POLITICĂ GENERALĂ
PRIVIND PROTECȚIA DATELOR CU CARACTER PERSONAL A PLURAL MEDICAL CONCEPT S.R.L.
DIN PERSPECTIVA REGULAMENTULUI UE 2016/679 PRIVIND PROTECȚIA PERSOANELOR FIZICE ÎN CEEA CE PRIVEȘTE PRELUCRAREA DATELOR CU CARACTER PERSONAL ȘI LIBERA CIRCULAȚIE A ACESTOR DATE ȘI DE ABROGARE A DIRECTIVEI 95/46/CE
Societatea PLURAL MEDICAL CONCEPT S.R.L. (denumită în continuare Compania sau Societatea) se aliniază Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului – privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE (denumit în continuare în prezenta Politică – “Regulamentul” sau „GDPR” ) aplicabil din data de 25 mai 2018.
Respectarea legislației naționale și a celei adoptate la nivel european, a confidențialității dar și protectia datelor personale reprezintă principii fundamentale cărora organizația noastră, a înțeles să le ofere importanța și atenția cuvenită deoarece fără înțelegerea, conștientizarea și implementarea lor, activitatea curentă a societatii nu se va putea conforma cerințelor Regulamentului european 2016/679.
Această politică generală privitoare la protecția datelor are ca OBIECTIVE:
§ Stabilirea cadrului de reglementare internă a activităților de prelucrare de date ca caracter personal în conformitate cu legislația privind protecția datelor cu caracter personal și bunele practici la acest nivel;
§ Protecția drepturilor persoanelor vizate: candidați, angajați, foști angajați, clienți- persoane fizice, reprezentanți/împuterniciți/persoane de contact ai diferitelor entități colaboratoare – furnizori, prestatori, clienți, colaboratori dar și ai instituțiilor/autorităților publice, debitori, foști debitori – persoane fizice, reprezentanți/împuterniciți ai debitorilor, reclamanți, utilizatorii de website-uri, etc.
§ Implementarea măsurilor tehnice și organizatorice adecvate pentru a demonstra conformitatea cu GDPR și existența unor garantii conforme cu cerințele GDPR;
§ Eficientizarea modului de stocare, prelucrare și transmitere a datelor persoanelor fizice vizate;
§ Identificarea, analizarea și evaluarea realistă a riscurilor, minimizarea acestora prin prevenirea incidentelor de securitate a datelor și reducerea impactului potențial al acestora asupra persoanelor vizate;
§ Protecția organizației noastre de posibilele riscuri referitoare la încălcarea securității datelor;
§ Asigurarea procederii de comunicare A.N.S.P.D.C.P. a notificării incidentelor de securitate dar si persoanelor persoanele vizate privind incidente de securitate în domeniul protecției datelor.
- Noțiuni:
- Operator – entitatea – în cazul de față – PLURAL MEDICAL CONCEPT S.R.L., sau orice altă persoană juridică, autoritate publică, agenție sau organizație non-guvernamentală, care prelucrează sau stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal;
- Date cu caracter personal – orice informații privind o persoană fizică indentificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată – direct sau indirect, prin referire la un element de identificare: nume/prenume, adresă, cod numeric personal, e-mail, telefon, venituri, date biometrice, imaginea, adresa de IP sau prin referire la datele medicale, genetice, datele privind originea etică sau rasială, convingeri politice, religioase, filosofice, culturale sau apartenența sindicală;
- Prelucrare – orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal (colectare, înregistrare, organizare, structurare, stocare, consultare, modificare, extragere, divulgare, restricționare, ștergere sau distrugere);
- Persoana vizată – orice persoană fizică ale cărei date cu caracter personal pot fi sau sunt prelucrate de operator;
- Persoanele fizice, reprezentanți ai persoanelor juridice cu care Compania noastră intra in contact in calitate de Clienti
- Persoana împuternicită de operator – terța parte (persoană fizică sau juridică) autoritate publică, agenție sau organizație non-guvernamentală, care efectuează operațiuni de prelucrare a datelor cu caracter personal în numele operatorului;
- Destinatar – persoana fizică sau juridică, autoritatea publică, agenția sau organizația non-guvernamentală, căreia îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o terță parte;
- Parte terță – persoana fizică sau juridică, autoritatea publică, agenția sau organizația non-guvernamentală, care intră sub directa autoritate a operatorului sau a persoanei împuternicite de operator și care sunt autorizate să prelucreze date cu caracter personal;
- Consimțământ – aparține persoanei vizate și înseamnă orice manifestare liberă de voință, specifică, lipsită de ambiguitate a persoanei vizate, prin care acceptă ca datele cu caracter personal care îi aparțin să fie prelucrate;
- Încălcarea securității datelor cu caracter personal – reprezintă o încălcare a securității care duce în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal transmise stocate sau prelucrate, sau accesul neautorizat la acestea;
- Politici tehnice și organizatorice (politici corporatiste) – politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator
- Autoritate de supraveghere – autoritatea publică independentă stabilită într-un stat membru, în Romania – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.)
- Impactul Regulamentului asupra PLURAL MEDICAL CONCEPT S.R.L.
PLURAL MEDICAL CONCEPT S.R.L. prelucrează date cu caracter personal referitoare la persoanele fizice. Acestea pot reprezenta date în legătură cu persoanele aflate în procesul de recrutare, angajații, foștii angajati, reprezentații legali ai clienților, furnizorilor, contacte pentru afaceri, și orice alte persoane cu care Compania, a încheiat un contract sau cu care aceasta se află în orice fel de legătură.
