CAP.I. Scopul politicii de protecție a datelor
Ca parte a responsabilității sale sociale, Electroalfa se angajează să respecte legile naționale si
internaționale privind protecția datelor. Această politică de protecție a datelor se aplică în toate
firmele grupului Electroalfa și se bazează pe principii acceptate la nivel european și global privind
protecția datelor. Asigurarea protecției datelor reprezintă fundamentul relațiilor de afaceri și
reputația grupului nostru.
Politica de protecție a datelor prevede condițiile-cadru necesare asigurării nivelului adecvat de
protecție a datelor prevăzut de Regulamentului EU nr. 679 din 27 aprilie 2016 .
CAP.II. Domeniul de aplicare și modificarea politicii
Această politică de protecție a datelor personale se aplică la Buybrands.ro, Ana & Eduard CNS SRL, cât și angajaților acestora.
Politica privind protecția datelor se extinde peste toate prelucrările de date cu caracter personal.
Datele anonimizate, acolo unde există, utilizate de exemplu pentru evaluări statistice sau alte studii,
nu sunt supuse acestei politici de protecție a datelor. Politica este revizuită anual, iar ultima versiune
aprobată de către directorul general va fi disponibilă, pentru informare, în cel mai scurt timp,
angajaților, clienților și partenerilor de afaceri.
CAP.III. Principii pentru prelucrarea datelor personale
Art. 1. Corectitudinea și legalitatea
La prelucrarea datelor cu caracter personal, drepturile individuale ale persoanelor vizate trebuie
protejate. Datele personale trebuie colectate și prelucrate în mod legal și corect.
Art. 2. Restricție la un anumit scop
Datele personale pot fi prelucrate numai în scopul definit înainte de colectarea datelor si comunicat
persoanei vizate. Modificările ulterioare ale scopului sunt posibile doar într-o măsură limitată și
necesită o fundamentare solida.
Art. 3. Transparență
Persoana vizată trebuie informată cu privire la modul în care sunt tratate datele sale. În general,
datele cu caracter personal trebuie colectate direct de la persoana în cauză. Atunci când datele sunt
colectate, persoana vizată trebuie să știe deja, sau să fie informată despre Identitatea
Imputernicitului (compania care colecteaza datele), Scopul prelucrării datelor ,Terțe părți sau
categorii de părți terțe cărora le-ar putea fi transmise datele.
Art. 4. Reducerea datelor și minimizarea datelor
Înainte de a procesa date personale, trebuie să determinați dacă și în ce măsură prelucrarea datelor
cu caracter personal este necesară pentru atingerea scopului pentru care este efectuată. Acolo
unde scopul permite și unde cheltuielile implicate sunt proporționale cu obiectivul, trebuie folosite
date anonime. Datele personale nu pot fi colectate în avans și stocate în scopuri potențiale viitoare,
cu excepția cazului în care acest lucru este impus sau permis de legislația națională.
Art. 5. Ștergerea
Datele personale care nu mai sunt necesare după expirarea procesului legal sau de afaceri trebuie
șterse. Pot exista situații în care interesele legale obligă la păstrarea acestor date pe termene
predefinite. În acest caz, datele trebuie să rămână în dosare până la expirarea obligațiilor legale.
Art. 6. Exactitatea si actualitatea datelor
Datele personale colectate trebuie să fie corecte, complete și, dacă este necesar, să fie actualizate.
Trebuie luate măsuri permanent pentru a ne asigura că datele inexacte sau incomplete sunt șterse,
corectate, suplimentate sau actualizate.
Art. 7. Confidențialitatea și securitatea datelor - In cadrul grupului Electroalfa datele personale sunt considerate informații confidențiale și sunt
protejate prin măsuri organizatorice și tehnice adecvate pentru a preveni accesul neautorizat,
prelucrarea sau distribuirea ilegală, precum și pierderea accidentală, modificarea sau distrugerea lor.
CAP. IV. Fiabilitatea procesării datelor
Colectarea, prelucrarea și utilizarea datelor cu caracter personal este permisă în baza următoarelor
temeiuri juridice necesare, de asemenea, în cazul în care scopul colectării, prelucrării și utilizării
datelor cu caracter personal trebuie să fie modificat fata de scopul inițial.
