Securitatea datelor cu caracter personal
În REGULAMENTUL (UE) 2016/679 al PARLAMENTULUI EUROPEAN si al CONSILIULUI UNIUNII EUROPENE din 27 aprilie 2016 datele cu caracter personal sunt definite la art. 2 dupa cum urmeaza:
orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
Prelucrarea datelor este definita la acelasi articol ca fiind:
„prelucrare” inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea;
Operatorul datelor cu caracter personal este firma ICCO-Systems SRL, cu adresa:
507075 Ghimbav, Strada Hermann Oberth 23, Hala 1(C1), Industrial Park Brasov.
Site-ul www.icco-systems.ro respecta toate specificatiile regulamentului mai sus amintit în ceea ce priveste prelucrarea datelor cu caracter personal.
Datele cu caracter personal, asa cum sunt definite mai sus, pe care le colecteaza site-ul, numai cu acordul utilizatorilor, sunt:
• Nume;
• Numar de telefon;
• Adresa de email.
Acestea sunt folosite la:
1. Identificarea clientului pentru livrarea de corespondenta.
2. Eventuale mesaje publicitare trimise pe email daca utilizatorul accepta sa fie înscris în lista de newsletter.
Datele cu caracter personal sunt folosite în mod legal, echitabil si transparent fata de persoana vizata asa cum este specificat la Art. 5 alin. 1 a din Regulamentul (UE) 2016/679. Acestea nu se comunica sub nici o forma unei terte parti.
In conformitate cu art. 6 alin. 1 b, din Regulamentul mai sus amintit, datele personale sunt utilizate dupa cum urmeaza:
a) Numele pentru corespondenta comerciala;
b) Numarul de telefon si adresa de email vor fi utilizate pentru oferirea de informatii despre produse.
La completarea formularului de contact in site, persoana vizata furnizeaza datele personale si implicit isi da consimtamantul in conformitate cu art. 7 alin. 1 din Regulamentul (UE) 2016/679. Consimtamantul poate fi retras prin:
a) Mesaj Email la systems@icco.ro cu cererea de stergere a datelor personale.
b) Adresa scrisa trimisa prin posta la operatorul datelor cu caracter personal.
Datele folosite la intocmirea facturilor pentru marfurile livrate vor ramane arhivate in conformitate cu dispozitiile legale, in vigoare, privind evidenta contabila a firmei.
Site-ul nu prelucreaza categorii speciale de date cu caracter personal.
Nu dispunem de alte modalitati de colectare a datelor personale in afara de cele amintite mai sus.
Perioada în care datele cu caracter personal sunt disponibile pe site este determinata de persoana vizata.
Operatorul garanteaza persoana vizata ca accesul la datele personale este permis numai angajatilor autorizati si instruiti în acest scop.
Politica de prelucrare a datelor cu caracter personal
Protectia datelor cu caracter personal
Catre cei interesati,
Doamnelor si domnilor,
ICCO SYSTEMS cunoaste importanta datelor dumneavoastra si se angajeaza sa protejeze confidentialitatea si securitatea acestora. De aceea, este important pentru noi sa va furnizam, intr-o structura integrata si practica informatiile legate de prelucrarea datelor dumneavoastra cu caracter personal in calitate de persoane vizate (utilizatori ai site-ului www.icco-systems.ro, clienti si potentiali clienti, parteneri de afaceri, angajati si potentiali angajati) in cadrul prezentei Politici de prelucrare a datelor cu caracter personal.
ICCO SYSTEMS administreaza in conditii de siguranta si numai pentru scopurile specificate, datele cu caracter personal pe care ni le furnizati despre dumneavoastra.
Consideram ca este datoria noastra sa respectam diferitele reglementari legale pentru colectarea si prelucrarea datelor cu caracter personal. Pentru noi, protejarea drepturilor personale si a vietii private a fiecarui individ reprezinta fundamentul increderii in relatiile noastre de afaceri.
Va rugam sa parcurgeti aceasta Politica si sa ne adresati orice solicitare de detalii la datele de contact mentionate mai jos.