Compania PLURAL MEDICAL CONCEPT S.R.L. a adoptat politici (tehnice și organizatorice) în care sunt descrise modul în care datele personale trebuie colectate, utilizate, stocate si transferate pentru a fi în concordanță cu legislatia in vigoare și standardele companiei referitoare la protecția datelor.
Am instituit măsuri corespunzătoare și specifice pentru garantarea demnității umane, a intereselor legitime și drepturilor fundamentale ale persoanelor vizate.
Drepturile și beneficiile legate de prelucrarea datelor cu caracter personal în contextul ocupării unui loc de muncă, precum și încetarea raporturilor de muncă trebuie respectate pentru evitarea sancțiunilor și amenzilor. Potrivit Regulamentului, sancțiunile civile pot coexista cu cele administrative, iar sancțiunile administrative vor fi aplicate de către Autoritatea de Supraveghere și pot avea un cuantum destul de împovărător.
PLURAL MEDICAL CONCEPT S.R.L. are cunoștință de faptul că încălcările obligațiilor prevăzute de Regulament pot atrage amenzi administrative de până la 2% sau 4% din cifra de afaceri la nivel anual sau (maxim 10 mil. EUR sau 20 mil. EUR), diferențierea fiind făcută în funcție de obligațiile încălcate.
În spiritul respectării Regulamentului, PLURAL MEDICAL CONCEPT S.R.L. efectuează activitățile de prelucrare a datelor personale, în conformitate cu Principiile GDPR privind protecția datelor:
Ø Prelucrează datele cu caracter personal, în mod legal, echitabil și transparent – Legalitate, echitate și transparență;
Ø Colectează datele cu caracter personal în scopurile determinate, explicite și legitime – Limitări legate de scop;
Ø Prelucrează datele cu caracter personal în mod adecvat, relevant și limitat la ceea ce este necesar în raport cu scopurile în care sunt prelucrate – Reducerea la minimum a datelor;
Ø Datele prelucrate să fie exacte și în cazul în care este necesar sa fie actualizate – Exactitate
Ø Datele să fie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele – Limitări legate de scop
Ø Datele cu caracter personal să fie prelucrate într-un mod care asigură securitatea adecvată, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare – Integritate și confidențialitate
Ø Să se poată demonstra conformitatea cu principiile menționate – Responsabilitate
Ø Să fie prelucrate în concordanțã cu drepturile persoanelor vizate;
Ø Să nu fie transferate în afara Spațiului Economic European, decât în cazul în care teritoriul/țara unde urmeazã a fi transferate asigurã un nivel adecvat de protecție a datelor cu caracter personal.
Oricine lucrează pentru sau împreună cu PLURAL MEDICAL CONCEPT S.R.L. poate deveni responsabil pentru modul cum a efectuat colectarea, utilizarea, stocarea si transferul datelor personale.
Fiecare echipă care utilizeazã datele personale trebuie să asigure faptul că acestea sunt prelucrate în concordanțã cu prezenta politica generală și principiile protecției datelor instituite de GDPR.
Managementul/Administrația este responsabilă de asigurarea îndeplinirii în mod legal a obligațiilor specifice GDPR de către PLURAL MEDICAL CONCEPT S.R.L.
3. Scopurile prelucrării datelor cu caracter personal în cadrul PLURAL MEDICAL CONCEPT S.R.L. pot include:
PLURAL MEDICAL CONCEPT S.R.L. poate colecta și prelucra datele dumneavoastră cu caracter personal în următoarele scopuri de prelucrare:
A. În cadrul raporturilor de muncă, respectând viața privată a tuturor salariaților, datele cu caracter personal, securitatea și confidențialitatea datelor personale așa cum Regulamentul prevede. Această situație acoperă și activitățile de recrutare și selecție a posibililor angajați.
B. Administrarea, îmbunătățirea și realizarea serviciilor furnizate;
C. Activități comerciale de vânzări servicii, cuprinzând realizare, administrare și dezvoltare vânzări de servicii, cercetare / studii de piață, statistică – dacă este cazul;
D. Reclamă, marketing și publicitate, activități de promovare a serviciilor PLURAL MEDICAL CONCEPT S.R.L.;
E. Activități de dezvoltare, cuprinzând servicii de relații cu clienții, informarea utilizatorilor/clienților privind evaluarea serviciilor oferite;
F. În scop probatoriu în legătura cu activitățile de mai sus și de arhivare.
G. În desfășurarea activității specifice financiar – contabile, acest departament nu poate evita regimul juridic instituit de GDPR deoarece în mod frecvent sunt prelucrate date personale ca parte a activității desfășurate,
4. Categoriile de date cu caracter personal pe care le prelucrăm:
Pentru realizarea scopurilor de mai sus prelucrăm următoarele categorii de date cu caracter personal:
v numele si prenumele, numărul de telefon, adresa de domiciliu/reședința, adresa de e-mail, date bancare legate de platile online sau cu cardul.
Datele cu caracter personal considerate date sensibile cum ar fi cele medicale sau cele care beneficiază de un regim special de protecție cum ar fi codul numeric personal, seria și numărul actului de identitate, amprenta vor fi colectate și prelucrate în condiții limitative și în concordanță cu dispozițiile legale pentru asigurarea respectării regulilor aplicabile în domeniul protecției datelor cu privire la acestea.
Furnizarea datelor cu caracter personal este necesară pentru ca PLURAL MEDICAL CONCEPT S.R.L. să realizeze activitățile menționate conform celor de mai sus.
5. Reguli Generale Privind Prelucrarea Datelor cu Caracter Personal de catre PLURAL MEDICAL CONCEPT S.R.L.
PLURAL MEDICAL CONCEPT S.R.L. urmărește efectuarea prelucrărilor de date cu respectarea următoarelor temeiuri, după caz:
· Obligație legală – prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine companiei;
· Executarea/Încheierea unui contract – prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
· Interese legitime – prelucrarea este necesară în scopul intereselor legitime urmărite de companie sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate;
· Consimțământul – persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice.