Art. 1. Date despre clienți și parteneri
Art. 1.1 Prelucrarea datelor pentru o relație contractuală
Datele personale ale potențialilor clienți, clienți existenți și parteneri pot fi procesate în scopul de a
încheia, de a executa și de a finaliza un contract. Aceasta include, de asemenea, servicii de
consultanță pentru partener în cazul în care acest lucru are legătură cu scopul contractual. Anterior
unui contract, în timpul fazei de inițiere a acestuia - datele cu caracter personal pot fi procesate
pentru a pregăti oferte sau alte documente care să îndeplinească diferite solicitări ale perspectivei
legate de încheierea contractului. Persoanele pot fi contactate în timpul procesului de pregătire a
contractului folosind informațiile personale pe care acestea le-au furnizat. Orice restricții solicitate de
potențialii clienti trebuie să fie respectate. Pentru scopuri publicitare citiți capitolul IV art.1.2 de mai
jos.
Art. 1.2 Prelucrarea datelor în scop publicitar
Dacă persoana vizată contactează o companie a grupului Electroalfa pentru a solicita informații (de
exemplu să primească materiale informative despre un produs), prelucrarea datelor pentru a
răspunde acestei solicitări este permisă. Acțiunile de publicitate fac obiectul unor cerințe legale
suplimentare. Datele personale pot fi prelucrate în scopuri publicitare, de cercetare a pieței și a
opiniei publice, cu condiția ca această prelucrare să se realizeze în concordanță cu scopul pentru
care datele au fost colectate inițial. Subiectul (persoana vizată) deținător al datelor trebuie să fie
informat cu privire la utilizarea datelor sale în scopuri publicitare. Daca datele sunt colectate numai
în scopuri publicitare, divulgarea de la persoana vizată este voluntară. Persoana vizată trebuie
informată că furnizarea datelor personale pentru prelucrarea în scopuri publicitare este voluntara și
că trebuie să se obțină un consimțământ din partea persoanei vizate pentru a procesa datele
respective în scopuri publicitare. Atunci când se acordă consimțământul, persoana vizată ar trebui să
aibă posibilitatea de a alege între formele disponibile, cum ar fi formulare predefinite tipărite,
transmiterea consimțământului prin e-mail și prin telefon (Consimțământul, vezi capitolul IV Art. 1.3).
Dacă persoana vizată refuză utilizarea datelor sale în scopuri publicitare, datele acesteia nu mai pot
fi utilizate în aceste scopuri și trebuie să fie blocate pentru utilizarea în aceste scopuri.
Art. 1.3 Consimțământul pentru prelucrarea datelor
Datele pot fi procesate conform consimțământului persoanei vizate. Înainte de a-și da
consimțământul, persoana vizată trebuie să fie informată în conformitate cu prevederile din capitolul
III art. 3. despre această politică de protecție a datelor. Declarația de aprobare - consimțământul
trebuie obținut în scris sau în format electronic și păstrat în scopul documentării. În anumite
circumstanțe, cum ar fi conversațiile telefonice, consimțământul poate fi dat verbal. Acordarea
consimțământului trebuie să fie documentată.
Art. 1.4 Prelucrarea datelor în baza unui interes legitim
Datele personale pot fi, de asemenea, prelucrate în baza unui interes legitim al Buybrands si Ana & Eduard CNS SRL.
Interesele legitime sunt, în general, de natură juridică (de exemplu, colectarea creanțelor neachitate)
sau de natură comercială (de exemplu, evitarea încălcărilor contractului). Datele personale nu pot fi
procesate în scopul unui interes legitim dacă, în cazuri individuale, există dovezi că interesele
persoanei vizate necesită protecție și că aceasta are prioritate. Înainte de procesarea datelor, este necesar să se determine dacă există o astfel de situație.
Art. 1.5 Prelucrarea datelor sensibile - Datele cu caracter personal foarte sensibile pot fi procesate numai dacă legea impune acest lucru
sau persoana vizată și-a dat acordul expres. Aceste date pot fi, de asemenea, prelucrate numai dacă
este obligatoriu pentru îndeplinirea, exercitarea sau apărarea revendicărilor legale referitoare la
persoana vizată. Dacă există intenția de a procesa datele sensibile, responsabilul pentru protecția
datelor cu caracter personal trebuie să fie informat în prealabil.
