INFORMARE PRIVIND PRELUCRAREA DATELOR,

DREPTURILE PERSOANEI FIZICE VIZATE

REFERITOR LA PRELUCRARE DATELOR SALE CU CARACTER PERSONAL

 

I.      INTRODUCERE

 

REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestora, precum și de abrogare a Regulamentului 95/46/CE, prevede că Operatorul de date trebuie să ia măsuri corespunzătoare în vederea informării persoanei vizate în mod transparent, inteligibil și accesibil, formulat clar și pe înțelesul tututror, referitor la prelucrarea datelor cu caracter personal, precum și sprijinirea de către Operatorul de date a exercitării drepturilor de către persoana vizată. 

Obligația privind informarea prealabilă a persoanei vizate este prevăzută de către regulamentul mai sus menționat.

Prin informarea de mai jos ne-am îndeplinit obligația prevăzută prin lege.

Informarea trebuie publicată pe pagina web a societății sau trebuie transmisă persoanei vizate la cererea acesteia.

 

II.    DENUMIREA OPERATORULUI DE DATE

 

Emitentul acestei informări și totodată Operatorul de date este:

Denumire:                    ABO MIX S.A.

Sediu:                          Loc. Satu Mare, str. Depozitelor, nr. 31, jud. Satu Mare

Nr. de înreg. la ORC:     J30/576/2011

Cod fiscal:                   RO 646126

Reprezentant:               Simon Adél – Președinte C.A.

Telefon:                       0261/769.305

Fax:                               0261/769.569

Adresă de e-mail:        

Pagină web:                 www.aboholding.com

(în continuare: Societate)

 

III.   DENUMIREA PROCESATORILOR DE DATE

 

Procesator de date: persoana fizică sau juridică, autoritatea administrației publice, agenția sau orice alt organ, care gestionează date cu caracter personal în numele operatorului de date; (Regulament art. 4. alineatul 8.)

În privința apelării la procesatorul de date nu este necesară consimțământul prealabil a persoanei vizate, dar este necesară informarea acesteia. Corespunzător acestei prevederi oferim informarea de mai jos:

 

1.     Procesator de date

Denumire:                    ABO HOLDING Zrt.

Sediu:                          4400, Nyíregyháza Simai út 6.

Nr. de înreg. la ORC:     15-10-040134

Cod  fiscal:                  11248260-2-15

Societatea noastră apelează la procesatorul de date în vederea gestionării și administrării paginii web, asigurării serviciilor de IT (găzduire web) și realizarea activității de controlling.

 

2.     Procesator de date

Denumire:                    Poșta Română

Sediu:                          București, B-dul Dacia, nr. 140, etaj 3-10, sector 2, cod poștal 020065

Nr. de înreg. la ORC:     J40/8636/1998

Societatea noastră apelează la procesatorul de date în vederea realizării serviciilor poștale, înmânării corespondenței și trimiterii de colete.

 

     3. Procesator de date

Denumire:                    RODNA CONT S.R.L.

Sediu:                          loc. Satu Mare, str. Corneliu Coposu, nr. 2/ 40

Nr. de înreg. la ORC:     J30/1911/1994

Cod  fiscal:                   6594565

Societatea noastră apelează la procesatorul de date în vederea realizării serviciilor de audit financiar.

 

     4. Procesator de date

Denumire:  Cabinet de Avocat Bot Ovidiu

Sediu:         Loc. Oradea, Al.Emanoil Gojdu nr.7, ap.7 , judetul Bihor

Cod  fiscal: RO20473038

Societatea noastră apelează la procesatorul de date în vederea realizării serviciilor de reprezentanță juridică.

 

 

 

IV.   OPERĂRI DE DATE LEGATE DE RAPORTUL JURIDIC DE MUNCĂ

Evidența personalului angajat
De la angajați pot fi solictate și stocate exclusiv date, respectiv angajații pot fi supuse doar examenelor medicale de aptitudine care sunt necesare înființării, menținerii sau încetării raportului juridic de muncă, respectiv care sunt necesare asigurării serviciilor de asistență socială și de sănătate și care nu lezează drepturile personale ale angajaților. 

În vederea validării intereselor legitime de angajator (Regulament art. 6. alineatul (1) punctul f)), Societatea va gestiona în scopul înființării, menținerii sau încetării raportului juridic de muncă, datele de mai jos ale angajaților.

Sfera datelor personale care pot fi gestionate:

1. nume,

2. nume de naștere,

3. data nașterii,

4. numele mamei,

5. adresa de domiciliu,

6. cetățenia,

7. număr de identificare fiscală,

8. numărul asigurării sociale,

9. numărul matricol al pensionarului (în cazul angajatului pensionar),

10. număr de telefon,

11. adresa de e-mail,

12. serie număr act de identitate,

13. numărul actului de atestare a domiciliului,

14. număr cont bancar,

15. cod de identificare online (dacă există)

16. data începerii și încetării raportului juridic de muncă,

17. postul ocupat,

18. copia actului care certifică studiile, calificarea profesională,

19. poză,

20. autobiografie,

21. cuantumul salariului, date legate de plata salariului și a altor indemnizații,

22. reținerile din salariul angajatului, în baza unei hotărâri definitive sau prevederi legale, respectiv a acordului dat de angajator,

23. evaluarea muncii depuse de angajat,

24. modul și motivele încetării raportului juridic de muncă,

25. cazier judiciar în funcție de postul ocupat

26. centralizatorul privind avizele medicale de aptitudine ale angajatului,

27. în cazul în care angajatul este membru al unei case de pensii private, denumirea și codul de identificare al acesteia și numărul matricol de membru al angajatului,

28. în cazul angajatului din străinătate numărul de pașaport; denumirea și numărul actului care certifică eligibilitatea angajării acestuia,

29. datele înregistrate în procesele verbale privind accidentele suferite de angajat;

30. datele necesare pentru a beneficia de serviciile de asistență medicală, educație etc.;

31. datele înregistrate de sistemul de supraveghere și sistemul de acces, respectiv de sistemele de localizare utilizate de Societate în vederea asigurării securității și protejării patrimoniului.

