POLITICA DE CONFIDENTIALITATE DATELOR CU CARACTER PERSONAL
MASURI TEHNICO ORGANIZATORICE DE RESPECTARE A REGULAMENTULUI 679/2016
Prezenta politică este în concordanță cu legislația naționala și UE, inclusiv Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date, a Directivei 95/46/CE („GDPR”) , și se aplică Societatii Comerciale IRUM S.A., denumita în continuare IRUM.
Datele cu caracter personal ale persoanelor fizice este unul dintre angajamentele fundamentale ale IRUM, de aceea, angajații IRUM respectă o procedură clară de a nu prelucra date cu caracter personal ale persoanelor fizice decat cu respectarea Regulamentului 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date.
Totodata, la nivelul IRUM, angajatii cu functii specifice respecta obligatia legala si contractuala de confidentialitate privind datele cu caracter personal ale persoanelor fizice care sunt prelucrate cu respectarea cerintelor legale in domeniu.
IRUM prelucreaza datele personale în conformitate cu principiile stabilite în legislația privind protecția datelor aplicabilă în România și UE și a elaborat politica de confidențialitate publicată în acest material.
În sensul art.4 din Regulamentul 679/2016 termenii de mai jos au urmatoarele definitii:
- ”date cu caracter personal” înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
- ”prelucrare” înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;
- ”restricţionarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
- ”creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;
- ”pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informaţii suplimentare, cu condiţia ca aceste informaţii suplimentare să fie stocate separat şi să facă obiectul unor măsuri de natură tehnică şi organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
- ”sistem de evidenţă a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice;
- ”operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, (in cazul de fata IRUM) singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
- ”persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele IRUM;
- ”destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării;
- ”parte terţă” înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
- ”consimţământ” al persoanei vizate înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
- ”încălcarea securităţii datelor cu caracter personal” înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
- ”date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care oferă informaţii unice privind fiziologia sau sănătatea persoanei respective şi care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză;
- ”date biometrice” înseamnă orice date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;
- ”date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia;
- ”sediu principal” înseamnă sediul IRUM;
- ”reprezentant” înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana împuternicită de operator în temeiul articolului 27, care reprezintă operatorul sau persoana împuternicită în ceea ce priveşte obligaţiile lor respective care le revin în temeiul prezentului regulament;
- ”întreprindere” înseamnă o persoană fizică sau juridică ce desfăşoară o activitate economică, indiferent de forma juridică a acesteia, inclusiv parteneriate sau asociaţii care desfăşoară în mod regulat o activitate economică;
- ”grup de întreprinderi” înseamnă o întreprindere care exercită controlul şi întreprinderile controlate de aceasta;
- ”reguli corporatiste obligatorii” înseamnă politicile în materie de protecţie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce priveşte transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe ţări terţe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună;
- ”autoritate de supraveghere” înseamnă o autoritate publică independentă instituită de un stat membru;
- ”autoritate de supraveghere vizată” înseamnă o autoritate de supraveghere care este vizată de procesul de prelucrare a datelor cu caracter personal deoarece: (a)operatorul sau persoana împuternicită de operator este stabilită pe teritoriul statului membru al autorităţii de supraveghere respective; (b)persoanele vizate care îşi au reşedinţa în statul membru în care se află autoritatea de supraveghere respectivă sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare; sau (c)la autoritatea de supraveghere respectivă a fost depusă o plângere;
- ”prelucrare transfrontalieră” înseamnă: (a)fie prelucrarea datelor cu caracter personal care are loc în contextul activităţilor sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul Uniunii, dacă operatorul sau persoana împuternicită de operator are sedii în cel puţin două state membre; sau (b)fie prelucrarea datelor cu caracter personal care are loc în contextul activităţilor unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane vizate din cel puţin două state membre;
- ”obiecţie relevantă şi motivată” înseamnă o obiecţie la un proiect de decizie în scopul de a stabili dacă există o încălcare a Regulamentului 679/2016 sau dacă măsurile preconizate în ceea ce priveşte operatorul sau persoana împuternicită de operator respectă regulamentul, care demonstrează în mod clar importanţa riscurilor pe care le prezintă proiectul de decizie în ceea ce priveşte drepturile şi libertăţile fundamentale ale persoanelor vizate şi, după caz, libera circulaţie a datelor cu caracter personal în cadrul Uniunii;
- ”serviciile societăţii informaţionale” înseamnă un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva 98/34/CE a Parlamentului European şi a Consiliului (1 ); (1)Directiva 98/34/CE a Parlamentului European şi a Consiliului din 22 iunie 1998 de stabilire a unei proceduri pentru furnizarea de informaţii în domeniul standardelor şi reglementărilor tehnice şi al normelor privind serviciile societăţii informaţionale (JO L 204, 21.7.1998, p. 37).