Art. 1.6 Decizii individuale automate
Prelucrarea automată a datelor cu caracter personal, care este utilizată pentru a evalua anumite
aspecte, nu poate fi singura bază pentru deciziile care au consecințe juridice negative sau care ar
putea afecta în mod semnificativ persoana vizată. Persoana vizată trebuie informată cu privire la
faptele și rezultatele deciziilor individuale automatizate și are posibilitatea de a răspunde. Pentru a
evita deciziile eronate, un test și o verificare a plauzibilității trebuie făcute de către un angajat.
Art. 1.7 Date utilizator și internet
Dacă datele cu caracter personal sunt colectate, prelucrate și utilizate pe site-uri web sau în aplicații,
persoanele vizate trebuie să fie informate despre acest lucru într-o Notă de informare și, dacă este
cazul, informații despre cookie-uri. Nota de informare și orice informații despre cookies trebuie
integrate astfel încât să fie ușor de identificat, direct accesibile și disponibile în mod constant pentru
persoanele vizate. Dacă sunt create profiluri de utilizare (urmărire) pentru a evalua utilizarea siteurilor web și a aplicațiilor, persoanele vizate trebuie să fie întotdeauna informate în mod
corespunzător în nota de informare. În cazul în care site-urile sau aplicațiile pot accesa date cu
caracter personal într-o zonă limitată la utilizatorii înregistrați, identificarea și autentificarea
persoanei vizate trebuie să ofere protecție suficientă în timpul accesului.
Art. 2. Datele angajatului
Art. 2.1 Prelucrarea datelor pentru relația de muncă
În relațiile de muncă, datele personale pot fi procesate dacă este necesar pentru a iniția, efectua și a
închide contractul de muncă. La inițierea unei relații de muncă, datele personale ale solicitanților pot
fi procesate. Atunci când candidatul este respins, datele sale trebuie să fie șterse (în conformitate cu
perioada de păstrare necesară), cu excepția cazului în care solicitantul a fost de acord ca datele sale
să rămână în dosar pentru un viitor proces de selecție. De asemenea, este necesar să se acorde
consimțământul pentru a utiliza datele atunci când se dorește continuarea proceselor de aplicare
sau înainte de partajarea datelor cu alte companii din Grup. În raportul de muncă existent, scopul
prelucrării datelor trebuie să se coreleze întotdeauna cu scopul contractului de muncă dacă nu
există niciuna dintre următoarele circumstanțe pentru prelucrarea datelor autorizate. Dacă în timpul
procedurii de aplicare este necesară colectarea informațiilor despre un solicitant de la o terță parte,
trebuie deasemena respectate cerințele legale corespunzătoare.
Art. 2.2 Prelucrarea datelor în baza unui interes legitim
Datele personale pot fi, de asemenea, prelucrate în cazul în care este necesar să se susțină un
interes legitim al Buybrands si Ana & Eduard CNS SRL. Interesele legitime sunt, în general, de natură juridică (de
exemplu, depunerea, aplicarea sau apărarea împotriva plângerilor juridice, recuperarea creanțelor
etc.). Măsurile de control care necesită prelucrarea datelor angajatului pot fi luate numai dacă există
o obligație legală de a face acest lucru sau există un motiv legitim. Chiar dacă există un motiv legitim,
trebuie examinată întotdeauna proporționalitatea măsurii de control. Interesele justificate ale
companiei în aplicarea măsurilor de control (de exemplu, respectarea dispozițiilor legale și a
normelor si regulamentelor interne ale companiei) trebuie să fie cântărite față de orice interese ale
angajatului care trebuie să fie protejate astfel încât măsurile de control sa fie adecvate.
Art. 2.3 Prelucrarea datelor sensibile
Datele cu caracter personal sensibile pot fi procesate numai în anumite condiții. Acestea sunt date
despre originea rasială și etnică, convingerile politice, credințele religioase sau filosofice, precum și
despre sănătatea și orientarea sexuală a persoanei vizate sau datele care se referă la cazierul juridic.
Astfel de date pot fi prelucrate când există obligații legale sau când avem consiimțământul expres al
persoanei vizate.
