Identitatea şi datele de contact ale operatorului
Subscrisa Asociația de Dezvoltare Intercomunitară „HARGHITA BUSINESS CENTER” cu sediul în mun. Odorheiu-Secuiesc str. II. Rákóczi Ferenc nr. 84 jud. Harghita, înregistrată în registrul special al asociațiilor și fundațiilor ținut la Judecătoria Odorheiu-Secuiesc sub nr. 22/2016, având CIF 36640604, adresă e-mail: info@hbcenter.ro, gdpr@hbcenter.ro, pagină web: www.hbc.ro , reprezentată prin director Szakács-Paál István, în temeiul prevederilor Regulamentului UE nr. 679/2016 pus în aplicare prin Legea nr. 19/2018, prin prezenta vă aducem la cunoştinţă următoarele:
Datele de contact ale responsabilului cu protecția datelor din cadrul subscrisei: gdpr@hbcenter.ro.
Definiţii
• „date cu caracter personal” înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă (“persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
• „prelucrare” înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;
• „restricţionarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
• „creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;
• „pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informaţii suplimentare, cu condiţia ca aceste informaţii suplimentare să fie stocate separat şi să facă obiectul unor măsuri de natură tehnică şi organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
• „sistem de evidenţă a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice;
• „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
• „persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
• „destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării;
• „parte terţă” înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
• „consimţământ” al persoanei vizate înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
• „încălcarea securităţii datelor cu caracter personal” înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
• „date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care oferă informaţii unice privind fiziologia sau sănătatea persoanei respective şi care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză;
• „date biometrice” înseamnă o date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;
• „date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia;
• „sediu principal” înseamnă:
(a) în cazul unui operator cu sedii în cel puţin două state membre, locul în care se află administraţia centrală a acestuia în Uniune, cu excepţia cazului în care deciziile privind scopurile şi mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului din Uniune, sediu care are competenţa de a dispune punerea în aplicare a acestor decizii, caz în care sediul care a luat deciziile respective este considerat a fi sediul principal;
(b) în cazul unei persoane împuternicite de operator cu sedii în cel puţin două state membre, locul în care se află administraţia centrală a acesteia în Uniune, sau, în cazul în care persoana împuternicită de operator nu are o administraţie centrală în Uniune, sediul din Uniune al persoanei împuternicite de operator în care au loc activităţile principale de prelucrare, în contextul activităţilor unui sediu al persoanei împuternicite de operator, în măsura în care aceasta este supusă unor obligaţii specifice în temeiul prezentului regulament;
• „reprezentant” înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana împuternicită de operator în temeiul articolului 27, care reprezintă operatorul sau persoana împuternicită în ceea ce priveşte obligaţiile lor respective care le revin în temeiul prezentului regulament;
• „întreprindere” înseamnă o persoană fizică sau juridică ce desfăşoară o activitate economică, indiferent de forma juridică a acesteia, inclusiv parteneriate sau asociaţii care desfăşoară în mod regulat o activitate economică;
• „grup de întreprinderi” înseamnă o întreprindere care exercită controlul şi întreprinderile controlate de aceasta;
• „reguli corporatiste obligatorii” înseamnă politicile în materie de protecţie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce priveşte transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe ţări terţe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună;
• „autoritate de supraveghere” înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 51;
• „autoritate de supraveghere vizată” înseamnă o autoritate de supraveghere care este vizată de procesul de prelucrare a datelor cu caracter personal deoarece:
(a) operatorul sau persoana împuternicită de operator este stabilită pe teritoriul statului membru al autorităţii de supraveghere respective;
(b) persoanele vizate care îşi au reşedinţa în statul membru în care se află autoritatea de supraveghere respectivă sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare; sau
(c) la autoritatea de supraveghere respectivă a fost depusă o plângere;
• „prelucrare transfrontalieră” înseamnă: – fie prelucrarea datelor cu caracter personal care are loc în contextul activităţilor sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul Uniunii, dacă operatorul sau persoana împuternicită de operator are sedii în cel puţin două state membre; sau – fie prelucrarea datelor cu caracter personal care are loc în contextul activităţilor unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane vizate din cel puţin două state membre;
• „obiecţie relevantă şi motivată” înseamnă o obiecţie la un proiect de decizie în scopul de a stabili dacă există o încălcare a prezentului regulament sau dacă măsurile preconizate în ceea ce priveşte operatorul sau persoana împuternicită de operator respectă prezentul regulament, care demonstrează în mod clar importanţa riscurilor pe care le prezintă proiectul de decizie în ceea ce priveşte drepturile şi libertăţile fundamentale ale persoanelor vizate şi, după caz, libera circulaţie a datelor cu caracter personal în cadrul Uniunii;
• „serviciile societăţii informaţionale” înseamnă un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva 2015/1535/CE a Parlamentului European şi a Consiliului din 9 septembrie 2015 referitoare la procedura de furnizare de informaţii în domeniul reglementărilor tehnice şi al normelor privind serviciile societăţii informaţionale (JO L 241, 17.9.2015, p. 1).
