GDPR

Protecția datelor cu

caracter personal GDPR

 

 

Protecția datelor cu caracter personal este importantă pentru Union Ivkoni SRL Compania a adoptat o serie de reguli interne pentru protecția datelor cu caracter personal ale clienților.

 

Scopul prezentei informări este de aduce la cunoștința clienților, indiferent de forma în care achiziționează biletul, modul în care Union Ivkoni SRL, tratează problema datelor cu caracter personal, respectiv: motivele și scopul pentru care sunt solicitate și se procesează aceste date, furnizează acestor date către terți, durata stocării acestor date, care sunt drepturile clienților în legătură cu protecția datelor lor personale și cum aceste drepturi pot fi exercitate.

 

În cazurile în care Clientul solicită servicii de transport de călători, în numele și în beneficiul altor entități și în acest scop furnizează date cu caracter personal despre acestea, el se angajează să informeze aceste entități cu privire la aceste condiții.

 

  1. Categorii de date cu caracter personal prelucrate

 

Union Ivkoni SRL colectează și prelucrează date cu caracter personal doar în măsura necesară desfășurării activității și pentru a furniza servicii ce cea mai înaltă calitate.

 

Atunci când se utilizează sistemul online pentru vânzarea biletelor de autobuz pentru transportul de pasageri pe liniile regulate ale Union Ivkoni SRL (UniBus), compania procesează următoarele categorii de date cu caracter personal:

  • date de identificare: nume și prenume; CNP, data nașterii; Adresa IP;
  • date de contact: adresa de e-mail; număr de telefon;
  • numărul cardului de reducere (dacă aveți unul);
  • date legate de obiceiurile și preferințele dvs.:
  • date legate de utilizarea serviciilor furnizate de Union Ivkoni SRL (de exemplu: conform utilizării unui card pentru reduceri, mesaje de marketing și publicitate);
  • datele colectate prin accesarea site-ul web al Union Ivkoni SRL

Union Ivkoni SRL folosește pentru site-ul său web, inclusiv sistemul online pentru vânzarea biletelor de autobuz pentru transportul pasagerilor pe linii regulate, așa-numitul. Cookie-uri. Acestea sunt fișiere mici care sunt stocate pe discul utilizatorului și care stochează anumite setări și date pentru comunicarea cu sistemul prin browser. Unele dintre cookie-urile utilizate de Union Ivkoni SRL sunt șterse după încheierea fiecărei sesiuni de browser (așa-numitele „cookie-uri” pentru sesiuni individuale). Altele rămân pe dispozitivul care a vizitat sistemul și permit browserului să fie recunoscut la următoarea vizită (așa-numitele cookie-uri persistente). Acest lucru ajută la construirea site-ului într-un mod adecvat și la posibilitatea ca Union Ivkoni SRL să ofere o modalitate mai ușoară de utilizare a acestuia. Diferitele browsere, în setările lor, permit utilizatorilor să impună restricții privind utilizarea și ștergerea cookie-urilor. Refuzul sau restricționarea utilizării cookie-urilor poate împiedica utilizarea serviciilor furnizate de Union Ivkoni SRL prin internet, inclusiv sistemul online de vânzare a biletelor de autobuz pentru transportul de pasageri pe liniile regulate ale Union Ivkoni SRL. Mai multe informații găsiți AICI.

  • datele cu caracter personal care sunt necesare pentru a personaliza cererea Clienților, înainte de a încheia un contract pentru transportul de pasageri;
  • alte date cu caracter personal, cum ar fi sau pot deveni necesare în scopul utilizării sistemului online de vânzare a biletelor de autobuz pentru transportul pasagerilor pe liniile regulate ale Union Ivkoni SRL și / sau serviciile însoțitoare, obligatorii în conformitate cu legislația aplicabilă;

 

  1. Temeiuri și scopuri pentru prelucrarea datelor cu caracter personal de către Union Ivkoni SRL

 

Union Ivkoni SRL prelucrează (colectează, stochează și folosește) date personale ale clienți din următoarele motive și pentru a atinge oricare dintre următoarele obiective:

 

  1. Îndeplinirea obligațiilor legale și de reglementare ale Uniunii Ivkoni SRL

Union Ivkoni SRL prelucrează date cu caracter personal despre Clienți pentru a îndeplini o serie de obligații legale și de reglementare legate de serviciile furnizate, inclusiv, dar fără a se limita la:

  • efectuarea transportului pe linii regulate de autobuz în și în afara teritoriului Republicii Bulgaria;
  • respectarea legislației referitoare la sancțiuni și/sau măsuri de securitate;
  • răspuns la o cerere formală a unui organism public sau judiciar autorizat în mod corespunzător.

 

  1. Executarea unui contract încheiat cu sau în beneficiul clienților sau pentru luarea de măsuri la cererea persoanelor fizice, persoanelor vizate, înainte de încheierea unui contract.

Union Ivkoni SRL prelucrează date cu caracter personal pentru încheierea și executarea contractelor de transport, precum și pentru respectarea drepturilor și obligațiilor prevăzute în prezentele norme, precum și pentru furnizarea de informații cu privire la serviciile cărora potențialii Clienți sunt interesați (de exemplu, primirea unei confirmări prin e-mail pentru o rezervare reușită prin sistemul online pentru vânzarea biletelor de autobuz pentru transportul de pasageri pe liniile regulate ale Union Ivkoni SRL), după cum urmează:

  • stabilirea relațiilor cu clienți noi;
  • încheierea, modificarea, executarea și rezilierea contractelor;
  • acordarea de reduceri;
  • comunicarea cu clienții.
  1. Obiective legate de interesele legitime ale Uniunii Ivkoni SRL, după cum urmează:
  • raportare internă;
  • colectarea creanțelor;
  • activități de inspecție pentru reclamații.

În cazul în care Union Ivkoni SRL trebuie să efectueze prelucrări suplimentare, în alte scopuri decât cele menționate anterior în secțiunea 2, din prezentele norme, Union Ivkoni SRL va solicita clienților consimțământul lor.

  1. Categorii de destinatari de date cu caracter personal

Pentru a îndeplini obiectivele menționate mai sus, Union Ivkoni SRL dezvăluie date cu caracter către:

  • furnizorilor de servicii, care furnizează servicii în numele Union Ivkoni SRL, în timpul sau în scopul utilizării sistemului online de vânzare a biletelor de autobuz pentru transportul de călători pe liniile regulate ale Union Ivkoni SRL;
  • agenți independenți sau intermediari în sau în scopul utilizării sistemului online de vânzare a biletelor de autobuz pentru transportul pasagerilor pe liniile regulate ale Union Ivkoni SRL;
  • partenerilor comerciali în sau în scopul utilizării sistemului online de vânzare a biletelor de autobuz pentru transportul de pasageri pe liniile regulate ale Uniunii Ivkoni SRL;
  • organele publice sau judiciare, la cerere, în și în măsura permisă de lege;
  • alți administratori în numele cărora Union Ivkoni SRL prelucrează date cu caracter personal sau care sunt administratori comuni cu Union Ivkoni SRL;
  • persoane care furnizează servicii pentru furnizarea și întreținerea echipamentelor, software-ului și hardware-ului utilizat pentru prelucrarea (inclusiv stocarea) datelor cu caracter personal, pentru raportarea plăților etc.