În toate cazurile, la momentul obținerii datelor in mod direct de la persoana vizată, vom informa persoana vizată despre: datele noastre de identificare și ale reprezentantului legal, scopul in care se face prelucrarea datelor, precum și temeiul juridic; existența dreptului de a-și retrage consimțământul atunci când prelucrarea se întemeiază pe consimțământ și nu mai exista alt temei de prelucrare; destinatarii sau categoriile de destinatari ai datelor (dacă este cazul); dacă furnizarea tuturor datelor cerute este obligatorie și consecințele refuzului de a le furniza; existenta drepturilor prevăzute de lege pentru persoanele vizate, precum și condițiile în care pot fi exercitate; intenția/necesitatea de a transfera datele în afara UE sau către o organizație internațională, precum și menționarea garanțiilor aplicabile; perioada de stocare a datelor; informații despre existenta unui proces decizional automatizat (dacă este cazul), precum si informații utile legate de logica utilizată și importanța prelucrării; orice alte informații a căror furnizare este impusă prin dispoziție a A.N.S.P.D.C.P., ținând seama de specificul prelucrării.
În cazul în care PLURAL MEDICAL CONCEPT S.R.L. NU obține datele direct de la persoana vizată, va furniza acesteia informațiile prevăzute mai sus, cu respectarea următoarelor termene: într-un termen rezonabil după obținerea Datelor, dar nu mai mare de o lună, ținându-se seama de circumstanțele specifice în care sunt prelucrate Datele; dacă Datele urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana respectivă; dacă se intenționează divulgarea datelor către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.
6. Raporturile de muncă:
PLURAL MEDICAL CONCEPT S.R.L. asigură conformitatea cu GDPR în cadrul raporturilor de muncă, respectând viața privată a tuturor salariaților, datele cu caracter personal, securitatea și confidențialitatea datelor personale așa cum Regulamentul prevede.
6.1. Categorii de date prelucrate in raporturile de muncă:
· Date obișnuite: Nume, Prenume, Adresa, E-mail, Telefon, Cont bancar,
6.2. Măsuri organizatorice principale:
PLURAL MEDICAL CONCEPT S.R.L. a stabilit persoana si/sau persoanele din cadrul companiei care se ocupă cu asigurarea conformității politicilor și procedurilor interne ale companiei legate de raporturile de muncă la GDPR. Compania a instituit mecanisme cu ajutorul cărora poate verifica periodic dacă procedurile sunt aplicate și respectate în practică.
Măsuri adoptate:
– Persoana/persoanele care se ocupă cu asigurarea conformității cunosc dispozițiile Regulamentului;
– Informarea și instruirea specifică GDPR a salariaților din toate departamentele companiei;
– Stabilirea persoanei responsabile pentru cu protejarea datelor cu caracter personal ale angajaților și evaluarea datelor cu caracter personal ale angajaților;
– Stabilirea cu exactitate a departamentelor unde sunt păstrate datele cu caracter personal;
– Eliminarea datelor cu caracter personal colectate și care nu sunt relevante in privinta relațiilor de muncă. În cazul în care sunt colectate date personale sensibile, compania identifică un temei pentru aceasta;
– Informarea salariaților, inclusiv a celor noi, asupra consecințelor acțiunilor lor ce ar încălca GDPR;
– Instruirea salariaților cu privire la obligația respectării confidentialității datelor cu caracter personal prelucrate de Companie va fi efectuată, periodic (la fiecare 2 ani) de la finalizarea procesului initial de conformare sau ori de cate ori situatia impune acest lucru din cauza noutății/complexității măsurilor de protecție adoptate de Companie ;
– Abaterile grave săvârșite de salariati în legatură cu protecția datelor cu caracter personal sunt indicate în mod clar in regulamentul intern și sunt sanctionate similar abaterilor de natură disciplinară;
6.3. Analiza activităților de prelucrare a datelor cu caracter personal în cadrul departamentului de resurse umane:
În cadrul PLURAL MEDICAL CONCEPT S.R.L. principalele activități de resurse umane sunt: recrutarea de personal, planificarea resurselor umane, evaluarea performanțelor, motivarea angajaților, integrarea noilor angajați, training și specializare, clarificarea responsabilităților, evaluarea satisfacției angajaților, relația cu reprezentanții salariaților, comunicare internă, legislația muncii, gestiune documente, gestiune bază de date angajați.
Înregistrări ale raporturilor de muncă care implică de obicei prelucrarea datelor cu caracter personal:
– Formulare de cerere și referințe de lucru,
– Salarizare și informații fiscale și informații aferente beneficiilor sociale,
– Înregistrări de boală,
– Înregistrări aferente concediului anual, ale concediului fără plată, ale concediului anual special,
– Înregistrări aferente evaluării / promovărilor / transferurilor / de formare profesională;
– Înregistrări referitoare la accidente de muncă
– Informații generate de sistemele informatice,
– Înregistrări referitoare la prezență,
– Înregistrări referitoare la membrii de familie – în scopul de a facilita accesul la anumite servicii (grădinițe, studii, transport, călătorii, etc) sau aplicarea anumitor deduceri personale;
Datele cu caracter personal protejate de PLURAL MEDICAL CONCEPT S.R.L. în privința cărora Regulamentul conține prevederi în sensul necesității protejării lor:
– Detaliile salariale și detaliile contului bancar ale salariaților;
– Un e-mail despre un incident în care este menționat numele unui salariat,
– Dosarul personal al unui salariat în care documentele se află organizate cronologic,
– Formularele completate, depuse în ordine alfabetică într-un fișier special destinat pentru un anumit post vacant.
