POLITICA GENERALĂ PRIVIND
PROTECȚIA DATELOR PERSONALE

1. INTRODUCERE
Această Politică privind prelucrarea și protecția datelor cu caracter personal (denumită în continuare “Politica”) definește procedura de prelucrare și protecție a datelor cu caracter personal în AEGIS SECURITY SERVICES S.R.L., societate cu răspundere limitată organizată și funcționând în conformitate cu prevederile din România, cu sediul în România, Municipiul Pitești, Oraș Pitești, Bulevardul Republicii Număr 138, Bloc 138, Scara A, Apartament 3, Parter, Cod Poștal 110042, înregistrată la Registrul Comerțului București sub nr. J3/385/16.10.2015, CUI 35135175 (denumită în continuare “AEGIS SECURITY SERVICES” sau “SOCIETATEA”), și stabilește procedurile care vizează prevenirea și evidențierea oricăror încălcări ale legii aplicabile cu privire la datele cu caracter personal.
Această Politică a fost elaborată în conformitate cu legislația României și a Uniunii Europene, în special cu următoarele documente:
Regulamentul General de Protecția Datelor (RGPD), adoptat de Parlamentul European și de Consiliul European la 27 Aprilie 2016;
Orice altă lege locală privind protecția datelor cu caracter personal ce se aplică în România.
2. SCOPUL POLITICII DE PROTECȚIE A DATELOR
Scopurile principale ale Politicilor sunt:
Stabilirea unei proceduri, precum și a termenilor și condițiilor privind prelucrarea datelor cu caracter personal, inclusiv procedurile care vizează prevenirea încălcării legilor și procedurilor de realizare a controlului intern în conformitate cu legislația aplicabilă privind datele cu caracter personal;
Prezentarea personalului AEGIS SECURITY SERVICES S.R.L. responsabil cu prelucrarea datelor cu caracter personal, a Politicii legii aplicabile cu privire la datele cu caracter personal și a cerințelor privind prelucrarea datelor cu caracter personal;
Stabilirea responsabilităților pentru personalul care prelucrează datele cu caracter personal în cazul nerespectării legii aplicabile privind datele cu caracter personal;
Respectarea dreptului subiecților de a fi informați asupra modalității în care se prelucrează datele lor cu caracter personal.
Astfel, scopul acestei Politici este să explice care sunt datele cu caracter personal pe care le prelucrăm, de ce le prelucrăm, precum și ce facem cu acestea. Având in vedere faptul că informațiile personale aparțin fiecărui utilizator, facem tot posibilul să le stocăm în siguranță și să le prelucrăm cu atenție. Nu oferim informații unor părți terțe fără a ne îndeplini obligația prealabilă de informare.
3. DOMENIUL DE APLICARE ȘI MODIFICAREA POLITICII DE PROTECȚIE A DATELOR
Această politică de protecție a datelor se aplică AEGIS SECURITY SERVICES S.R.L. și angajaților companiei. Politica privind protecția datelor se extinde la toate prelucrările de date cu caracter personal.
Această politică de protecție a datelor poate fi modificată doar sub coordonarea directă a Coordonatorului cu Protecția Datelor (DPC) din cadrul AEGIS SECURITY SERVICES S.R.L., orice modificare fiind validată de către Responsabilul cu Protecția Datelor (RPD) desemnat la nivelul AEGIS SECURITY SERVICES S.R.L..
Cea mai recentă versiune a politicii de protecție a datelor poate fi accesată cu informațiile privind confidențialitatea datelor pe site-ul AEGIS SECURITY SERVICES S.R.L.: www.aegissecurity.ro
4. DEFINIŢII DE BAZĂ
În sensul prezentei Politici, se folosesc următoarele definiții:
“Responsabil cu Protecția Datelor (RPD)” înseamnă o persoană care este responsabilă cu monitorizarea aplicării RGPD și a altor legi aplicabile privind protecția persoanelor vizate de prelucrarea datelor cu caracter personal și care exercită funcțiile care îi sunt atribuite de prezenta Politică și de altă legislație aplicabilă, furnizează consultanță managementului AEGIS SECURITY SERVICES S.R.L. cu privire la protecția datelor cu caracter personal.
“Date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă (“persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale ale acelei persoane;
“Prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea
“Restricționarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
“Creare de Profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;
“Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. În sensul prezentei Politici, prin operator de înțelege AEGIS SECURITY SERVICES S.R.L.;
“Persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
“Destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță;
“Parte terță” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
“Consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
“Încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
“Date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia;
“Prelucrarea transfrontalieră” înseamnă fie prelucrarea datelor cu caracter personal care are loc în contextul activităților sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul Uniunii, dacă operatorul sau persoana împuternicită de operator are sedii în cel puțin două state membre; sau fie prelucrarea datelor cu caracter personal care are loc în contextul activităților unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane vizate din cel puțin două state membre.
5. PRINCIPII DE PRELUCRARE A DATELOR CU CARACTER PERSONAL
a. Corectitudinea și legalitatea
AEGIS SECURITY SERVICES S.R.L. protejează drepturile individuale ale persoanelor fizice (“Persoana vizată”) cu ocazia prelucrării datelor cu caracter personal, datele cu caracter personal fiind colectate și prelucrate în mod legal și corect.
