GTM MANAGING SERVICES S.R.L. denumită în continuare în cadrul regulamentului, GT MOTIVE ROMÂNIA,

București, Str. Nicolae Caramfil nr. 71-73, Scara A, Etaj 4, sector 1.
J40/1483/2013, CUI RO 32542239

REGULAMENT SPECIAL PRIVIND CONDIȚIILE GENRALAE DE PROTECȚIE A PERSOANLOR FIZICE ÎN CEEA CE PRIVEȘTE PRELUCRAREA DATELOR CU CARACTER PERSONAL

CAPITOLUL I: DISPOZIȚII GENERALE

SCOPUL ȘI SFERA DE APLICARE

1.1. Politica privind securitatea prelucrării datelor cu caracter personal („Politica Prelucrării Datelor Personale”) are ca scop stabilirea unor norme de conduită pentru asigurarea unui nivel adecvat de protecţie a datelor cu caracter personal prelucrate de către operator.

1.2.      Normele de conduită stabilesc exercitarea drepturilor şi obligaţiilor pe care operatorul le are în domeniul protecţiei persoanelor în privinţa datelor cu caracter personal, în relaţiile cu persoanele vizate, precum şi cu alte persoane fizice sau juridice.

1.3.      Normele de conduită cuprinse în Politica Prelucrării Datelor Personale nu aduc atingere altor obligaţii legale imperative sau deontologice ce revin operatorului.

CAPITOLUL II: DEFINIȚII

2.1. Termenii utilizați în continuare au următoarea semnificație:

„Date cu Caracter Personal” înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă prelucrate în temeiul contractului prinicipal;

„GDPR” înseamnă Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE;

„Operator” înseamnnă persoana juridică, care, singură sau împreună cu alte persoane juridice, stabileşte scopurile şi mijloacele de prelucrare a Datelor cu Caracter Personal;

,,Operator asociat” conform art. 26 alin.(1) GDPR operatorii asociați sunt în cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare;

„Parte terţă” înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau alt organism, altul decât Persoana Vizată, Operatorul, Persoana împuternicită şi care, sub directa autoritate a Operatorului sau a Persoanei împuternicite sunt autorizate să prelucreze Date cu Caracter Personal;

„Persoana Vizată” înseamnă persoana fizică ale cărei Date cu Caracter Personal sunt prelucrate de Persoana împuternicită sau de Operator;

,,a colecta” – a aduna, a primi, a strânge date cu caracter personal de la persoanele vizate;

,,a dezvălui” – a transmite, a face disponibile în orice alt mod datele cu caracter personal ale persoanelor vizate;

,,a utiliza” – a înregistra, a stoca, inclusiv a distruge sau a șterge datele cu caracter personal ale persoanelor vizate;

,,Utilizator” – persoanele desemnate de operator să prelucreze date cu caracter personal ale persoanelor vizate;

,,Nivel de protecţie şi de securitate adecvat al prelucrărilor de date cu caracter personal” – nivelul de securitate proporţional riscului, pe care îl comportă prelucrarea faţă de datele cu caracter personal respective şi faţă de drepturile şi libertăţile persoanelor şi în conformitate cu cerinţele minime de securitate a prelucrărilor de date cu caracter personal, elaborate de autoritatea de supraveghere şi actualizate corespunzător stadiului dezvoltării tehnologice şi costurilor implementării acestor măsuri;

„Perioada dc Stocare” înseamnă perioada necesară prelucrării datelor cu caracter personal pentru îndeplinirea scopului prelucrării, respectiv îndeplinirea obiectului Contractului;

„Scopul Prelucrării” înseamnă obiectivul avut în vedere de Operator pentru aducerea la îndeplinire a Obiectului său de activitate;

,,Persoana împuternicită” reprezintă persoana fizică sau juridică, sau autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.

„Subîmputernicit” înseamnă orice persoană (inclusiv o terţă parte) care, mandatată de Persoana împuternicită sau în numele Persoanei împuternicite prelucreaă Date cu Caracter Personal pe seama Operatorului în legătură cu contractul principal;

,,Parte terță” conform art. 4 pct. 10 GDPR, reprezintă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanale care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.

,,Reprezentant/Ofițer de protecție a datelor” potrivit art. 4 pct. 17 GDPR reprezentantul este persoana fizică sau juridică stabilită în Uniunea Euroeană, desemantă în scris de către operator sau persoana împuternicită de operator în temeiul art. 27 GDPR care reprezintă operatorul sau persoana împuternicită în ceea ce privește obligațiile lor respective care le revin în temeiul prezentului regulament.