6.4. Datele sensibile prelucrate de Companie despre angajații săi:
PLURAL MEDICAL CONCEPT S.R.L. respectă dispozițiile art. 9 din Regulament care pornește de la teza potrivit căruia prelucrarea datelor din categoriile date sesibile este interzisă.
GDPR reglementează distinct, şi totodată diferit, datele cu caracter personal referitoare la condamnările penale şi infracţiuni, în art. 10 din Regulament, situaţie de natură a spori severitatea posibilităţii prelucrării lor de la momentul implementării GDPR.
Spre deosebire de categoria datelor speciale, în privinţa cărora prelucrarea este posibilă în temeiul consimţământului persoanei vizate, prelucrarea datelor referitoare la condamnări penale şi infracţiuni nu va mai fi posibilă decât „sub controlul unei autorităţi de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern care prevede garanţii adecvate pentru drepturile şi libertăţile persoanei”.
Datele speciale cu caracter personal prevăzute de Regulament sunt datele care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.
Datele sensibile care ar mai putea fi prelucrate de către noi sunt cele privind:
a) sănătatea fizică sau psihică:
• ca parte a înregistrărilor medicale obţinute prin monitorizarea e-mailurilor trimise de
către un salariat managerului său sau către un medic;
• obţinute ca parte a procesului prealabil angajării prin intermediul unui chestionar
medical sau a unei examinări;
• testarea pentru consumul de droguri sau alcool;
b) Antecedente penale:
• pentru evaluarea caracterului adecvat al potenţialului salariat pentru anumite tipuri de
locuri de muncă.
c) Dizabilităţi:
• pentru facilitarea adaptării salariaţilor la locul de muncă;
• pentru a fi în măsură de a asigura că nevoile speciale ale salariatului sunt satisfăcute la susţinerea interviului sau la momentul susţinerii unui test în vederea selecţiei;
• pentru monitorizarea egalităţii de şanse.
d) originea rasială sau etnică:
• pentru a asigura că procesele de recrutare nu discriminează anumite grupuri rasiale;
• pentru a asigura egalitatea de şanse.
e) calitatea de membru de sindicat:
• pentru a permite deducerea costului abonamentelor din salariu;
• date evidenţiate de accesările pe internet, care arată că salariatul în mod obişnuit
accesează un website special destinat unui sindicat.
Nicio persoană, indiferent de nivelul ierarhic, nu trebuie să dezvăluie date cu caracter personal în afara limitelor impuse de procedurile interne sau să folosească date cu caracter personal deţinute de alți colaboratori în scop propriu, cu excepţia situaţiei în care o dispoziţie legală permite acest lucru.
6.5. Desfășurarea raporturilor de muncă:
a) Procesul de recrutare și de selecție:
Compania PLURAL MEDICAL CONCEPT S.R.L. – care colectează date cu caracter personal cu prilejul unui proces de recrutare și selecție – respectă prevederile Regulamentului care este aplicabil în această situație ( de ex – compania obține date cu caracter personal ca urmare a solicitării completării unui formular dintr-o aplicație sau prin transmiterea unui CV – prin e-mail). Compania aduce la cunoștința solicitanților datele personale care le vor fi colectate, scopul în care sunt colectate și cum vor fi utilizate.
Măsuri adoptate în procesul de recrutare:
– Când este plasat un anunț de recrutare, solicitantul identifică în mod corespunzător compania, candidații trebuie să știe pentru ce și unde aplică. În cazul în care se apelează la o agenție de recrutare, compania se asigură că agenția se identifică în mod similar;
– Compania utilizează datele cu caracter personal pe care le colectează doar pentru procesul de recrutare sau selecție. Dacă se dorește folosirea datelor personale pentru orice alt scop diferit, precum adăugarea datelor personale ale acestora în lista de marketing a companiei, acest lucru va fi explicat în mod clar și va trebui obținut consimțământul candidatului;
– Compania se asigură că, personalul implicat în procesul de recrutare și selecție este conștient de faptul că regulile privind protecția datelor se aplică și acestor date personale ale candidaților;
– Compania nu colectează mai multe date cu caracter personal decât are nevoie. În caz contrar, compania înțelege că aceasta ar reprezenta o încălcarea regulilor privind protecția datelor personale, și anume colectarea datelor personale irelevante sau excesive. Compania va întocmi aplicații / formulare / documente – respectând acest principiu;
– Compania păstrează datele cu caracter personal pe care le colectează în mod securizat. Aceste date nu sunt dezvăluite către alte companii fără consimțământul persoanei căreia datele îi aparțin;
– Compania solicită informații cu privire la cazierul judiciar doar dacă acest lucru este justificat de specificul locului de muncă pentru care inițiază procesul de recrutare si doar dacă dispozițiile legale impun verificarea acestuia;
– În cazul în care compania intenționează să verifice datele cu caracter personal oferite de o persoană, se va asigura că persoanele vizate știu cum va fi făcut acest lucru și ce informații vor fi verificate;
– În cazul în care compania are nevoie de a verifica informații cu privire la eventuale condamnări penale, trebuie să se asigure de temeiul legal pentru a face acest lucru;
– Compania va informa persoanele care răspund anunțurilor de angajare cu numele societății că își vor furniza datele personale și cum anume vor fi procesate;
– Dacă societatea folosește o agenție de recrutare, va verifica dacă se identifică în anunțuri și dacă informează candidații în situația în care datele cu caracter personal solicitate vor fi folosite pentru alte scopuri despre care candidatul nu este conștient;
– Compania înțelege că sintagmele „de la sine înțeles” sau „în mod implicit” nu sunt conforme cu principiile și cerințele GDPR, astfel că acestea trebuie eliminate;