“Legalitatea” – presupune identificarea bazei legale înainte de prelucrarea datelor cu caracter personal. Acestea sunt denumite adesea „condițiile de prelucrare”, de exemplu, consimțământul.
“Corectitudinea” – pentru ca prelucrarea datelor să fie corectă, operatorul de date trebuie să facă anumite informații disponibile pentru Persoanele vizate. Aceasta se aplică indiferent dacă datele cu caracter personal au fost obținute direct de la persoanele vizate sau din alte surse.
b. Restricții la un anumit scop („limitări legate de scop”)
Datele cu caracter personal sunt prelucrate numai în scopul definit înainte de începerea colectării Datelor. Modificările ulterioare ale scopului sunt posibile doar cu titlu excepțional, într-o măsură limitată și necesită o fundamentare.
c. Transparența
Persoana vizată este informată cu privire la modul în care sunt prelucrate datele sale. În general, datele cu caracter personal sunt colectate direct de la persoana în cauză. Atunci când datele sunt colectate, Persoana vizată trebuie să fie conștientă sau să fie informată despre:
Identitatea Operatorului de Date;
Scopul prelucrării datelor;
Terțe părți sau categorii de terțe părți cărora le-ar putea fi transmise datele.
d. Reducerea prelucrării datelor și economia colectării datelor („reducerea la minimum a datelor”)
Înainte de prelucrarea datelor cu caracter personal, trebuie determinat dacă și în ce măsură prelucrarea datelor cu caracter personal este necesară pentru atingerea scopului pentru care este efectuată. Atunci când scopul permite acest lucru și unde cheltuielile implicate sunt proporționale cu scopul urmărit, sunt utilizate date anonime sau statistice. Datele cu caracter personal nu sunt colectate în avans și stocate în scopuri potențiale viitoare, cu excepția cazului în care acest lucru este impus sau permis de legislația in vigoare.
e. Ștergerea
Datele personale care nu mai sunt necesare după expirarea perioadelor legate de procesele legale sau de afaceri sunt șterse. În cazul în care sunt identificate indicii cu privire la existența unor interese care necesită protejarea sau legate de importanța istorică a acestor date în cazuri individuale, este posibil ca AEGIS SECURITY SERVICES S.R.L. să păstreze datele până când interesele care merită protejate au fost clarificate în mod legal, sau arhiva a evaluat datele pentru a determina dacă trebuie păstrate în scopuri istorice/ arhivistice. Atunci când ștergerea datelor poate avea impact asupra sistemelor informatice ale AEGIS SECURITY SERVICES S.R.L., datele vor fi anonimizate ireversibil, astfel încât să nu mai existe indicii care să poată conduce la identificarea persoanei vizate.
f. Precizia faptică; actualizarea datelor („exactitate”)
Datele cu caracter personal trebuie să fie corecte, complete și, dacă este necesar, să fie actualizate. AEGIS SECURITY SERVICES S.R.L. ia măsuri adecvate pentru a se asigura că datele eronate sau incomplete sunt șterse, corectate, completate sau actualizate.
g. Confidențialitatea și securitatea datelor („integritate și confidențialitate”)
Datele cu caracter personal sunt supuse obligațiilor legale de păstrare a secretului datelor. Acestea trebuie să fie tratate ca fiind confidențiale de fiecare angajat al AEGIS SECURITY SERVICES S.R.L. și sunt asigurate măsuri organizatorice și tehnice adecvate pentru a preveni accesul neautorizat, prelucrarea sau distribuția ilegală, precum și pierderea accidentală, modificarea sau distrugerea.
h. Principiul răspunderii conform GDPR
GDPR include prevederi care promovează răspunderea și guvernanța. Acestea completează cerințele de transparență ale GDPR. Principiul răspunderii din Articolul 5 (2) din GDPR vă solicită să demonstrați că respectați principiile și specifică explicit că aceasta este responsabilitatea dvs.
AEGIS SECURITY SERVICES S.R.L. va dovedi conformitatea cu principiile de protecția datelor prin implementarea politicilor de protecția datelor, respectarea codurilor de conduită, implementarea unor măsuri tehnice și organizaționale, precum și adoptarea unor tehnici precum protecția datelor prin design, procedura de notificare a încălcării și planuri de răspuns la incidente.
6. TEMEIURILE PRELUCRARII DATELOR
Colectarea, prelucrarea și utilizarea datelor cu caracter personal este permisă numai în temeiurile enumerate mai jos:
a. Date despre clienți și parteneri
a.1. Prelucrarea datelor pentru executarea unui contract
Datele personale ale persoanelor de contact și reprezentanților clienților, furnizorilor și partenerilor pot fi procesate pentru a stabili, executa și înceta un contract. Înainte de semnarea contractului – în timpul fazei de inițiere a contractului – datele personale pot fi prelucrate pentru a pregăti ofertele sau comenzile de cumpărare sau pentru a îndeplini alte cerințe din perspectiva care se referă la încheierea contractului. Persoanele de contact pot fi contactate în timpul procesului de pregătire a contractului, utilizând doar informațiile pe care acestea le-au furnizat pentru contactare. Orice restricții solicitate de persoanele de contact respective, trebuie să fie respectate.