,,ANSPDCP” Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal;

Termenii: prelucrare de date cu caracter personal, stocare, operator, terţ, destinatar, date anonime, drept de informare, drept de acces, drept de intervenţie, drept de opoziţie au semnificația prevăzută de Regulamentul 679/2016 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.

2.2.      CADRUL LEGAL

În vederea elaborării Politicii Prelucrării Datelor Personale s-a avut în vedere respectarea prevederilor legale referitoare la protecţia dreptului la viaţa intimă, familială şi privată, în ceea ce priveşte prelucrarea datelor cu caracter personal, în conformitate cu Regulamentul nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal şi privind libera circulație a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), respectiv cu Ordinul 52/2002 privind aprobarea cerinţelor minime de securitate a prelucrărilor de date cu caracter personal.

CAPITOLUL III: PRINCIPIILE ŞI MODALITATEA DE APLICARE A NORMELOR PRIVIND PRELUCRAREA DE DATE CU CARACTER PERSONAL DE CĂTRE GT MOTIVE ROMÂNIA

3.1. LEGALITATEA ŞI TRANSPARENȚA

GT MOTIVE ROMÂNIA recunoaște şi respectă dreptul la viaţă intimă, familială şi privată, prelucrarea datelor cu caracter personal desfăşurându-se în conformitate cu prevederile legale.

3.2. RESPONSABILITATEA

GT MOTIVE ROMÂNIA utilizează datele cu caracter personal ale persoanelor vizate.

GT MOTIVE ROMÂNIA este responsabilă pentru datele cu caracter personal aflate sub controlul său, precum şi pentru datele transferate către terţi.

Persoanele care vor răspunde pentru respectarea prevederilor legale din domeniul protecţiei persoanelor şi a datelor cu caracter personal, precum şi a principiilor prevăzute în Politica Prelucrării Datelor Personale sunt administratorul, colaboratorii și persoanele imputernicite de GT MOTIVE ROMÂNIA, care au ca atribuţii colectarea, utilizarea, prelucrarea, transmiterea datelor cu caracter personal.

3.3. LEGITIMITATEA SCOPULUI COLECTĂRII

GT MOTIVE ROMÂNIA prelucrează date cu caracter personal în scopul aducerii la îndeplinire a obiectului său de activitate și a îndeplinirii contractului cu clientul.

Persoanele vizate vor fi informate asupra categoriilor de date care sunt prelucrate, scopulului prelucrării precum şi asupra consecinţelor refuzului acestora de a furniza GT MOTIVE ROMÂNIA datele solicitate. Scopul pentru care se colectează datele cu caracter personal este menționat în scris, într-un limbaj uşor accesibil pentru persoanele vizate.

Colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzisă.

3.4. PRINCIPIILE CARE GUVERNEAZĂ ACTIVITATEA DE PRELUCRARE A DATELOR CU CARACTER PERSONAL

Persoanele vizate sunt informate cu privire la procesul de prelucrare a datelor cu caracter personal prin citirea politicii comerciantului cu privire la prelucrarea datelor cu caracter personal, luând astfel la cunoștință de drepturile garantate de lege, respectiv:

–           de a fi informate cu privire la prelucrarea cu caracter personal (art. 13 GDPR);

–           accesul la datele cu caracter personal (art. 15 GDPR);

–           de intervenție asupra datelor cu caracter personal (art. 14 GDPR);

–           de a nu fi supuse unei decizii individuale cu caracter automat (art. 22 GDPR);

–           de a se opune prelucrării datelor personale care le privesc (art. 18 GDPR)

–           de a solicita rectificarea (art. 16 GDPR), actualizarea ori ștergerea datelor (art. 17 GDPR) în condițiile  legii, inclusiv în cazul datelor cu caracter personal prelucrate pentru scopuri de marketing direct, acest drept poate fi exercitat oricând, în mod gratuit și fără justificare;

–           dreptul de portabilitate a datelor (art. 20 GDPR);

–           de a se adresa justiției în cazul în care s-au constatat încălcări ale legislației în materie.

3.5. CONSIMȚĂMÂNTUL

Pentru prelucrări de date care nu corespund scopului de la paragraful 3.3 se va cere consimțământul persoanelor vizate. La fel se va proceda și în cazul în care se vor dezvălui date către terţi. Persoana vizată îşi poate retrage consimțământul în orice moment, sub condiția transmiterii unei cereri motivate către GT MOTIVE ROMÂNIA. Acesta va informa persoana vizată în legătura cu procedura şi efectele retragerii consimțământului.

