PROTECŢIE DATELOR CU
CARACTER PERSONAL
1. Scop, Domeniu de Aplicare și Destinatari
Scopul acestei Politici este de a stabili si reglementa principiile de bază, în baza cărora „HOMETER SERVICE” SRL, sucursalele și filialele sale ( în continuare ”Societatea”), prelucrează datele cu caracter personal ale consumatorilor, clienților, furnizorilor, partenerilor de afaceri, angajaților și altor persoane fizice, precum și stabilirea responsabilităților structurilor organizatorice din cadrul societății și ale angajaților în timpul prelucrării datelor cu caracter personal. Destinatarii sau utilizatorii acestui document sunt toți angajații, permanenți sau temporari, și toți partenerii care lucrează în numele și/sau pentru Societate.
2. Documente de Referință
3. Definiții
Următoarele definiții ale termenilor utilizați în acest document sunt extrase din articolul 4 din GDPR și/sau legislația națională
Date cu caracter personal | orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale; |
Categorii speciale de date cu caracter personal | datele cu caracter personal care, prin natura lor, sunt deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale și merită o protecție specifică, deoarece contextul prelucrării lor ar putea crea riscuri semnificative pentru drepturile și libertățile fundamentale. Aceste date cu caracter personal includ date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice. |
Operator | înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern; |
Persoană împuternicită de operator | înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern; |
Prelucrarea datelor cu caracter personal | orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal prin mijloace automatizate sau neautomatizate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, păstrarea, restabilirea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea |
Anonimizarea: | operațiunea de transformare ireversibilă a datelor cu caracter personal astfel încât persoana vizată nu este sau nu mai este identificabilă. Principiile de prelucrare a datelor cu caracter personal nu se aplică datelor anonimizate, deoarece acestea nu mai sunt date cu caracter personal. |
Pseudonimizare | prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile. Deoarece datele pseudonimizate sunt în continuare date cu caracter personal, prelucrarea datelor pseudonimizate trebuie să respecte principiile de prelucrare a datelor cu caracter personal. |
Autoritatea de supraveghere | [Centrul National pentru Protecția Datelor cu Caracter Personal] |
4. Principiile de bază privind prelucrarea datelor cu caracter personal
Principiile de protecție a datelor cu caracter personal stabilesc responsabilitățile de bază ale organizațiilor care gestionează date cu caracter personal, astfel Articolul 5 alineatul (2) din GDPR stipulează că „Operatorul este responsabil pentru respectarea principiilor și trebuie să fie în măsură să demonstreze respectarea acestora („Responsabilitate”), după cum urmează:
4.1 Legalitate, Echitate și Transparență
Datele cu caracter personal trebuie să fie prelucrate în mod legal, corect și transparent în raport cu persoana vizată.
4.2 Limitarea Scopului
Datele cu caracter personal trebuie să fie colectate în scopuri determinate, explicite și legitime și nu trebuie prelucrate ulterior într-un mod incompatibil cu aceste scopuri.
4.3 Minimizarea Datelo
Datele cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate. Societate trebuie să aplice anonimizarea sau pseudonimizarea datelor cu caracter personal, dacă este posibil, pentru a reduce riscurile pentru persoanele vizate.
4.4 Exactitatea Datelo
Datele cu caracter personal trebuie să fie exacte și, dacă este necesar, actualizate; trebuie luate măsuri rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate în timp util.
4.5 Legalitate, Echitate și Transparență
Datele cu caracter personal trebuie să fie prelucrate în mod legal, corect și transparent în raport cu persoana vizată.
4.6 Integritate și Confidențialitat
Având în vedere stadiul tehnologiei și alte măsuri de securitate disponibile, costul de implementare, precum și probabilitatea și gravitatea riscurilor legate de datele cu caracter personal, Societatea trebuie să utilizeze măsuri tehnice sau organizatorice adecvate pentru a prelucra datele cu caracter personal într-o manieră care să asigure securitatea corespunzătoare a datelor cu caracter personal, inclusiv protecția împotriva distrugerii accidentale sau ilegale, pierderii, alterării, accesului neautorizat sau divulgării.
4.7 Responsabilitat
Operatorii de date trebuie să fie responsabili și să fie în măsură să demonstreze conformitatea cu principiile prezentate mai sus.