Art. 2.4 Decizii automate
5
POLITICA DE PROTECȚIE A DATELOR CU CARACTER PERSONAL
Dacă, la un moment dat, datele personale sunt prelucrate automat ca parte a raporturilor de muncă
și anumite date personale specifice sunt evaluate automat (de exemplu, în cadrul selecției
personalului sau al evaluării profilurilor de competențe) această prelucrare automată nu poate
constitui singura bază pentru deciziile care ar putea avea un impact negativ asupra angajatului
respectiv. Pentru a evita deciziile eronate, procesul automatizat trebuie să fie asistat de o persoană
fizică ce evaluează conținutul situației și această evaluare este baza deciziei. Persoana vizată trebuie,
de asemenea, să fie informată despre faptele și rezultatele deciziilor individuale automatizate și
despre posibilitatea de a răspunde.
Art. 2.5 Telecomunicații și internet
Echipamentele telefonice, adresele de e-mail, intranetul și internetul împreună cu aplicațiile interne
sunt furnizate de companie în primul rând pentru sarcini legate de muncă. Ele sunt un instrument și
o resursă a companiei. Acestea pot fi utilizate în cadrul reglementărilor legale aplicabile și al
politicilor interne ale companiei. În cazul utilizării autorizate în scopuri personale, se va ține cont de
prevederile regulamentului și procedurilor interne si de legislația specifică privind telecomunicațiile.
Nu va exista o monitorizare generală a comunicațiilor telefonice și de e-mail sau a utilizării
intranetului/ internetului. Pentru a ne apăra împotriva atacurilor asupra infrastructurii IT sau a
utilizatorilor individuali, pot fi implementate măsuri de protecție pentru conexiunile la rețeaua Buybrands care blochează conținutul dăunător din punct de vedere tehnic sau care
analizează modelele de atac. Din motive de securitate, pot fi monitorizate utilizarea echipamentelor
telefonice, a adreselor de e-mail, a intranetului/ internetului și a aplicatiilor interne pentru o perioadă
temporară. Evaluările acestor date referitoare la o anumită persoană pot fi făcute doar într-un caz
concret, justificat de suspiciunea de încălcare a legilor sau a politicilor și procedurilor firmei.
Evaluările pot fi efectuate numai de către comisia de investigare, asigurânduse, în același timp,
respectarea principiului proporționalității. Legislația națională relevantă trebuie respectată în același
mod ca și regulamentele grupului.
CAP. V. Transmiterea datelor cu caracter personal
Transmiterea datelor cu caracter personal către destinatarii din afara sau din interiorul firmei. este supusă cerințelor de autorizare pentru prelucrarea datelor cu caracter personal în
conformitate cu prezenta politică. Beneficiarul datelor trebuie să utilizeze datele numai în scopurile
definite. În cazul în care datele sunt transmise unui destinatar din afara firmei, unei țări
terțe, această țară trebuie să fie de acord să mențină un nivel de protecție a datelor personale
echivalent cu această politică de protecție a datelor și în concordanță cu prevederile EU GDPR
679/2016. Dacă datele sunt transmise de o terță parte firmei noastre, trebuie
să ne asigurăm că datele sunt utilizate numai în scopul propus. Prelucrarea datelor privind contractele
Prelucrarea datelor printr-un furnizor de servicii care este angajat să proceseze date cu caracter
personal înseamnă că acesta va respecta Regulamentul 679/2016 și această Politică fără a-și asuma
responsabilitatea pentru procesele de afaceri conexe. În aceste cazuri, trebuie încheiat un acord
privind prelucrarea datelor cu caracter personal. Furnizorul poate procesa date personale numai
conform instrucțiunilor clientului. La încheierea acordului, trebuie îndeplinite următoarele cerințe, iar
departamentul care plasează comanda trebuie să se asigure că acestea sunt îndeplinite:
1. Furnizorul trebuie ales pe baza capacității sale de a asigura măsurile tehnice și organizatorice de
protecție necesare.
2. Ordinul de prelucrare trebuie trimis în scris. Instrucțiunile privind prelucrarea datelor și
responsabilitățile clientului și furnizorului trebuie să fie documentate.
3. Trebuie luate în considerare standardele contractuale pentru protecția datelor personale
furnizate de responsabilul cu protecția datelor personale din companie.