a.2. Consimțământul ca temei al prelucrării datelor
Atunci când este necesar consimțământul persoanelor vizate, Datele pot fi prelucrate după primirea acordului persoanei vizate. Consimțământul trebuie obținut în scris sau în format electronic în scopul documentării. În anumite circumstanțe, cum ar fi conversațiile telefonice, consimțământul poate fi dat verbal. Este obligatorie documentarea acordării consimțământului.
a.3. Prelucrarea datelor în conformitate cu obligația legală
Prelucrarea datelor cu caracter personal este permisă și în cazul în care legislația aplicabila solicită, impune sau permite acest lucru. Tipul și amploarea procesării datelor trebuie să fie necesare pentru activitatea legală de prelucrare a datelor și trebuie să respecte dispozițiile legale relevante.
a.4. Prelucrarea datelor în conformitate cu interesele legitime
Datele cu caracter personal pot fi procesate și în cazul în care acest lucru este necesar pentru un interes legitim al AEGIS SECURITY SERVICES S.R.L.. Interesele legitime sunt în general de natură juridică (de exemplu, colectarea creanțelor restante) sau comerciale (de exemplu, evitarea încălcărilor contractului). Datele cu caracter personal nu pot fi prelucrate în scopul unui interes legitim dacă, în cazuri individuale, există dovezi conform cărora interesele persoanei vizate merită protecție și că aceasta are prioritate. Înainte de prelucrarea datelor, este necesar să se determine dacă există interese care merită protejate.
a.5. Prelucrarea datelor sensibile
AEGIS SECURITY SERVICES S.R.L. nu prelucrează nicio informație referitoare la rasă, națiune, opinii politice, credințe religioase sau filosofice, intimitate, viață privată.
Datele cu caracter personale sensibile pot fi prelucrate numai dacă legea impune acest lucru sau dacă persoana vizată și-a dat consimțământul în mod expres. Aceste date pot fi, de asemenea, prelucrate dacă o asemenea prelucrare este obligatorie pentru recunoașterea, exercitarea sau apărarea drepturilor legale referitoare la persoana vizată.
Dacă în cadrul AEGIS SECURITY SERVICES S.R.L. există planuri de prelucrare a datelor extrem de sensibile, RPD și Coordonatorul cu Protecția Datelor (DPC) trebuie informați în prealabil.
Dacă datele cu caracter personal sunt colectate, prelucrate și utilizate pe site-uri web sau în aplicații, persoanele vizate trebuie să fie informate despre aceasta printr-o declarație de confidențialitate și, dacă este cazul, să i se pună la dispoziție informații despre cookie-uri. Declarația de confidențialitate și orice informație privind modulele cookie trebuie să fie integrate astfel încât să fie ușor de identificat, direct accesibile și disponibile în mod consecvent pentru persoanele vizate.
b. Datele angajatului/viitorilor angajați
b.1. Prelucrarea datelor pentru relația de muncă
În relațiile de muncă, datele cu caracter personal pot fi prelucrate, dacă este necesar, pentru inițierea, executarea și încetarea contractului de muncă. La inițierea unui raport de muncă, datele personale ale solicitanților vor fi procesate. În cazul în care candidatul este respins, datele sale trebuie șterse în conformitate cu perioada de păstrare necesară, cu excepția cazului în care solicitantul a fost de acord să rămână la dosar pentru un viitor proces de selecție pentru o perioadă de 12 luni de la data aplicării. De asemenea, este necesar consimțământul pentru utilizarea datelor pentru procesele de aplicare suplimentare.
În raportul de muncă existent, prelucrarea datelor trebuie să se refere întotdeauna la scopul contractului de muncă, dacă nu se aplică niciuna dintre următoarele circumstanțe pentru prelucrarea datelor autorizate.
Dacă în timpul procedurii de solicitare ar trebui să fie necesară colectarea de informații despre un solicitant de la o terță parte, trebuie respectate cerințele legilor naționale corespunzătoare. În caz de îndoială, trebuie obținut un acord de la persoana vizată.
Trebuie să existe o autorizație legală pentru prelucrarea datelor cu caracter personal care au legătură cu relația de muncă, dar care nu a făcut parte inițial din executarea contractului de muncă. Acestea pot include cerințe legale, reglementări colective cu reprezentanții angajaților, consimțământul angajatului sau interesul legitim al companiei.
b.2. Prelucrarea datelor în conformitate cu obligația legală
Prelucrarea datelor personale ale angajaților este permisă și în cazul în care legislația națională solicita si impune acest lucru. Tipul și amploarea procesării datelor trebuie să fie necesare pentru activitatea legală de prelucrare a datelor și trebuie să respecte dispozițiile legale relevante. Dacă există o anumită flexibilitate juridică, trebuie luate în considerare interesele angajatului care merită protejate.
b.3. Consimțământul la prelucrarea datelor
Acolo unde este necesar, Datele angajatului pot fi prelucrate după consimțământul persoanei în cauză. Declarațiile de consimțământ trebuie prezentate în mod voluntar. Acordul involuntar este nul. Declarația de consimțământ trebuie obținută în scris sau în format electronic și va fi păstrată de operator. În anumite circumstanțe, consimțământul poate fi dat verbal, caz în care trebuie să fie documentat ulterior corespunzător. În cazul furnizării informate și voluntare de date de către partea relevantă, se poate presupune existența unui acord, dacă legislația națională nu solicită consimțământul expres.