 

 

4.Transferul datelor cu caracter personal în afara Spațiului Economic European (SEE)

Union Ivkoni SRL poate efectua transmiterea internațională a datelor originare din SEE, atunci când Comisia Europeană a recunoscut o țară din afara SEE ca având un nivel adecvat de protecție a datelor.

 

Pentru transferurile către țări din afara SEE al căror nivel de protecție nu este recunoscut de Comisia Europeană, Union Ivkoni SRL va invoca, de asemenea, o anumită derogare aplicabilă situației specifice în temeiul regulamentului (de exemplu, dacă transferul este necesar pentru executarea contractului Union Ivkoni SRL pentru transportul de pasageri) sau va aplica oricare dintre garanțiile prevăzute de legea aplicabilă.

 

În alte cazul transferului de date cu caracter personal în afara SEE, acest lucru se face în baza consimțământului explicit al clienților pentru transferul de date propus. În aceste cazuri, necesitatea unui astfel de transfer, țara în care va avea loc transferul, precum și lipsa unei decizii a Comisiei Europene privind un nivel adecvat de protecție pentru țara respectivă și garanții adecvate pentru transferul propus, vor fi aduse la cunoștința Clienților și va fi solicitat acordul acestora.

 

  1. Perioada de stocare a datelor cu caracter personal

 

Union Ivkoni SRL păstrează datele cu caracter personal ale Clienților pentru perioadele mai lungi necesare fie pentru respectarea legilor și reglementărilor aplicabile, fie pentru o altă perioadă în conformitate cu cerințele aplicabile activităților Union Ivkoni SRL. Prelucrarea datelor cu caracter personal se bazează pe principiul minimizării datelor, în funcție de și în scopul furnizării serviciilor utilizate de Clientul respectiv (de exemplu, reducere pentru copii și / sau persoane peste o anumită vârstă (PIN), utilizarea online Sistemul Union Ivkoni SRL pentru achiziționarea de bilete (adresă IP; e-mail; telefon; date legate de obiceiuri și preferințe etc.) Unele dintre date pot fi stocate după finalizarea serviciului solicitat de Client în scopuri de a oferi reduceri clienților obișnuiți, pentru îndeplinirea obligațiilor legale ale Union Ivkoni SRL sau în scopul intereselor legitime ale companiei.

 

  1. Drepturile clienților în legătură cu protecția datelor cu caracter personal și modul de exercitare a acestor drepturi

În conformitate cu cerințele de reglementare aplicabile, Clientul are dreptul la:

  • informarea privitoare la colectarea datelor personale de la acesta sau de la terți;
  • dreptul de acces la datele lor personale, în special: (i). confirmarea dacă datele personale despre el sunt prelucrate de către Union Ivkoni SRL; (ii). furnizarea accesului la date printr-o copie a datelor care sunt procesate, precum și informații despre scopurile prelucrării; categoriile de date cu caracter personal; destinatarii sau categoriile de destinatari cărora le sunt sau vor fi dezvăluite datele cu caracter personal; condițiile de stocare a datelor cu caracter personal; existența unui drept de rectificare sau ștergere a datelor cu caracter personal sau de restricționare a prelucrării datelor cu caracter personal sau de a obiecta la prelucrare; dreptul de a face apel la un organism de supraveghere (care în România este ANSPCP); surse de date cu caracter personal; existența luării de decizii automatizate, inclusiv profilarea;
  • dreptul de corectare - să solicite corectarea sau completarea datelor sale personale, dacă acestea sunt inexacte sau incomplete;
  • dreptul de a șterge datele cu caracter personal atunci când sunt prezente motivele prevăzute de legislația aplicabilă;
  • dreptul de a restricționa prelucrarea;
  • dreptul la portabilitatea datelor;
  • dreptul de a obiecta;
  • dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv profilarea, care dă naștere unor consecințe juridice sau o afectează în mod semnificativ;
  • acordarea, schimbarea sau retragerea consimțământului pentru prelucrarea datelor cu caracter personal, atunci când baza prelucrării este consimțământul său;

Clienții își pot exercita drepturile prin trimiterea unei cereri scrise către Union Ivkoni SRL, într-unul din următoarele moduri:

  • personal, de către un reprezentant legal sau printr-un reprezentant autorizat în baza unei procură notarială, în biroul Union Ivkoni SRL, situat la: București, sector 6, str. Valea Cascadelor nr. 1, modul 1, după identificarea solicitantului sau a reprezentantului său de către un angajat al Union Ivkoni SRL;
  • prin e-mail către responsabilul cu protecția datelor cu caracter personal printr-o semnătură electronică calificată;
  • prin poștă în baza unei cereri autentice, pentru a asigura identificarea solicitantului.

 

  1. Modificări privind protecția datelor cu caracter personal

 

Union Ivkoni SRL informează părțile interesate despre orice modificare semnificativă a acestor condiții prin intermediul site-ului său web sau prin alte canale obișnuite de comunicare.

  1. Contacte cu Union Ivkoni SRL cu privire la problema de protecție a datelor cu caracter personal

În cazul întrebărilor legate de prelucrarea datelor cu caracter personal, conform acestor Termeni și condiții generale, clienții pot contacta responsabilul cu protecția datelor cu caracter personal al Uniunii Ivkoni SRL prin e-mail:

.

Pentru mai multe informații puteți citi Politica noastră de confidențialitate AICI.

 

 

 

 

 

 

Politica GDPR


  1. Introducere

 

1.1. Situaţii Generale

Politica generală actuală privind protecția datelor cu caracter personal (denumită în continuare „Politica”) reglementează activitățile de prelucrare a datelor cu caracter personal de către Uniunea Ivkoni SRL, UIC 121444454, cu sediul social și adresa conducerii: 1000 Sofia, țarul Str. Ivan Shishman ” № 17, (denumit în continuare „Compania” și / sau „Administratorul”), în ceea ce privește categoriile de persoane cu caracter personal specificate în aceasta, pentru a asigura conformitatea acestei prelucrări cu cerințele REGULAMENTULUI (UE) 2016 / 679 al Parlamentului European și al Consiliului privind protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46 / CE (Regulamentul general privind protecția datelor, denumit în continuare „Regulamentul”), precum și toate celelalte reglementări aplicabile ale Uniunii Europene (UE) și legislația națională în domeniul protecției datelor cu caracter personal. Această politică se aplică tuturor aspectelor legate de protecția datelor cu caracter personal pentru care nu există nicio altă reglementare explicită sau specială în conformitate cu alte acte ale Companiei.