6
POLITICA DE PROTECȚIE A DATELOR CU CARACTER PERSONAL
4. Înainte de începerea prelucrării datelor, clientul trebuie să aibă încredere că furnizorul își va
respecta obligațiile. Un furnizor poate documenta conformitatea cu cerințele de securitate a datelor,
în special prin prezentarea unei certificări adecvate. În funcție de riscul de prelucrare a datelor,
revizuirile certificarilor trebuie repetate în mod regulat pe durata contractului.
5. În cazul procesării transfrontaliere a datelor din contracte, trebuie îndeplinite cerințele
Regulamentului EU 679/2016 și a legislației naționale relevante privind divulgarea datelor cu caracter
personal în străinătate. În special, datele cu caracter personal din Spațiul Economic European (EEA)
pot fi procesate într-o țară terță din afara EEA numai dacă furnizorul poate dovedi că dispune de un
standard de protecție a datelor echivalent cu această politică de protecție a datelor.
Instrumentele adecvate pot fi:
a. Acordul privind clauzele contractuale standard ale UE pentru prelucrarea datelor din contracte în
țările terțe cu furnizorul și cu orice subcontractanți.
b. Participarea furnizorului la un sistem de certificare acreditat de UE pentru asigurarea unui nivel
suficient de protecție a datelor.
c. Recunoașterea regulilor corporative obligatorii ale furnizorului, pentru a crea un nivel adecvat de
protecție a datelor, de către autoritățile de supraveghere responsabile pentru protecția datelor.
CAP. VII. Drepturile persoanei vizate
Fiecare persoană vizată are drepturile de mai jos iar afirmarea lor trebuie să fie tratată imediat de
către responsabilul cu protecția datelor personale și nu poate constitui un dezavantaj pentru
persoana vizată.
Art.1. Persoana vizată poate solicita informații cu privire la ce date cu caracter personal care o
privesc au fost stocate, cum au fost colectate datele și în ce scop. Dacă există drepturi suplimentare
pentru a vizualiza documentele angajatorului (de exemplu, dosarul de personal) în cazul unor relații
de muncă în conformitate cu legile relevante privind ocuparea forței de muncă, acestea nu vor fi
afectate.
Art. 2. Dacă datele cu caracter personal sunt transmise terților, trebuie furnizate informații despre
identitatea destinatarului sau a categoriilor de destinatari.
Art. 3. Dacă datele cu caracter personal sunt incorecte sau incomplete, persoana vizată poate solicita
corectarea acestora sau completarea lor.
Art. 4. Persoana vizată poate obiecta privind prelucrarea datelor sale în scopuri de publicitate sau
de cercetare de piață sau de opinie. Datele trebuie să fie blocate pentru aceste tipuri de utilizare.
Art. 5. Persoana vizată poate solicita ștergerea datelor sale dacă prelucrarea acestor date nu are un
temei juridic sau dacă temeiul juridic a încetat să se aplice. Același lucru este valabil și în cazul în care
scopul prelucrării datelor a expirat sau a încetat să mai fie aplicabil din alte motive. Se va acorda
atenție perioadelor de păstrare și posibilelor conflicte de interes.
Art. 6. Persoana vizată are dreptul de a se opune prelucrării datelor sale și acest lucru trebuie luat în
considerare dacă protejarea intereselor sale are prioritate față de interesul operatorului de date în
urma unei situații personale specifice. Acest lucru nu se aplică dacă există o dispoziție legală ce
impune ca datele să fie procesate.
CAP. VIII. Confidențialitatea procesării.
Datele personale sunt considerate confidențiale. Orice colectare, prelucrare sau utilizare
neautorizată a acestor date de către angajați este interzisă. Orice procesare de date efectuată de un
angajat care nu a fost autorizat să o îndeplinească, ca parte a îndatoririlor sale legitime, este
neautorizată. Se aplică principiul "necesitații de a cunoaște – need to know". Angajații pot avea acces
la date personale numai după cum este adecvat pentru tipul și scopul sarcinii de serviciu în cauză.
