Începând cu data de 25 mai 2018, a intrat în vigoare și se aplică direct în toate statele membre ale Uniunii Europene Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).
Scopul acestuia este de a proteja drepturile și libertățile fundamentale ale persoanelor fizice și în special a dreptului acestora la protecția datelor cu caracter personal.
Regulamentul (UE) 679/2016 se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.
În sensul Regulamentului (UE) nr.2016/679 privind privind protecția datelor,
- „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
- „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
- „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
- „destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării;
- „consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
Politica de protecție a datelor la nivelul OIR PECU - Regiunea Sud-Muntenia
OIR PECU - Regiunea Sud-Muntenia este operator de date și / sau procesor de date conform prevederilor Regulamentului general privind protecția datelor (GDPR).
OIR PECU - Regiunea Sud-Muntenia are obligația de a se asigura de respectarea standardelor de securitate şi confidenţialitate a informaţiilor și de prelucrare a datelor cu caracter personal, în conformitate cu prevederile Regulamentului (UE) 2016/679 al Parlamentului european și al Consiliului din 27 aprilie 2016 (GDPR) privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE.
Aceste activităţi sunt desfășurate în scopul implementării/monitorizării programelor/proiectelor, îndeplinirii obiectivelor acestora, precum și în scop statistic, în conformitatea cu regulamentele europene ce guvernează absorbţia fondurilor structurale şi de investiţii.
În vederea îndeplinirii atribuțiilor în domeniul protecției datelor, la nivelul OIR PECU - Regiunea Sud-Muntenia a fost numit responsabilul cu protecția datelor (DPO), în conformitate cu prevederile art. 37 și 38 din Regulamentului UE nr. 679/2016.
Respectarea legislației privind protecția datelor este responsabilitatea întregului personal / tuturor angajaților OIR PECU - Regiunea Sud-Muntenia care procesează datele cu caracter personal.
Întreaga prelucrare a datelor cu caracter personal trebuie să se desfășoare în conformitate cu principiile de protecție a datelor prevăzute la art. 5 din Regulament (GDPR).
OIR PECU - Regiunea Sud-Muntenia este responsabil de respectarea acestor principii şi se asigură de faptul că:
Datele cu caracter personal sunt prelucrate în mod legal, echitabil și transparent
Legalitate –Prelucrarea este legală numai dacă și in măsura in care se aplică cel puțin una dintre următoarele condiții:
a) persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;
c) prelucrarea este necesară in vederea indeplinirii unei obligaţii legale care ii revine operatorului;
d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
e) prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este investit operatorul;
Pentru ca procesarea să fie corectă, instituţia trebuie să pună la dispoziția persoanelor vizate anumite informații într-un mod cât mai practic posibil. Acest lucru se aplică dacă datele cu caracter personal au fost obținute direct de la persoanele vizate sau din alte surse.
Transparența – Informațiile specifice care trebuie furnizate persoanei vizate trebuie să includă cel puțin urmatoarele:
Identitatea și datele de contact ale OIR PECU - Regiunea Sud-Muntenia;
Datele de contact ale responsabilului cu protecția datelor;
Scopul prelucrării pentru care sunt destinate datele cu caracter personal, precum și temeiul juridic al prelucrării;
Perioada pentru care vor fi stocate datele cu caracter personal;
Existența drepturilor de a solicita accesul, rectificarea, ștergerea sau opoziția față de prelucrare și condițiile (sau lipsa) de exercitare a acestor drepturi, cum ar fi afectarea legalității prelucrării anterioare;
Categoriile de date cu caracter personal în cauză;
Destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
Transferul de date cu caracter personal unui destinatar dintr-o țară terță și nivelul de protecție acordat datelor, dacă este cazul;
orice alte informații necesare pentru a garanta o prelucrare corectă.
Datele personale pot fi colectate numai în scopuri specifice, explicite și legitime
Datele obținute în scopuri specificate nu trebuie utilizate într-un scop diferit de cele notificate oficial autorității de supraveghere ca parte a procesului de prelucrare a datelor cu caracter personal la nivelul instituţiei.