MARIUS COZMA
Chief Officer Corporate Data Protection
UMBRA Defense & Security
EXTERNAL DPO
office@umbradefense.com
+40 737 435 600
CUPRINS
I. Scopul politicii de protectie a datelor
II. Domeniul de aplicare a politicii de protectie a datelor
III. Aplicarea legislatiei nationale
IV. Principiile de prelucrare a datelor cu caracter personal
V. Fiabilitatea prelucrarii datelor
1. Date despre clienti si parteneri
1.1 Procesarea datelor personale in relatiile contractuale
1.2 Prelucrarea datelor in scopuri de marketing
1.3 Consimtamantul la prelucrarea datelor
1.4 Procesarea datelor personale si legislatia nationala
1.5 Prelucrarea datelor in temeiul unui interes legitim
1.6 Prelucrarea datelor extrem de sensibile
1.7 Deciziile de prelucrare automate
1.8 Datele utilizatorilor si internetul
2. Datele personale ale angajatilor
2.1 Prelucrarea datelor angajatilor
2.2 Prelucrarea datelor la solicitarea autoritatilor legale
2.3 Prelucrarea colectiva a datelor personale
2.4 Consimtatmantul angajatului
2.5 Prelucrarea datelor in urmarirea unui interes legal juridic
2.6 Prelucrarea datelor sensibile
2.7 Deciziile de prelucrare automata
VI. Transferul datelor cu caracter personal
VII. Procesarea datelor personale în cadrul contractelor comerciale
VIII. Drepturile persoanei vizate
IX. Confidentialitatea procesarii
X. Securitatea procesarii
XI. Controlul prelucrarii datelor cu caracter personal
XII. Incidente de protectie a datelor
XIII. Responsabilul privind protectia datelor cu caracter personal
I. Scopul politicii de protectie a datelor
Ca parte a responsabilitatii sale sociale, ICCO SYSTEMS se angajeaza sa respecte legile nationale si internationale privind protectia datelor. Aceasta politica de protectie a datelor se aplica de catre ICCO SYSTEMS si se bazeaza pe principiile de baza acceptate la nivel european privind protectia datelor. Asigurarea masurilor tehnice si procedurale de protectie a datelor reprezinta fundamentul relatiilor de afaceri de încredere si reputatia ICCO SYSTEMS ca angajator.
Politica de protectie a datelor cu caracter personal este o conditie-cadru necesara desfasurarii activitatii noastre. Aceasta asigura nivelul adecvat de protectie a datelor conform GDPR si legilor nationale de gestionare a datelor cu caracter personal.
II. Domeniul de aplicare a politicii de protectie a datelor
Politica de protectie a datelor este creata în acord cu Responsabilul extern de protectie a datelor. Aceasta politica de protectie a datelor poate fi în conformitate cu procedura definita pentru modificarea politicilor. Modificarile vor fi comunicate imediat partenerilor ICCO SYSTEMS, utilizând procesul de modificare a politicilor. Modificarile care au un impact major asupra respectarii politicii de protectie a datelor vor fi raportate autoritatilor implicate.
Cea mai recenta versiune a politicii de protectie a datelor poate fi accesata împreuna cu informatiile privind confidentialitatea datelor de pe site-ul ICCO SYSTEMS (www.icco-systems.ro).
III. Aplicarea legislatiei nationale
Politica de protectie a datelor cuprinde principiile de confidentialitate acceptate pe plan international, fara a înlocui legile nationale existente. Legea româna relevanta va avea prioritate în cazul în care aceasta este în contradictie cu aceasta politica de protectie a datelor sau are cerinte mai stricte decât aceasta politica. Continutul acestei politici de protectie a datelor trebuie respectat în absenta legislatiei nationale corespunzatoare. Vor fi respectate cerintele de raportare pentru prelucrarea datelor conform legislatiei nationale.
