Politica de confidentialitate



1. Abstract

In activitatea curenta GASPECO L&D foloseste o varietate de date despre persoane identificabile:

-          Angajati actuali, fosti si viitori;

-          Clienti;

-          Utilizatori ai site-ului web;

-          Alte persoane sau grupuri interesate.

In procesul de colectare si utilizare a datelor, compania este subiectul unor relgementari legale si auditari care au ca obiect modul in care se desfasoara aceste activitati si modul in care sunt protejate datele cu caracter personal.

 

2. Obiectul politicii

 

Scopul acestei politici este stabilirea cadrului legislativ relevant in domeniu si descrierea pasilor pe care GASPECO L&D ii urmeaza pentru a se alinia legislatiei.

Politica se aplica tututor sistemelor, persoanelor si proceselor care formeaza infrastructura companiei, inclusiv membrii administratiei, directori, angajati si terte persoane careu au acces la sistemul GASPECO L&D.

 

3. GDPR

 

Regulamentul general de protectie a datelor (GDPR) este un standard ce influenteaza modul in care GASPECO L&D utilizeaza, proceseaza si stocheaza datele cu caracter personal. Amenzile sunt consisntente daca se semnaleaza brese, scopul GDPR fiind de a securiza informatiile personale ale indivizilor ce apartin spatiului UE.
Strategia GASPECO L&D este de a garanta ca alinierea si consistenta cu prevederile GDPR si altor regulamente sunt clare si verificabile.

 

4. Concepte fundamentale GDPR

 

Date personale: orice informative legata de o persoana identificabila; o personal identifiabila este o persoana fizica ce poate fi identificata direct sau indirect, in particular prin referinta la un identificator cum ar fi nume, numar de identificare, pozitie geografica, sau la anumiti factori cum a fi cei psihici, genetici, mentali, economici, culturali, identitatea sociala etc;

 

 Procesare:

 

Orice operatiune sau set de operatiuni care se executa pe date personale sau seturi de date personale, manual sau automat,  cum ar fi: colectare, inregistrare, organizare, structurare, stocare, adaptare, modificare, raportare, consultare, folosire, retransmitere, punere la dispozitie, stergere, distrugere;

 

Controlor:  persoana fizica sau juridical, autoritatea publica, agentie sau alt organism care, singuri sau impreuna cu alte entitati, stabileste scopul si mijloacele procesarii datelor cu caracter personal.

 

 5. Principiile procesarii datelor cu character personal

 

Conform GDPR versiunea 2016 au fost stabilite 7 principii privind procesarea datelor cu caracter personal si a modului in care companiile trebuie sa se raporteze la aceste principii (Capitolul II, Articolul 5.1)

 

5.1. Datele personale trebuie sa fie:

a. fie procesate legal, corect si intr-o maniera transparenta in relatie cu subiectul datelor;

 

b. colectate in scopuri specificate explicit si legitime si nu procesate intr-o maniera incompatibila cu scopul. Procesarea ulterioara in scopuri de arhivare in interes public, stiintific, istoric sau statistic trebuie sa fie compatibila cu scopul initial (“limitarea scopului”) – Articolul 89(1);

 

c. adecvate, relevante si limitate la strictul necesar in relatia cu scopul in care sunt procesate (“minimizarea datelor”);

 

d. corecte si, unde este necesar, actualizate; trebuie luate toate masurile pentru ca datele personale incorecte din punct de vedere al scopului in care se proceseaza sa fie sterse sau corectate imediat (“corectitudine”);

 

e. pastrate intr-o maniera care sa nu permita identificarea subiectilor pe o perioada mai lunga decat e necesara conform scopului in care datele sunt procesate (“limitarea stocarii”) Articolul 89(1);

 

f. procesate intr-o manieracare asigura securitatea corespunzatoare, inclusiv protectia impotriva procesarii neautorizate si ilegale si impotriva pierderilor accidentale, distrugerii. (“integritate si confidentialitate”);

 

5.2. Controlorul este responsabil pentru toate cele mentionate la paragraful 5.1 si trebuie sa fie capabil sa demonstreze compatibilitaea cu prevederile regulamentului (“responsabilitate”).

