor) însoțit de un angajament obligatoriu și executoriu din partea operatorului sau a persoanei împuternicite de operator din țara terță de a aplica garanții adecvate sau certificării printr-un mecanism de certificare aprobat, însoțit de un angajament obligatoriu și executoriu din partea operatorului sau a persoanei împuternicite de operator din țara terță de a aplica garanții adecvate, inclusive cu privire la drepturile persoanelor vizate41.

28.2.3. Transferul este realizat după obținerea consimțământului persoanei sau persoanelor vizate42.

28.2.4. Transferul este necesar pentru executarea unui contract încheiat între persoana vizată și COMTEST SRL sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate.

28.2.5. Transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică.

28.2.6 Transferul este necesar din considerente importante de interes public.



28.2.7. Transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță.

28.2.8. Transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a își exprima acordul.

28.2.9. Transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a furniza informații publicului și care poate fi consultat fie de public în general, fie de orice persoană care poate face dovada unui interes legitim, dar numai în măsura în care sunt îndeplinite condițiile cu privire la consultare prevăzute de dreptul Uniunii sau de dreptul intern în acel caz specific.



XXIX. Încălcarea securității datelor cu caracter personal



29.1. Toate încălcările securității datelor cu caracter personal trebuie să fie raportate imediat Responsabilului cu Protecția Datelor.

29.2. În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, Responsabilul cu Protecția Datelor trebuie să informeze persoana vizată fără întârzieri nejustificate cu privire la această încălcare și în cel mult 72 de ore de la momentul în care a luat cunoștință de aceasta43.

29.3. Informarea conform art. 29.2. trebuie să includă cel puțin informațiile și măsurile următoare:

29.3.1. Descrierea caracterului încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză44.

29.3.2. Numele și datele de contact ale Responsabilului cu Protecția Datelor (sau un alt punct de contact de unde se pot obține mai multe informații)45.

29.3.3. Descrierea consecințelor probabile ale încălcării securității datelor cu caracter personal în cauză46.



29.3.4. Descrierea măsurilor luate sau propuse spre a fi luate de Societate pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative47.

XXX. Implementarea Politicii de Protecție a Datelor cu Caracter Personal



30.1. Prezenta Politică va intra în vigoare începând din iulie 2018.

30.2. Niciunul dintre articolele prezentei Politici nu își va produce efectele retroactiv.







COMTEST SRL

 

Lucian Ionel DUMITRU

_______________________________________







1 Art. 4, Regulamentul nr. 679 din 27 Aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor sau ”GDPR”)

2 Prezenta politică va utiliza conceptele de ”colectare”, ”stocare” și ”prelucrare” separat de conceptul de ”prelucrare” pentru a putea construi în mod transparent proceduri specifice fiecărui tip de operațiune. Pe viitor, Societatea își rezervă dreptul de a separa și alte concepte de conceptul de ”prelucrare” utilizat de către legiuitorul european spre a putea delimita clar îndatoririle profesionale ale salariaților săi, precum și pentru își duce la bun-sfârșit obligația de informare a persoanelor vizate conform exigențelor impuse de către Regulamentul general privind protecția datelor. În cazul în care Societatea nu distinge în mod expres o anumită operațiune de conceptul de ”prelucrare” utilizat de legiuitor, se va considera că aceasta are în vedere definiția statuată prin Regulamentul general privind protecția datelor.

3 Directiva 98/34/CE a Parlamentului European și a Consiliului din 22 iunie 1998 de stabilire a unei proceduri pentru furnizarea de informații în domeniul standardelor și reglementărilor tehnice și al normalor privind serviciile societății informaționale, JO L 204, 21.7.1998, p. 37