Acest lucru necesită o defalcare atentă și separarea, precum și punerea în aplicare a rolurilor și
responsabilităților. Angajaților li se interzice să utilizeze date cu caracter personal in privat. Securitatea prelucrării
Datele personale trebuie să fie protejate împotriva accesului neautorizat și a prelucrării sau
dezvăluirii ilegale, precum și a pierderii, modificării sau distrugerii accidentale. Acest lucru se aplică
indiferent dacă datele sunt prelucrate electronic sau pe suport de hârtie. Înainte de introducerea
noilor metode de prelucrare a datelor, în special a noilor sisteme informatice, trebuie definite și
implementate măsuri tehnice și organizatorice de protecție a datelor cu caracter personal. Aceste
măsuri trebuie să se bazeze pe stadiul tehnicii, pe riscurile procesării și pe necesitatea de a proteja
datele (determinate în procesul de clasificare a informațiilor).
În cazuri particulare, departamentul responsabil se poate consulta cu responsabilul cu securitatea
informațiilor. Măsurile tehnice și organizatorice pentru protecția datelor cu caracter personal fac
parte din managementul securității informațiilor companiei și trebuie adaptate în mod continuu la
evoluțiile tehnice și schimbările organizaționale.
CAP. X. Controlul protecției datelor
Respectarea politicii de protecție a datelor personale și a legilor aplicabile privind protecția datelor
este verificată în mod regulat prin intermediul auditurilor de protecție a datelor și al altor controale.
Efectuarea acestor controale revine Responsabilului cu Protecția Datelor Personale și altor entități
ale societății cu drepturi de audit sau auditori externi angajați. Rezultatele controalelor privind
protecția datelor trebuie raportate directorului general al grupului Electroalfa.
La cerere, rezultatele controalelor privind protecția datelor vor fi puse la dispoziția autorității de
supraveghere responsabilă de protecția datelor. Autoritatea responsabilă cu protecția datelor poate
efectua propriile controale, conform legislației naționale.
CAP. XI. Incidente de protecție a datelor
Toți angajații trebuie să informeze imediat șeful de departament sau responsabilul cu protecția
datelor cu privire la cazurile de încălcare a acestei Politici de protecție a datelor sau altor
reglementări privind protecția datelor cu caracter personal (incidente de protecție a datelor). În
cazurile de:
• Transmiterea necorespunzătoare a datelor cu caracter personal către terțe părți,
• Accesul neadecvat al terților la datele cu caracter personal sau
• Pierderea datelor cu caracter personal rapoartele impuse de companie prin procedurile de
raportare și management al incidentelor de securitate a informațiilor trebuie făcute imediat, astfel
încât să poată fi respectate toate obligațiile de raportare în conformitate cu legislația națională.
CAP. XII. Responsabilități și sancțiuni
Funcțiile executive (directorii de divizie/șefii de departamente) din grup sunt responsabile pentru
prelucrarea datelor în zona lor de responsabilitate. Prin urmare, ei sunt obligați să se asigure că
cerințele legale pentru protecția datelor și cele conținute în politica de protecție a datelor personale,
sunt îndeplinite. Personalul de conducere este responsabil pentru asigurarea măsurilor
organizatorice, tehnice și a celor care țin de resursele umane pentru ca orice prelucrare a datelor să
se efectueze în conformitate cu protecția datelor. Conformitatea cu aceste cerințe este
responsabilitatea fiecărui angajat relevant.
Dacă Autoritatea de supraveghere efectuează un control de protecție a datelor, trebuie informat
imediat Responsabilul cu protecția datelor personale. Responsabilul cu protecția datelor personale
8
POLITICA DE PROTECȚIE A DATELOR CU CARACTER PERSONAL
este persoana de contact afișată pe site pentru relații privind protecția datelor. Acesta poate efectua
verificări și trebuie să-i familiarizeze pe angajați cu conținutul politicilor de protecție a datelor.
Este necesar un management relevant pentru a susține Responsabilul cu protecția datelor
personale în efortul său.