Datele referitoare la boala sau la apartenența la sindicat al angajatului sunt gestionate de către angajator doar în vederea exercitării dreptului sau îndeplinirii obligației prevăzută de Codul Muncii.

 

Temeiul legal al operării datelor: consimțământul persoanei vizate.

Scopul gestionării datelor cu caracter personal: înființarea și menținerea raportului juridic de muncă, ocuparea postului

Destinatarii datelor cu caracter personal, respectiv categoriile de destinatari ai datelor: șeful angajatului, exercitantul atribuțiilor de angajator, angajații de la compartimentul de resurse umane și procesatorii de date.

Durata păstrării datelor cu caracter personal: conform celor stabilite în legile în vigoare. 

Persoana vizată trebuie informată înainte de începerea operării datelor despre faptul că operarea de date se realizează în temeiul prevederilor din Codul Muncii și în vederea validării intereselor legale ale angajatorului.

2. Gestionarea datelor legate de examenele medicale de aptitudine
Față de angajat pot fi aplicate doar examene de aptitudine care sunt prevăzute de legile aferente raportului juridic de muncă sau sunt necesare în vederea exercitării drepturilor și îndeplinirii obligațiilor stabilite în legile aferente raportului juridic de muncă. Înainte de efectuarea examenului angajatul trebuie informat detaliat despre aptitudinea spre a cărei evaluare este orientat examenul, despre mijloacele și metodele prin care se va desfășura examenul. În cazul în care efectuarea examenului este prevăzută de lege, angajatul trebuie informat despre titlul legii și locul unde se află acesta în nomenclatorul de legi.

Angajatorul poate solicita completarea de către angajați a formularelor destinate testării aptitudinii sau pregătirii profesionale, atât înainte de înființarea raportului juridic de muncă, cât și pe durata existenței acestuia. 

Formularele de test psihologic sau de personalitate pot fi completate de un grup mai mare de angajați legat în mod clar de raportul juridic de muncă și în vederea eficientizării sau organizării proceselor de muncă, doar dacă datele aflate pe parcursul evaluării nu pot fi legate în mod concret de un anumit angajat, adică prelucrarea datelor se realizează în mod anonim.

 

Sfera datelor personale care pot fi gestionate: faptul aptitudinii pentru ocuparea postului și condițiile necesare acestuia.

Temeiul legal al operării datelor: interesul legitim al angajatorului.

Scopul gestionării datelor cu caracter personal: înființarea, menținerea raportului juridic de muncă, ocuparea postului.

Destinatarii datelor cu caracter personal, respectiv categoriile de destinatari ai datelor: Rezultatul examenului medical poate fi cunoscut doar de către angajat și medicul examinator. Angajatorul poate cunoaște doar informația dacă persoana examinată este apt sau nu de muncă, respectiv condițiile care trebuie asigurate în acest sens. Detaliile examenului medical, respectiv documentația completă a acestuia nu poate fi cunoscută de angajator. 

Durata păstrării datelor cu caracter personal: conform celor stabilite în legile în vigoare.

3. Gestionarea datelor privind candidații la angajare, proiectelor, autobiografiilor
Sfera datelor personale care pot fi gestionate: numele, data și locul nașterii, numele mamei, adresa, date privind calificarea, poza, numărul de telefon, adresa de e-mail a persoanei fizice, respectiv evaluarea angajatorului referitor la candidat (dacă există). 

Temeiul legal al operării datelor: societatea gestionează doar datele candidatului câștigător, conform celor descrise în punctul 6. 

Scopul gestionării datelor cu caracter personal: evaluarea candidaturilor, proiectelor, încheierea contractului de muncă cu persoana care a fost ales pentru post. Persoana vizată trebuie înștiințată dacă nu a fost ales el de către angajator pentru ocuparea postului.

Destinatarii datelor cu caracter personal, respectiv categoriile de destinatari ai datelor: directorul împuternicit cu exercitarea drepturilor de angajator la Societate, angajații biroului de resurse umane și financiar-contabil.   

Durata păstrării datelor cu caracter personal: Până la finalizarea evaluării candidaturilor pentru post sau a proiectelor. Datele personale ale candidaților care nu au fost aleși, nu vor fi prelucrate.

Angajatorul poate păstra proiectele doar în baza consimțământului expres, clar și voluntar al persoanei vizate, dacă este necesară în vederea atingerii scopului prelucrării datelor în armonie cu legile referitoare la păstrarea acestora.  Acest consimțământ trebuie solicitat de la candidați ulterior încheierii procedurii de angajare.

4.  Gestionarea datelor legate de verificarea utilizării contului de e-mail
Dacă Societatea pune la dispoziția angajatului un cont de e-mail, această adresă și cont de e-mail poate fi folosit doar în vederea îndeplinirii sarcinilor de serviciu, în vederea asigurării contactului cu angajații sau asigurarea corespondenței cu clienții, cu terțe persoane și organizații, în reprezentarea Societății.

 

Sfera datelor personale care pot fi gestionate: Angajatul nu poate folosi contul de e-mail în scopuri personale, nu poate stoca corespondența personală în acest cont. 

Temeiul legal al operării datelor: Angajatorul are dreptul de a verifica întregul conținut și utilizarea contului de e-mail, în mod regulat, la fiecare trei luni, temeiul legal al verificării constând în interesul legitim al angajatorului. 

Scopul gestionării datelor cu caracter personal: Scopul este verificarea respectării dispozițiilor angajatorului privind utilizarea contului de e-mail, precum și verificarea obligațiilor asumate de angajat (Codul Muncii)

Destinatarii datelor cu caracter personal, respectiv categoriile de destinatari ai datelor: șeful angajatului, exercitantul drepturilor de angajator sau informaticianul.