3.6. PĂRȚILE CARE AU ACCES LA DATELE CU CARACTER PERSONAL

Informațiile înregistrate sunt destinate utilizării de către GT MOTIVE ROMÂNIA şi sunt comunicate numai următorilor destinatari:

a.         persoana vizată;

b.         administratorul și persoanele împuternicite cu drept de acces;

c.         autoritatea judecătorească, poliţia, organe de urmărire penală şi alte instituţii abilitate de lege să solicite informaţii.

3.7. LEGITIMITATEA STOCĂRII

GT MOTIVE ROMÂNIA se obligă să ia toate măsurile necesare pentru păstrarea datelor cu caracter personal de o manieră exactă, completată şi actualizată, pentru a îndeplinii scopurilor pentru care acestea au fost colectate. Datele inexacte sau incomplete vor fi rectificate sau eliminate.

Datele cu caracter personal vor fi păstrate numai pe perioada necesară îndeplinirii scopului stabilit, cu respectarea drepturilor persoanei vizate prevăzute de Regulamentul nr. 679/ 2016.

În urma verificărilor periodice, datele cu caracter personal deţinute de operator, care nu mai servesc realizării scopului sau îndeplinirii unor obligaţii legale, vor fi distruse.

3.8. SECURITATEA PRELUCRĂRILOR

GT MOTIVE ROMÂNIA are obligaţia de a lua toate măsurile tehnice şi organizatorice necesare pentru asigurarea unui nivel de protecţie şi de securitate adecvat, în cadrul operaţiunilor efectuate asupra datelor cu caracter personal. În acest scop vor fi avute în vedere cerințele minime obligatorii stabilite GDPR și de Ordinul 52/2002 privind adoptarea şi implementarea de către GT MOTIVE ROMÂNIA a măsurilor tehnice şi organizatorice necesare pentru păstrarea confidenţialităţii şi integrităţii datelor cu caracter personal.

3.9. DREPTUL DE INFORMARE

GT MOTIVE ROMÂNIA va informa persoanele ale căror date sunt prelucrate cu privire la: (i) identitatea operatorului; (ii) scopul în care se face prelucrarea datelor; (iii) informaţii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; (iv) dacă furnizarea tuturor datelor cerute este obligatorie şi consecinţele refuzului de a le furniza; (v) existenţa drepturilor prevăzute de GDPR pentru persoanele vizate.

3.10. DREPTUL DE ACCES

La cerere, GT MOTIVE ROMÂNIA va comunica persoanelor vizate informații referitoare la: categoriile de date cu caracter personal pe care le prelucrează, sursele de la care au fost colectate datele cu caracter personal, scopul prelucrării, precum şi dacă i-au fost dezvăluite unui terț aceste date.

Pentru exercitarea dreptului menționat menționate anterior, persoanele vizate vor adresa o cerere scrisă și semnată la:

GT MOTIVE ROMÂNIA București, Calea Floreasca nr. 131-135-137, Etaj 1, Biroul 2, sector 1, iar Informațiile se eliberează în mod gratuit.

O persoană vizată nu are dreptul de a accesa datele cu caracter personal ale altei persoane vizate.

3.11. DREPTUL DE INTERVENŢIE

Persoanele vizate au dreptul de a solicita verificarea exactităţii şi a caracterului complet al datelor cu caracter personal care le privesc, precum şi de a solicita rectificarea datelor inexacte sau incomplete, prin formularea unor cereri în acest sens .

GT MOTIVE ROMÂNIA va păstra o evidenţă a contestaţiilor privind caracterul exact sau complet al datelor, precum şi o evidenţă a datelor transferate către alţi operatori. Evidenţele vor conţine datele care au fost rectificate şi datele care au fost transferate.

Actualizarea bazelor de date se face prin intermediul informaţiilor transmise de persoanele vizate, precum şi prin informaţiile furnizate de orice sursă externă autorizată de lege.

3.12. DREPTUL DE OPOZIŢIE

Persoana vizată are dreptul de a se opune în orice moment, din motive întemeiate şi legitime legate de situaţia sa particulară, ca datele care o vizează să facă obiectul unei prelucrări, cu excepţia cazurilor în care există dispoziţii legale contrare. În caz de opoziţie justificată prelucrarea nu mai poate viza datele în cauză.

În vederea exercitării drepturilor prevăzute mai sus, persoana vizată va înainta GT MOTIVE ROMÂNIA o cerere scrisă, datată şi semnată. În cerere solicitantul poate arăta dacă doreşte ca informaţiile să îi fie comunicate la o anumită adresă, care poate fi şi de poştă electronică, sau printr-un serviciu de corespondenţă care să asigure că predarea i se va face personal.