Prin „consimțământ” se înțelege că persoana vizată și-a dat acordul pentru prelucrarea datelor cu caracter personal cu privire la propria persoană. Persoana vizată își poate retrage consimțământul în orice moment prin trimiterea unui email la: office@csssecurity.ro.
b.4. Prelucrarea datelor în baza unui interes legitim
Datele personale pot fi procesate și în cazul în care este necesar să se impună un interes legitim al AEGIS SECURITY SERVICES S.R.L.. Interesele legitime sunt în general de natură juridică (de exemplu, depunerea, aplicarea sau apărarea împotriva unor acțiuni legale) sau financiare (de exemplu, recuperare contravaloare daune materiale).
Datele cu caracter personal nu pot fi prelucrate pe baza unui interes legitim dacă, în cazuri individuale, există dovezi că interesele angajatului merită protecție. Înainte de procesarea datelor, trebuie să se determine dacă există interese care merită protejate.
Măsurile de control care necesită prelucrarea datelor angajatului pot fi luate numai dacă există o obligație legală în acest sens sau dacă există un motiv legitim. Chiar dacă există un motiv legitim, trebuie examinată și proporționalitatea măsurii de control. Interesele justificate ale AEGIS SECURITY SERVICES S.R.L. (de exemplu, respectarea dispozițiilor legale și a reglementarilor interne ale societății) trebuie să fie cântărite în raport cu interesele angajatului care trebuie protejate și care pot fi afectate de măsura de control ce urmează a fi adoptată. Interesul legitim al companiei și orice interese ale angajatului care merită protejat trebuie să fie identificate și documentate înainte de luarea oricăror măsuri. În plus, trebuie luate în considerare orice cerințe suplimentare din legislația națională (de exemplu, drepturile de co-decizie pentru reprezentanții angajaților și drepturile de informare ale persoanelor vizate).
b.5. Prelucrarea datelor personale sensibile
Datele personale sensibile pot fi procesate numai în anumite condiții. Datele personale sensibile sunt date despre originea rasială și etnică, convingerile politice, convingerile religioase sau filozofice, calitatea de membru al unei uniuni/formațiuni și sănătatea și viața sexuală a persoanei vizate. În conformitate cu legislația națională, alte categorii de date pot fi considerate sensibile sau conținutul categoriilor de date poate fi completat diferit. Mai mult, datele care se referă la o infracțiune pot fi procesate numai în conformitate cu cerințele speciale din legislația națională.
Prelucrarea trebuie permisă în mod expres sau prescrisă de legislația națională. În plus, prelucrarea poate fi permisă dacă este necesar ca autoritatea responsabilă să își îndeplinească drepturile și obligațiile în domeniul dreptului muncii. Angajatul poate, de asemenea, să consimtă în mod expres prelucrarea. Dacă există planuri de prelucrare a datelor personale sensibile, Coordonatorul cu Protecția Datelor (DPC) trebuie informat în prealabil.
b.6. Telecomunicații și internet
Echipamentele telefonice, adresele de e-mail și internetul împreună cu rețelele sociale interne sunt furnizate de companie în primul rând pentru misiuni legate de muncă. Ele sunt un instrument și o resursă a companiei. Acestea pot fi utilizate în cadrul reglementărilor legale aplicabile și al politicilor interne ale societății. În cazul utilizării autorizate în scopuri personale, legile privind secretul telecomunicațiilor și legile naționale privind telecomunicațiile trebuie să fie respectate, dacă este cazul.
Pentru a asigura confidențialitatea, integritatea și disponibilitatea datelor, AEGIS SECURITY SERVICES S.R.L. poate implementa măsuri de protecție automate, inclusiv analiza traficului, în vederea detectării vectorilor sau modelelor de atac și prevenirii acestora, ca și în cazul răspunsului la incidentele de securitate informatică.
Pentru asigurarea unui grad ridicat al securității informatice și în vederea soluționării incidentelor de securitate informatică, utilizarea echipamentelor telefonice, a adreselor de e-mail, a rețelelor de internet și a rețelelor sociale interne poate fi înregistrată pentru o perioadă temporară.
Evaluările acestor date si identificarea/profilarea unei anumite persoane poate fi făcuta doar într-un caz concret și justificat de încălcări suspectate a legilor in vigoare sau politicilor AEGIS SECURITY SERVICES S.R.L.. Evaluările pot fi efectuate numai de către departamentele de investigare, asigurându-se, în același timp, respectarea principiului proporționalității.
AEGIS SECURITY SERVICES S.R.L. nu va prelucra date cu caracter personal în absența unuia dintre motivele de mai sus. Aceeași regulă se aplică, de asemenea, în cazul în care scopul colectării, prelucrării și utilizării datelor cu caracter personal trebuie să fie modificat față de scopul inițial.