În cazul în care circumstanțele verificării nu exclud această posibilitate, trebuie asigurată prezența angajatului pe parcursul verificării. Înainte de verificare trebuie informat angajatul referitor la interesul angajatorului pentru care s-a dispus verificarea, la persoana celui autorizat să facă verificarea, regulile în baza cărora poate avea loc verificarea și pașii procedurii de verificare, precum și despre drepturile și căile de atac pe care le are la dispoziție legat de verificarea gestionării datelor. 

Pe parcursul verificării trebuia aplicat principiul gradualității, astfel trebuie stabilit în primul rând pornind de la adresa de e-mail și conținutul acesteia dacă acesta a fost folosit legat de interese de serviciu sau a fost folosit în scopuri personale. Conținutul e-mail-urilor care nu au caracter personal poate fi verificată fără restricție de către angajator. 

Dacă contrar dispozițiilor prezentului regulament se poate constata că angajatul a folosit contul de e-mail în scopuri personale, acesta trebuie somat să șteargă fără întârziere datele cu caracter personal. În cazul absenței angajatului sau lipsei de cooperare a angajatului, datele cu caracter personal pot fi șterse de către angajator cu ocazia verificării.  Pentru utilizarea contului de e-mail contrar prezentului regulament, angajatorul poate aplica față de angajat sancțiunile prevăzute de Codul Muncii. Angajatul, legat de prelucrarea datelor cu ocazia verificării contului de e-mail, poate apela la drepturile descrise în capitolul privind drepturile persoanei vizate. 

5.  Gestionarea datelor legate de verificarea calculatorului, laptop-ului, tabletei
Calculatorul, laptopul ,tableta pusă la dispozița angajatului de către angajator poate fi folosit de către acesta exclusiv în vederea îndeplinirii sarcinilor de serviciu, utilizarea acestora în scopuri personale este interzisă de către angajator, pe aceste mijloace nu pot fi gestionate și stocate date sau corespondență cu caracter pesonal. Angajatorul poate verifica datele stocate pe aceste mijloace. În rest, în privința verificării de către angajator a acestor mijloace și efectele juridice ale verificării sunt aplicabile dispozițiile punctului IV./4.

6. Gestionarea datelor legate de verificarea utilizării internetului la locul de muncă 
Angajatul poate viziona doar paginile de internet legate de sarciniile sale de serviciu, utilizarea internetului în scopuri personale este interzisă de către angajator. 

Titularul înregistrărilor realizate pe internet în numele Societății în interes de serviciu este Societatea, cu ocazia înregistrării trebuie utilizat codul de identificare și parola pusă la dispoziție de către societate. În cazul în care în vederea înregistrării este necesară și furnizarea datelor personale, Societatea este obligată să inițieze ștergerea acestora cu ocazia încetării raportului juridic de muncă..

Utilizarea de către angajat a internetului la locul de muncă poate fi verificată de către angajator, referitor la acesta și la efectele juridice fiind aplicabile prevederile punctului IV./4. 

7. Gestionarea datelor legate de verificarea utilizării telefonului mobil al firmei 
Angajatorul poate autoriza utilizarea telefonului mobil al firmei în scopuri personale, nu doar pentru scopuri legate de îndeplinirea atribuțiilor de serviciu, însă angajatorul are dreptul de a verifica toate numerele de telefon și datele aferente apelurilor de ieșire, precum și datele stocate pe telefonul mobil al firmei. 

Verificarea va fi realizată prin solicitarea unui desfășurător de apeluri de la prestatorul de servicii de telefonie și somarea angajatului să șteargă numerele de telefon apelate în scop personal. Angajatorul poate pretinde suportarea de către angajat a cheltuielilor legate de apelurile efectuate în scop personal..

În rest, în privința verificării și efectele juridice ale verificării sunt aplicabile dispozițiile punctului IV./4.

8. Gestionarea datelor legate de utilizarea sistemului de navigație GPS
Temeiul legal al utilizării sistemului GPS:  interesul legitim al angajatorului, scopul: organizarea muncii, logistică, verificarea îndeplinirii obligațiilor asumate de angajat.

Datele gestionate: numărul de înmatriculare a vehiculului, traseul, distanța parcursă, durata utilizării vehiculului.

Verificarea poate fi realizată doar în timpul programului de lucru, nu este permisă localizarea geografică al angajatului în afara programului de lucru.

În rest, în privința verificării realizate de angajator și efectele juridice ale acesteia sunt aplicabile dispozițiile punctului IV./4.

9.  Gestionarea datelor legate de intrarea și ieșirea de la locul de muncă
Sfera datelor personale care pot fi gestionate: numele și adresa persoanei fizice, numărul de înmatriculare al autoturismului său, data și ora intrării și ieșirii. 

Temeiul legal al operării datelor: validarea intereselor legitime ale angajatorului. 

Scopul gestionării datelor cu caracter personal: protejarea patrimoniului, realizarea contractului, verificarea îndeplinirii obligațiilor asumate de angajat.

Destinatarii datelor cu caracter personal, respectiv categoriile de destinatari ai datelor: directorul îndreptățit să exercite drepturile de angajator la Societate.

Durata păstrării datelor cu caracter personal: conform celor stabilite în legile în vigoare. 

10.  Gestionarea datelor legate de supravegherea cu camere la locul de muncă
În scopul protejării vieții umane, integrității fizice, libertății individuale, secretului de afaceri și a patrimoniului, Societatea noastră utilizează la sediul său, la punctele sale de lucru, în încăperile destinate primirii clienților sistem electronic de supraveghere, care face posibilă înregistrarea imaginilor, astfel poate fi considerat dată cu caracter personal și comportamentul manifestat de persoana vizată și înregistrată de camere.  