- ”organizaţie internaţională” înseamnă o organizaţie şi organismele sale subordonate reglementate de dreptul internaţional public sau orice alt organism care este instituit printr-un acord încheiat între două sau mai multe ţări sau în temeiul unui astfel de acord.
Această politică de protectie a datelor cu caracter personal si de confidențialitate privește datele personale ale clienților IRUM, partenerilor de afaceri, altor persoane care contactează și vizitează IRUM și ale reprezentanților acestora, angajati, potențiali angajați, stagiari sau asociați și se aplică datelor colectate prin intermediul site-ului www.irum.ro în ceea ce privește toate celelalte date cu caracter personal colectate prin e-mail, posta scrisa, telefon/fax sau prin alte contacte off-line.
TIPURI DE ACTIVITATI SI SERVICII OFERITE DE IRUM
IRUM intreprinde activitati si presteaza servicii conform obiectului principal de activitate – productie, obiectelor secundare de activitate autorizate, activitati auxiliare pentru indeplinirea in conditii legale a obiectelor de activitate si altele, cum ar fi: marketing, training, formare profesionala, conferinte/seminarii, vizite in societate, intrunuri de lucru si alte evenimente organizate in cadrul societatii.
TIPURI DE DATE PRELUCRATE DE IRUM
În cadrul serviciilor si activitatilor intreprinse, IRUM prin angajații sau colaboratorii acestuia, poate cere persoanelor cu care intra în contact direct/indirect:
- date care sunt necesare in vederea incheierii si indeplinirii diferitelor contracte;
- date necesare in vederea respectarii cerintelor legale;
- date pentru a caror prelucrare persoanele si-au dat consintamantul;
- date pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit; operatorul;
- date care sunt necesare in scopul intereselor legitime urmărite de IRUM.
Politica de confidențialitate a datelor cu caracter personal descrie:
- scopurile pentru care IRUM colecteaza si foloseste datele cu caracter personal de care a luat cunostinta;
- motivele de prelucrare pentru astfel de scopuri;
- categoriile de date cu caracter personal pe care IRUM le prelucreaza;
- durata prelucrarii acestor date;
- drepturile persoanelor în calitate de persoane vizate și modul în care se pot exercita;
- către cine se dezvalui datele cu caracter personal prelucrate;
OBIECTIVE, MOTIVE PENTRU PROCESARE ȘI CATEGORII DE DATE PERSONALE
- Furnizarea produselor/serviciilor IRUM
- Trimiterea e-mail-urilor informative
- Furnizarea produselor/serviciilor IRUM
- Comunicarea cu reprezentantul sau persoana de contact
- Trimiterea e-mail-urilor informative
- Achizitionarea produselor/serviciilor de catre IRUM
- Comunicarea cu reprezentantul sau persoana de contact
- Trimiterea e-mail-urilor informative
- Furnizarea produselor/serviciilor IRUM
- Comunicarea cu persoana fizica angajat sau colaborator al clientului
- Trimiterea emailurilor informative
- Achizitionarea produselor/serviciilor de catre IRUM
- Comunicarea cu persoana fizica angajat sau colaborator al furnizorului
- Trimiterea emailurilor informative
- Menținerea relației contractuale cu partenerul de afaceri.