 

1.2. Politica își propune să reglementeze și să acopere în special următoarele aspecte:

  • activitățile de prelucrare a datelor cu caracter personal, categoriile de persoane vizate cărora li se aplică Politica, principiile prelucrării și responsabilitățile legate de prelucrare;
  • obligațiile persoanelor care acționează sub conducerea societății în sensul art. 29 din Regulament privind prelucrarea datelor cu caracter personal și răspunderea acestora în cazul neîndeplinirii acestor obligații;
  • drepturile persoanelor vizate și procedura de exercitare a acestora;
  • o procedură legată de prelucrarea datelor cu caracter personal pe baza consimțământului persoanelor vizate;
  • reguli de răspuns în caz de încălcare a securității datelor cu caracter personal;
  • măsuri tehnice și organizatorice pentru protecția datelor cu caracter personal aplicate în companie.

 

1.3. Informații despre administrator

Union Ivkoni SRL

Firma

Union Ivkoni” SRL

 

 

Date de identificare

CUI 41130520,

ORC Bucuresti J40/6503/2019

 

 

Sediu şi adresă de administrare

București, sector 6, Str. Valea Cascadelor nr. 1, modul 1

 

 

Obiect de activitate

Transport de călători cu atuocarul

 

 

Persoană responsabilă de protecţia datelor

 

  1. Termeni și abrevieri utilizate

 

Toți termenii și abrevierile care nu sunt definite în mod explicit în prezentele norme au semnificația prevăzută în regulament.

 

  1. Activități de prelucrare a datelor cu caracter personal

 

3.1. Principiile prelucrării datelor cu caracter personal

Prelucrarea datelor cu caracter personal de către Administrator este supusă următoarelor principii:

  • datele cu caracter personal sunt prelucrate numai în prezența oricăruia dintre motivele prelucrării, în conformitate cu Regulamentul și / sau alte norme aplicabile în domeniul datelor cu caracter personal, cu bună credință și într-un mod transparent în ceea ce privește persoana vizată (principiu de legalitate, bună-credință și transparență).);
  • datele cu caracter personal sunt colectate în scopuri specifice, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri;
  • datele cu caracter personal sunt relevante și limitate la ceea ce este necesar în scopurile pentru care sunt prelucrate (principiul minimizării datelor);
  • datele cu caracter personal sunt corecte și, dacă este necesar, sunt actualizate. Operatorul va lua toate măsurile rezonabile pentru a asigura ștergerea sau corectarea în timp util a datelor cu caracter personal inexacte, luând în considerare scopurile pentru care sunt prelucrate (principiul exactității procesării);
  • datele cu caracter personal sunt stocate într-un formular care permite identificarea persoanei vizate pentru o perioadă nu mai lungă decât este necesar pentru scopurile pentru care datele cu caracter personal sunt prelucrate;
  • datele cu caracter personal sunt prelucrate într-un mod care asigură un nivel adecvat de securitate a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii accidentale, divulgării, distrugerii sau deteriorării, prin aplicarea măsurilor tehnice sau organizaționale corespunzătoare;
  • măsurile organizatorice și tehnice aplicate asigură confidențialitate constantă, integritate, disponibilitate și durabilitate a sistemelor și serviciilor pentru prelucrarea datelor cu caracter personal.

 

3.2. Categorii de persoane vizate. Categorii de date cu caracter personal și scopuri de prelucrare. Supraveghere video

3.2.1. Operatorul are dreptul de a prelucra date cu caracter personal despre clienții săi și alte persoane vizate după cum urmează:

  1. clienții (persoane fizice) ale Companiei în calitate de transportator, cu privire la care pot fi prelucrate date cu caracter personal, cum ar fi nume, PIN, adresa IP, e-mail, număr de telefon, adresă MAC etc. Prelucrarea datelor cu caracter personal se bazează pe principiul minimizării datelor, în funcție de și în scopul furnizării serviciilor utilizate de clientul respectiv, cum ar fi o reducere pentru copii și / sau persoane peste o anumită vârstă (PIN), utilizarea sistemului online al Companiei pentru achiziționarea de bilete (adresa IP; e-mail; telefon; date legate de obiceiuri și preferințe), utilizarea wi-fi-ului în autobuzele Companiei (adresa MAC) etc. Scopurile procesării includ:. furnizarea serviciului de transport și / sau servicii suplimentare, inclusiv achiziționarea online a biletelor și utilizarea site-ului web al Companiei; (ii). stocarea evidențelor fiscale și contabile; (iii). respectarea cerințelor legislative; (iv). oferirea de reduceri clienților obișnuiți; (v). obiective legate de interesele legitime ale Companiei în sensul Regulamentului;
  2. clienți (persoane fizice) ale Companiei în calitate de tour operator, cu privire la care date personale precum nume, cod PIN, date din documente personale (carte de identitate sau pașaport conform destinației alese), date și documente necesare scopurilor de poliție, vamă de frontieră sau controale de către o autoritate publică relevantă, viză și / sau alte tipuri de permise, informații despre legăturile de familie și relațiile (de exemplu, în ceea ce privește turiștii, sub 18 ani, pentru a respecta cerința consimțământului părinților la ieșirea din țară; etc.), informații despre conturile bancare (IBAN, în cazul plății prin transfer bancar), informații relevante pentru încheierea asigurării medicale pentru călătorii, în tip și volum, conform cerințelor companiei / companiilor de asigurări respective și / sau legii, informații de contact (de exemplu, adresa de e-mail, adresa de contact, numărul de telefon), precum și alte date, cum ar fi adresa IP, MAC-ul dispozitivului etc. Prelucrarea datelor cu caracter personal se bazează în întregime pe principiul minimizării datelor, în funcție de și în scopul furnizării serviciilor utilizate de client, cum ar fi utilizarea wi-fi-ului în autobuzele Companiei (MAC), utilizarea site-ului web companiei (adresa IP; date legate de obiceiuri și preferințe) etc. Scopurile procesării includ:. furnizarea serviciului de operator de turism solicitat și / sau servicii suplimentare, inclusiv utilizarea site-ului web al Companiei; (ii). stocarea evidențelor fiscale și contabile; (iii). respectarea cerințelor legislative; (iv). oferirea de reduceri clienților obișnuiți; (v). marketing direct; (vi). obiective legate de interesele legitime ale Companiei în sensul Regulamentului;
  3. angajați potențiali, actuali și / sau foști ai Companiei. În ceea ce privește datele cu caracter personal ale persoanelor vizate indicate, se aplică o Politică de protecție a datelor cu caracter personal ale angajaților companiei;
  4. alte persoane fizice și persoane fizice-reprezentanți sau persoane de contact ale persoanelor juridice care au contact cu Compania (inclusiv, dar fără a se limita la furnizori, contacte comerciale, subcontractanți, alți contractori și parteneri de afaceri etc.) în scopul implementării și / sau gestionarea activității Companiei;
  5. alte persoane fizice, reprezentanți prin lege sau procură, ale persoanelor fizice - clienți ai Companiei (de exemplu, părinții minorilor cu acordul de a părăsi țara etc.)