Datele personale trebuie să fie adecvate, relevante și limitate la ceea ce este necesar pentru procesare
Responsabilul pentru Protecția Datelor se asigură de faptul că OIR PECU - Regiunea Sud-Muntenia nu colectează informații care nu sunt strict necesare pentru scopul pentru care sunt obținute.
Datele personale trebuie să fie corecte și să fie actualizate.
Datele care sunt stocate de către operatorul de date trebuie revizuite și actualizate, după caz.
De asemenea, este responsabilitatea persoanei vizate să se asigure că datele deținute de instituţie sunt corecte și actualizate. Completarea unui formular de înregistrare sau cerere de către persoana vizată va include o declarație conform căreia datele conținute în acesta sunt corecte la data depunerii.
Angajații/personalul/Persoanele vizate ale căror date sunt prelucrate de instituţie au obligația de a notifica instituţia cu privire la orice schimbări ale datelor personale pentru a permite actualizarea înregistrărilor personale. Este responsabilitatea instituţiei să se asigure că orice notificare cu privire la schimbarea circumstanțelor este înregistrată și că aceasta este actualizată.
Responsabilul pentru Protecția Datelor este responsabil pentru a răspunde solicitărilor de rectificare de la persoanele vizate în termen de o lună. Aceast termen poate fi extins la încă două luni pentru solicitări complexe. În cazul în care instituţia decide să nu respecte cererea, responsabilul cu protecția datelor trebuie să răspundă persoanei vizate pentru a-și explica raționamentul și să o informeze cu privire la dreptul acesteia de a se plânge autorității de supraveghere și de a solicita căi de atac.
Datele cu caracter personal trebuie păstrate într-o formă care să permită identificarea persoanei vizate numai atâta timp cât este necesar pentru prelucrare.
În cazul în care datele cu caracter personal sunt păstrate dincolo de data prelucrării, acestea vor fi criptate / anonimizate pentru a proteja identitatea persoanei vizate în cazul unei încălcări a datelor.
Datele cu caracter personal vor fi păstrate și, odată cu depășirea datei de păstrare, acestea trebuie distruse în siguranță.
Responsabilul cu protecția datelor trebuie să aprobe în mod specific orice reținere a datelor care depășește perioadele de păstrare definite în procedură și trebuie să se asigure că justificarea este identificată în mod clar și în conformitate cu legislația privind protecția datelor.
Datele personale trebuie prelucrate într-o manieră care să asigure securitatea corespunzătoare
Responsabilul cu protecția datelor va efectua o evaluare a riscurilor la nivelul instituţiei luând în considerare toate circumstanțele operațiunilor de control sau de procesare ale instituției.
Pentru a determina oportunitatea, responsabilul cu protecția datelor ia în considerare amploarea eventualelor daune sau pierderi care ar putea fi cauzate persoanelor în cazul unei încălcări a securității, orice daune reputaționale, etc.
OIR PECU - Regiunea Sud-Muntenia, în calitate de operator, trebuie să poată demonstra conformitatea cuprincipiile regulamentului GDPR
OIR PECU - Regiunea Sud-Muntenia va demonstra conformitatea cu principiile de protecție a datelor prin implementarea politicilor de protecție a datelor, respectarea codurilor de conduită, punerea în aplicare a măsurilor tehnice și organizatorice.
În măsura în care sunt necesare categorii speciale de date cu caracter personal, OIR PECU - Regiunea Sud-Muntenia va solicita consimțământul persoanelor vizate.
OIR PECU - Regiunea Sud-Muntenia prelucrează datele personale în conformitate cu prevederile regulamentului GDPR, în calitate de operator, prin intermediul structurilor interne, în conformitate cu prevederile specifice aplicabile, pentru derularea următoarelor activități, în scopul prestării serviciilor de interes public:
Implementarea, monitorizarea şi verificarea proiectelor finanţate din fonduri nerambursabile;
relații publice/petiționare/formulare de puncte de vedere la solicitările persoanelor fizice;
formulare de acțiuni și reprezentare în instanță;
organizare/derulare evenimente;
soluționarea plângerilor;
înregistrarea și soluționarea notificărilor de încălcare a securității datelor cu caracter personal;
încheiere contracte de furnizare de bunuri/servicii;
constatarea neregulilor/fraudelor şi stabilirea corecţiilor financiare/ creanţelor bugetare;
comunicări sau raportări către autorităţile, instituţiile sau agenţiile de stat sau guvernamentale abilitate, instituţii europene;
efectuarea verificărilor şi controalelor de către structurile de specialitate din cadrul instituţiei.