Departamentele responsabile cu procesele și proiectele de afaceri trebuie să informeze
Responsabilul cu protecția datelor personale în timp util cu privire la o nouă prelucrare a datelor cu
caracter personal. Pentru prelucrarea datelor care pot prezenta riscuri speciale pentru drepturile
individuale ale persoanelor vizate, Responsabilul cu protecția datelor personale trebuie să fie
informat înainte de începerea procesării. Acest lucru este valabil în special la date personale extrem
de sensibile. Prelucrarea necorespunzătoare a datelor cu caracter personal sau alte încălcări ale
legilor privind protecția datelor conduce la suportarea sancțiunilor prevăzute de reglementările
interne, de Regulamentul UE nr.679/2016 și de legislația în vigoare. CAP. XIII. Responsabilul cu protecția datelor personale
Responsabilul cu protecția datelor personale, fiind independent intern de subordonarea
profesională, activează în vederea respectării reglementărilor naționale și internaționale privind
protecția datelor. El este responsabil pentru politica de protecție a datelor și supraveghează
respectarea acesteia. Responsabilul cu protecția datelor personale este desemnat de conducerea
grupului Electroalfa.
Șefii de departamente au obligația să informeze cu promptitudine Responsabilul cu protecția datelor
cu caracter personal despre apariția oricăror riscuri de protecție a datelor personale.
Orice persoană vizată poate să se adreseze Responsabilului cu protecția datelor personale, în orice
moment, pentru a pune întrebări, a solicita informații sau să depună plângeri legate de protecția
datelor sau de problemele de securitatea datelor personale. Dacă există solicitări, plângerile vor fi
tratate în mod confidențial. Dacă Responsabilul cu protecția datelor personale în cauză nu poate
rezolva o plângere sau remedia o încălcare a politicii pentru protecția datelor, se va solicita
consultanță la Autoritatea de supraveghere.
Deciziile luate de Responsabilul cu protecția datelor personale pentru a remedia încălcările privind
protecția datelor trebuie să fie susținute de conducerea societății. Anchetele si controalele efectuate
de Autoritatea de supraveghere trebuie să fie întotdeauna raportate către conducerea companiei.
CAP. XIV. Definiții
Datele sunt anonime dacă identitatea personală nu poate fi niciodată urmărită de nimeni sau dacă
identitatea personală ar putea fi recreată doar cu un timp, cheltuieli și muncă nerezonabile.
Consimțământul este acordul voluntar, exprimat în mod expres și neechivoc, obligatoriu din punct
de vedere juridic pentru prelucrarea datelor.
Incidentele de protecție a datelor sunt orice evenimente în care există suspiciuni justificate că datele
cu caracter personal sunt capturate, colectate, modificate, copiate, transmise sau utilizate ilegal.
Aceasta se referă la acțiunile unor terți sau angajați.
Persoana vizată în cadrul acestei politici de protecție a datelor este orice persoană fizică a cărei date
pot fi prelucrate.
Spațiul Economic European (EEA) este o regiune economică asociată cu UE și include Norvegia,
Islanda și Liechtenstein.
Datele extrem de sensibile sunt date despre originea rasială și etnică, despre opiniile politice,
religioase sau credințele filosofice, calitatea de membru al unor organizații, date privind cazierul
judiciar sau sănătatea și orientarea sexuală a persoanei vizate.
Datele personale reprezintă toate informațiile despre o anumită persoană fizică care pot duce la
identificarea acesteia .
Prelucrarea datelor personale înseamnă orice operațiune sau set de operațiuni efectuate asupra
datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea,
adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere,
diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, compararea,
restricționarea, ștergerea sau distrugerea.
Prelucrarea datelor cu caracter personal este necesară în cazul în care scopul permis sau interesul
justificat nu ar putea să fie realizat fără datele personale sau numai cu cheltuieli excepțional de mari.
Imputernicitul Operatorului de date este compania independentă din punct de vedere legal a
Grupului Electroalfa , a cărui activitate inițiază măsurile de prelucrare relevante.
Țările terțe în cadrul politicii de protecție a datelor personale sunt toate națiunile din afara Uniunii
Europene /SEE. Aceasta nu include țările cu un nivel de protecție a datelor considerat suficient de
Comisia Europeană.
Părțile terțe sunt oricine în afară de persoana vizată și de operatorul de date.
Transmiterea este o divulgare a datelor personale protejate de către entitatea responsabilă către
terți
Responsabilul cu protectia datelor personale (DPO) este proprietarul acestui document și este
desemnat pentru revizia acestei politici în conformitate cu cerințele interne.