 

3.2.2. Compania a creat și menține un registru al activităților de prelucrare a datelor cu caracter personal în calitate de administrator, conform art. 30 din regulament (denumit în continuare „registrul”). Registrul este descris în detaliu la punctul 7. al politicii și conține informațiile specificate în regulament, inclusiv categoriile specifice de persoane vizate, categoriile de date cu caracter personal, scopurile și durata prelucrării, clasificate pe activități.

 

3.2.3. Compania păstrează datele cu caracter personal pentru perioadele mai lungi, fie pentru a se conforma legilor și reglementărilor aplicabile, fie pentru o altă perioadă în conformitate cu cerințele aplicabile activității comerciale a Companiei.

Prelucrarea datelor cu caracter personal se bazează pe principiul minimizării datelor, în funcție de și în scopul furnizării serviciilor utilizate de clientul în cauză (cum ar fi o perioadă mai redusă pentru copii și / sau persoane peste o anumită vârstă (conform CNP), și etc.). O parte din date pot fi stocate după finalizarea serviciului solicitat de client în scopul oferirii de reduceri clienților.

 

3.2.4. Compania efectuează supravegherea video a zonelor accesibile publicului în casele de bilete, birourile și facilitățile de servicii. Supravegherea video se efectuează în conformitate cu normele pentru efectuarea supravegherii video.

 

 

 

 

  1. Categorii de destinatari de date

 

4.1. Administratorul poate dezvălui datele personale colectate următoarelor persoane:

  • furnizori de servicii - consultanți, avocați, contabili, auditori, specialiști IT etc., în legătură cu încheierea contractelor conform cu activitatea principală a Companiei, respectarea cerințelor legale, asistență tehnică etc. Această divulgare se face pe baza unui acord scris cu furnizorul de servicii relevant pentru a se asigura, că la rândul său asigură un nivel adecvat de protecție și respectare a legislației privind datele cu caracter personal;
  • subcontractanți - atunci când furnizează servicii în numele administratorului (reprezentanți de vânzări, operatori de turism, agenți de turism etc.) pe și în afara teritoriului României, în legătură cu încheierea și implementarea contractelor de transport de călători și servicii turistice. Această divulgare se face pe baza unui acord scris cu subcontractantul în cauză, pentru a se asigura, că la rândul său asigură un nivel adecvat de protecție și respectare a legislației privind datele cu caracter personal;
  • persoanele care furnizează servicii pentru repararea și întreținerea echipamentelor, software-ului și hardware-ului utilizate pentru prelucrarea (inclusiv stocarea) datelor cu caracter personal, pentru raportarea plăților etc;
  • bănci, pentru deservirea plăților de către persoanele vizate ale serviciilor de transport de călători și / sau ale serviciilor turistice;
  • companii de securitate care furnizează servicii pentru activități de securitate privată în legătură cu supravegherea video a zonelor accesibile publicului la punctele de vânzare a biletelor către Administrator;
  • organele publice sau judiciare, în și în măsura permisă și / sau cerută de lege;
  • companii de asigurări - în legătură cu încheierea asigurării de călătorie pentru furnizarea de servicii turistice;
  • alți controlori de date cu caracter personal, în cazurile în care Compania acționează ca procesator în numele lor.

4.2. Administratorul poate dezvălui datele cu caracter personal la GROUP PLUS ESRL, o societate cu răspundere limitată înființată și existentă în conformitate cu legile Republicii Bulgaria, cu sediul social și adresa conducerii: Sofia 1000, districtul Sredets, str. Ivan Shishman. ”№ 17, având CUI 121444454, cu care administratorul cooperează la furnizarea de servicii pentru clienți și cu care utilizează un sistem de biletare unificat. Administratorul a încheiat un acord cu respectiva companie pentru prelucrarea și protecția datelor cu caracter personal între administratori comuni, care reglementează relațiile juridice dintre aceștia pentru a efectua prelucrarea legală a datelor cu caracter personal și protecția lor efectivă.

 

  1. Obligațiile administratorului

 

Administratorul are următoarele responsabilități:

  • stabilește politicile și procedurile de protecție a datelor cu caracter personal prelucrate, respectă cerințele regulamentului, legislației UE și legislației naționale în domeniul protecției datelor cu caracter personal;
  • numește un responsabil cu protecția datelor;
  • asigură organizația pentru păstrarea registrului, în conformitate cu măsurile preconizate pentru garantarea unei protecții adecvate;
  • introduce, atât în momentul stabilirii mijloacelor de prelucrare, cât și în momentul prelucrării, măsuri tehnice și organizatorice adecvate care au fost elaborate în vederea aplicării eficiente a principiilor de protecție a datelor;
  • asigură exercitarea drepturilor persoanelor pentru protecția datelor cu caracter personal;
  • introduce măsuri tehnice și organizatorice adecvate pentru a asigura și a putea dovedi că prelucrarea datelor cu caracter personal se efectuează în conformitate cu cerințele regulamentului;
  • Introduce măsuri tehnice și organizatorice adecvate pentru a vă asigura că, în mod implicit, sunt prelucrate numai datele cu caracter personal necesare pentru fiecare scop specific al prelucrării. Această obligație se referă la volumul de date cu caracter personal colectat, gradul de prelucrare, perioada de stocare și disponibilitatea acestora;
  • monitorizează respectarea cerințelor pentru protecția registrului, stabilește circumstanțele legate de încălcarea protecției lor și ia măsuri pentru eliminarea acestora;
  • actualizează registrele menținute;
  • păstrează datele cu caracter personal într-o formă care permite identificarea persoanelor respective pentru o perioadă nu mai lungă decât este necesar pentru scopurile pentru care aceste date sunt prelucrate;
  • informează periodic și organizează, după caz, instruiri pentru personal cu privire la problemele de protecție a datelor cu caracter personal;
  • acordă asistență în implementarea funcțiilor de control ale Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal în calitatea sa de organism de supraveghere în temeiul art. 51 din regulament (denumit în continuare ANSPDCP), ajută la stabilirea circumstanțelor legate de protecția datelor cu caracter personal;
  • stabilește drepturile angajaților pentru accesul la date cu caracter personal în sistemele informaționale în conformitate cu scopurile prelucrării, astfel încât să asigure legalitatea și să respecte principiile prelucrării;
  • utilizează procesoare de date cu caracter personal care oferă garanții suficiente prin aplicarea măsurilor de protecție tehnică și organizațională adecvate;
  • respectă anumite reguli în cazul încălcării securității datelor cu caracter personal;
  • documentează orice încălcare a securității datelor cu caracter personal, inclusiv faptele legate de încălcarea securității datelor cu caracter personal, consecințele acesteia și acțiunile întreprinse pentru soluționarea acesteia;
  • efectuează evaluarea riscurilor, în conformitate cu cerințele regulamentului, respectiv evaluarea impactului, atunci când în conformitate cu Regulamentul sunt îndeplinite condițiile pentru aceasta. 