4 Art. 8 alin. (1), Carta drepturilor fundamentale a Uniunii Europene (”Carta”)

5 Art. 16 alin. (1), Tratatul privind funcționarea Uniunii Europene (”TFUE”)

6 Par. 5 – 7, Regulamentul general privind protecția datelor, p. 2

7 Art. 5 alin. (1), Regulamentul general privind protecția datelor

8 Art. 13 - 14, Regulamentul general privind protecția datelor

9 Art. 15, Regulamentul general privind protecția datelor

10 Art. 16, Regulamentul general privind protecția datelor

11 Art. 17, Regulamentul general privind protecția datelor

12 Art. 18 - 19, Regulamentul general privind protecția datelor

13 Art. 20, Regulamentul general privind protecția datelor

14 Art. 21, Regulamentul general privind protecția datelor

15 Art. 22, Regulamentul general privind protecția datelor

16 Art. 6, Regulamentul general privind protecția datelor

17 Art. 9, Regulamentul general privind protecția datelor

18 Pentru mai multe informații cu privire la procesul de informare, vă rugăm să consultați Cap. XII al prezentei politici.

19 Art. 5 alin. (1) lit. b), Regulamentul general privind protecția datelor

20 Art. 5 alin (1) lit. c), Regulamentul general privind protecția datelor

21 Art. 6 alin. (3), Regulamentul general privind protecția datelor

22 Art. 5 alin. (1) lit. d), Regulamentul general privind protecția datelor

23 Art. 5 alin. (1) lit. e), Regulamentul general privind protecția datelor

24 Pentru mai multe informații cu privire la măsurile tehnice și organizaționale, vă rugăm să consultați Cap. XXII - XXVII al prezentei politici.

25 Art. 30 alin. (1), Regulamentul general privind protecția datelor

26 Art. 35 alin. (1), Regulamentul general privind protecția datelor

27 Art. 35 alin. (7), Regulamentul general privind protecția datelor

28 Art. 14 alin. (1), Regulamentul general privind protecția datelor

29 Art. 13 alin. (1) și (2), Regulamentul general privind protecția datelor

30 A se vedea Cap. XXVIII al prezentei Politici.

31 Toate cererile prin intermediul cărora persoanele vizate doresc să își exercite drepturile statuate prin intermediul GDPR trebuie adresate Responsabilului cu Protecția Datelor.

32 Art. 17 alin. (1), Regulamentul general privind protecția datelor

33 A se vedea Cap. XVIII al prezentei politici.

34 Art. 22 alin. (1), Regulamentul general privind protecția datelor

35 A se vedea Cap. XXII – XXVI ale prezentei politici.

36 A se vedea Politica de Stocare a Datelor cu Caracter Personal a Societății pentru mai multe informații cu privire la stocare și durata acesteia în funcție de fiecare categorie de date cu caracter personal.

37 A se vedea Analiza privind tipurile de date cu caracter personal prelucrate de către Societate pentru mai multe informații cu privire la categoriile de date cu caracter personal ce sunt sau pot fi, de la caz la caz, colectate, stocate și / sau prelucrate de către Societate, inclusiv temeiurile în baza cărora se realizează aceste operațiuni de către Societate. Documentul anterior menționat se constituite Anexa nr. 1 a prezentei politici.

38 A se vedea Politica de Retenția a Datelor cu Caracter Personal a Societății pentru mai multe informații cu privire la ștergerea sau eliminarea datelor cu caracter personal.

39 Prin ”transfer” se înțelege și oferirea accesului ”de la distanță” / ”remote” unor terțe părți din afara Spațiului Economic European.

40 Art. 45 alin. (1), Regulamentul general privind protecția datelor

41 Art. 46 alin. (1), Regulamentul general privind protecția datelor

42 Pentru art. 28.2.3 – 28.2.9, art. 49 alin. (1) lit. a) – g)

43 Art. 34 alin. (1), Regulamentul general privind protecția datelor

44 Art. 33 alin. (3) lit. a), Regulamentul general privind protecția datelor

45 Art. 33 alin. (3) lit. b), Regulamentul general privind protecția datelor

46 Art. 33 alin. (3) lit. c), Regulamentul general privind protecția datelor

47 Art. 33 alin. (3) lit. d), Regulamentul general privind protecția datelor