Tipuri de date cu caracter personal pe care se prelucrează
OIR PECU - Regiunea Sud-Muntenia prelucrează numai datele personale necesare în scopurile menționate și solicită persoanelor vizate comunicarea datelor cu caracter personal strict necesare îndeplinirii acestor scopuri.
Categoriile de date personale (clasice sau digitale) supuse prelucrărilor la nivelul compartimentelor din cadrul instituţiei sunt următoarele:
Pentru relații publice/petiționare/formulare de puncte de vedere la solicitările persoanelor fizice:
nume, prenume,
semnătura,
detalii de contact – număr de telefon personal, adresă de email, adresa de domiciliu/reședință, etc.,
În mod excepțional:
serie și număr CI/BI
CNP
Pentru formulare de acțiuni și reprezentare în instanță.
nume, prenume
semnătura,
detalii de contact – număr de telefon personal, adresă de email, adresa de domiciliu/reședință, etc.,
serie și număr CI/BI
CNP
Pentru organizare/derulare evenimente:
nume, prenume,
funcție, profesie
denumirea angajatorului
detalii de contact – număr de telefon personal/de serviciu, adresă de email, adresă poștală
Pentru accesarea site-ului OIR PECU - Regiunea Sud-Muntenia
adresa IP
tipul de browser folosit
Pentru soluționarea notificărilor de încălcare a securității datelor:
nume, prenume,
funcție
detalii de contact – număr de telefon personal/de serviciu, adresă de email, adresă poștală
Pentru soluționarea plângerilor/sesizărilor:
nume, prenume,
semnătura,
detalii de contact – număr de telefon personal, adresă de email, adresa de domiciliu/reședință, etc.,
serie și număr CI/BI
CNP
Pentru încheiere contracte de furnizare de bunuri/servicii:
nume, prenume,
funcție
denumirea angajatorului/furnizorului
detalii de contact – număr de telefon personal/de serviciu, adresă de email, adresă poștală
OIR PECU - Regiunea Sud-Muntenia îşi rezervă dreptul de a solicita alte date necesare pentru îndeplinirea atribuțiilor compartimentelor din cadrul instituţiei, strict în conformitate cu prevederile legale.
Sursa datelor cu caracter personal
OIR PECU - Regiunea Sud-Muntenia, prin structurile interne, colectează date personale direct de la persoanele vizate sau de la terți (cum ar fi alte instituții ori entități care se adresează instituţiei, beneficiari, parteneri, ori alte persoane vizate) sau din documente publice.
Categorii de destinatari ai datelor cu caracter personal
Datele personale sunt destinate utilizării de către instituţie şi sunt comunicate următorilor destinatari, dacă este cazul:
persoanelor vizate / reprezentanţii legali ai persoanelor vizate
angajaţi
împuterniciţi ai instituţiei (persoane fizice sau juridice)
parteneri contractuali
alte instituții / autorități centrale și locale;
instanțelor de judecată în vederea formulării de acțiuni și reprezentării în instanță
în cadrul activității de organizare/derulare evenimente a instituţiei
în cadrul activității de investigare/control.
Auditori interni, externi şi internaţionali
Organe de cercetare penală.
Dezvăluirea datelor către terți se face conform prevederilor legale pentru categoriile de destinatari precizați anterior.
Drepturile persoanelor vizate
Drepturile de care beneficiază persoanele vizate sunt următoarele:
Dreptul de acces al persoanei vizate
Dreptul la rectificare
Dreptul la ştergerea datelor (“dreptul de a fi uitat”)
Dreptul la restricţionarea prelucrării
Dreptul la portabilitatea datelor
Dreptul la opoziţie şi procesul decizional individual automatizat
1. Dreptul de acces al persoanei vizate
Persoanele vizate au dreptul să facă cereri de acces la datele personale ale acestora cu privire la natura informațiilor deținute de OIR PECU - Regiunea Sud-Muntenia și cui le-au fost dezvăluite.