- Comunicarea cu partenerul de afaceri
- Trimiterea emailurilor informative
- Menținerea relației contractuale cu partenerul de afaceri
- Trimiterea e-mail-urilor informative
Prelucrarea datelor cu caracter personal ale salariatilor
IRUM, in calitate de angajator, colectează și prelucrează date cu caracter personal în scopul incheierii si derularii raportului de muncă, indiferent de stadiul în care se află- începând cu etapa de recrutare în care angajatorul identifică potențialii angajați în vederea ocupării posturilor vacante din cadrul companiei, pe tot parcursul executării contractului individual de muncă dar și ulterior, după încetarea acestuia.Categoriile de date prelucrate în contextul relației angajator potential angajat/angajat/fost angajat sunt: numele și prenumele, adresa de e-mail, telefonul, domiciliul, stare civila și toate celelalte date personale cu detalii despre educație și formare, calificările profesionale, precum și alte date personale pe care persoana le furnizeaza direct.Pe parcursul derularii contractului de munca angajatorul colecteaza alte date cu caracter personal cum ar fi : informațiile din fișa medicală a salariatului întocmită în cadrul controlului anual de medicina muncii, date privind randamentul la locul de muncă, referitoare la fiabilitate sau comportament, datele din cazierul judiciar etc. Toate aceste date fac parte din dosarul de personal al angajatului si sunt confidentiale, neputand fi dezvaluite tertilor, decat cu acordul angajatului.Astfel IRUM prelucreaza datele cu caracter personal ale salariatilor intrucat aceasta este o cerinta in vederea indeplinirii unei obligatii legale ce revine angajatorului.OFERIREA DATELOR PERSONALE
Atunci când datele sunt solicitate direct de la persoana vizata, IRUM solicită furnizarea tuturor categoriilor de date cu caracter personal menționate mai sus, deoarece altfel nu ar putea să isi desfășoare activitatea inclusiv, printre altele, să furnizeze/livreze/achizitioneze serviciile/produsele in cauza.
Dacă se furnizeaza către IRUM datele personale ale altor persoane fizice, persoana care furnizeaza datele va comunica înainte de această dezvăluire, modul în care IRUM intenționează să proceseze datele personale, așa cum este descris în această politică de confidențialitate.
DIVULGAREA DATELOR PERSONALE
Deși, de regulă, IRUM nu va divulga datele personale unor terțe părți, putem:
- să vă dezvăluim datele de contact afiliaților din cadrul IRUM cu conditia respectarii de catre acestia a confidentialitatii datelor cu caracter personal;
- dacă este în interesul persoanei vizate și este necesar si cerinta legala o impune, IRUM va divulga datele personale relevante autorităților relevante, în contextul relatiei derulate.
DURATA PROCESULUI
IRUM intentioneaza să păstreze datele personale atât pe durata relatiilor existente, cât și ulterior, în conformitate cu politicile interne ale IRUM și obligațiile legale care ne revin.
În cazul în care datele nu sunt colectate în contextul unui contract sau acord, aceste date vor fi păstrate atâta timp cât este necesar pentru a atinge scopul colectării preconizate a datelor.Dupa aceasta datele vor fi sterse in conditii de siguranta si securitate.
DREPTURILE PERSOANEI VIZATE
IRUM intentioneaza să păstreze datele personale atât pe durata relatiilor existente, cât și ulterior, în conformitate cu politicile interne ale IRUM și obligațiile legale care ne revin.
În cazul în care datele nu sunt colectate în contextul unui contract sau acord, aceste date vor fi păstrate atâta timp cât este necesar pentru a atinge scopul colectării preconizate a datelor.Dupa aceasta datele vor fi sterse in conditii de siguranta si securitate.
Dreprul de acces al persoanei vizate
1. Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații:
(a) scopurile prelucrării;
(b) categoriile de date cu caracter personal vizate;
(c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale;
(d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
(e) existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
(f) dreptul de a depune o plângere în fața unei autorități de supraveghere;
(g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora;
(h) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și (4) din Regulament, precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.