 

6Responsabilitatea angajatilor

 

Fiecare angajat al GASPECO L&D implicat in colectarea, stocarea si procesarea datelor raspunde conform legilor in vigoare.
Angajatii trebuie sa se asigure ca:

  • Obtin si proceseaza datele in mod corect;
  • Pastreaza datele doar in scop explicit si legal;
  • Pune la dispozitie tertilor datele doar in mod compatibil cu scopul detinerii si procesarii lor;
  • Pastreaza datele in siguranta;
  • Pastreaza datele corecte, complete si actualizate;
  • Datele sunt adecvate scopului, relevante si nu sunt exced scopul in care se proceseaza;
  • Nu pastreaza datele mai mult decat este necesar conform scopului colectarii lor.

 

 

Orice cereri de accesare a datelor cu caracter  personal trebuie redirectionata spre Management, responsabilii cu managementul informatiei si securitatii.

 

7. Drepturile individului

 

GDPR atribuie urmatoarele drepturi individuale:

 

  1. Dreptul de a fi informat;
  2. Dreptul de acces;
  3. Dreptul de rectificare;
  4. Dreptul de stergere;
  5. Dreptul de restrangere a procesarii;
  6. Dreptul portabilitatii datelor;
  7. Dreptul sa obiecteze;
  8. Drepturi legate de decizii automatizate si crearea de profile.

 

  8Consimtamantul

 

Cu exceptia cazurile prevazute de GDPR, trebuie obtinut consimtamantul explicit de la subiectii pentru care se doreste colectarea si procesarea datelor. In cazul copiilor sub 16 ani trebuie obtinut consimtamantul parintilor. Subiectii trebuie sa primeasca o informare transparenta privind scopul si modul de folosire a datelor. De asemenea, subiectii trebuie informati cu privire al drepturile lor. Informarea trebuie sa fie intr-o forma accesibila, scrisa in limbaj clar si gratuit.

 

Daca datele nu sunt obtinute direct de la subiect, informarea trebuie sa fie facuta intr-un interval de timp rezonabil care sa nu depaseasca o luna calendaristica.

 

9. Data Protection Officer (DPO)

 

Organizatia trebuie sa defineasca rolul de DPO, obligatoriu conform GDPR daca organizatia este autoritate publica, daca efectueaza monitorizare pe scara larga sau daca proceseaza date personale pe scara larga.
DPO trebuie sa aiba nivelul corespunzator de cunostinte si poate fi o resursa interna sau externa companiei.



Conform criteriilor de mai sus, GASPECO L&D trebuie sa numeasca un DPO.

 

10.  Notificarea breselor de securitate

 

Politica GASPECO L&D este de a fi corecta privind actiunile care se impugn pentru notificarea partilor terte cu privire la eventuale brese privind datele personale. Conform GDPR, daca se constata o bresa care poate avea potential risc pentru drepturile si libertatilor individuale, trebuie informata Autoritatea pentru protectia datelor intr-un interval de 72 de ore. Acest process se gstioneaza conform Procedurii de raspuns la incidente de securitate.

 

 

11.  Demonstrarea conformitatii cu GDPR

 

Urmatoarele masuri au fost luate pentru a alinia GASPECO L&D cerintelor GDR si raspunderii care deriva din aceasta:

 

-          Baza legala pentru procesarea datelor personale a fost adusa la cunostina personalului in mod clar, fara ambiguitati;

-          A fost numit un Ofiter pentru protectia datelor (DPO);

-          Personalul implicat in procesarea datelor personale a inteles responsabilitatile pe care le are pentru a asigura o protectie corespunzatoare a datelor;

-          A fost asigurat training si oferita documentatie privind protectia datelor intregului personal;

-          Se respecta regula privind consimtamantul;

-          Exista proceduri care permit subiectilor sa-si exercite drepturile atribuite prin GDPR, cererile in acest sens fiind gestionate eficace;

-          Procedurile privind datele personale sunt revizuite periodic;