Persoanele vizate au dreptul de a obţine din partea instituţiei o confirmare că se prelucrează sau nu date cu caracter personal care o privesc şi, în caz afirmativ, acces la datele respective şi la următoarele informaţii:
a) scopurile prelucrării;
b) categoriile de date cu caracter personal vizate;
c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din ţări terţe sau organizaţii internaţionale;
d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
e) existenţa dreptului de a solicita instituţiei rectificarea sau ştergerea datelor cu caracter personal ori restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
Persoana vizată are dreptul de a obţine de la instituţie, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ţinându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obţine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare.
2. Dreptul la rectificare
Dreptul de rectificare sau ștergere nu se aplică în măsura în care prelucrarea este necesară:
– pentru exercitarea dreptului la liberă exprimare şi la informare;
– pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică OIR PECU - Regiunea Sud-Muntenia sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit OIR PECU - Regiunea Sud-Muntenia;
– din motive de interes public în domeniul sănătăţii publice, în conformitate cu prevederile regulamentului GDPR, art. 9, alin. (2), lit. (h) şi (i) şi cu art. 9 alin. (3);
– în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu prevederile regulamentului GDPR, art. 89, alin. (1), în măsura în care dreptul menţionat la alin. (1) este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective;
pentru constatarea, exercitarea sau apărarea unui drept în instanţă.
3. Dreptul la ştergerea datelor (“dreptul de a fi uitat”)
Persoana vizată are dreptul de a obţine din partea instituţiei ştergerea datelor cu caracter personal care o privesc, iar instituţia are obligaţia de a şterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:
– datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
– persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea, în conformitate cu art.6 alin. (1) lit. (a) sau cu art. 9 alin. (2) lit. (a) din GDPR, şi nu există niciun alt temei juridic pentru prelucrarea datelor personale;
– persoana vizată se opune prelucrării în temeiul art. 21 alin. (1) şi nu există motive legitime care să prevaleze în ceea ce priveşte prelucrarea sau persoana vizată se opune prelucrării în temeiul art. 21 alin. (2);
– datele cu caracter personal au fost prelucrate ilegal;
– datele cu caracter personal trebuie şterse pentru respectarea unei obligaţii legale care revine instituţiei în temeiul dreptului Uniunii sau al dreptului intern sub incidenţa căruia se află operatorul;
datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societăţii informaţionale menţionate la art. 8 alin. (1).
În cazul în care instituţia a făcut publice datele cu caracter personal şi este obligată să le şteargă, ţinând seama de tehnologia disponibilă şi de costul implementării și să ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ştergerea acestor date cu caracter personal.
4. Dreptul la restricţionarea prelucrării
Persoana vizată are dreptul de a obţine din partea operatorului restricţionarea prelucrării în cazul în care se aplică unul din următoarele cazuri:
– persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
– prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor;
– instituţia nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanţă;
– persoana vizată s-a opus prelucrării în conformitate cu art. 21 alin. (1), pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.
În cazul în care prelucrarea a fost restricţionată, astfel de date cu caracter personal pot, cu excepţia stocării, să fie prelucrate numai cu consimţământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanţă sau pentru protecţia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.
Persoană vizată care a obţinut restricţionarea prelucrării este informată de către OIR PECU - Regiunea Sud-Muntenia înainte de ridicarea restricţiei de prelucrare.
5. Dreptul la portabilitatea datelor
Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat OIR PECU - Regiunea Sud-Muntenia într-un format structurat, utilizat în mod curent şi care poate fi citit automat şi are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:
a) prelucrarea se bazează pe consimţământ în temeiul art 6 alin. (1) lit. (a) sau al art.9 alin. (2) lit. (a) sau pe un contract în temeiul art. 6 alin. (1) lit.(b) din GDPR;
b )prelucrarea este efectuată prin mijloace automatizate.
În exercitarea dreptului său la portabilitatea datelor, persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.
Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul.
6. Dreptul la opoziţie şi procesul decizional individual automatizat
Persoana vizată are dreptul să se opună, din motive legate de situaţia particulară în care se află, prelucrării în temeiul art. 6 alin. (1) lit. (e) sau (f) din GDPR, a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziţii. Instituţia nu va mai prelucra datele cu caracter personal, cu excepţia cazului în care are motive legitime şi imperioase care justifică prelucrarea şi care prevalează asupra intereselor, drepturilor şi libertăţilor persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanţă.