5. Protecția Datelor cu caracter Personal în Activitățile Comerciale
Pentru a demonstra conformitatea cu principiile de protecție a datelor, o organizație ar trebui să integreze protecția datelor în activitățile sale de afaceri:
5.1 Notificarea Persoanelor Vizate
(A se vedea capitolul Orientările privind Prelucrarea Corectă)
5.2 Alegerea și Consimțământul Persoanei Vizat
(A se vedea capitolul Orientările privind Prelucrarea Corectă)
5.3 Colectare
Societatea trebuie să se concentreze să colecteze cât mai puține date cu caracter personal posibil. În cazul în care datele cu caracter personal sunt colectate de la o terță parte, organul executiv sau o altă persoană delegată de acesta trebuie să se asigure că datele cu caracter personal sunt colectate în mod legal.
5.4 Utilizare, Păstrare și Distruger
Scopurile, metodele, limitarea stocării și perioada de păstrare a datelor cu caracter personal trebuie să fie în concordanță cu informațiile conținute în Notificarea privind confidențialitatea. Societatea trebuie să mențină acuratețea, integritatea, confidențialitatea și relevanța datelor cu caracter personal în funcție de scopul prelucrării. Trebuie utilizate mecanisme de securitate adecvate concepute pentru a proteja datele cu caracter personal pentru a preveni furtul, utilizarea necorespunzătoare sau abuzul de date cu caracter personal și pentru a preveni încălcarea datelor cu caracter personal. Organul executiv sau o altă persoană delegată de acesta este responsabil pentru respectarea cerințelor enumerate în această secțiune.
5.5 Dezvăluirea către Terț
Ori de câte ori Societatea utilizează un furnizor terț sau un partener de afaceri pentru a prelucra date cu caracter personal în numele său, Organul Executiv sau o altă persoană delegată de acesta trebuie să se asigure că această persoană împuternicită va asigura măsuri de securitate pentru protejarea datelor cu caracter personal care sunt adecvate riscurilor asociate. În acest scop, trebuie utilizat chestionarul de conformitate al persoanei împuternicite sau un alt instrument analogic în vederea evaluării acestuia. Societate trebuie să solicite prin contract, furnizorului sau partenerului de afaceri să asigure același nivel de protecție a datelor. Furnizorul sau partenerul de afaceri trebuie să prelucreze datele cu caracter personal numai pentru a-și îndeplini obligațiile contractuale față de Societate sau la instrucțiunile Societății și nu în alte scopuri. Atunci când Societatea prelucrează date cu caracter personal în comun cu un terț independent, Societatea trebuie să specifice în mod explicit responsabilitățile sale respective și ale terțului în contractul relevant sau în orice alt document obligatoriu din punct de vedere juridic, cum ar fi un acord de prelucrare a datelor.
5.6 Drepturile de Acces ale Persoanelor Vizat
Atunci când acționează în calitate de operator de date, Organul Executiv sau o altă persoană delegată de acesta este responsabil să pună la dispoziția persoanelor vizate un mecanism de acces rezonabil care să le permită accesul la datele lor cu caracter personal și trebuie să le permită acestora să își actualizeze, rectifice, șteargă sau să transmită datele cu caracter personal, dacă este cazul sau dacă legea o impune. Mecanismul de acces va fi detaliat în continuare în Procedura de Acces a Persoanelor Vizate.
5.7 Portabilitatea Datelo
Persoanele vizate au dreptul de a primi, la cerere, o copie a datelor pe care au fost furnizat societății într-un format structurat și de a transmite aceste date unui alt operator, în mod gratuit. Organul Executiv sau o altă persoană delegată de acesta este responsabil să se asigure că astfel de cereri sunt procesate în termen de o lună, nu sunt excesive și nu afectează drepturile la datele cu caracter personal ale altor persoane fizice.
5.8 Dreptul de a fi uita
La cerere, persoanele vizate au dreptul de a obține de la Societate ștergerea datelor sale cu caracter personal. Atunci când Societatea acționează în calitate de Operator, Organul Executiv sau o altă persoană delegată de acesta trebuie să ia măsurile necesare (inclusiv măsuri tehnice) pentru a informa părțile terțe care utilizează sau prelucrează datele respective să se conformeze cererii.