Temeiul legal al prelucrării datelor constă în validarea intereselor legitime ale angajatorului și consimțământul persoanei vizate.

Despre faptul utilizării sistemului electronic de supraveghere în incinta teritoriului respectiv, trebuie amplasat într-un loc vizibil semn de avertizare și informare lizibilă, care să ajute orientarea terțelor persoane care doresc sî intre în incintă. Informarea trebuia dată în privința fiecărei camere. Această informare trebuie să conțină o referire la faptul supravegherii desfășurată de sistemul electronic de camere, precum și la scopul înregistrării și stocării imaginilor care conțin date cu caracter personal, temeiul legal a prelucrării datelor, locul stocării imaginilor, durata stocării, date referitoare la operatorul sistemului, la persoanele îndreptățite să cunoască datele, respectiv informarea privind drepturile persoanei vizate și a dispozițiilor aferente modului de validare a acestora.

Imaginile referitoare la terțe persoane (clienți, vizitatori, oaspeți) care intră în zona supravegheată, pot fi înregistrate și prelucrate cu consimțământul acestora. Dacă persoana fizică intră în zona supravegheată cu sistem electronic de supraveghere în pofida semnului de avertizare și a informării, se consideră că acesta și-a dat consimțământul în mod tacit.

 

Imaginile înregistrate pot fi păstrate în lipsa utilizării lor maxim 3 (trei) zile lucrătoare. Se consideră utilizare, dacă imaginile înregistrate, respectiv alte date personale sunt solicitate ca probe necesare pentru efectuarea cercetării sau urmăririi penale.

Persoana al cărui drept sau interes legitim este afectat de înregistrarea video-audio sau audio-video, în termen de trei zile lucrătoare de la data înregistrării, poate solicita cu dovedirea dreptului sau interesului legitim,  ca datele respective să nu fie distruse, respectiv șterse de către operatorul de date.

Nu poate fi folosit sistem electronic de supraveghere în încăperi în care supravegherea ar putea leza demnitatea umană, astfel în special în vestiare, băi, toalete sau cabinete medicale, precum nici în sala de așteptare aparținând cabinetului medical și nici în încăperile desemnate pentru angajați în vederea petrecerii timpului liber în pauzele de lucru. 

În cazurile în care pe teritoriul locului de muncă nu se poata afla nimeni în mod legal (astfel în special în afara programului de lucru sau cu ocazia sărbătorilor legale), poate fi supravegheată întregul teritoriu al locului de muncă (astfel și vestiarele, toaletele, spațiile destinate petrecerii pauzelor din timpul programului de lucru).

Imaginile înregistrate de sistemul electronic de supraveghere pot fi vizionate în vederea identificării infracțiunilor și contravențiilor săvârșite și în scopul verificării privind funcționarea sistemului, în afara persoanelor îndreptățite conform legii, de către persoanele care operează sistemul de camere, șeful angajatului și de către director.

 

V.    PRELUCRAREA DATELOR LEGATE DE CONTRACTE

1.  Gestionarea datelor privind partenerii contractuali – evidența clienților, furnizorilor
În vederea încheierii, realizării, încetării contractului sau acordării reducerilor, Societatea prelucrează următoarele date cu caracter personal ale persoanei fizice cu care are contract încheiat în calitate de client sau furnizor: nume, nume de naștere, data nașterii, numele mamei, adresa de domiciliu, numărul de identificare fiscală, codul fiscal, numărul autorizației în cazul persoanei fizice autorizate sau al producătorului agricol, numărul cărții de identitate, adresa de domiciliu, sediu, punct de lucru, numărul de telefon, adresa de e-mail, adresa paginii web, numărul contului bancar, codul client (număr client, număr comandă), codul de identificare online (lista clienților, furnizorilor, lista cumpărătorilor fideli). Această prelucrare a datelor este considerată legală și în cazul în care prelucrarea datelor este necesară înainte de încheierea contractului, în vederea realizării pașilor solicitați de persoana vizată.

Destinatarii datelor cu caracter personal: angajații care îndeplinesc atribuții legate de serviciul clienți, angajații compartimentului financiar-contabil și procesatorii de date.  

Durata stocării datelor cu caracter personal: conform celor stabilite în legile în vigoare.

 

Persoana fizică vizată trebuie informată înainte de începerea prelucrării datelor, că temeiul legal a acesteia o reprezintă realizarea contractului. Această informare poate avea loc și în conținutul contractului încheiat. Persoana vizată trebuie informată despre predarea datelor sale cu caracter personal procesatorului de date.

2.  Datele de contact ale clienților persoane juridice, cumpărătorilor, furnizorilor, reprezentanților persoane fizice 
Sfera datelor personale care pot fi gestionate: numele, adresa, numărul de telefon, adresa de e-mail, codul de identificare online a persoanei fizice.

Temeiul legal al operării datelor: consimțământul persoanei vizate.

Scopul gestionării datelor cu caracter personal: realizarea contractului încheiat de Societate cu partenerul persoană juridică, menținerea contactului în interes de afaceri.

Destinatarii datelor cu caracter personal, respectiv categoriile de destinatari ai datelor: directorii Societății, respectiv angajații care îndeplinesc atribuții legate de serviciul clienți. 

Durata păstrării datelor cu caracter personal: conform celor definite în legile în vigoare.

 

VI.   PRELUCRAREA DATELOR ÎN BAZA OBLIGAȚIEI LEGALE

1. Prelucrarea datelor în vederea îndeplinirii obligațiilor fiscale și contabile
Societatea, în vederea îndeplinirii obligației sale legale, în scopul îndeplinirii obligațiilor fiscale și contabile prevăzute de lege, prelucrează datele stabilite prin lege referitor la persoanele fizice cu care se află în relații de afaceri în calitate de client sau furnizor.  