 

6.Obligațiile angajaților administratorului. Responsabilitate. Declarații de confidențialitate

 

6.1. Angajații administratorului încep procesarea datelor cu caracter personal după ce au luat cunoștință de:

  • legislația în domeniul protecției datelor cu caracter personal, inclusiv Regulamentul și Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (denumită în continuare „Legea”);
  • Politica și alte acte interne ale administratorului legate de protecția datelor cu caracter personal;
  • pericolele pentru datele cu caracter personal prelucrate de Administrator.

Angajații administratorului sunt obligați să:

  • să respecte cerințele regulamentului, alte legislații aplicabile în domeniul protecției datelor cu caracter personal, Politica și alte acte interne ale administratorului legate de protecția datelor cu caracter personal;
  • să prelucreze date cu caracter personal numai în prezența unei condiții de prelucrare legală (temei legal), și anume: temeiuri pentru prelucrarea datelor cu caracter personal, care derivă din lege; sau motive pentru prelucrarea datelor cu caracter personal care decurg din relația contractuală cu persoana respectivă; sau motive pentru prelucrarea datelor cu caracter personal, care derivă din consimțământul explicit al persoanei; sau motive pentru prelucrarea datelor cu caracter personal care decurg din interesul legitim al administratorului sau al unei terțe părți și care interesul legitim prevalează asupra intereselor, drepturilor fundamentale și libertăților persoanei vizate care necesită protecția datelor cu caracter personal;
  • să utilizeze datele personale la care au acces în conformitate cu scopurile pentru care sunt colectate și să nu le prelucreze în continuare într-un mod incompatibil cu aceste scopuri;
  • să nu utilizeze datele personale la care au acces în calitatea lor de angajați ai administratorului, în scopuri personale;
  • să respecte regula pentru evitarea posibilității de acces nereglementat la date cu caracter personal și pentru a lăsa nesupravegheate date personale accesibile la locul de muncă respectiv. În spațiile la care au acces persoanele din afară, angajații în cauză sunt obligați să ia măsuri pentru ca persoanele din afară să nu aibă acces neautorizat la documentele care conțin date cu caracter personal, inclusiv să le poată vizualiza, copia sau fotografia cu un dispozitiv tehnic.;
  • atunci când desfășurarea activității respective permite, să limiteze la maximum datele personale utilizate;
  • să asigure și să garanteze respectarea drepturilor persoanelor în legătură cu prelucrarea datelor cu caracter personal;
  • să nu permită, să asiste sau să creeze condiții pentru încălcări ale securității în prelucrarea datelor cu caracter personal;
  • să nu împărtășească sau să ofere reciproc sau terților informații esențiale pentru securitatea datelor (nume de utilizator, parole etc.);
  • să nu copieze fișiere cu informații corporative care conțin date personale pe suporturi amovibile sub formă necriptată (sau fără parolă);
  • să nu trimită prin e-mail, la adrese de e-mail din afara Companiei, informații care conțin volume semnificative de date cu caracter personal sau categorii speciale de date cu caracter personal ori alte date cu caracter personal, la care accesul neautorizat poate prezenta un risc ridicat, pentru drepturile și interesele persoanelor titulare a datelor, în fișiere fără parole;
  • să nu publice date personale despre clienți sau angajați ai Companiei pe site-uri web publice etc., fără a avea o bază legală pentru aceasta;
  • să asiste responsabilul cu protecția datelor în exercitarea atribuțiilor sale.

 

6.2. Responsabilitatea angajaților

 

6.2.1. Toate acțiunile care duc sau pot duce la ștergerea, distrugerea sau modificarea neautorizată a datelor cu caracter personal primite de Administrator în format electronic sau pe hârtie, precum și partajarea / divulgarea neautorizată a datelor cu caracter personal de către angajații Companiei sunt interzise și pot duce la angajarea răspunderii angajatului respectiv.

 

6.2.2. Pentru nerespectarea prevederilor Regulamentului și / sau a Legii și / sau a Politicii și / sau a altor acte interne aplicabile ale Administratorului, angajații Administratorului pot fi trași la răspundere disciplinară.

 

6.2.3. În afară de răspunderea disciplinară, răspunderea administrativ-penală și / sau penală față de angajatul respectiv poate fi angajată, dacă fapta respectivă întrunește elementele constitutive ale unei infracțiuni;

 

6.2.4. În afară de răspunderea disciplinară, administrativă-penală și penală, angajatul respectiv poate să răspundă și civil, pentru daunele provocate.

 

6.3. Administratorul:

  • asigură semnarea unei declarații de confidențialitate și nediseminare a datelor cu caracter personal de către toți angajații care prelucrează date cu caracter personal despre acesta;
  • asigură îndeplinirea obligațiilor sale de formare a angajaților care prelucrează date cu caracter personal și de instruire a personalului pentru evenimente care pun în pericol securitatea datelor cu caracter personal.

 

  1. Menținerea unui registru al activităților de prelucrare a datelor cu caracter personal în calitate de administrator

 

Conform cerințelor legale, Compania ține un registru al activităților de prelucrare a datelor cu caracter personal, ca administrator, care conține numele și datele de contact ale administratorului și ale Responsabilului cu Protecția Datelor. Registrul include o descriere detaliată a tuturor activităților de prelucrare a datelor cu caracter personal, incluzând următoarele caracteristici:

  • numele activității efectuate pentru prelucrarea datelor cu caracter personal;
  • scopurile și motivele prelucrării datelor cu caracter personal;
  • categoriile de persoane fizice pentru care sunt prelucrate date cu caracter personal (clienți, angajați, persoane de contact ale persoanelor juridice etc.);
  • categoriile de date cu caracter personal care sunt prelucrate în activitatea respectivă;
  • prelucrarea unor categorii speciale de date (de exemplu, informații despre sănătate, dacă este cazul);
  • surse de date cu caracter personal;
  • terți care primesc sau participă în alt mod la prelucrarea datelor cu caracter personal în activitatea relevantă;
  • localizarea (stocarea) datelor cu caracter personal;
  • termenele prevăzute pentru stocarea și ștergerea diferitelor categorii de date cu caracter personal, acolo unde este posibil;
  • o descriere generală a măsurilor de securitate tehnică și organizațională, acolo unde este posibil.