OIR PECU - Regiunea Sud-Muntenia trebuie sa se asigure că persoanele vizate pot exercita urmatoarele drepturi:
Persoanele vizate pot depune cereri prin care solicită acces la datele cu caracter personal colectate de către instituţie.
Persoanele vizate au dreptul să depună plângere către instituţie în legătură cu prelucrarea datelor lor personale, felul în care s-a soluționat solicitarea persoanei vizate și căile de atac ale persoanei vizate privind modul în care reclamațiile au fost soluționate.
Consimţământul
Atunci când prelucrarea se bazează pe art. 6 alin. (1) lit. (a) ”persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice” sau pe art. 9 alin. (2) lit. (a) ”persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepția cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicția prevăzută la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate” din GDPR, persoanele vizate au dreptul de a îşi retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Astfel, se poate modifica sau elimina consimțământul în orice moment, cu excepția cazului în care există un motiv legal sau un interes legitim pentru a nu face acest lucru.
“Consimțământul” înseamnă că persoana vizată a fost pe deplin informată cu privire la prelucrarea intenționată și că și-a exprimat acordul, în timp ce se află într-o stare de spirit adecvată pentru a face acest lucru și fără a se exercita presiuni asupra acesteia. Consimțământul obținut sub presiune sau pe baza unor informații înșelătoare nu va constitui o bază valabilă pentru procesare.
Pentru datele sensibile, trebuie obținut un acord scris explicit a persoanelor vizate, cu excepția cazului în care există o bază legitimă de procesare alternativă.
În majoritatea cazurilor, consimțământul de a procesa date personale și sensibile este obținut în mod obișnuit de către OIR PECU - Regiunea Sud-Muntenia utilizând documentele de consimțământ standard; de ex. atunci când se semnează un contract.
Securitatea datelor
Toți angajații / personalul instituţiei sunt responsabili să se asigure că toate datele personale pe care OIR PECU - Regiunea Sud-Muntenia le deține și pentru care sunt responsabili, sunt păstrate în siguranță și nu sunt divulgate în niciun fel unei terțe părți decât dacă acea terță parte a fost autorizată în mod specific prin intermediul instituţiei să primească aceste informații și a încheiat un acord de confidențialitate.
Toate datele personale ar trebui să fie accesibile numai celor care au nevoie să le prelucreze. Toate datele cu caracter personal trebuie tratate cu cea mai mare siguranță și trebuie păstrate:
într-o camera inchisă cu acces controlat; și / sau
într-un sertar închis sau într-un dulap; și / sau
dacă este computerizat, protejat prin parolă; și / sau
stocate pe suporturi de calculator (detașabile) care sunt criptate
Înregistrările manuale nu pot fi lăsate acolo unde pot fi accesate de către personalul neautorizat și nu pot fi înlăturate din instituție fără autorizație explicită. Imediat ce înregistrările manuale nu mai sunt necesare pentru scopul pentru care au fost prelucrate, acestea trebuie să fie eliminate din arhivă, în condiții de securitate.
Datele personale pot fi șterse sau eliminate. Înregistrările manuale care au ajuns la data limita de păstrare trebuie să fie mărunțite și eliminate ca “deșeuri confidențiale”. Unitățile hard disk de PC-uri redundante trebuie să fie îndepărtate și distruse imediat.
Prelucrarea datelor cu caracter personal “în afara instituției” prezintă un risc potențial mai mare de pierdere, furt sau deteriorare a datelor cu caracter personal. Personalul trebuie să fie autorizat în mod specific să proceseze datele în afara instituției.
Dezvăluirea datelor
OIR PECU - Regiunea Sud-Muntenia trebuie să se asigure că datele cu caracter personal nu sunt divulgate terților neautorizați. Toți angajații instituţiei trebuie să fie precauți atunci când li se solicită să dezvăluie datele cu caracter personal pe care le prelucrează unei terțe părți. Este important să se țină seama de faptul dacă divulgarea informațiilor este sau nu relevantă pentru desfășurarea activității instituţiei.