AEGIS SECURITY SERVICES S.R.L. nu folosește ’cookie’-uri pe site-ul său (un „cookie” reprezintă o cantitate mică de date care include adesea un identificator unic care este trimis pe browser-ul calculatorului de pe server unui site internet şi este stocat pe hard disk-ul unui utilizator. Permite unui site internet să-şi amintească lucruri cum ar fi preferințele utilizatorului, sau ce se găsește în coșul de cumpărături al utilizatorului).
7. TRANSMITEREA DATELOR CU CARACTER PERSONAL
Transmiterea datelor cu caracter personal către destinatarii din afara sau în interiorul AEGIS SECURITY SERVICES S.R.L., face obiectul cerințelor de autorizare pentru prelucrarea datelor cu caracter personal în conformitate cu secțiunea 5. Beneficiarul datelor trebuie să fie obligat să utilizeze datele numai în scopurile definite.
În cazul în care datele sunt transmise unui destinatar din afara AEGIS SECURITY SERVICES S.R.L. către o țară terță, această țară trebuie să accepte să mențină un nivel de protecție a datelor echivalent cu această politică de protecție a datelor. Acest lucru nu se aplică în cazul în care transmiterea se bazează pe o obligație legală. În cazul în care datele sunt transmise de o terță parte AEGIS SECURITY SERVICES S.R.L., trebuie să se asigure că datele pot fi utilizate în scopul dorit.
8. PRELUCRAREA DATELOR PRIVIND CONTRACTELE
Prelucrarea datelor în numele său înseamnă că un furnizor este angajat să proceseze date cu caracter personal, fără a-și asuma responsabilitatea pentru procesul de afaceri afiliat. În aceste cazuri, un acord privind prelucrarea datelor în numele acestuia trebuie încheiat cu furnizori externi și AEGIS SECURITY SERVICES S.R.L..
Clientul își păstrează întreaga responsabilitate pentru performanța corectă a procesării datelor. Furnizorul poate procesa date personale numai conform instrucțiunilor clientului. La emiterea ordinului, departamentul care plasează comanda trebuie să se asigure că sunt îndeplinite următoarele cerințe:
a) Furnizorul trebuie ales pe baza capacității sale de a acoperi măsurile tehnice și organizatorice de protecție necesare.
b) Ordinul trebuie trimis în scris. Instrucțiunile privind prelucrarea datelor și responsabilitățile clientului și furnizorului trebuie să fie documentate.
c) Trebuie luate în considerare standardele contractuale privind protecția datelor furnizate de responsabilul cu protecția datelor.
d) Înainte de începerea prelucrării datelor, clientul trebuie să aibă încredere că furnizorul își va respecta obligațiile. Un furnizor poate documenta conformitatea cu cerințele de securitate a datelor, în special prin prezentarea unei certificări adecvate. În funcție de riscul de prelucrare a datelor, revizuirile trebuie repetate în mod regulat pe durata contractului.
e) În cazul procesării transfrontaliere a datelor din contracte, trebuie îndeplinite cerințele naționale relevante pentru divulgarea datelor cu caracter personal în străinătate. În special, datele cu caracter personal din Spațiul Economic European pot fi procesate într-o țară terță numai dacă furnizorul poate dovedi că are un standard de protecție a datelor echivalent cu această politică de protecție a datelor. Instrumentele adecvate pot fi:
i. Acordul privind clauzele contractuale standard ale UE pentru prelucrarea datelor din contracte în țările terțe cu furnizorul și cu orice subcontractanți;
ii. Participarea furnizorului la un sistem de certificare acreditat de UE pentru asigurarea unui nivel suficient de protecție a datelor.
9. DREPTURILE PERSOANEI VIZATE
Persoana vizată ale cărui date cu caracter personal sunt prelucrate de AEGIS SECURITY SERVICES S.R.L. are următoarele drepturi:
Dreptul de a fi informat – să obțină de la AEGIS SECURITY SERVICES S.R.L. următoarele informații:
identitatea și datele de contact ale AEGIS SECURITY SERVICES S.R.L., ale reprezentanților, și ale responsabilului cu protecția datelor;
scopurile și temeiul juridic al prelucrării datelor cu caracter personal, interesele legitime ale AEGIS SECURITY SERVICES S.R.L.;
categoriile de date cu caracter personal;
destinatarii datelor cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale (dacă există) și referirea la garanțiile și mijloacele corespunzătoare;
perioada de stocare a datelor cu caracter personal și criteriile folosite pentru a determina acea perioadă, sub rezerva că AEGIS SECURITY SERVICES S.R.L. păstrează și prelucrează datele cu caracter personal atâta timp cât legile și reglementările legale impun acest lucru. Prelucrarea datelor cu caracter personal încetează imediat dacă nu mai există niciun motiv pentru o astfel de prelucrare;
din ce sursă provin datele cu caracter personal (în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată);
Dacă furnizarea de date cu caracter personal este o cerință legală sau contractuală, sau o cerință necesară pentru a încheia un contract, precum și dacă persoana vizată este obligată să furnizeze date cu caracter personal și a posibilelor consecințe ale neîndeplinirii de furnizare a acestor date.