 

  1. Menținerea registrelor activităților de prelucrare a datelor cu caracter personal ca procesator

 

Pentru anumite activități de prelucrare a datelor cu caracter personal, Compania acționează asupra altor date, adică, în numele altor persoane - controlori de date cu caracter personal, de ex. companii de asigurări (în activitatea lor de tour operator). În astfel de cazuri de prelucrare, Compania acționează ca procesator de date cu caracter personal. În conformitate cu cerințele art. 30, alin. 2 din regulament, Compania ține un registru al activităților de prelucrare a datelor cu caracter personal în calitate de procesator, care conține numele și datele de contact ale Companiei și ale operatorului în numele căruia prelucrează datele. Registrul include o descriere detaliată a tuturor activităților (procese de afaceri, funcții) pentru prelucrarea datelor cu caracter personal în conformitate cu cerințele art. 30, alin. 2 din regulament cu cel puțin următoarele caracteristici:

  • categoriile de prelucrare efectuate în numele fiecărui administrator;
  • terți care primesc sau participă în alt mod la prelucrarea datelor cu caracter personal în activitatea în cauză;
  • dacă este cazul, transferul de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective, respectiv pentru garanții adecvate (acolo unde este necesar);
  • o descriere generală a măsurilor de securitate tehnică și organizațională, acolo unde este posibil.

 

  1. Responsabil cu protecția datelor

 

Administratorul a desemnat un responsabil cu protecția datelor (denumit în continuare RPD) care este implicat într-un mod adecvat și în timp util în toate aspectele legate de protecția datelor cu caracter personal. RPD are următoarele obligații și puteri:

  • informează și consultă conducerea și angajații care desfășoară activități de prelucrare a datelor cu caracter personal cu privire la obligațiile care le revin în temeiul regulamentului și al tuturor celorlalte legislații UE aplicabile și legislației naționale în domeniul protecției datelor cu caracter personal;
  • monitorizează și este responsabil pentru sensibilizarea și instruirea personalului implicat în operațiunile de prelucrare a datelor cu caracter personal;
  • pregătește și propune spre aprobare reguli și politici interne pentru protecția datelor cu caracter personal sau modificări ale regulilor și politicilor existente;
  • monitorizează necesitatea modificării activităților de prelucrare a datelor cu caracter personal și a documentelor conexe și / sau de reglementare;
  • participă la activități de evaluare a riscurilor și, dacă este necesar, la impactul prelucrării datelor cu caracter personal;
  • acționează ca un punct unic de contact pentru persoanele vizate în legătură cu exercitarea drepturilor lor în temeiul regulamentului;
  • stochează aplicațiile persoanelor vizate în legătură cu exercitarea drepturilor lor;
  • stochează informații despre încălcările de securitate pentru protecția datelor cu caracter personal;
  • păstrează registre conform prevederilor legale, privind activitățile de prelucrare a datelor cu caracter personal;
  • efectuează o monitorizare cuprinzătoare, efectuează evaluări periodice, consultă și oferă recomandări și propuneri pentru a asigura un nivel adecvat de securitate a datelor cu caracter personal.

Responsabilitățile RPD sunt descrise în detaliu în fișa postului său (când este angajat al Companiei) sau în contractul de servicii relevant (când nu este angajat al Companiei).

 

  1. Drepturile persoanelor vizate

 

Administratorul ia măsurile necesare pentru a furniza persoanelor vizate informații cu privire la prelucrarea datelor cu caracter personal într-o formă concisă, transparentă, ușor de înțeles și ușor accesibilă, într-un limbaj clar și simplu. Administratorul va ajuta la exercitarea drepturilor persoanei vizate în temeiul prevederilor legale.

 

În cazurile în care solicitările persoanei vizate sunt vădit nefondate sau excesive (în special din cauza repetabilității lor), Administratorul poate refuza îndeplinirea solicitărilor în cauză.

 

Administratorul asigură în special exercitarea următoarelor drepturi ale persoanelor vizate:

  • dreptul la informații la colectarea datelor cu caracter personal de la persoana vizată sau de la terți;
  • dreptul de acces la datele persoanei vizate, în special: (i) confirmarea dacă datele personale ale acestei persoane vizate sunt prelucrate de către Companie; (ii). furnizarea accesului la date printr-o copie a datelor care sunt procesate, precum și informații despre scopurile prelucrării; categoriile de date cu caracter personal; destinatarii sau categoriile de destinatari cărora le sunt sau vor fi dezvăluite datele cu caracter personal; condițiile de stocare a datelor cu caracter personal; existența unui drept de rectificare sau ștergere a datelor cu caracter personal sau de restricționare a prelucrării datelor cu caracter personal sau de a obiecta la prelucrare; dreptul de a face apel la un organism de supraveghere (care în Romania este ANSPDCP); surse de date cu caracter personal; existența luării de decizii automatizate, inclusiv profilarea;
  • dreptul de corectare - să solicite corectarea sau completarea datelor sale personale, dacă acestea sunt inexacte sau incomplete;
  • dreptul de a șterge datele cu caracter personal atunci când sunt prezente motivele prevăzute în regulament;
  • dreptul de a restricționa prelucrarea;
  • dreptul la portabilitatea datelor;
  • dreptul de a obiecta;
  • dreptul persoanei vizate de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv profilarea, care dă naștere unor consecințe juridice sau îl afectează în mod semnificativ;
  • acordarea, schimbarea sau retragerea consimțământului pentru prelucrarea datelor cu caracter personal, atunci când baza prelucrării este consimțământul persoanei vizate.