– Compania va solicita doar datele personale care sunt relevante pentru procesul de recrutare, de natură a ajuta la luarea unei decizii;
– Compania va alege o metodă securizată de transmitere a CV-urilor online ( de ex. comunicație criptată)
– CV-urile candidaților recepționate vor fi stocate într-un director sau pe o partiție la care accesul este limitat doar celor implicați în procesul de recrutare;
– Compania se va asigura ca CV-urile primite prin poștă/fax sunt înmânate direct persoanei sau persoanelor care procesează datele și că acestea sunt depozitate într-un spațiu securizat sub cheie;
– Compania va explica candidaților politicile procesului de recrutare, metodele și natura verificărilor;
– Compania se va asigura că persoana aflată în procesul de recrutare și-a exprimat consimțământul pentru a-i fi transferate datele personale către o altă societate terță, dacă este cazul, printr-un document semnat;
– Compania se va asigura că toate testele la care participă candidații în procesul de evaluare în vederea angajării sunt efectuate și evaluate de persoane calificate;
– Compania se va asigura că toate datele personale care sunt colectate și păstrate în urma interviului sunt justificate și relevante pentru procesul de recrutare și pentru a proteja compania împotriva unor eventuale plângeri;
– Compania se va asigura că toți intervievatorii sunt conștienți despre faptul că participanții își pot exercita dreptul de acces la datele colectate în timpul interviului; și se faptul că toți intervievatorii au fost instruiți cu privire la modalitatea în care trebuie să stocheze datele personale;
– Compania va stabili în ce moment verificarea înainte de angajare este necesară și cui se aplică;
– Compania se va asigura că datele cu caracter personal obținute în urma procesului de recrutare sunt stocate în mod securizat sau sunt distruse.
b) Dosarul de personal:
În calitatea sa de angajator, compania noastră are obligația de întocmi un dosar personal pentru fiecare dintre salariații săi, de a-l păstra în bune condiții la sediul societății, precum și de a-l prezenta inspectorilor de muncă la solicitarea acestora.
Compania PLURAL MEDICAL CONCEPT S.R.L. înțelege că GDPR se aplică documentelor ce conțin date cu caracter personal ale salariaților săi.
Compania înțelege să verifice înregistrările pe care le deține despre salariații proprii și se asigură că nu păstrează date personale irelevante, excesive sau care nu mai sunt necesare. Vom șterge datele personale care nu reprezintă o nevoie reală de păstrare sau în privința cărora nu există nicio obligație legală în aceste sens.
Compania înțelege să verifice orice terță parte care solicită divulgarea de date personale despre un salariat.
Compania va păstra dosarele personale ale angajaților în mod securizat. Documentele care conțin date cu caracter personal în format tipărit se păstrează sub cheie și pentru cele păstrate în format electronic se vor folosi parole de protecție.
Compania se asigură că doar personalul autorizat și instruit poate să aibă acces la documentele ce conțin date personale.
Dosarele medicale care conțin detalii despre bolile sau starea medicală a salariaților, se vor păstra separat de alte date personale mai puțin sensibile ( de ex. într-un fișet sigilat sau într-un fișier electronic securizat).
La datele privind starea de sănătate a salariaților au acces doar managerii și alte persoane din conducerea companiei, în cazul în care aceștia au nevoie de un astfel de acces în activitatea desfășurată.
c) Alte prevederi legate de desfășurarea raporturilor de muncă – REVISAL:
PLURAL MEDICAL CONCEPT S.R.L. completează și transmite datele personale ale salariaților în Revisal si are obligația să prelucreze datele cu caracter personal ale salariaților, cu respectarea prevederilor legale instituite de GDPR.
Salariatul are dreptul de a primi datele cu caracter personal care îl privesc și pe care le-a furnizat, într-un format structurat, utilizat în mod curent și care poate fi citit automat și de a transmite aceste date altui operator, iar corelativ noi avem obligația de a le transmite în cazul unei astfel de solicitări.
Întocmirea deciziilor de încetare a contractelor individuale de muncă se face exclusiv de către salariații instruiți cu privire la regulile de protecție a datelor cu caracter personal. Registrul de evidenţă al salariaţilor cuprinde toate contractele individuale de muncă în desfăşurare. În această bază de date sunt înregistrate toate aspectele legate de încheierea, modificarea, suspendarea sau încetarea contractelor de muncă.
Revisal reprezintă o aplicaţie, în cuprinsul căreia sunt trecute toate datele aferente contractelor individuale de muncă ale salariaţilor, care se completează şi se transmite online (pe portalul ITM), în baza unui nume de utilizator şi a unei parole.
PLURAL MEDICAL CONCEPT S.R.L. a instituit măsuri tehnice şi organizatorice astfel încât datele cu caracter personal menţionate în registru sa nu poata fi alterate sau şterse, precum şi să prevină intervenţia neautorizată asupra aplicaţiei informatice a REVISAL.
După transmitere, registrul se păstrează într-o bază de date organizată la nivelul ITM, precum şi la sediul nostru (în format electronic), în condiţii care să asigure securitatea datelor, precum şi păstrarea îndelungată şi corespunzătoare, cu respectarea prevederilor GDPR şi a legislaţiei incidente în domeniu.
7. Sănătate și securitate în muncă:
Compania PLURAL MEDICAL CONCEPT S.R.L. în calitate de angajator are obligația de asigura securitatea și sănătatea salariaților săi în toate aspectele legate de muncă și înțelege să ia măsuri necesare pentru:
– Asigurarea securității și protecția sănătății salariaților;
– Prevenirea riscurilor profesionale;
– Informarea și instruirea salariaților;
– Asigurarea cadrului organizatoric și mijloacelor necesare securității și sănătății în muncă.