Toate solicitările privind furnizarea datelor personale prelucrate de către angajații instituţiei către o terță parte, pentru unul dintre aceste motive trebuie să fie susținute de o documentație decvată, iar toate aceste dezvăluiri trebuie să fie autorizate în mod specific de către Responsabilul pentru Protecția Datelor.
Reținerea și eliminarea datelor
OIR PECU - Regiunea Sud-Muntenia nu va păstra datele cu caracter personal într-o formă care să permită identificarea persoanelor vizate mai mult timp decât este necesar, în funcție de scopul (scopurile) pentru care au fost colectate inițial.
OIR PECU - Regiunea Sud-Muntenia poate stoca date pe perioade mai lungi dacă datele cu caracter personal vor fi prelucrate exclusiv în scopul arhivării în scopuri de interes public, în scopuri științifice sau istorice de cercetare sau în scopuri statistice, sub rezerva punerii în aplicare a măsurilor tehnice și organizatorice adecvate pentru protejarea drepturilor și libertăților persoanei vizată.
Perioada de păstrare a fiecărei categorii de date cu caracter personal va fi stabilită, ţinând cont de prevederile legislative naţionale privind pastrarea şi arhivarea documentelor.
Datele cu caracter personal trebuie să fie eliminate în siguranță, în conformitate cu al șaselea principiu al GDPR – prelucrate într-o manieră adecvată pentru a menține securitatea, protejând astfel “drepturile și libertățile” persoanelor vizate.
Transferul de date
Toate exporturile de date din Spațiul Economic European (SEE) către țările din Spațiul Economic Neeuropene (menționate în regulamentul GDPR ca “țări terțe”) sunt ilegale, cu excepția cazului în care există un “nivel adecvat de protecție a drepturilor fundamentale ale persoanele vizate.
Comisia Europeană poate și va evalua țările terțe, un teritoriu și / sau anumite sectoare din țările terțe pentru a evalua dacă există un nivel corespunzător de protecție a drepturilor și libertăților persoanelor fizice. În aceste cazuri nu este necesară nicio autorizație.
Țările care sunt membre ale Spațiului Economic European (SEE), dar nu și ale UE sunt acceptate ca îndeplinind condițiile unei decizii de adecvare.
O listă a țărilor care îndeplinesc în prezent cerințele de adecvare ale Comisiei este publicată în Jurnalul Oficial al Uniunii Europene. http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.html
Exceptii
Transferul datelor cu caracter personal către o țară terță sau o organizație internațională se efectuează numai în următoarele condiții:
persoana vizată și-a dat acordul în mod explicit cu privire la transferul propus, după ce a fost informată cu privire la riscurile posibile ale unor astfel de transferuri pentru persoana vizată;
transferul este necesar pentru executarea unui contract între persoana vizată și operator sau implementarea măsurilor precontractuale luate la cererea persoanei vizate;
transferul este necesar pentru încheierea sau executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică;
transferul este necesar din motive importante de interes public;
transferul este necesar pentru stabilirea, exercitarea sau apărarea revendicărilor legale; și / sau
transferul este necesar pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane, în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul.
Evaluarea impactului prelucrării datelor personale
În cazul în care un tip de prelucrare, în special prin utilizarea noilor tehnologii și ținând seama de natura, scopul, contextul și scopurile prelucrării, poate duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice, OIR PECU - Regiunea Sud-Muntenia va efectua o evaluare a impactului operațiunilor de prelucrare preconizate asupra protecției datelor cu caracter personal.
În cazul în care există motive serioase de îngrijorare cu privire la posibilele pagube asupra datelor în cauză, responsabilul cu protecția datelor trebuie să supuna atentiei problema către autoritea de supraveghere.
Pentru orice alte informații aveți dreptul de a vă adresa Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (cu sediul în Bulevardul Magheru, nr. 28-30, sector 1, Bucureşti) sau justiției, pentru apărarea drepturilor garantate de Regulamentul (UE)2016/679.
– Acord pentru folosirea datelor personale (pdf)
Vă puteți adresa direct Responsabilului pentru protecția datelor la adresa datepersonale@fsesudmuntenia.ro