IV. Principiile de prelucrare a datelor cu caracter personal
1. Corectitudinea si legalitatea
2. Restrictie la un anumit scop
3. Transparenta
4. Reducerea prelucrarilor si economia datelor
5. Precizia si actualizarea datelor
6. Confidentialitatea si securitatea datelor
V. Fiabilitatea procesarii datelor
Colectarea, prelucrarea si utilizarea datelor cu caracter personal este permisa numai în temeiul necesitatii desfasurarii activitatilor companiei. Orice alta prelucrare care excede ariei de activitati a companiei este interzisa.
Ce fel de date prelucram?
Date despre clienti si parteneri
1.1 Procesarea datelor personale în relatiile contractuale
Datele personale ale potentialilor clienti, colaboratori si parteneri pot fi procesate pentru a stabili, executa si rezilia un contract. Aceasta include, de asemenea, servicii de consultanta pentru partener în cadrul contractului, daca acest lucru este legat de scopul contractual. Înainte de încheierea contractului – în timpul fazei de initiere a contractului – datele personale pot fi prelucrate pentru a pregati ofertele sau comenzile de cumparare sau pentru a îndeplini alte cerinte din perspectiva care se refera la încheierea contractului. Persoanele vizate pot fi contactate în timpul procesului de pregatire a contractului, utilizând informatiile pe care le-au furnizat deja. Orice restrictii de prelucrare impuse de legislatia europeana sau nationala sunt respectate. Pentru activitatile de publicitate ne obligam sa respectam cerintele de la V.1.2.
1.2 Procesarea datelor in scopuri de marketing
Daca o persoana fizica contacteaza ICCO SYSTEMS pentru a solicita informatii (de exemplu, cererea de a primi materiale informative despre un produs), prelucrarea datelor pentru a raspunde acestei solicitari este permisa în masura în care corespunde scopului solicitarii.
Acordul (consimtamântul) privind prelucrarea datelor cu caracter personal în cadrul activitatilor de fidelizare sau de publicitate ale clientilor este obligatoriu. Datele personale pot fi prelucrate în scopuri publicitare sau în cadrul cercetarii de piata si de opinie, cu conditia ca acest lucru sa fie compatibil cu scopul pentru care au fost colectate datele initiale. Persoana vizata este informata cu privire la utilizarea datelor sale în scopuri publicitare. Daca datele sunt colectate numai în scopuri publicitare, dezvaluirea de catre persoana vizata este voluntara. Persoana vizata este informata ca furnizarea de date în acest scop este voluntara. Atunci când se comunica cu persoana vizata, este obtinut in prealabil consimtamântul de a procesa datele în scopuri publicitare. Atunci când acorda consimtamântul, persoana vizata are posibilitatea de a alege între formele de contact disponibile, cum ar fi posta obisnuita, E-mail si telefon (Consimtamântul, a se vedea V.1.3).
Daca persoana vizata refuza utilizarea datelor sale în scopuri publicitare, acestea nu mai pot fi utilizate în aceste scopuri si trebuie sa fie blocate de la utilizare în aceste scopuri.
1.3 Consimtamântul la prelucrarea datelor
Datele cu caracter personal pot fi procesate numai dupa consimtamântul persoanei vizate. Înainte de a da consimtamântul, persoana vizata trebuie informata în conformitate cu IV.3. din aceasta politica de protectie a datelor. Declaratia de aprobare trebuie obtinuta în scris sau în format electronic în scopul documentarii si probarii. În anumite circumstante, cum ar fi conversatiile telefonice, consimtamântul poate fi dat verbal. Acordarea consimtamântului trebuie sa fie obligatoriu probata.
1.4 Procesarea datelor personale si legislatia nationala
Prelucrarea datelor cu caracter personal pe teritoriul României se efectueaza în conformitate cu legea 677/2001 si alte legi, ordine s decizii relevante în acest sens. Recunoastem competenta ANSPDC asupra verificarii legalitatii procedurilor proceselor si masurilor apartinând domeniului de aplicare a protectiei datelor cu caracter personal. Tipul si amploarea procesarii datelor trebuie sa fie necesare pentru activitatea legala de prelucrare a datelor si respecta dispozitiile legale relevante.