Datele cu caracter personal pe care compania le prelucrează sunt considerate de Regulament date sensibile cu caracter personal, și anume cele privind starea de sănătate a salariaților, precum și cele obținute prin intermediul sistemelor de monitorizare a acestora din urmă.
Aspectele care privesc securitatea şi sănătatea salariaţilor sunt reglementate de Legea nr. 53/2003- Codul muncii, republicată, Legea nr. 319/2006 – Legea securităţii şi sănătăţii în muncă, cu modificările şi completările ulterioare, care se completează cu dispoziţiile legii speciale, ale contractelor colective de muncă aplicabile, precum şi cu normele şi normativele de protecţie a muncii.
GDPR impune ca angajaţii să cunoască ce fel de date privind sănătatea lor sunt colectate şi în ce scop, existand necesitatea unei transparenţe reale, efective.
Operatorul PLURAL MEDICAL CONCEPT S.R.L. se va asigura că:
– prelucrarea datelor personale privind sănătatea angajaţilor săi nu este abuzivă;
– datele personale privind sănătatea vor fi pastrate în mod securizat ( de ex. cu parolă de acces sau fizic într-un fişet securizat;
– datele nu vor fi păstrate mai mult decât sunt necesare companiei şi nu se vor colecta mai multe date decât va fi nevoie;
– salariaţii vor fi încunoștiintati că datele privind sănătatea lor sunt colectate şi în ce scop;
– în cazul în care un salariat este supus unui test medical, acesta va fi pe deplin conștient despre ce date, cu ce scop şi cât de multe date medicale e necesar a fi colectate.
– prelucrarea datelor personale prin intermediul testelor pentru alcool şi substanţe psihoactive respecta urmatoarele criterii:
– prelucrarea este în mod uzual justificată doar din motive legate de sănătate şi siguranţă ;
– atunci când testele sunt utilizate pentru a pune în aplicare regulile şi normele interne ale companiei, acestea trebuie aduse la cunoștința salariaților în mod clar ;
– se vor folosi teste pentru substanţe psihoactive sau alcool doar atunci când este de aşteptat, în mod semnificativ, că oferă rezultate mai bune decât alte măsuri mai puţin susceptibile de intruziune;
– se va comunica angajaţilor pentru ce fel de substanţe sunt testaţi;
– se vor limita testele la substanţele şi gradul de expunere raportat la scopul sau scopurile pentru care se efectuează testările;
– compania se va asigura că testarea aleatorie este cu adevărat aleatorie;
– nu vor fi colectate date cu caracter personal prin testarea tuturor salariaţilor, indiferent că are loc aleatoriu sau nu, dacă doar unii dintre ei sunt supuşi unui risc aferent activităţii pe care o desfăşoară.
8. Colaborarea și schimbul de informații cu medicul de medicină a muncii:
Potrivit Legii nr. 319/2016 privind sănătatea şi securitatea în muncă, supravegherea sănătăţii salariaţilor este asigurată prin medicii de medicină a muncii, pe baza unui contract încheiat între operator și un furnizor de servici medicale.
În calitatea noastră de operator trebuie să transmitem furnizorului de servicii medicale toate informaţiile necesare pentru îndeplinirea obiectului contractului încheiat despre salariaţi, informaţii care se circumscriu atât datelor cu caracter personal sensibile, cât şi celor care nu intră în această categorie (nume, prenume, CNP salariat etc.), transmitere care trebuie să îndeplinească cerinţele GDPR.
Temeiul juridic principal al prelucrării datelor cu caracter personal este cel prevăzut de art. 9 alin. 2 lit. h) din Regulament.
9. Prevenirea și stingerea incendiilor:
PLURAL MEDICAL CONCEPT S.R.L. în calitate de angajator, are obligația:
– De a lua măsurile necesare pentru acordarea primului ajutor, stingerea incendiilor și evacuarea salariaților, adaptate naturii activității
– De a stabili legăturile necesare cu serviciile specializate, îndeosebi în ceea ce privește primul ajutor, serviciul medical de urgență, salvare și pompieri.
În acest sens, compania înțelege să desemneze salariații care trebuie să aplice măsurile de prim ajutor, de stingere a incendiilor și de evacuare a salariaților, cu privire la :
– Dotarea locului de muncă cu echipamente speciale,
– Echipele de intervenție și evacuare,
– Alarmarea personalului de la locul de muncă și evacuarea acestora,
– Anunțarea serviciilor specializate,
– Persoanele responsabile să acționeze cu instinctoare,
– Persoanele responsabile de întreruperea curentului electric și a gazelor naturale,
– Persoanele responsabile de salvarea persoanelor,
– Persoana responsabilă pentru a furniza informații echipei de intervenție.
Temeiul legal al prelucrării datelor cu caracter personal este reprezentat de dispozițiile art. 6 alin. 1 lit. d) și art. 9 alin. 2 lit. c) – referitor la datele speciale cu caracter personal din Regulament. De asemenea sunt incidente și temeiurile legale prevăzute de art. 6 alin. 1 lit. b) și art. 9 alin 2 lit. h) din Regulament.
10. Monitorizarea la locul de muncă:
Compania înțelege că în cazul monitorizării salariaților prin colectarea sau folosirea datelor personale ale acestora, Regulamentul se aplică.
Regulamentul nu interzice monitorizarea salariaților, însă compania înțelege că trebuie respectate dispozițiile legale în vigoare, inclusiv cele din art. 5 din Legea 190/2018 – privind unele măsuri de punere în aplicare a Regulamentului, și anumite principii pentru colectarea și utilizarea datelor personale ale acestora.