 

Persoanele vizate își pot exercita drepturile pe calea unui cereri scrise adresate Administratorului, într-unul din următoarele moduri:

  • personal, de către un reprezentant legal sau printr-un reprezentant al persoanei vizate împuternicit pe calea unei procuri notariale, La sediul Companiei, situat în București, sector 6, str. Valea Cascadelor, nr. 1, modul 1, după identificarea persoanei vizate sau a reprezentantului respectiv de către un angajat al administratorului;
  • prin e-mail către RPD printr-o semnătură electronică calificată, în conformitate cu Legea privind serviciile pentru documentele electronice și certificarea electronică (denumită în continuare „QES”);
  • prin poștă, în acest caz cererea trebuie însoțită de o certificarea a identității și semnăturii, emisă de un notar public;

Toate cererile depuse la biroul de mai sus al Companiei sau prin poștă sunt trimise către RPD. În termen de o lună de la data primirii/înregistrării cererii, RPD va notifica persoana vizată cu privire la acțiunile întreprinse cu privire la cerere, respectiv cu privire la motivele pentru care nu a luat măsuri și cu posibilitatea de a depune o plângere la un organism de supraveghere și de a solicita protecție în instanță. Dacă se iau măsuri cu privire la cerere, perioada pentru notificarea persoanei vizate cu privire la această acțiune poate fi extinsă la un total de trei luni, ținând seama de complexitatea și numărul de cereri. În acest caz, RPD notifică persoana vizată cu privire la prelungire în perioada inițială de o lună.

Informațiile (care pot varia în funcție solicitarea persoanei vizate) sunt furnizate pe suport de hârtie personal persoanei vizate sau reprezentantului său legal sau autorizat, cu o procură notarială specială. Dacă cererea este trimisă prin e-mail, informațiile sunt furnizate și prin e-mail la adresa de e-mail de la care provine cererea depusă. În acest caz, informațiile sunt trimise în fișiere protejate prin parolă.

 

  1. Consimțământul persoanei vizate ca bază pentru prelucrarea datelor cu caracter personal.

 

11.1. Baza

În conformitate cu Legea, consimțământul persoanei este unul dintre temeiurile legale pentru legalitatea prelucrării datelor cu caracter personal. Consimțământul ar trebui să fie dat personal printr-o declarație scrisă, în formă electronică sau în alt mod specificat de Administrator pentru a se asigura că consimțământul este:

  • oferit în mod liber; și
  • concret; și
  • informat; și
  • fără ambiguitate, 


11.2. Persoane vizate

Compania poate colecta consimțământ persoanei, pentru toate categoriile de persoane vizate pentru care sunt prelucrate date cu caracter personal, inclusiv clienți și angajați.

 

Consimțămintele persoanelor vizate se colectează, în scris, prin declarații de consimțământ, odată ce persoana a fost identificată, pentru a dovedi, dacă este necesar, consimțământul activității de prelucrare relevante. Consimțământul este o formă specială necesară pentru prelucrarea datelor cu caracter personal, iar scopurile specifice ale prelucrării sunt stabilite în acesta.

 

 

11.3. Retragere

Compania oferă persoanelor vizate posibilitatea de a-și schimba sau retrage cu ușurință consimțământul, fără a provoca consecințe juridice nefaste pentru aceștia, atunci când în mod obiectiv există posibilitatea de a face acest lucru. Modificările sau retragerea consimțământului sunt efectuate de persoanele vizate în ordinea colectării consimțământului. În cazul retragerii parțiale sau complete a consimțământului, atunci când prelucrarea datelor cu caracter personal se efectuează pe această bază, Compania ar putea să nu poată furniza serviciul solicitat de Client.

 

11.4. Colectarea consimțământului de la clienți

Consimțămintele foștilor și actualilor clienți, precum și a reprezentanților acestora sunt colectate într-unul din următoarele moduri:

  • personal, în orice birou sau reprezentanță a Companiei;
  • prin intermediul unui operator poștal autorizat, cu o declarației de consimțământ, în forma autentică (notarială); sau
  • o declarație de consimțământ semnată cu QES, trimisă prin e-mail la RPD.

 

11.5. Colectarea consimțământului de la angajați

Consimțămintele foștilor angajați actuali și a candidaților la locuri de muncă sunt colectate într-unul din următoarele moduri:

  • personal, în unitatea de gestionare a resurselor umane;
  • prin e-mail - pentru angajații actuali;
  • o declarație de consimțământ semnată cu QES, trimisă prin e-mail la RPD - pentru foști angajați și candidați la post; sau
  • prin intermediul unui operator poștal autorizat, cu o declarației de consimțământ, în forma autentică (notarială).

 

11.6. Oferirea și retragerea consimțământului online

În prezența cazurilor în care este necesară obținerea consimțământului pentru prelucrarea datelor cu caracter personal de către Companie, având în vedere serviciile furnizate de Companie, care sunt solicitate sau utilizate online, acest consimțământ este obținut (respectiv, retras) și online, sub conform cu regulile enunțate.

 

11.7. Depozitare

Toate consimțământurile pentru prelucrarea datelor cu caracter personal sunt înregistrate și stocate de Administrator.

 

  1. Prelucrarea datelor cu caracter personal de către Administrator prin intermediul procesatorului de date cu caracter personal

 

Pentru desfășurarea activității sale, Compania poate utiliza terți (subcontractanți, reprezentanți de vânzări, furnizori de servicii etc.), acționând în numele său în prelucrarea datelor cu caracter personal și apărând ca prelucrare a datelor cu caracter personal în sensul art. 4, punctul 8 din regulament. Astfel de procesoare pot fi:

  • companii comerciale;
  • persoanele fizice angajate în contracte civile.

 

Atunci când atribuie prelucrarea datelor cu caracter personal unui procesator de date cu caracter personal, administratorul trebuie să respecte următoarele cerințe:

  • sunt selectați procesatori care oferă suficiente garanții pentru implementarea măsurilor tehnice și organizatorice adecvate pentru protecția datelor cu caracter personal;
  • condițiile de protecție a datelor cu caracter personal sunt stabilite într-un acord scris separat sau în contractul principal scris între Administrator și procesator;

Contractele (respectiv acordurile), pe care administratorul le încheie cu procesatorii de date cu caracter personal, definesc și soluționează cel puțin:

  • subiectul și termenul prelucrării;
  • scopurile și natura prelucrării;
  • categoriile de persoane vizate pentru care sunt prelucrate datele;
  • tipul datelor personale pe care procesatorul le va prelucra în numele administratorului;
  • drepturile și obligațiile administratorului și ale procesatorului;
  • cerințele privind măsurile tehnice și organizatorice pentru protecția datelor cu caracter personal, pe care procesatorul ar trebui să le aplice, în conformitate cu specificul și domeniul de aplicare al misiunii specifice. Fără a aduce atingere prevederilor specifice din astfel de contracte, nu este permisă nicio abatere și aplicarea corespunzătoare a unui nivel mai mic de protecție a datelor cu caracter personal decât cel prevăzut în prezenta politică;
  • obligația procesatorului pentru asistența administratorului pentru îndeplinirea obligațiilor sale conform art. 31-36 din regulament;
  • obligația procesatorului de a notifica administratorul fără întârzieri nejustificate după aflarea existenței unei încălcări a securității datelor cu caracter personal;
  • cerințe către procesator și alte condiții obligatorii, conform art. 28, punctul 3 din Regulament.