1.5 Prelucrarea datelor urmând un interes legitim
Datele personale pot fi procesate, de asemenea, daca sunt necesare pentru un interes legitim al ICCO SYSTEMS. Interesele legitime sunt în general de natura juridica (de exemplu, colectarea creantelor restante) sau comerciale (de exemplu, evitarea posibilitatii încalcarilor prevederilor contractului). Datele cu caracter personal nu pot fi prelucrate în scopul unui interes legitim daca, în cazuri individuale, sau daca exista dovezi conform carora interesele persoanei vizate merita protectie si ca aceasta are prioritate. Înainte de prelucrarea datelor, este necesar sa se determine daca exista interese care trebuie protejate.
1.6 Prelucrarea datelor extrem de sensibile
Datele cu caracter personal foarte sensibile pot fi procesate numai daca legea impune acest lucru sau persoana vizata a dat consimtamântul expres. Aceste date pot fi, de asemenea, prelucrate daca este obligatoriu pentru afirmarea, exercitarea sau apararea revendicarilor legale referitoare la persoana vizata. Daca exista intentia de procesare a unor date extrem de sensibile, responsabilul cu protectia datelor cu caracter personal este informat în prealabil.
1.7 Deciziile de prelucrare automate
Prelucrarea automata a datelor cu caracter personal care este utilizata pentru evaluarea anumitor aspecte (de exemplu, bonitatea clientului) nu poate constitui singura baza pentru deciziile care au consecinte juridice negative sau care ar putea afecta în mod semnificativ persoana vizata. Persoana vizata trebuie informata cu privire la faptele si rezultatele deciziilor individuale automatizate si despre posibilitatea de a raspunde. Pentru a evita deciziile eronate, un angajat trebuie sa efectueze un test si o verificare a plauzibilitatii.
1.8 Datele utilizatorilor si internetul
Daca datele cu caracter personal sunt colectate, prelucrate si utilizate pe site-uri web sau în aplicatii, persoanele vizate sunt informate despre aceasta într-o declaratie de confidentialitate si, daca este cazul, informatii despre cookie-uri. Declaratia de confidentialitate si orice informatie privind modulele cookie va fi integrata astfel încât sa fie usor de identificat, direct accesibile si disponibile în mod consecvent pentru persoanele vizate.
2. Datele personale ale angajatilor
2.1 Prelucrarea datelor angajatilor
În relatiile de munca, datele cu caracter personal pot fi prelucrate, daca este necesar, pentru initierea, executarea si încetarea contractului de munca. La initierea unui raport de munca, datele personale ale solicitantilor pot fi procesate. În cazul în care candidatul este respins, datele acestuia trebuie sterse în conformitate cu perioada de pastrare necesara, cu exceptia cazului în care solicitantul a fost de acord ca datele sa fie pastrate pentru un viitor proces de selectie. De asemenea, este necesar consimtamântul pentru utilizarea datelor pentru procesele de aplicare suplimentare.
În raportul de munca existent, prelucrarea datelor trebuie sa se refere întotdeauna la scopul contractului de munca daca nu se aplica niciuna dintre urmatoarele circumstante pentru prelucrarea datelor autorizate.
Daca în timpul procedurii de solicitare ar trebui sa fie necesara colectarea de informatii despre un solicitant de la o terta parte, trebuie respectate cerintele legilor nationale corespunzatoare. În caz de îndoiala, trebuie obtinut un acord de la persoana vizata.
2.2 Prelucrarea datelor la solicitarea autoritatilor legale
Prelucrarea datelor personale ale angajatilor este permisa si în cazul în care legislatia nationala solicita, impune sau autorizeaza acest lucru. Tipul si amploarea procesarii datelor trebuie sa fie necesare pentru activitatea legala de prelucrare a datelor si trebuie sa respecte dispozitiile statutare relevante. Daca exista o anumita flexibilitate juridica, trebuie luate în considerare interesele angajatului care merita protejate.