• „organizaţie internaţională” înseamnă o organizaţie şi organismele sale subordonate reglementate de dreptul internaţional public sau orice alt organism care este instituit printr-un acord încheiat între două sau mai multe ţări sau în temeiul unui astfel de acord.
• Categorii de date cu caracter personal colectate de subscrisa sunt, după caz: – nume şi prenume, domiciliu, cod numeric personal – număr de telefon, adresă de e-mail – date privind salariul, contul bancar, starea de sănătate – date cuprinse în acte de identitate – imagini foto/video
Scopurile în care sunt prelucrate datele cu caracter personal şi temeiul juridic al prelucrării
Subscrisa, pe lângă îndeplinirea unor sarcini care servesc unor interese publice sau care rezultă din exercitarea calității de entitate neguvernamentală de interes public, respectiv a autorității publice cu care este învestit, în sensul art. 2 alin. 1 lit. a) din Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, prelucrează datele cu caracter personal ale persoanelor fizice pentru:
• Înregistrarea persoanei vizate la evenimentele organizate de subscrisa, precum și identificarea persoanei vizate înregistrate la un eveniment
În acest caz, prelucrarea datelor personale se efectuează în temeiul consimțământului persoanei vizate.
• Furnizare de informaţii
Datele se utilizează în vederea transmiterii unor informații, la cerere, în scopul stabilirii unor raporturi juridice, inclusiv în scopul încheierii și executării contractelor încheiate între părţi.
În acest caz, prelucrarea datelor se întemeiază pe cererea înaintată de persoana vizată, respectiv pe consimțământul persoanei vizate.
• Soluționarea cererilor
Datele personale se utilizează în vederea formulării unor răspunsuri la solicitările, la cerințele, la reclamațiile sau la orice altă întrebare transmisă(e) de către persoana vizată.
În această situaţie, temeiul prelucrării îl constituie relaţia contractuală dintre părţi, obligaţia legală a subscrisei sau consimţământul persoanei vizate, după caz.
• Comunicare în scop de marketing și PR
Datele personale se prelucrează în scop de marketing și PR, prin transmiterea de comunicări servicii noi sau existente, mesaje cu ocazii speciale (de ex. anunțuri privind desfășurarea unor evenimente, ziua de naştere a persoanei vizate, aniversări, etc.), oferte parteneri, concursuri, lansare proiecte de finanțare etc. şi se întemeiază pe consimţământul persoanei vizate.
• Emiterea facturilor/chitanţelor
Datele personale se prelucrează în vederea menţionării lor pe factură/chitanţă ori pe alte documente financiar-contabile justificative emise, în vederea indicării persoanei şi a datelor beneficiarului, a datelor privind primirea documentului, etc.
În această situaţie, temeiul prelucrării îl constituie relaţia contractuală dintre părţi, obligaţia legală a subscrisei sau consimţământul persoanei vizate, după caz.
• Executarea contractului încheiat între părţi
Datele personale se prelucrează în vederea exercitării drepturilor şi a executării obligaţiilor izvorând din contractul încheiat între părţi, temeiul prelucrării datelor fiind contractul încheiat între părţi sau, în lipsă de reglementare contractuală, prevederile legale în vigoare.
• Ţinerea relației între părţi
Datele personale se prelucrează în scopul ţinerii relaţiei între părţi. În această situaţie, temeiul prelucrării îl constituie relaţia contractuală dintre părţi, obligaţia legală a subscrisei sau consimţământul persoanei vizate, după caz.
• Apărarea drepturilor și a intereselor părţilor sau ale altor persoane
Datele personale se prelucrează pentru exercitarea sau apărarea drepturilor şi/intereselor subscrisei sau ale altor persoane în faţa instanțelor de judecată, a executorilor judecătorești, a notarilor publici, a avocaților, a consultanților subscrisei, a autorităţilor de stat ori a altor persoane fizice sau juridice, publice sau private, care joacă un rol în cauză. În această situaţie, temeiul prelucrării îl constituie relaţia contractuală dintre părţi, legislaţia în vigoare sau consimţământul persoanei vizate, după caz.