Datele prelucrate în baza legii nr. 227 din 2015 privind Codul Fiscal sunt în special: codul fiscal, denumirea, adresa, statutul de contribuabil; în baza legii nr. 82/1991 republicată și actualizată a  contabilității: nume, adresă, indicarea persoanei sau organismului care a dispus operația economică, semnătura  persoanei care confirmă efectuarea plății și executarea dispoziției, respectiv a persoanei care realizează verificarea; pe documentele privind mișcarea stocurilor: semnătura recepționerului;  în baza legii nr. 145 din 2014 pentru stabilirea unor măsuri de reglementare a pieței produselor din sectorul agricol și Codul fiscal: număr legitimației de antreprenor, numărul atestatului de producător agricol, numărul de identificare fiscală. 

Durata stocării datelor cu caracter personal: conform celor stabilite în legile în vigoare.

Destinatarii datelor cu caracter personal: angajații compartimentului financiar-contabil și procesatorii de date ale Societății.

2.  Prelucrarea datelor de către plătitor
Societatea, în vederea îndeplinirii obligației sale legale, în scopul îndeplinirii obligațiilor fiscale și a obligației privind plata contribuțiilor către bugetul de stat, poate prelucra datele cu caracter personal ale persoanelor vizate – angajați (Codul Muncii, Codul Fiscal, Legea nr. 905/2017 privind registrul general de evidență a salariaților), membrii de familie ale acestora, colaboratori, alte persoane care beneficiază de indemnizații -  prevăzute de Codul Fiscal, față de care are calitatea de plătitor. Sfera datelor care pot fi prelucrate sunt: datele de identificare ale persoanei fizice (inclusiv numele purtat anterior), sexul, cetățenia, numărul de identificare fiscală, numărul asigurării sociale.

Durata stocării datelor cu caracter personal: conform celor stabilite în legile în vigoare.

Destinatarii datelor cu caracter personal: angajații compartimentului financiar-contabil și procesatorii de date ale Societății.

 

 

 

 

VII. INFORMARE SUCCINTĂ PRIVIND DREPTURILE PERSOANEI VIZATE

 

În acest capitol, în vederea transparenței oferim o prezentare succintă a drepturilor persoanei vizate, informarea detaliată privind exercitarea acestora fiind prezentată în capitolul următor.

Dreptul la informarea prealabilă

Persoana vizată are dreptul să fie informat înainte de începerea prelucrării datelor despre datele și informațiile legate de gestionarea datelor.

(Regulament art. 13-14.)

Informarea privind regulile detaliate este oferită în capitolul următor.

Dreptul de acces al persoanei vizate

Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc, și în caz afirmativ, dacă prelucrarea datelor este în curs are drept de acces la datele respective și la informațiile conexe stabilite în Regulament. (Regulament art. 15.).

Informarea privind regulile detaliate este oferită în capitolul următor.

Dreptul la rectificare

Persoana vizată are dreptul ca la cererea sa operatorul de date să rectifice, fără întârzieri nejustificate, datele cu caracter personal inexacte care o vizează. Având în vedere scopul prelucrării datelor, persoana vizată are dreptul să solicite completarea datelor sale cu caracter personal, printre altele printr-o declarație suplimentară. (Regulament art. 16.).

Dreptul la ștergerea datelor („dreptul de a fi uitat”)

Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate, în cazul în care există unul dintre motivele stabilite în Regulament. (Regulament art. 17.)

Informarea privind regulile detaliate este oferită în capitolul următor.

Dreptul la restricționarea prelucrării

Persoana vizată are dreptul ca la cererea sa operatorul de date să restricționeze prelucrarea datelor cu caracter personal, dacă sunt întrunite condițiile prevăzute de regulament.  (Regulament art. 18.)

Informarea privind regulile detaliate este oferită în capitolul următor.

Obligația de notificare privind rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării

Operatorul de date va informa pe fiecare destinatar căruia i-au fost transmise datele cu caracter personal, despre rectificarea, ștergerea sau restricționarea prelucrării datelor cu caracter personal, cu excepția cazului în care acesta se dovedește a fi imposibilă sau presupune eforturi disproporționat de mari.  La cererea persoanei vizate, operatorul de date va informa pe acesta în privința destinatarilor.

(Regulament art. 19.)

Dreptul la portabilitatea datelor

Cu condițiile prevăzute în Regulament, persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal. (Regulament art. 20.)

Informarea privind regulile detaliate este oferită în capitolul următor.

Dreptul la opoziție

În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării în temeiul articolului 6, alineatul (1), litera e) sau f) sau al articolului 6, alineatul (1) a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții.

(Regulament art. 21.)

Informarea privind regulile detaliate este oferită în capitolul următor.

Procesul decizional individual automatizat, inclusiv crearea de profiluri

Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

(Regulament art. 22.)

Informarea privind regulile detaliate este oferită în capitolul următor.

Restricții

Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr-o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, respectiv în armonie cu drepturile și obligațiile definite la articolele 12-22. (Regulament art. 23.).

Informarea privind regulile detaliate este oferită în capitolul următor.

Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal

În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare..

(Regulament art.34.)

Informarea privind regulile detaliate este oferită în capitolul următor.

Dreptul de a depune o plângere la o autoritate de supraveghere

Persoana vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament. (Regulament art. 77.)

Informarea privind regulile detaliate este oferită în capitolul următor.

Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere

Fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează, sau dacă autoritatea de supraveghere nu se ocupă de plângerea sa, sau autoritatea de supraveghere nu o informează în termen de trei luni în privința evoluției sau rezultatelor procedurale legate de plângerea depusă.

(Regulament art. 78.)

Informarea privind regulile detaliate este oferită în capitolul următor.

Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau unei persoane împuternicite de operator

Fiecare persoană vizată are dreptul la o cale de atac judiciară eficientă, în cazul în care consideră că drepturile sale asigurate prin prezentul regulament au fost lezate în urma prelucrării necorespunzătoare a datelor cu caracter personal care o vizează. (Regulament art. 79.)

Informarea privind regulile detaliate este oferită în capitolul următor.

 

VIII.                INFORMAREA DETALIATĂ A PERSOANEI VIZATE PRIVIND DREPTURILE SALE

 

Dreptul la informare prelabilă

Persoana vizată are dreptul să fie informat înainte de începerea prelucrării datelor despre datele și informațiile legate de gestionarea datelor.

A) Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată

1. În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la acesta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate toate informațiile de mai jos:

a) identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acesteia;

b) datele de contact ale responsabilului cu protecția datelor, după caz;

c) scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;

d) în cazul în care prelucrarea se face în temeiul articolului 6, alineatul (1), litera f), interesele legitime urmărite de operator sau de o parte terță; 

e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;

f) dacă este cazul, intenția operatorului de a transfera date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională și existența sau absența unei decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menționate la articolul 46 sau 47 sau la articolul 49, alineatul (1) al doilea paragraf, o trimitere la garanțiile adecvate sau corespunzătoare și la mijloacele de a obține o copie a acestora, în cazul în care acestea au fost puse la dispoziție.

2. În plus față de informațiile menționate la alineatul (1), în momentul în care datele cu caracter personal sunt obținute, operatorul furnizează persoanei vizate următoarele informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă:

a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

b) existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării și a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor;

c) atunci când prelucrarea se bazează pe articolul 6, alineatul (1), litera a) sau pe articolul 9, alineatul (2), litera a), existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;

d) dreptul de a depune o plângere în fața unei autorități de supraveghere;

e) dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecinți ale nerespectării acestei obligații;  ;

f) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22, alineatele (1) și (4), precum și - cel puțin în cazurile respective – informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

3.  În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost obținute, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu alineatul (2).

4. Alineatele (1), (2) și (3) nu se aplică, dacă sau în măsura în care persoana vizată dispune deja de informațiile respective.  (Regulament art. 13.)

 

B)  Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată

1. În cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, operatorul furnizează persoanei vizate următoarele informații:  

a) identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acesteia;

b) datele de contact ale responsabilului cu protecția datelor, după caz;;

c) scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;

d) categoriile de date cu caracter personal vizate;

e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;

f) dacă este cazul, intenția operatorului de a transfera date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională și existența sau absența unei decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menționate la articolul 46 sau 47 sau la articolul 49, alineatul (2) al doilea paragraf, o trimitere la garanțiile adecvate sau corespunzătoare și la mijloacele de a obține o copie a acestora, în cazul în care acestea au fost puse la dispoziție.

2. Pe lângă informațiile menționate la alineatul (1), operatorul furnizează persoanei vizate următoarele informații necesare pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoana vizată:  

a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

b) În cazul în care prelucrarea se face în temeiul articolului 6, alineatul (1), litera f), interesele legitime urmărite de operator sau de o parte terță;

c) existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării și a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor;

d) atunci când prelucrarea se bazează pe articolul 6, alineatul (1), litera a) sau pe articolul 9, alineatul (2), litera a), existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia; 

e) dreptul de a depune o plângere în fața unei autorități de supraveghere;

f) sursa din care provin datele cu caracter personal și - dacă este cazul - dacă acestea provin din surse disponibile publicului; și 

g) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22, alineatele (1) și (4), precum și - cel puțin în cazurile respective – informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

3. Operatorul furnizează informațiile menționate la alineatele (1) și (2), conform celor de mai jos:   

a) într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai mare de o lună, ținându-se seama de circumsatnțele specifice în care sunt prelucrate datele cu caracter personal; 

b) dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; sau 

c) dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel târziu la data la care acestea sunt comunicate pentru prima oară.

4. În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost obținute, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu alineatul (2). 

5.  Alineatele  (1)-(4) nu se aplică, dacă și în măsura în care:

a) persoana vizată deține deja informațiile respective;

b) furnizarea acestor informații se dovedește a fi imposibilă sau ar implica eforturi disproporționate, în special în cazul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 89, alineatul (1), sau în măsura în care obligația menționată la alineatul (1) din prezentul articol este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective. În astfel de cazuri, operatorul ia măsuri adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate, inclusiv punerea informațiilor la dispoziția publicului; 

c) obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul și care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau 

d) în cazul în care datele cu caracter personal trebuie să rămână confidențiale în temeiul unei obligații statutare de secret profesional reglementată de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligații legale de a păstra secretul. 

(Regulament art. 14.)

 

Dreptul de acces al persoanei vizate

1. Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc, și în caz afirmativ, acces la datele respective și la următoarele informații: 

a) scopul prelucrării;

b) categoriile de date cu caracter personal vizate;

c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale; 

d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; 

e) existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;

f) dreptul de a depune o plângere în fața unei autorități de supraveghere;

g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora; 

h) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22, alineatele (1) și (4), precum și -cel puțin în cazurile respective – informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată; 

2. În cazul în care datele cu caracter personal sunt transferate către o țară terță sau o organizație internațională, persoana vizată are dreptul să fie informată cu privire la garanțiile adecvate în temeiul articolului 46. referitoare la transfer.

3. Operatorul furnizează o copie a datelor cu caracter personal care face obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative. În cazul în care persoana vizată introduce cererea în format electronic și cu excepția cazului în care persoana vizată solicită alt format, informațiile sunt furnizate într-un format electronic utilizat în mod curent. Dreptul de a obține o copie menționată la alineatul (3) nu aduce atingere drepturilor și libertăților altora.      

(Regulament art. 15.)