2.3 Prelucrarea colectiva a datelor personale
În cazul în care o activitate de prelucrare a datelor depaseste scopul îndeplinirii unui contract, aceasta poate fi permisa daca este autorizata printr-o conventie (acord) colectiva. Acordurile colective sunt acorduri de salarizare sau acorduri încheiate între angajatori si reprezentantii angajatilor, în limita permisa de legislatia în materie de munca. Acordurile trebuie sa acopere scopul specific al activitatii de prelucrare a datelor intentionate si trebuie întocmite în limitele parametrilor legislatiei nationale privind protectia datelor.
2.4 Consimtatmântul angajatului
Datele angajatului pot fi prelucrate dupa consimtamântul persoanei în cauza. Declaratiile de consimtamânt trebuie prezentate în mod voluntar. Acordul involuntar este nul. Declaratia de aprobare trebuie obtinuta în scris sau în format electronic în scopul documentarii. În anumite circumstante, consimtamântul poate fi dat verbal, caz în care trebuie sa fie documentat corespunzator. În cazul furnizarii informate si voluntare de date de catre partea relevanta, se poate lua consimtamântul daca legislatia nationala nu necesita consimtamântul expres. Înainte de a da consimtamântul, persoana vizata trebuie informata în conformitate cu IV.3. din aceasta politica de protectie a datelor.
2.5 Prelucrarea datelor în urmarirea unui interes legal juridic
Datele personale pot fi procesate, de asemenea, daca este necesar sa se impuna un interes legitim al ICCO SYSTEMS. Interesele legitime sunt în general de natura juridica (de exemplu, depunerea, aplicarea sau apararea împotriva revendicarilor legale) sau financiare (de exemplu, evaluarea companiilor).
Datele cu caracter personal nu pot fi prelucrate pe baza unui interes legitim daca, în cazuri individuale, exista dovezi ca interesele angajatului merita protectie. Înainte de procesarea datelor, trebuie sa se determine daca exista interese care merita protejate.
2.6 Prelucrarea datelor sensibile
Datele cu caracter personal foarte sensibile pot fi procesate numai în anumite conditii. ICCO SYSTEMS nu prelucreaza date despre originea rasiala si etnica, convingerile politice, convingerile religioase sau filozofice, calitatea de membru al sindicatelor si sanatatea si viata sexuala a persoanei vizate. În conformitate cu legislatia nationala, alte categorii de date pot fi considerate extrem de sensibile sau continutul categoriilor de date poate fi completat diferit. Mai mult, datele care se refera la o infractiune pot fi procesate adesea numai în conformitate cu cerintele speciale din legislatia nationala.
Prelucrarea datelor privind starea de sanatate a angajatilor este permisa în scopul îndeplinirii unor cerinte legale. Angajatul se obliga de asemenea, sa consimta în mod expres prelucrarea. Daca exista planuri de procesare a unor date extrem de sensibile, responsabilul cu protectia datelor cu caracter personal trebuie sa fie informat în prealabil.
2.7 Deciziile de prelucrare automata
În cazul în care datele personale sunt prelucrate automat ca parte a relatiei de munca si sunt evaluate datele personale specifice (de exemplu, în cadrul selectiei personalului sau al evaluarii profilurilor de competente), aceasta prelucrare automata nu poate constitui singura baza pentru deciziile care ar avea consecinte negative sau probleme semnificative pentru angajatul afectat. Pentru a evita deciziile eronate, procesul automatizat trebuie sa asigure ca o persoana fizica evalueaza continutul situatiei si ca aceasta evaluare este baza deciziei. Persoana vizata trebuie, de asemenea, sa fie informata cu privire la faptele si rezultatele deciziilor individuale automatizate si la posibilitatea de a raspunde.
VI. Transferul datelor cu caracter personal
Transmiterea datelor cu caracter personal catre destinatarii din afara sau în interiorul ICCO SYSTEMS este supusa cerintelor de autorizare pentru prelucrarea datelor cu caracter personal în conformitate cu sectiunea V. Beneficiarul datelor trebuie sa utilizeze datele numai în scopurile definite.