Dreptul de acces la datele cu caracter personal – să obțină de la AEGIS SECURITY SERVICES S.R.L. confirmarea dacă datele cu caracter personal sunt prelucrate sau și dreptul de a primi o copie a oricărei înregistrări care conține datele sale cu caracter personal;
Dreptul la rectificare – să obțină de la AEGIS SECURITY SERVICES S.R.L. fără întârzieri nejustificate rectificarea unor date cu caracter personal inexacte cu privire la el/ea, completarea datelor cu caracter personal incomplete, inclusiv prin furnizarea unei declarații suplimentare;
Dreptul la ștergerea datelor (“dreptul de a fi uitat”) – să obțină de la AEGIS SECURITY SERVICES S.R.L. ștergerea datelor cu caracter personal fără întârzieri nejustificate (dacă datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate; persoana vizată își retrage consimțământul; datele cu caracter personal au fost prelucrare ilegal etc.);
Dreptul la restricționarea prelucrării dacă datele cu caracter personal sunt inexacte; prelucrarea este ilegală și persoana vizată solicită restricționarea utilizării datelor cu caracter personal în locul ștergerii lor; datele cu caracter personal nu mai sunt necesare în scopul prelucrării, dar ele sunt solicitate pentru constatarea, exercitarea sau apărarea unui drept în instanță; persoana vizată s-a opus prelucrării pentru intervalul de timp când se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate;
Dreptul la portabilitatea datelor – să primească datele cu caracter personal într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date cu caracter personal unui alt operator fără obstacole din partea AEGIS SECURITY SERVICES S.R.L. (dacă prelucrarea se bazează pe consimțământ sau pe un contract, iar prelucrarea este efectuată prin mijloace automate);
Dreptul la opoziție în orice moment al prelucrării datelor cu caracter personal (inclusiv crearea de profiluri pe baza respectivelor dispoziții și au fost date cu caracter personal prelucrate în scopuri de marketing direct);
Dreptul la retragerea consimțământului în orice moment, fără a afecta legalitatea prelucrării bazate pe consimțământ, înainte de retragerea sa. Astfel persoana vizată înțelege și este de acord că, în cazul retragerii, nu se poate ajunge la scopul prelucrării datelor cu caracter personal;
Dreptul de a depune o plângere la o autoritate de supraveghere, Biroul Comisarului pentru protecția Datelor cu Caracter Personal, în cazul în care persoana vizată decide că drepturile sale sunt încălcate;
Dreptul la o cale de atac eficientă împotriva unei autorități de supraveghere, AEGIS SECURITY SERVICES S.R.L. sau alt procesator;
Dreptul la despăgubiri de la AEGIS SECURITY SERVICES S.R.L. sau de la un alt procesator pentru prejudiciul suferit.
10. CONFIDENȚIALITATEA PROCESĂRII
Datele personale sunt considerate informații confidențiale si vor fi tratate ca atare. Orice colectare, prelucrare sau utilizare neautorizată a acestor date de către angajați este interzisă. Prelucrarea datelor cu caracter personal este confidențială. Ea va fi efectuată numai de persoanele care acționează sub autoritatea AEGIS SECURITY SERVICES S.R.L. și numai pe baza instrucțiunilor acesteia.
Orice procesare de date efectuată de un angajat, care nu a fost autorizată să fie desfășurată ca parte a îndatoririlor sale legitime, este considerată ca fiind neautorizată. Se aplică principiul “necesitatea de a cunoaște”. Angajații pot avea acces la informații personale în funcție de adecvarea acestui acces la tipurile de date si de scopul determinat. Acest lucru se bazează pe defalcarea și separarea atentă a atribuțiilor angajaților AEGIS SECURITY SERVICES S.R.L. și presupune punerea în aplicare a rolurilor și responsabilităților pentru fiecare angajat.
Angajaților li se interzice să utilizeze date cu caracter personal în scopuri private sau comerciale, să le dezvăluie persoanelor neautorizate sau să le pună la dispoziție în orice alt mod. Superiorii ierarhici își informează angajații la începutul relației de muncă cu privire la obligația de a proteja secretul datelor.
În cazul utilizării neautorizate a datelor personale, angajații pot fi sancționați în conformitate cu legislația aplicabilă și cu reglementările în vigoare în cadrul AEGIS SECURITY SERVICES S.R.L..
Obligația menținerii confidențialității datelor personale rămâne în vigoare și după încheierea perioadei de angajare, sancțiunile aplicabile în caz de încălcare a obligației de confidențialitate fiind cele prevăzute de cadrul legislativ în vigoare.
11. SECURITATEA PRELUCRĂRII
Datele personale sunt protejate împotriva accesului neautorizat și împotriva prelucrării sau divulgării ilegale, precum și pierderii accidentale, modificării sau distrugerii. Acest lucru se aplică indiferent dacă datele sunt prelucrate electronic, pe suport de hârtie sau prin alte mijloace. Înainte de introducerea noilor metode de prelucrare a datelor, în special a noilor sisteme informatice, sunt definite și implementate măsuri tehnice și organizatorice de protecție a datelor cu caracter personal. Aceste măsuri trebuie să se bazeze pe stadiul tehnicii, pe riscurile procesării și pe necesitatea de a proteja datele (determinate de procesul de clasificare a informațiilor).