6. Orientări privind Prelucrarea Corectă
Datele cu caracter personal trebuie să fie prelucrate numai atunci când sunt autorizate în mod explicit de către Organul Executiv sau o altă persoană delegată de acesta. Societatea trebuie să decidă dacă efectuează sau nu evaluarea impactului asupra protecției datelor pentru fiecare activitate de prelucrare a datelor în conformitate cu Orientările privind Evaluarea Impactului asupra protecției datelor aplicabile și recomandabile.
6.1 Notificarea Persoanelor Vizate
În momentul colectării sau înainte de a colecta date cu caracter personal pentru orice tip de activități de prelucrare, inclusiv, dar fără a se limita la vânzarea de produse, servicii sau activități de marketing, [Responsabilul cu Protecția Datelor/Directorul] este responsabil să informeze în mod corespunzător persoanele vizate cu privire la următoarele:
Aceste informații sunt furnizate prin intermediul Notificării de Confidențialitate.
În cazul în care Societatea are mai multe activități de prelucrare a datelor, urmează a fi elaborate diferite Notificări de Confidențialitate specifice activității de prelucrare și de categoriile de date cu caracter personal colectate - de exemplu, o notificare poate fi redactată în scopuri de corespondență, iar o alta în scopuri de expediere.
În cazul în care datele cu caracter personal sunt partajate cu o terță parte, [Responsabilul cu Protecția Datelor/Directorul] trebuie să se asigure că persoanele vizate au fost notificate cu privire la acest lucru prin intermediul Notificării de Confidențialitate.
În cazul în care datele cu caracter personal sunt transferate către o țară terță în conformitate cu Politica privind Transferul Transfrontalier de Date, Notificarea de Confidențialitate trebuie să reflecte acest lucru și să precizeze în mod clar unde și către ce entitate sunt transferate datele cu caracter personal.
În cazul în care se colectează date cu caracter personal sensibile,[Responsabilul cu Protecția Datelor/Directorul] trebuie să se asigure că Notificarea de Confidențialitatea precizează în mod explicit scopul pentru care sunt colectate aceste date cu caracter personal sensibile.
6.2 Obținerea Consimțământului
Ori de câte ori prelucrarea datelor cu caracter personal se bazează pe consimțământul persoanei vizate sau pe alte temeiuri legale,[Responsabilul cu Protecția Datelor/Directorul] este responsabil pentru păstrarea unei înregistrări a acestui consimțământ. [Responsabilul cu Protecția Datelor/Directorul] este responsabil pentru a oferi persoanelor vizate opțiunile necesare pentru a-și da consimțământul și trebuie să informeze și să se asigure că consimțământul acestora (ori de câte ori consimțământul este utilizat ca temei legal pentru prelucrare) poate fi retras în orice moment.
În cazul în care colectarea de date cu caracter personal se referă la un copil cu vârsta sub [16] ani, [Responsabilul cu Protecția Datelor/Directorul] trebuie să se asigure că acordul părinților este acordat înainte de colectare, utilizând formularul de consimțământ parental.
În cazul în care se solicită corectarea, modificarea sau distrugerea înregistrărilor de date cu caracter personal, [Responsabilul cu Protecția Datelor/Directorul] trebuie să se asigure că aceste solicitări sunt tratate într-un termen rezonabil. [Responsabilul cu Protecția Datelor/Directorul] trebuie, de asemenea, să înregistreze cererile și să păstreze un jurnal al acestora. Datele cu caracter personal trebuie să fie prelucrate numai în scopul pentru care au fost colectate inițial.
În cazul în care Societatea dorește să prelucreze datele personale colectate în alt scop, aceasta trebuie să solicite consimțământul persoanelor vizate în scris, în mod clar și concis. Orice astfel de cerere trebuie să includă scopul inițial pentru care au fost colectate datele, precum și scopul (scopurile) nou(i) sau suplimentar(e). Cererea trebuie să includă, de asemenea, motivul modificării scopului (scopurilor). [Responsabilul cu Protecția Datelor/Directorul] este responsabil de respectarea normelor de la acest punct.
[Responsabilul cu Protecția Datelor/Directorul] trebuie să se asigure că metodele de colectare sunt conforme cu legislația relevantă, cu bunele practici și cu standardele industriei.