 

Dreptul la ștergerea datelor („dreptul de a fi uitat”)

1. Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate, în cazul în care se aplică unul dintre următoarele motive: 

a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;

b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în conformitate cu articolul 6., alineatul (1), litera a) sau cu articolul 9., alineatul (2) litera a), și nu există niciun alt temei juridic pentru prelucrare; 

c) persoana vizată se opune prelucrării în temeiul articolului 21, alineatul (1) și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în temeiul articolului 21., alineatul (2);

d) datele cu caracter personal au fost prelucrate ilegal;

e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află operatorul; 

f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății informaționale menționate la articolul 8, alineatul (1). 

2. În cazul în care operatorul a făcut publice datele cu caracter personal și este obligat în temeiul alineatului (1) să le șteargă, operatorul, ținând seama de tehnologia disponibilă și de costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal, că persoana vizată a solicitat ștergerea de către acești operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor dte cu caracter personal.  

3. Alineatele (1) și (2) nu se aplică în măsura în care prelucrarea este necesară:   

a) pentru exercitarea dreptului la liberă exprimare și la informare; 

b) pentru respectarea unei obligații legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este investit operatorul;

c) din motive de interes public în domeniul sănătății publice, în conformitate cu articolul 9, alineatul (2), literele h) și i) și cu articolul 9, alineatul (3); 

d) în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică, ori în scopuri statistice, în conformitate cu articolul 89, alineatul (1), în măsura în care dreptul menționat la alineatul (1) este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective; sau

e) pentru constatarea,  exercitarea sau apărarea unui drept în instanță.

(Regulament art. 17.)

 

Dreptul la restricționarea prelucrării

1. Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării, în cazul în care se aplică unul din următoarele cazuri:

a) persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;

b) prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;

c) operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea,  exercitarea sau apărarea unui drept în instanță; sau 

d) persoana vizată s-a opus prelucrării în conformitate cu articolul 21, alineatul (1), pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate

2. În cazul în care prelucrarea a fost restricționată în temeiul alineatului (1), astfel de date cu caracter personal pot, cu excepția stocării, să fie prelucrate numai cu consimțământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanță sau pentru protecția drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.  

3. O persoană vizată care a obținut restricționarea prelucrării în temeiul alineatului (1) este informată de către operator înainte de ridicarea restricției de prelucrare.  

(Regulament art. 18.)

 

Dreptul la portabilitatea datelor

1. Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:

a) prelucrarea se bazează pe consimțământ în temeiul articolului 6., alineatul (1), litera a) sau al articolului 9, alineatul (2), litera a) sau pe un contract în temeiul articolului 6., alineatul (1), litera b); și 

b) prelucrarea este efectuată prin mijloace automate.

2. În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este realizabil din punct de vedere tehnic.    

3.Exercitarea dreptului menționat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este investit operatorul. 

4. Dreptul menționat la alineatul (1) nu aduce atingere drepturilor și libertăților altora.

(Regulament art. 20.)

 

Dreptul la opoziție

1. În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării în temeiul articolului 6, alineatul (1), litera e) sau f) sau al articolului 6, alineatul (1) a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept.  

2. Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv.  

3. În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop..

4. Cel târziu în momentul primei comunicări cu persoana vizată, dreptul menționat la alineatele (1) și (2) este adus în mod explicit în atenția persoanei vizate și este prezentat în mod clar și separat de orice alte informații.  

5. În contextul utilizării serviciilor societății informaționale și în pofida Directivei 2002/58/CE, persoana vizată își poate exercita dreptul de a se opune prin mijloace automate care utilizează specificații tehnice.   .

6. În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare științifică sau istorică sau în scopuri statistice în conformitate cu articolul 89, alineatul (1), persoana vizată, din motive legate de situația sa particulară, are dreptul de a se opune prelucrării datelor cu caracter personal care o privesc, cu excepția cazului în care prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public.  .

(Regulament art. 21.)

 

Procesul decizional individual automatizat, inclusiv crearea de profiluri

1. Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

2. Alineatul (1) nu se aplică în cazul în care decizia:

a) este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator de date;

b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, sau

c) are la bază consimțământul explicit al persoanei vizate.

3. În cazurile menționate la alineatul (2) literele (a) și (c), operatorul de date pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a-și exprima punctul de vedere și de a contesta decizia.  

4.  Deciziile menționate la alineatul (2) nu au la bază categoriile speciale de date cu caracter personal menționate la articolul 9, alineatul (1), cu excepția cazului în care se aplică articolul 9, alineatul (2), litera a) sau g) și în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate. 

(Regulament art. 22.)

 

Restricții

1. Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr-o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5, în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute de articolele 12-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într-o societate democratică, pentru a asigura:

a) securitatea națională;

b) apărarea;

c) securitatea publică;

d) prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, inclusiv protejarea împotriva amenințărilor la adresa securității publice și prevenirea acestora:

e) alte obiective importante de interes public general ale Uniunii sau al unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniul monetar, bugetar și fiscal și în domeniul sănătății publice și al securității sociale;

f) protejarea independenței judiciare și a procedurilor judiciare;

g) prevenirea, investigarea, depistarea și urmărira penală a încălcării eticii în cazul profesiilor reglementate;

h) funcția de monitorizare, inspectare sau reglementare legală, chiar și ocazional, de exercitarea autorității oficiale în cazurile menționate la literele (a)-(e) și (g) ;

i) protecția persoanei vizate sau a drepturilor și libertăților altora;

j) punerea în aplicare a pretențiilor de drept civil.