În special, structura organizatorică responsabilă se poate consulta cu responsabilul pentru protecția datelor. Măsurile tehnice și organizatorice pentru protecția datelor personale fac parte din managementul securității informațiilor și sunt adaptate în mod continuu la evoluțiile tehnice și schimbările organizaționale.
Accesul la datele cu caracter personal este oferit numai acelor angajați ai AEGIS SECURITY SERVICES S.R.L. care au nevoie de astfel de date cu caracter personal pentru a-și îndeplini sarcinile legate de oricare dintre scopurile prelucrării menționate mai sus (inclusiv departamentul resurse umane, departamentul pază și protecție, departamentul financiar-contabil). Orice acces la datele cu caracter personal pentru alți angajați care nu au drepturi de accesare în conformitate cu prezenta Politică, este interzis.
Angajații AEGIS SECURITY SERVICES S.R.L. care au acces la datele cu caracter personal au dreptul să prelucreze numai acele date de care au nevoie pentru a-şi îndeplini responsabilitățile specifice de muncă legate de oricare dintre scopurile de prelucrare menţionate mai sus.
Documentele care conțin date cu caracter personal sunt stocate în departamentele structurale ale AEGIS SECURITY SERVICES S.R.L. ai căror angajați au acces la datele cu caracter personal legat de îndeplinirea atribuțiilor lor oficiale și sunt responsabili de interacțiunea datele relevante ale persoanei vizate.
O persoană care prelucrează date cu caracter personal în numele AEGIS SECURITY SERVICES S.R.L. respectă principiile și regulile de prelucrare a datelor cu caracter personal stabilite prin prezenta Politica.
Dacă AEGIS SECURITY SERVICES S.R.L. autorizează o altă persoană cu prelucrarea datelor cu caracter personal, AEGIS SECURITY SERVICES S.R.L. este responsabilă față de persoana vizată de prelucrarea datelor cu caracter personal pentru faptele sau omisiunile acelei persoane. O persoană care prelucrează date cu caracter personal în numele AEGIS SECURITY SERVICES S.R.L. este responsabilă față de AEGIS SECURITY SERVICES S.R.L..
Toate datele cu caracter personal trebuie să fie tratate cu cea mai înaltă securitate și trebuie păstrate:
într-o cameră închisă cu cheia cu acces controlat; și/sau
într-un sertar sau dulap închis cu cheia; și/sau
dacă sunt computerizate, parola protejată conform cerințelor din politica de control al accesului; și/sau
stocate în medii de calculator (detașabile) care sunt criptate în conformitate cu standardele în domeniu;
12. CONTROLUL PROTECȚIEI DATELOR
Respectarea politicii de protecție a datelor și a legilor aplicabile privind protecția datelor este verificată în mod regulat prin intermediul auditurilor de protecție a datelor precum și al altor controale. Realizarea acestor controale este responsabilitatea responsabilului cu protecția datelor.
Rezultatele controalelor privind protecția datelor sunt raportate responsabilului cu protecția datelor. Managementul AEGIS SECURITY SERVICES S.R.L. este informat despre rezultatele primare ca parte a sarcinilor de raportare ale responsabilului cu protecția datelor cu caracter personal. La cerere, rezultatele controalelor privind protecția datelor vor fi puse la dispoziția autorității responsabile de protecția datelor. Autoritatea responsabilă cu protecția datelor poate efectua propriile controale de conformitate cu reglementările din această politică, conform legislației naționale.
13. REȚINEREA ȘI ELIMINAREA DATELOR
AEGIS SECURITY SERVICES S.R.L. nu va păstra Datele personale într-o formă care permite identificarea persoanelor vizate pentru o perioadă mai lungă decât este necesar, în legătură cu scopurile pentru care datele au fost colectate inițial.
AEGIS SECURITY SERVICES S.R.L. poate stoca datele perioade mai lungi conform termenelor imperative de prescriptive aplicabile si cu implementarea unor măsuri tehnice și organizaționale adecvate pentru a proteja drepturile și libertățile Persoanelor vizate.
Datele personale trebuie să fie eliminate în siguranță în conformitate cu al șaselea principiu al GDPR – prelucrate într-un mod adecvat pentru a menține securitatea, cu protejarea „drepturilor și libertăților” persoanelor vizate. Orice eliminare a datelor va fi efectuată în conformitate cu procedura de eliminare sigură.
14. INCIDENTE DE PROTECȚIE A DATELOR
Toți angajații sunt obligați să informeze imediat superiorul sau Coordonatorul cu Protecția Datelor (DPC) cu privire la cazurile de încălcare a acestei politici de protecție a datelor sau alte reglementări privind protecția datelor cu caracter personal (incidente de protecție a datelor), indiferent dacă este vorba despre o încălcare a confidențialității, a integrității datelor sau a disponibilității acestora. Conducătorul structurii organizatorice este obligat să informeze imediat Coordonatorul cu Protecția Datelor (DPC) cu privire la incidentele de protecție a datelor.