7. Organizare și responsabilități
Responsabilitatea pentru asigurarea unei prelucrări corecte și corespunzătoare a datelor cu caracter personal revine tuturor celor care lucrează pentru sau cu Societatea și care au acces la datele cu caracter personal prelucrate de Societate. Domeniile cheie de responsabilitate în ceea ce privește prelucrarea datelor cu caracter personal revin următoarelor roluri organizaționale:
Funcție | Responsabilități |
---|---|
Director | Directorul sau un alt Organ Executiv decizional relevant i-a decizii cu privire la strategiile generale ale Societății privind protecția datelor cu caracter personal și le aprobă. |
Responsabilul cu Protecția Datelor | Este responsabil de managementul programului de protecție a datelor cu caracter personal, dezvoltarea și promovarea politicilor de protecție a datelor cu caracter personal aferente activităților de prelucrare a datelor cu caracter personal din cadrul Societății, precum și alte atribuții așa cum sunt mai definite pe larg în Fișa Postului. |
Departamentul Juridic/Jurisconsultul | Departamentul Juridic/Jurisconsultul, împreună cu Responsabilul cu Protecția Datelor, monitorizează și analizează actele normative aferente protecției datelor cu caracter personal și modificările aduse acestor reglementări, elaborează cerințele de conformitate și asistă alte structuri organizaționale din cadrul Societății în atingerea obiectivelor privind protecția datele cu caracter personal. |
Managerul Securității Informaționale | Este responsabil pentru asigurarea faptului că toate sistemele, serviciile și echipamentele utilizate pentru stocarea datelor îndeplinesc standarde de securitate acceptabile, efectuarea de verificări și scanări periodice pentru a se asigura că hardware-ul și software-ul de securitate funcționează corect, precum și alte atribuții așa cum sunt definite mai pe larg în Fișa Postului. |
Manager Marketing | Este responsabil pentru aprobarea tuturor declarațiilor privind protecția datelor atașate la comunicări, cum ar fi e-mailurile și scrisorile, răspunde la orice întrebări legate de protecția datelor din partea jurnaliștilor sau a instituțiilor media, cum ar fi ziarele. Dacă este necesar, colaborează cu Responsabilul cu Protecția Datelor pentru a se asigura că inițiativele de marketing respectă principiile de protecție a datelor cu caracter personal. |
Managerul de Resurse Umane | Este responsabil pentru îmbunătățirea gradului de conștientizare a tuturor angajaților cu privire la protecția datelor cu caracter personal; organizarea de cursuri de expertiză și de sensibilizare în domeniul protecției datelor cu caracter personal pentru angajații care lucrează cu date cu caracter personal și protecția datelor cu caracter personal pe tot ciclul aferent relațiilor de muncă cu Salariatul. de la un capăt la altul a datelor personale ale angajaților, urmând a se asigura că datele cu caracter personal ale angajaților sunt prelucrate pe baza scopurilor legitime și a necesității Angajatorului. |
8. Răspunsul la Incidentele de Încălcare a Datelor Personale
Atunci când Societatea află despre o încălcare suspectată sau reală a datelor cu caracter personal, [Responsabilul cu Protecția Datelor/Directorul] trebuie să efectueze o investigație internă și să ia măsuri de remediere adecvate în timp util, în conformitate cu Procedura de Notificare a Încălcării Datelor cu Caracter Personal.
9. Audit și Responsabilitate
[Directorul/Responsabilul cu Protecția Datelor] este responsabil pentru verificarea modului în care departamentele de afaceri pun în aplicare această politică. Orice angajat care încalcă această politică va face obiectul unor măsuri și sancțiuni disciplinare, de asemenea, angajatul poate fi pasibil de răspundere civilă, contravențională sau penală în condițiile legii.
10. Validitatea și Managementul Documentului
Prezenta Politică privind Protecția Datelor cu Caracter Personal intră în vigoare la [01 martie 2023].
Proprietarul acestui document este [Directorul/Responsabilul cu Protecția Datelor] care trebuie să verifice și, dacă este necesar, să actualizeze documentul cel puțin o dată pe an.
“Hometer” LLC
Registration number: 1187154024584
Address: Mihai Viteazul 4 et 11 of 903 Chisinau Moldova.
E-mail: support@hometer.md
Dated «15» April 2019
The Sublicense Agreement is drawn up by the law firm IT Lex