În cazurile putin probabile în care datele sunt transmise unui destinatar din afara tarii sau catre o tara terta, aceasta tara trebuie sa implementeze/accepte sa mentina un nivel de protectie a datelor echivalent cu aceasta politica de protectie a datelor. Este necesar acordul persoanei vizate înaintea activitatilor de transfer. În cazul în care datele sunt transmise de o terta parte catre ICCO SYSTEMS, trebuie ca aceasta sa se asigure ca datele pot fi utilizate în scopul urmarit.
VII. Procesarea datelor personale în cadrul contractelor comerciale
Prelucrarea datelor de catre o persona/societate împuternicita înseamna ca un procesator este angajat sa proceseze date cu caracter personal în numele si pentru ICCO SYSTEMS si este obligat a-si asuma responsabilitatea pentru procesul de prelucrare conex. În aceste cazuri, un acord privind prelucrarea datelor cu privire la procesator (persoana împuternicita) va fi încheiat si va avea la baza un contract în acest sens. Persona împuternicita de noi are întreaga responsabilitate pentru prelucrarea corecta si legala a datelor. Procesatorul poate procesa date personale numai conform instructiunilor noastre. La emiterea ordinului, trebuie îndeplinite cerinte minime de securitate; departamentul care plaseaza comanda trebuie sa se asigure ca acestea sunt îndeplinite.
VIII. Drepturile persoanei vizate
Fiecare persoana vizata are urmatoarele drepturi: (Acestea vor fi respectate imediat de unitatea noastra si nu pot constitui un dezavantaj pentru persoana vizata.)
1. Persoana vizata poate solicita informatii privind datele cu caracter personal care i-au fost stocate, modul în care au fost colectate datele si în ce scop. Daca exista alte drepturi de a vizualiza documentele noastre (de exemplu, dosarul personalului) pentru relatia de munca în conformitate cu legile relevante privind ocuparea fortei de munca, acestea nu vor fi afectate.
2. Daca datele cu caracter personal sunt transmise tertilor, vor fi furnizate informatii despre identitatea destinatarului sau categoriile de destinatari.
3. Daca datele cu caracter personal sunt incorecte sau incomplete, persoana vizata poate solicita corectarea sau completarea acestora.
4. Persoana vizata poate contesta prelucrarea datelor sale în scopuri de publicitate sau de cercetare a pietei/opiniei publice. Datele trebuie sa fie blocate pentru aceste tipuri de utilizare.
5. Persoana vizata poate cere ca datele sale sa fie sterse în cazul în care prelucrarea acestor date nu are un temei juridic sau daca temeiul juridic nu mai este valabil. Acelasi lucru este valabil daca scopul din spatele procesarii datelor a expirat sau a încetat sa mai fie aplicabil din alte motive. Perioadele de pastrare existente si interesele conflictuale care merita protejate trebuie respectate.
6. Persoana vizata are, în general, dreptul de a se opune prelucrarii datelor sale si aceasta trebuie luata în considerare daca protectia intereselor sale are prioritate fata de interesele operatorului de date datorita unei situatii personale specifice. Acest lucru nu se aplica în cazul în care o dispozitie legala impune ca datele sa fie procesate.
În plus, fiecare persoana vizata poate pretinde drepturile de la punctul III. Paragraf 2, IV, V, VI, IX, X si XIV. Paragraf 3 ca beneficiar tert daca noi, care am acceptat sa respectam politica de protectie a datelor nu respectam cerintele si încalcam drepturile partii.
IX. Confidentialitatea procesarii
Datele personale sunt supuse secretului procesarii de date. Orice colectare, prelucrare sau utilizare neautorizata a acestor date de catre angajati este interzisa. Orice prelucrare de date efectuata de un angajat care nu a fost autorizata sa o îndeplineasca ca parte a îndatoririlor sale legitime este neautorizata. Se aplica principiul „necesitatii de a cunoaste”. Angajatii pot avea acces la informatii personale numai dupa cum este adecvat pentru tipul si scopul sarcinii în cauza. Acest lucru necesita o defalcare si separare atenta, precum si punerea în aplicare a rolurilor si responsabilitatilor.