2.   În special, orice măsură legislativă menționată la alineatul (1) conține dispoziții specifice cel puțin, dacă este cazul, în ceea ce privește:

a) scopurile prelucrării sau ale categoriilor de prelucrare,

b) categoriile de date cu caracter personal,

c) domeniul de aplicare al restricțiilor introduse,

d) garanțiile pentru a preveni abuzurile sau accesul sau transferul ilegal,

e) menționarea operatorului sau a categoriilor de operatori,

f) perioadele de stocare și garanțiile aplicabile având în vedere natura, domeniul de aplicare și scopurile prelucrării sau ale categoriilor de prelucrare;

g) riscurile pentru drepturile și libertăților persoanelor vizate; și

h) dreptul persoanelor vizate de a fi informate cu privire la restricție, cu excepția cazului în care acest lucru poate aduce atingere scopului restricției.

(Regulament art. 23.)

 

Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal

1. În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.  

2. În informarea transmisă persoanei vizate prevăzută la alineatul (1) din prezentul articol, se include o descriere într-un limbaj clar și simplu a caracterului încălcării securității datelor cu caracter personal, precum și cel puțin informațiile și măsurile menționate la articolul 33, alineatul (3), literele b), c) și d). 

3.Informarea persoanei vizate menționată la alineatul (1) nu este necesară în cazul în care oricare dintre următoarele condiții este îndeplinită: 

a) operatorul a implementat măsuri de protecție tehnice și organizatorice adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securității datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea; 

b) operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile și libertățile persoanelor vizate menționat la alineatul (1) nu mai este susceptibil să se materializeze; 

c) ar necesita un efort disproporționat. În această situație, se efectuează în loc o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.

4. În cazul în care operatorul nu a comunicat deja încălcarea securității datelor cu caracter personal către persoana vizată, autoritatea de supraveghere, după ce a luat în considerare probabilitatea ca încălcarea securității datelor cu caracter personal să genereze un risc ridicat, poate să îi solicite acestuia să facă acest lucru sau poate decide că oircare dintre condițiile menționate la alineatul (3) sunt îndeplinite.   

(Regulament art. 34.)

 

Dreptul de a depune o plângere la o autoritate de supraveghere

1. Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament. 

2. Autoritatea de supraveghere la care s-a depus plângerea informează reclamantul cu privire la evoluția și rezultatul plângerii, inclusiv posibilitatea de a exercita o cale de atac judiciară în temeiul articolului 78. 

(Regulament art.77.)

 

Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere

1. Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează. 

2. Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă, în cazul în care autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56, nu tratează o plângere sau nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii depuse în temeiul articolului 77.  

3. Acțiunile introduse împotriva unei autorități de supraveghere sunt aduse în fața instanțelor din statul membru în care își are sediul autoritatea de supraveghere.  

4. În cazul în care acțiunile sunt introduse împotriva unei decizii a unei autorități de supraveghere care a fost precedată de un aviz sau o decizie a comitetului în cadrul mecanismului pentru asigurarea coerenței, autoritatea de supraveghere transmite curții avizul respectiv sau decizia respectivă.  

(Regulament art. 78.)

 

Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau a unei persoane împuternicite de operator

1. Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă, în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal, fără a se respecta prezentul regulament. 

2. Acțiunile introduse împotriva unui operator sau unei persoane împuternicite de operator sunt prezentate în fața instanțelor din statul membru unde operatorul sau persoana împuternicită de operator își are sediul. Alternativ, o astfel de acțiune poate fi prezentată în fața instanțelor din statul membru în care persoana vizată își are reședința obișnuită, cu excepția cazului în care operatorul sau persoana împuternicită de operator este o autoritate publică a unui stat membru ce acționează în exercitarea competențelor sale publice. 

(Regulament art. 79.)

 

IX.   DEPUNEREA CERERII DE CĂTRE PERSOANA VIZATĂ, MĂSURILE LUATE DE CĂTRE OPERATORUL DE DATE

 

Societatea noastră, în calitate de operator de date cu caracter personal, va informa persoana vizată despre măsurile luate în urma cerereii depuse în privința exercitării drepturilor sale, fără întârzieri nejustificate, dar cel târziu în termen de o lună de la data primirii cererii.

În caz de nevoie, în funcție de complexitatea și numărul cererilor, acest termen poate fi prelungit cu încă două luni. Operatorul de date va informa persoana vizată referitor la prelungirea termenului, cu indicarea motivelor prelungirii acestuia, în termen de o lună de la data primirii cererii.

Dacă cererea este depusă de către persoana vizată pe cale electronică, informarea trebuie dată tot pe cale electronică, cu excepția cazului în care persoana vizată solicită notificarea pe o altă cale.

În cazul în care Operatorul de date nu ia măsuri în urma cererii depuse de persoana vizată, fără întârziere, dar cel târziu în termen de o lună de la data primirii cererii va informa persoana vizată despre motivele pentru care nu au fost luate măsuri, respectiv despre faptul că persoana vizată poate depune o plângere la autoritatea de supraveghere și poate apela la dreptul său la o cale de atac judiciară.

Societatea noastră, în calitate de Operator de date cu caracter personal va asigura gratuit persoanei vizate  informațiile conform articolului 13 și 14 al Regulamentului și informarea privind drepturile persoanei vizate (art. 15-22 și 34 al Regulemantului), precum și a măsurilor luate. În cazul în care cererea persoanei vizate este neîntemeiată, excesivă sau repetitivă, Operatorul de date, cu luarea în considerare a cheltuielilor administrative privind transmiterea informației sau informării solicitate sau a măsurilor luate: 

a) va calcula o taxă, sau 

b) va refuza luarea măsurilor în baza cererii depuse.

Dovedirea faptului că cererea este neîntemeiată sau excesivă, intră în sarcina Operatorului de date.

În cazul în care Societatea noastră, în calitate de Operator de date cu caracter personal are îndoieli întemeiate privind identitatea persoanei fizice care a depus cererea, poate solicita furnizarea informațiilor necesare pentru confirmarea identității persoanei vizate.

 

 

ABO MIX S.A.

25 mai 2018.