Astfel, monitorizarea este permisă pentru detectarea unor contravenții / infracțiuni, pentru verificarea utilizării excesive a telefonului în scop privat sau atunci când sunt monitorizate e-mail-urile sau accesările la internet.
În această situație, protecția datelor cu caracter personal înseamnă că în cazul în care monitorizarea este susceptibilă de a avea efecte adverse negative asupra salariaților, aceasta trebuie să fie justificată de interesul legitim al companiei sau de îndeplinirea unei obligații legale, pe care compania este obligată să o îndeplinească.
Compania înțelege să acționeze transparent în cazul unei monitorizări. Salariații trebuie să fie conștienți de natura, amploarea sau motivele pentru orice monitorizare aplicată, cu excepția situației în care, în mod excepțional, aceasta este justificată.
Compania înțelege să utilizeze datele cu caracter personal obținute prin intermediul monitorizării doar în scopul pentru care s-a făcut monitorizarea si să păstreze într-un mod securizat datele personale pe care le colectează ca urmare a monitorizării, nominalizând persoanele care au acces la acestea.
11. Raporturile dintre Compania PLURAL MEDICAL CONCEPT S.R.L. în calitatea sa de operator și persoana împuternicită de operator:
PLURAL MEDICAL CONCEPT S.R.L. înțelege că este entitatea/operatorul care stabilește ce date despre angajații, clienții săi, etc. să colecteze, precum si scopul și mijloacele prelucrării acestora.
Persoana împuternicită este entitatea, persoana fizică sau juridică, alta decât angajatul operatorului, care prelucrează datele pe seama operatorului. În practică, aceste persoane împuternicite pot fi: firmele de resurse umane, contabilitate, IT, chiar clinicile medicale care au acces la datele medicale ale angajaților, etc.
PLURAL MEDICAL CONCEPT S.R.L. înțelege că majoritatea obligațiilor impuse de GDPR cad în sarcina sa. Acesta trebuie să realizeze informarea persoanei vizate, să se asigure că prelucrarea este legală și că drepturile persoanei sunt respectate.
Persoanele împuternicite de PLURAL MEDICAL CONCEPT S.R.L. au obligații specifice, cum ar fi să nu subcontracteze o altă persoană fără a avea acordul prealabil al operatorului, să se asigure de securitate, să notifice operatorului în cazul unei breșe de securitate, să nu folosească datele în alte scopuri decât pentru executarea contractului cu operatorul.
Între operator – PLURAL MEDICAL CONCEPT S.R.L. și persoana împuternicită există un contract care să asigure protecția datelor.
Prin acest contract, conform GDPR, cele două părți stabilesc:
· obiectul și durata prelucrării;
· natura și scopul prelucrării;
· tipul de date cu caracter personal;
· categoriile de persoane vizate;
· obligațiile și drepturile operatorului.
Tot acest contract conține clauze specifice prin care, persoana împuternicită:
· prelucrează datele personale numai pe baza instrucțiunilor operatorului, neputând să se abată de la ele;
· se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea;
· adoptă toate măsurile necesare în conformitate cu articolul 32 din Regulament (pseudonimizarea și criptarea datelor cu caracter personal, confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor, restabilirea disponibilității datelor în cazul unui incident de securitate, testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării);
· nu recrutează o altă persoană să prelucreze datele fără acordul scris și prealabil al operatorului;
· răspunde pentru persoana pe care o recrutează;
· oferă asistență operatorului pentru a răspunde cererile persoanelor vizate;
· oferă asistență operatorului cu privire incidentele de securitate și evaluările de impact;
· șterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare;
· permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de operator sau alt auditor mandatat și contribuie la acestea.
PLURAL MEDICAL CONCEPT S.R.L. înțelege că GDPR impune ca operatorul să recurgă doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate care să asigure respectarea GDPR și protecția persoanei vizate și că, dacă nu stabileste raporturi contractuale cu persoane împuternicite de încredere, poate fi amendat de Autoritatea de Supraveghere.
12. DREPTURILE PERSOANELOR VIZATE:
În lumina noului Regulament, persoanele vizate au următoarele drepturi:
· Dreptul de retragere a consimțământului acolo unde prelucrarea se face în baza consimțământului ;
· Dreptul de a fi informate cu privire la prelucrarea datelor tale ;
· Dreptul de a primi informații cu privire la prelucrarea datelor și o copie a datelor procesate (dreptul de acces, art. 15 GDPR),
· Dreptul de a solicita rectificarea datelor inexacte sau completarea datelor incomplete (dreptul la rectificare, art. 16 GDPR),
· Dreptul de a solicita ștergerea datelor cu caracter personal și, în cazul în care datele cu caracter personal au fost făcute publice, transmiterea informațiilor referitoare la solicitarea de ștergere către alți operatori (dreptul de ștergere, art. 17 GDPR),
· Dreptul de a solicita restricționarea prelucrării datelor (dreptul la restricționarea procesării, art. 18 GDPR),
· Dreptul de a primi datele personale într-un format structurat, utilizat în mod obișnuit și de a solicita transmiterea acestor date către un alt operator (dreptul la portabilitatea datelor, art. 20 GDPR),
· Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri ;
· Dreptul de a se opune prelucrării datelor cu intenția de a înceta prelucrarea (dreptul la opoziție, art. 21 GDPR),
· Dreptul de a depune o plângere la o autoritate de supraveghere dacă considerați că prelucrarea datelor este o încălcare a GDPR (dreptul de a depune o plângere la o autoritate de supraveghere, art. 77 GDPR).