• Prevenirea fraudelor
În dorinţa de a preveni săvârşirea oricărei nelegalităţi, subscrisa îşi rezervă dreptul de a prelucra date personale şi de a le transmite către consultanți din diverse domenii, către auditori/cenzori, către avocați, către contabili etc. În aceste cazuri, prelucrarea se justifică prin interesul legitim al subscrisei de a preveni fraudele și alte nelegalități în activitatea desfăşurată, precum şi prin existenţa obligației legale de a asigura legalitatea operațiunilor.
• A răspunde solicitărilor autorităților, precum şi în alte cazuri în care legea prevede obligativitatea prelucrării datelor
Subscrisa prelucrează datele personale deţinute ori de câte ori legea prevede obligativitatea acesteia. La fel, în cazurile prevăzute de lege, subscrisa va răspunde solicitărilor întemeiate ale autorităţilor de stat.
Temeiul acestor prelucrări îl constituie prevederile legale în vigoare.
• Executarea efectivă a contractului de muncă
Datele personale se prelucrează în vederea încheierii şi executării contractelor individuale sau colective de muncă şi se păstrează timp de 75 de ani.
În această situaţie, temeiul prelucrării îl constituie relaţia contractuală dintre părţi, precum şi prevederile legale în vigoare.
• Înregistrări video
La sediul Asociației de Dezvoltare Intercomunitară „HARGHITA BUSINESS CENTER” din mun. Odorheiu-Secuiesc str. II. Rákóczi Ferenc nr. 84 jud. Harghita, este amplasat un număr de 9 camere de înregistrare video. Înregistrările video se efectuează în temeiul interesului legitim al subscrisei de a preveni şi a combate săvârşirea unor fapte ilicite sau penale şi în vederea asigurării unor probe, în caz de nevoie.
Înregistrările se stochează pe o perioadă de 30 de zile, după care se şterg în mod automat.
Destinatarii/categorii de destinatari
Ca regulă, nu se divulgă datele personale deţinute de subscrisa către alte persoane fizice sau juridice.
Cu toate acestea, în anumite cazuri prevăzute de lege, subscrisa are dreptul şi/sau obligaţia legală de a divulga datele deţinute către:
• persoane fizice sau juridice care acționează ca persoane împuternicite pentru subscrisa în diverse domenii (de ex. notar public, avocat, executor judecătoresc, societăți organizatoare de promoții, etc.)
•instanțe de judecată sau arbitrale, autorități de stat
•furnizori de servicii de asigurări
•furnizori de servicii de tipărire și împlicuire comunicări
• societăți de recuperare creanțe
• terțe persoane fizice și/sau juridice în vederea cesionării creanțelor
• societăți ce oferă servicii de curierat/poștă sau de transport
• furnizori de servicii de call-center și asistență clienți
• furnizori de servicii software și/sau echipamente
• companii studii de piață/studii satisfacție clienți
• parteneri contractuali în vederea îndeplinirii dispozițiilor clienților/partenerilor subscrisei, respectiv a obligațiilor asumate de către subscrisa față de clienți
• publicul larg prin difuzarea înregistrărilor video/foto efectuate sau a testimonialelor înregistrate în cadrul unor evenimente organizate sau nu de subscrisa prin intermediul paginii web a subscrisei sau prin rețelele sociale de comunicare (inclusiv, dar fără a se limita la facebook și instagram), precum și prin orice alte medii offline și online.
Datele pot fi divulgate şi pentru motive legitime legate de activitatea desfăşurată, cum ar fi degrevarea activității subscrisei, apărarea și exercitarea drepturilor sau intereselor subscrisei.
Datele cu caracter personal transmise vor fi prelucrate în condiții de securitate și de confidențialitate, în conformitate cu scopul pentru care au fost transmise și cu respectarea drepturilor și libertăților fundamentale ale persoanei vizate.
Datele cu caracter personal divulgate către persoane împuternicite de subscrisa sunt limitate la informațiile minime care sunt necesare pentru îndeplinirea sarcinilor sau în interacțiunile acestor terțe cu subscrisa.
Datele cu caracter personal prelucrate de subscrisa pot fi transferate în străinătate către state din Uniunea Europeană sau Spațiul Economic European. Orice transfer realizat de subscrisa într-un stat membru UE sau SEE va respecta cerințele legale prevăzute în Regulamentul GDPR nr. 2016/679 adoptat de Parlamentul European.