2. În cazul în care datele cu caracter personal sunt transferate către o țară terță sau o organizație internațională, persoana vizată are dreptul să fie informată cu privire la garanțiile adecvate în temeiul articolului 46 din Regulament referitoare la transfer.
3. Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative. În cazul în care persoana vizată introduce cererea în format electronic și cu excepția cazului în care persoana vizată solicită un alt format, informațiile sunt furnizate într-un format electronic utilizat în mod curent.
4. Dreptul de a obține o copie menționată la alineatul (3) nu aduce atingere drepturilor și libertăților altora.
Dreptul la rectificare
Persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.
Dreptul la ștergerea datelor („dreptul de a fi uitat”)
1. Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:
(a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate
(b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrareași nu există niciun alt temei juridic pentru prelucrarea;
(c) persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea
(d) datele cu caracter personal au fost prelucrate ilegal;
(e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului conform cerintelor legale;
(f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății informaționale.
2. În cazul în care operatorul a făcut publice datele cu caracter personal și este obligat, să le șteargă, operatorul, ținând seama de tehnologia disponibilă și de costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ștergerea de către acești operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.
3. Alineatele (1) și (2a) nu se aplică în măsura în care prelucrarea este necesară:
(a) pentru exercitarea dreptului la liberă exprimare și la informare;
(b) pentru respectarea unei obligații legale care prevede prelucrarea în temeiul legii care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul;
(c) din motive de interes public în domeniul sănătății publice;
(d) în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu prevederile Regulamentului 679/2016
(e) pentru constatarea, exercitarea sau apărarea unui drept în instanță.
Dreptul la restricționarea prelucrării
1. Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării în cazul în care se aplică unul din următoarele cazuri:
(a) persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
(b) prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;
(c) operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță;
(d) persoana vizată s-a opus prelucrării, pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.
2. În cazul în care prelucrarea a fost restricționată în temeiul alineatului (1), astfel de date cu caracter personal pot, cu excepția stocării, să fie prelucrate numai cu consimțământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanță sau pentru protecția drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important
3. O persoană vizată care a obținut restricționarea prelucrării în temeiul alineatului (1) este informată de către operator înainte de ridicarea restricției de prelucrare.
Dreptul la portabilitatea datelor
1. Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:
(a) prelucrarea se bazează pe consimțământ sau pe un contract;
(b) prelucrarea este efectuată prin mijloace automate.
2. În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului
3. Persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.
Dreptul la opoziție
1. În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării a datelor cu caracter personal care o privesc, inclusiv creării de profiluri. In aceasta situatie operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.
2. Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv.
3.În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.
4. Cel târziu în momentul primei comunicări cu persoana vizată, dreptul menționat la alineatele (1) și (2) este adus în mod explicit în atenția persoanei vizate și este prezentat în mod clar și separat de orice alte informații.
5. În contextual utilizării serviciilor societății informaționale, persoana vizată își poate exercita dreptul de a se opune prin mijloace automate care utilizează specificații tehnice.
6. În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare științifică sau istorică sau în scopuri statistice, persoana vizată, din motive legate de situația sa particulară, are dreptul de a se opune prelucrării datelor cu caracter personal care o privesc, cu excepția cazului în care prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public.
Procesul decizional individual automatizat, inclusiv crearea de profiluri
1. Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.
2. Alineatul (1) nu se aplică în cazul în care decizia:
(a) este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator de date;
(b) este autorizată prin dispozitii legale care se aplică operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate;
(c) are la bază consimțământul explicit al persoanei vizate.
3. În cazurile menționate la alineatul (2) literele (a) și (c), operatorul de date pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a-și exprima punctul de vedere și de a contesta decizia.
Persoana imputernicita de operator
În cazul în care prelucrarea urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în regulamentul 679/2016 și să asigure protecția drepturilor persoanei vizate.