Angajatilor li se interzice sa utilizeze date cu caracter personal în scopuri private sau comerciale, sa le dezvaluie persoanelor neautorizate sau sa le puna la dispozitie în orice alt mod. Ne vom instrui angajatii la începutul relatiei de munca cu privire la obligatia de a proteja secretul datelor. Aceasta obligatie ramâne în vigoare chiar si dupa încheierea perioadei de angajare.
X. Securitatea procesarii
Datele personale sunt protejate împotriva accesului neautorizat si a prelucrarii sau dezvaluirii ilegale, precum si a pierderii, modificarii sau distrugerii accidentale. Acest lucru se aplica indiferent daca datele sunt prelucrate electronic sau pe suport de hârtie. Înainte de introducerea noilor metode de prelucrare a datelor, în special a noilor sisteme informatice, trebuie definite si implementate masuri tehnice si organizatorice de protectie a datelor cu caracter personal. Aceste masuri trebuie sa se bazeze pe stadiul tehnic, pe riscurile procesarii si pe necesitatea de a proteja datele (determinate de procesul de clasificare a informatiilor).
XI. Controlul prelucrarii datelor cu caracter personal
Respectarea politicii de protectie a datelor si a legilor aplicabile privind protectia datelor este verificata în mod regulat prin intermediul auditurilor de protectie a datelor si al altor controale. Performanta acestor controale este în sarcina Responsabilului privind Protectia Datelor Personale. Rezultatele controalelor privind protectia datelor trebuie raportate directorului pentru protectia datelor cu caracter personal. Compania de supraveghere DPO EXTERN al ICCO SYSTEMS va trebui sa fie informata cu privire la rezultatele primare ca parte a sarcinilor de raportare aferente. La cerere, rezultatele controalelor privind protectia datelor vor fi puse la dispozitia autoritatii responsabile de protectia datelor. Autoritatea responsabila cu protectia datelor poate efectua propriile controale de conformitate cu reglementarile din aceasta politica, asa cum le permite legislatia nationala.
XII. Incidente de protectie a datelor
Toti angajatii trebuie sa informeze imediat Responsabilul Extern pentru protectia datelor privind cazurile de încalcare a acestei Politici de protectie a datelor sau alte reglementari privind protectia datelor cu caracter personal (incidente de protectie a datelor).
În cazurile de transmitere necorespunzatoare a datelor cu caracter personal catre terte parti, de acces neadecvat al tertilor la datele cu caracter personal sau de pierderea datelor cu caracter personal, rapoartele impuse de companie (Gestionarea incidentelor de securitate a informatiilor) trebuie facute imediat, astfel încât sa poata fi respectate toate obligatiile de raportare în conformitate cu legislatia nationala.
XIII. Responsabilul privind protectia datelor cu caracter personal
Din punct de vedere organizational, Responsabilul Extern pentru protectia datelor reprezinta consilierul ICCO SYSTEMS pentru operatiunile de protectie si prelucrare a datelor cu caracter personal. Departamentele responsabile cu procesele si proiectele de afaceri trebuie sa informeze în timp util cu privire la introducerea de procese noi de prelucrare a datelor cu caracter personal. Pentru planurile de prelucrare a datelor care pot prezenta riscuri speciale pentru drepturile individuale ale persoanelor vizate, Responsabilul privind Protectia Datelor va fi informat înainte de începerea procesarii. Acest lucru se aplica în special datelor cu caracter personal extrem de sensibile. Managerii trebuie sa se asigure ca angajatii lor sunt suficient de instruiti în protectia datelor.
Prelucrarea necorespunzatoare a datelor cu caracter personal sau alte încalcari ale legilor privind protectia datelor pot fi sanctionate penal sau contraventional.