Perioada pentru care vor fi stocate datele
Perioada de stocare a datelor personale diferă de la caz la caz în funcție de scopul prelucrării și de categoria datelor prelucrate, care nu va depăşi perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele.
Perioadele respective sunt bazate pe prevederile legale, având în vedere, de asemenea, obligațiile legale de stocare a anumitor date, termenele de prescripție aplicabile, durata contractelor și scopurile activității desfăşurate.
Estimăm că activitățile de prelucrare vor necesita stocarea datelor cu caracter personal cel puțin pe următoarele perioade:
• pe toată durata contractului și pe perioada necesară pentru protejarea drepturilor subscrisei având în vedere legea aplicabilă contractului, inclusiv perioada de prescripție și termenele prevăzute de către legislația fiscală și contabilă, respectiv perioada de stocare stabilită de către subscrisa
• pe toată durata recuperării debitelor, echipamentelor și a soluționării definitive a oricăror situații juridice/divergențe în legătură cu raportul juridic dintre părți
• pe toată durata producerii efectelor juridice izvorând din raportul juridic stabilit între părți.
• Interesele legitime urmărite
Pentru a fi considerat legitim, un interes trebuie să îndeplinească următoarele condiții:
• să fie legal
• să fie concret
• să reprezinte un interes real și actual
• prelucrarea este necesară pentru atingerea interesului urmărit.
De exemplu, constituie interes legitim când prelucrarea are loc în cadrul relației cu un client/partener, când datele personale se prelucrează în scopuri de marketing direct, pentru a preveni frauda, pentru a asigura securitatea rețelei și a informațiilor în sistemele informatice, precum și determinarea bonității și a solvabilității partenerului.
Drepturile persoanelor vizate
• dreptul de informare asupra modului în care se utilizează datele cu caracter personal, chiar de la momentul colectării acestora
• dreptul de acces la datele cu caracter personal prelucrate: dreptul de a obține confirmarea faptului că datele cu caracter personal sunt sau nu prelucrate și, în caz afirmativ, de a avea acces la tipul de date cu caracter personal și condițiile în care sunt prelucrate, prin adresarea unei cereri în acest sens către operatorul de date
• dreptul de a solicita rectificarea sau ștergerea datelor cu caracter personal („dreptul de a fi uitat”)
• dreptul de a solicita restricționarea prelucrării
• dreptul de a retrage consimțământul cu privire la prelucrare, atunci când prelucrarea are la bază consimțământul, fără a afecta legalitatea prelucrării efectuate până în momentul respectiv
• dreptul de a se opune cu privire la prelucrarea datelor din motive legate de situația particulară în care se află părțile, atunci când prelucrarea se întemeiază pe interes legitim, precum și de a se opune, în orice moment, prelucrării datelor în scopuri de marketing direct, inclusiv crearea de profiluri;
• dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automatizată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează pe aceasta în mod similar într-o măsură semnificativă;
• dreptul la portabilitatea datelor, însemnând dreptul de a primi datele cu caracter personal furnizate operatorului de date într-o formă structurată, utilizată în mod curent și care poate fi citită automat, precum și dreptul de a transfera respectivele date către un alt operator, în cazul în care prelucrarea se bazează pe consimțământul persoanei fizice sau executarea unui contract și este efectuată prin mijloace automate
• dreptul de a depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu sediul în mun. București sector 1, B-dul Gheorghe Magheru nr. 28-30, la numerele de telefon: 0318059211 sau 0318059212, la adresa e-mail: anspdcp@dataprotection.ro.
• dreptul de a se adresa instanțelor de judecată competente.
Consecințele nerespectării obligației de a furniza informaţii
Refuzul persoanei vizate de a furniza datele solicitate în cazul în care aceasta reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract poate avea drept consecință imposibilitatea/refuzul stabilirii unei relații juridice sau încetarea raportului juridic existent între părți.
Existenţa unui proces decizional automatizat
Asociația de Dezvoltare Intercomunitară „HARGHITA BUSINESS CENTER” nu ia decizii bazate exclusiv pe prelucrarea automată a datelor persoanelor vizate și nu creează profiluri care să producă efecte juridice cu privire la persoana vizată.
Sursele din care provin datele cu caracter personal:
• de la persoana vizată
• din partea clienților/partenerilor subscrisei persoane juridice
• surse publice