 

  1. Reguli de răspuns în caz de încălcare a securității datelor cu caracter personal

 

13.1.Fond

Regulile de răspuns în caz de încălcare a securității datelor cu caracter personal se bazează pe cerințele din art. 33 și art. 34 din Regulament.

 

13.2. Detectarea unei încălcări de securitate de către un angajat

În cazul unei încălcări a securității, descoperită de un angajat al administratorului, angajatul respectiv va notifica imediat RPD în scris (și dacă este posibil - oral - personal sau telefonic), furnizând toate detaliile (în măsura în care sunt disponibile informații ), pentru aceasta) pentru natura încălcării, pentru timpul presupus de producere / comiterea încălcării etc.

 

13.3. Alerte pentru încălcări ale securității de către terți

Semnalele pentru prezența unui caz de încălcare a securității de către terți sunt acceptate de Administrator într-unul din următoarele moduri:

  • personal la biroul Companiei, situat la București, sector 6, Str. Valea Cascadelor nr. 1, modul 1, după identificarea persoanei de către un angajat al administratorului;
  • prin e-mail către RPD semnat cu o semnătură electronică calificată;
  • prin poștă cu trimiterea împreună cu o certificarea notarială a identității și semnăturii.

 

13.4. Anchetă și măsuri privind încălcarea securității

O dată sesizat, într-un timp cât mai scurt, PRD, desemnează o comisie de investigare a cazului, formată din angajați ai administratorului cu calificări adecvate, în funcție de caz. Comisia ar trebui să examineze faptele, să analizeze și să evalueze gravitatea încălcării, având în vedere riscul pentru drepturile și libertățile persoanelor, numărul de persoane vizate etc., și să propună măsuri de remediere adecvate, dacă este cazul. imposibil - pentru a minimiza riscurile identificate și posibilele consecințe adverse.

 

13.5. Notificare ANSPDCP

În cazul unei încălcări a securității, administratorul, prin intermediul RPD, va informa ANSPDCP în termen de 72 de ore de la producerea evenimentului, cu excepția cazului în care, încălcarea securității prezintă un risc pentru drepturile și libertățile persoanelor fizice.

 

13.6. Notificarea persoanelor vizate

În cazul în care încălcarea securității poate duce la un risc ridicat pentru drepturile și libertățile persoanelor, operatorul raportează fără întârziere încălcarea securității datelor cu caracter personal ale persoanelor vizate. Comunicarea către persoana vizată va descrie într-un limbaj clar și simplu natura încălcării datelor cu caracter personal și va indica cel puțin: numele și datele de contact ale RPD; o descriere a posibilelor consecințe ale încălcării securității datelor cu caracter personal; o descriere a măsurilor luate sau propuse de administrator pentru a aborda încălcarea securității datelor cu caracter personal, inclusiv, după caz, măsuri de reducere a oricăror efecte adverse.

Operatorul are dreptul de a nu notifica persoanele vizate cu privire la încălcare dacă:

(i). a luat în prealabil măsurile adecvate de protecție tehnică și organizațională și aceste măsuri au fost aplicate datelor cu caracter personal afectate de încălcarea datelor cu caracter personal (de exemplu, criptarea); și / sau

(ii). a luat ulterior măsuri pentru a se asigura că riscul ridicat pentru drepturile și libertățile persoanelor vizate nu se mai poate materializa; și / sau

(iii). o astfel de comunicare ar duce la un efort disproporționat. În acest caz, administratorul face un anunț public pe site-ul său web și / sau prin publicitate într-un mod adecvat prin intermediul mass-media despre existența unei încălcări a securității, care poate duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice.

13.7. Depozitare

Toate sesizările referitoare la încălcarea securității datelor cu caracter personal sunt înregistrate și stocate de Administrator.

 

13.8. Instruire

Angajații implicați în prelucrarea datelor cu caracter personal sunt instruiți periodic pentru a răspunde încălcărilor securității datelor cu caracter personal.

 

  1. Măsuri tehnice și organizatorice pentru protecția datelor cu caracter personal

 

14.1. Măsuri tehnice și organizatorice ale Companiei în calitate de administrator

Activitățile Companiei oferă măsurile tehnice și organizatorice necesare pentru a proteja datele cu caracter personal de distrugerea sau pierderea accidentală sau ilegală, de accesul, modificarea sau distribuirea neautorizată, precum și de alte forme ilegale de prelucrare.

Tipurile de protecție sunt fizice, personale, documentare, protecția sistemelor informatice automatizate și / sau a rețelelor, protecția criptografică.

Măsurile sunt în concordanță cu realizările tehnologice moderne și oferă un nivel de protecție care corespunde riscurilor asociate activităților de prelucrare și categoriei datelor protejate.

Măsurile tehnice și organizatorice specifice pe care le aplică Compania sunt enumerate în detaliu în Anexa 1 la prezenta Politică, deoarece pot fi supuse unor actualizări periodice.

 

14.2. Măsuri tehnice și organizatorice ale Companiei ca procesator

În cazul în care Compania prelucrează date cu caracter personal ca procesator pentru alți controlori, măsurile tehnice și organizatorice specifice aplicate de Companie ca procesator sunt stabilite în acorduri individuale cu controlorul respectiv și, în absența unei astfel de determinări, Compania va adera la măsuri tehnice și organizaționale, pe care le aplică în calitate de administrator.

 

  1. Transferul datelor cu caracter personal în afara Spațiului Economic European (SEE)

Administratorul poate efectua transferuri internaționale de date originare din Spațiul Economic European (SEE), în cazul în care Comisia Europeană a recunoscut o țară din afara SEE ca asigurând un nivel adecvat de protecție a datelor.

 

Pentru transferurile către țări din afara SEE al căror nivel de protecție nu este recunoscut de Comisia Europeană, administratorul va invoca, de asemenea, o anumită derogare aplicabilă situației specifice în temeiul regulamentului (de exemplu, dacă transferul este necesar pentru executarea contractului companiei cu (entitatea). date) sau va aplica oricare dintre garanțiile oferite de legislația aplicabilă.

 

În alte cazuri, pentru transferul de date cu caracter personal în afara SEE, acest lucru se va face pe baza consimțământului explicit al persoanei vizate pentru transferul de date propus. În aceste cazuri, necesitatea unui astfel de transfer, țara în care va avea loc transferul, precum și lipsa unei decizii a Comisiei Europene privind un nivel adecvat de protecție pentru țara respectivă și garanții adecvate pentru transferul propus vor fi să fie adusă la cunoștința subiectului.se vor căuta datele și consimțământul acestuia.