GT MOTIVE ROMÂNIA comunică persoanei vizate măsurile luate, precum şi dacă este cazul, numele terţului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizată, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opţiuni a solicitantului.

3.13. SOLUŢIONAREA PLÂNGERILOR

GT MOTIVE ROMÂNIA soluționează plângerile şi orice alte cereri legate de prelucrarea datelor cu caracter personal, în termenele şi condiţiile prevăzute de lege.

CAPITOLUL IV – MĂSURI GENERALE DE PROTECȚIE A PRELUCĂRII

4.1. Durata stocării datelor cu caracter personal.

Va fi determinată în general de momentul exercitării dreptului de opoziție al clientului, în temeiul art. 21 din Regulamentul 679/2016.

4.2. Obligațiile procesatorului de date cu caracter personal sunt clar identificate iar  relațiile acestuia cu un reprezentant sunt guvernate întotdeauna de un contract ce prevede și clauze de confidențialitate.

4.3. Obținerea consimțământului persoanelor vizate este obținut prin informarea prealabilă a acestora cu privire la termenii și condițiile de utilizare a site-ului precum, cu privire la politicile de protecție a datelor cu caracter personal, inclusiv politica de folosire a cookies-urilor, prin bifarea unei căsuțe ce permite accesul efectiv în site.

4.4. În cazul unui transfer de date în afara Uniunii Europene, datele cu caracter personal prelucrate beneficiază de o protecție adecvată.

În cazul în care operatul decide transferul de date cu caracter personal către o parte terță de pe teritoriul unui stat din afara Uniunii Europene vor fi respectate cu prioritate dispozițiile art. 44 și art. 49 GDPR. Operatorul va analiza întotdeauna oportunitatea transferului de date cu caracter personal iar deciziile sale vor fi guvernate de respectarea principiului general al transferului prevăzut de Regulament.

Astfel, fiecare decizie a operatorului va analiza ofertele de la nivelul Uniunii Europene, de la statele despre care se cunoaște că pot oferi un nivel adecvat de protecție și sunt recunoscute ca atare la nivelul Uniunii sau state care fac parte din sistemul Privacy Shield[1] și abia apoi operatori din state terțe care din punct de vedere logistic și cu asigurări contractuale riguroase pot oferi gradul de securitate impus de normele europene.

4.5. Pentru buna-funcționare a activității, operatorul va desemna un reprezentat, Ofițer de Protecție a datelor cu caracter personal, care va fi în relație cu ANSPDCP și  care va monitoriza activitatea operatorului, va redactata plan de evaluare a riscurilor valabil 3 ani și va anunța orice incident de securitate cu impact semnificativ conform art. 33 GDPR.

4.6. Prin grija Ofițerului de protecție a datelor, operatorul va întocmi și menține un registru în care vor fi consemnate toate incidentele de securitate.

CAPITOLUL V – DISPOZIŢII FINALE ŞI TRANZITORII

5.1.Politica Prelucrării Datelor Personale a fost adoptata astăzi, GT MOTIVE ROMÂNIA cu posibilitatea revizuirii periodice, în funcție de modificările şi completările legislative aplicabile, precum şi de nivelul de dezvoltare tehnologică.

5.2. Politica Prelucrării Datelor Personale se completează cu prevederile legale în domeniul protecției datelor cu caracter personal.

5.3. Prezentul regulament intră în vigoare la data de ___________ și este obligatoriu pentru operator și pentru toți colaboratorii operatorului. Acesta conține un număr de 4 ANEXE:

ANEXA 1 : CERINŢELE MINIME DE SECURITATE;

ANEXA 2 : TERMENI ȘI CONDIȚII UTILIZARE SITE. POLITICA DE CONFIDENȚIALITATE.

ANEXA 3 : GHID DE RETENȚIE A DATELOR

ANEXA 4 : PROCEDURA ÎN CAZ DE INCIDENT DE SECURITATE ASUPRA DATELOR CU CARACTER PERSONAL

Prezentul regulament, împreună cu anexele la acesta, a fost adus la cunoștința colaboratorilor la data de ______________

Administrator,


[1] Privacy Shield, reprezintă cadrul legal dezvoltat de către Departamentul de Stat Americat privind Comerțul, Comisia Europeană și Administrația Confederației Elvețiene pentru a furniza companiilor de pe ambele părți ale Atlanticului un mecansim care să fie conform cu rigorile de protecție a datelor cu caracter personal atunci când sunt transferate date cu caracter personal din Uniunea Europeană și Elveția către SUA cu scopul efectuării de acte de comerț.