În cazurile de:
Transmitere necorespunzătoare a datelor cu caracter personal către terțe părți,
Acces neadecvat la datele cu caracter personal sau
Pierdere, distrugere sau alterare a datelor cu caracter personal, conducătorul structurii organizaționale în cauza întocmește, de urgenta, rapoartele de sesizare, conform regulilor stabilite pentru Gestionarea Incidentelor de Securitate a Informațiilor, astfel încât să poată fi luate măsurile urgente pentru limitarea afectării titularilor de date cu caracter personal și pentru respectarea obligațiilor de raportare și notificare a incidentelor către autoritatea de supraveghere.
15. RESPONSABILITĂȚI ȘI SANCȚIUNI
Conducerea AEGIS SECURITY SERVICES S.R.L. precum și angajații și prepușii acestora sunt responsabili de prelucrarea datelor în zona lor de responsabilitate. Prin urmare, aceștia sunt obligați să se asigure că sunt îndeplinite cerințele legale pentru protecția datelor și cele conținute în politica de protecție a datelor (de exemplu, obligațiile naționale de raportare). Organele de conducere au responsabilitatea de a se asigura că există măsuri organizaționale, resurse umane și tehnice pentru ca orice prelucrare a datelor să fie efectuată în conformitate cu protecția datelor. Respectarea acestor cerințe reprezintă responsabilitatea conducătorilor de structuri organizatorice.
Coordonatorul cu Protecția Datelor (DPC) de la nivelul AEGIS SECURITY SERVICES S.R.L. este informat de îndată despre controalele efectuate de autoritățile de supraveghere cu privire la protecția datelor. Acesta, la rândul sau, va informa Responsabilul cu Protecția Datelor (RPD) desemnat la nivelul AEGIS SECURITY SERVICES S.R.L..
Coordonatorul cu Protecția Datelor (DPC) este persoana de contact local din cadrul AEGIS SECURITY SERVICES S.R.L.. Acesta poate efectua verificări și familiarizează angajații AEGIS SECURITY SERVICES S.R.L. cu conținutul politicilor de protecție a datelor. Departamentele responsabile de procesele și proiectele de afaceri informează în timp util Coordonatorul cu Protecția Datelor (DPC) cu privire la noile prelucrări de date cu caracter personal. Pentru planurile de prelucrare a datelor care pot prezenta riscuri speciale pentru drepturile individuale ale persoanelor vizate, Coordonatorul cu Protecția Datelor (DPC) este informat înainte de începerea procesării. Acest lucru se aplică în mod obligatoriu datelor cu caracter personal sensibile.
Prelucrarea necorespunzătoare a datelor cu caracter personal sau alte încălcări ale legilor privind protecția datelor pot conduce la cereri de despăgubire pentru prejudicii. Încălcările pentru care angajații individuali sunt responsabili pot conduce la sancțiuni prevăzute în dreptul muncii.
16. RESPONSABILUL CU POTECȚIA DATELOR (RPD)
Responsabilul cu Protecția Datelor (RPD) numit la nivelul grupului de firme AEGIS SECURITY SERVICES S.R.L., fiind independent din punct de vedere al ordinelor profesionale, își desfășoară activitatea pentru respectarea legislației in vigoare privind protecția datelor. El este responsabil pentru politica de protecție a datelor și supraveghează respectarea acesteia. Ofițerul de Protecția Datelor are linie de raportare directă către Consiliul de Administrație al grupului AEGIS SECURITY SERVICES S.R.L. în cadrul căreia își desfășoară activitatea.
Responsabilul de Protecția Datelor (RPD) din cadrul AEGIS SECURITY SERVICES S.R.L., informează fără întârziere Coordonatorul cu Protecția Datelor (DPC) al AEGIS SECURITY SERVICES S.R.L. cu privire la orice risc de protecție a datelor. Orice persoană vizată poate aborda Coordonatorul cu Protecția Datelor (DPC), în orice moment să ridice preocupări, să pună întrebări, să solicite informații sau să depună plângeri legate de protecția datelor sau de problemele de securitate a datelor. Dacă se solicită, preocupările și plângerile vor fi tratate în mod confidențial.
În cazul în care coordonatorul de date în cauză nu poate rezolva o plângere sau remedia încălcarea politicii de protecție a datelor, Responsabilul de Protecția Datelor (RPD)este consultat de îndată.
Deciziile luate de Responsabilul de Protecția Datelor (RPD) pentru remedierea încălcărilor privind protecția datelor trebuie să fie susținute de conducerea societății în cauză. Anchetele autorităților de supraveghere sunt întotdeauna raportate responsabilului cu protecția datelor.
Datele de contact ale responsabilului cu protecția datelor și ale personalului sunt următoarele:
AEGIS SECURITY SERVICES S.R.L.,
Responsabil de Protecție a Datelor (RPD).
E-mail: dpo@aegissecurity.ro;
Telefon/Fax: +40 0248 707 387
17. DATA INTRĂRII ÎN VIGOARE. MODIFICARE
Prezenta Politică intră în vigoare la 25 Mai 2018.
AEGIS SECURITY SERVICES S.R.L. poate schimba sau modifica prezenta politică periodic. Acest lucru se poate întâmpla, de exemplu, din cauza schimbărilor de lege, sau dacă AEGIS SECURITY SERVICES S.R.L. își modifică afacerea sau practicile sale.