Astfel, avand in vederea structura organizatorica si functionala in cadrul IRUM, la nivelul fiecarui department este numita o persoana imputernicita cu prelucratrea si protectia datelor cu caracter personal. Imputernicirea se face prin decizie de numire din partea Conducerii IRUM. Aceasta decizie are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul și care stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate și obligațiile și drepturile operatorului. Decizia de numire ca persoana imputernicita sa prelucreze date cu character personal prevede în special că persoană împuternicită de operator:
(a) prelucrează datele cu caracter personal numai pe baza unor instrucțiuni documentate din partea operatorului;
(b) se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație statutară adecvată de confidențialitate;
(c) adoptă toate măsurile necesare în conformitate securitatea prelucrarii;
(d) respectă condițiile privind recrutarea unei alte persoane împuternicite de operator – daca este cazul;
(e) ținând seama de natura prelucrării, oferă asistență operatorului prin măsuri tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligației operatorului de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor acesteia;
(f) ajută operatorul să asigure
– securitatea prelucrarii datelor,
– notificarea autoritatii de supraveghere in cazul incalcarii securitatii datelor cu caracter personal,
– informarea persoanei vizate cu privire la incalcarea securitatii datelor cu character personal
– evaluarea impactului asupra protectiei datelor
– consultarea prealabila
(g) la alegerea operatorului, șterge sau returnează operatorului toate datele cu caracter personal după încetarea activitatii legate de prelucrare și elimină copiile existente, cu excepția cazului în care cerintele legale impun stocarea datelor cu caracter personal;
(h) pune la dispoziția operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la prezentul articol, permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de operator sau alt auditor mandatat și contribuie la acestea. În ceea ce privește primul paragraf litera (h), persoana împuternicită de operator informează imediat operatorul în cazul în care, în opinia sa, o instrucțiune încalcă regulamentul 679/2016 sau alte dispoziții legale referitoare la protecția datelor.
4. În cazul în care o persoană împuternicită de un operator recrutează o altă persoană împuternicită pentru efectuarea de activități de prelucrare specifice în numele operatorului, aceleași obligații privind protecția datelor prevăzute in decizia de numire emisa de conducere, revin celei de a doua persoane împuternicite, si anume: furnizarea de garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerințele GPDR. În cazul în care această a doua persoană împuternicită nu își respectă obligațiile privind protecția datelor, persoana împuternicită inițială rămâne pe deplin răspunzătoare față de operator în ceea ce privește îndeplinirea obligațiilor acestei a doua persoane împuternicite.
Securitatea datelor cu caracter personal
IRUM asigura securitatea datelor cu caracter personal prin:
– mijloace tehnice informationale asigurate de departamentul IT;
– prin serviciul de arhivare propriu si cu procedura specifica de arhivare, cu personal calificat;
– prin angajamente de confidentialitate a datelor cu caracter personal incheiate atat cu proprii angajati cat si cu colaboratorii care, pentru indeplinirea obiectului de activitate si desfasurarii activitatii in conditii legale intra in posesia unor date cu caracter personal.
Pentru exercitarea tuturor drepturilor si pentru informatii suplimentare privind prezenta Politica a datelor cu caracter personal si de confidentialitate, persoanele vizate pot depune o solicitare scrisa in acest sens la sediul IRUM din Reghin, Str. Axente Sever, nr.6, jud. Mures, Cod postal: 545300, tel: 0040 365 450 001, fax: 0040 377 101 431, la adresa de e-mail: office@irum.ro sau accesand www.irum.ro.
De asemenea, in cazul constatarii unor incalcari ale regulamentului679/2016, persoana vizata are dreptul de a depune o plângere la autoritatea de protecție a datelor cu caracter personal.
VERSIUNI LA ACEASTĂ POLITICĂ DE CONFIDENȚIALITATE A DATELOR CU CARACTER PERSONAL
Această politică de confidențialitate este în vigoare la data de 22 mai 2018.
Această politică de confidențialitate poate fi actualizată când situatia impune acest lucru.
Orice actualizare va deveni aplicabilă în termen de 15 zile de la publicarea noii versiuni pe site-ul IRUM.