13. EVIDENȚA ACTIVITĂȚILOR DE PRELUCRARE:
PLURAL MEDICAL CONCEPT S.R.L. înțelege că Regulamentul obligă operatorii și persoanele împuternicite să țină o evidență a activităților de prelucrare în următoarele situații:
· atunci când entitatea are mai mult de 250 angajați;
· prelucrarea este susceptibilă să genereze un risc pentru drepturile și libertățile persoanei vizate prelucrarea include categorii speciale de date;
· prelucrarea nu este ocazională.
Având în vedere că, în general, în activitatea unei firme, prelucrarea nu este ocazională, este necesară existența unei evidențe interne a activităților care să fie revizuită periodic.
PLURAL MEDICAL CONCEPT S.R.L. – va întocmi Registrul intern al activităților de prelucrare, care, începând cu 25 mai 2018 va înlocui procedura notificării Autorității de Supraveghere cu privire la prelucrările de date cu caracter personal; De asemenea va desemna o persoană internă responsabilă cu păstrarea și actualizarea periodică a acestui Registru.
14. RESPONSABILUL CU PROTECȚIA DATELOR: (DPO) –
Ținand cont de elementele prezentate mai jos compania noastră va numi un responsabil cu protectia datelor.
PLURAL MEDICAL CONCEPT S.R.L. înțelege că numirea unui responsabil cu protecția datelor fie ca angajat în cadrul companiei sau ca serviciu externalizat se va face:
· prelucrarea este efectuată de o autoritate sau un organism public, cu excepţia instanţelor care acţionează în exerciţiul funcţiei lor jurisdicţionale;
· activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în operatiuni de prelucrare care prin natura, domeniul de aplicare şi/sau scopurile lor necesită o monitorizare periodică şi sistematică a persoanelor vizate pe scară largă; sau
· activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date.
Responsabilul cu protecţia datelor este desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute de Regulament.
Operatorul are următoarele obligaţii:
• De a se asigura că responsabilul cu protecţia datelor este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal;
• De a sprijini responsabilul cu protecţia datelor în îndeplinirea sarcinilor sale, asigurându-i resursele necesare pentru executarea acestor sarcini, precum şi accesarea datelor cu caracter personal şi a operaţiunilor de prelucrare, şi pentru menţinerea cunoştinţelor sale de specialitate ;
• De a vă asigura că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini. De reţinut că potrivit Regulamentului acesta nu poate fi demis sau sancţionat pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii persoanei împuternicite de operator;
• Asigurarea faptului că persoanele vizate pot contacta responsabilul cu protecţia datelor cu privire la toate chestiunile legate de prelucrarea datelor lor şi la exercitarea drepturilor lor în temeiul Regulamentului;
• Asigurarea asupra faptului că îndeplinirea sarcinilor şi atribuţiilor sale NU generează un conflict de interese (aceasta înseamnă, în primul rând, faptul că DPO nu poate
deţine o funcţie în cadrul organizaţiei, prin care să stabilească scopurile şi mijloacele
de prelucrare a datelor cu caracter personal).
Responsabilul cu protecţia datelor are cel puţin următoarele sarcini:
• informează şi consiliază persoana împuternicită de operator, precum şi a angajaţilor care se ocupă de prelucrare cu privire la obligaţiile care le revin în temeiul Regulamentului;
• monitorizează respectarea Regulamentului şi a politicilor persoanei împuternicite de operator în ceea ce priveşte protecţia datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente;
• furnizează consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia;
• cooperează cu autoritatea de supraveghere;
• asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă prevăzută de Regulament, precum şi, dacă este cazul, consultarea cu privire la orice altă chestiune.
15. EVALUAREA IMPACTULUI ASUPRA PROTECȚIEI DATELOR (DPIA).
Ținand cont de elementele prezentate mai jos compania noastră nu va efectua Evaluarea impactului asupra protecției datelor.
Evaluarea impactului asupra protecţiei datelor reprezintă o etapă prealabilă în cadrul procesului de prelucrare a datelor cu caracter personal.
Această procedură este obligatorie pentru persoanele împuternicite care folosesc tehnologii susceptibile să genereze un risc ridicat asupra drepturilor şi libertăţilor persoanelor fizice.
Neconformarea cu rigorile legale care reglementează această procedură, neefectuarea sau efectuarea incorectă, pot atrage sancţiuni pentru persoanele împuternicite de până la 2% din cifra de afaceri, luându-se în calcul valoarea cea mai mare.
Regulamentul prevede o listă exemplificativă a situaţiilor în care prelucrarea datelor personale prezintă un risc ridicat asupra drepturilor şi libertăţilor fundamentale ale persoanelor vizate şi, prin urmare, trebuie trecută prin filtrul unei evaluări DPIA, şi
anume:
• în cazul unei prelucări sistematice şi cuprinzătoare a aspectelor personale referitoare la persoane fizice (spre exemplu, situaţia economică), care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, şi care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
• în cazul prelucrării pe scară largă a unor categorii speciale de date; sau
• în cazul unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.
La realizarea unei evaluări a impactului asupra protecţiei datelor, operatorul solicită avizul responsabilului cu protecţia datelor, dacă acesta a fost desemnat.
Procedura de evaluare a impactului asupra protecţiei datelor constă cel puţin în următoarele aspecte:
• descrierea procesului de prelucrare a datelor, respectiv a operaţiunilor de prelucrare, inclusiv a scopului acesteia şi a interesului legitim urmărit de operator;
• evaluarea necesităţii şi proporţionalităţii operaţiunilor de prelucrare în legătură cu scopurile avute în vedere;
• identificarea posibilelor ameninţări asupra drepturilor persoanelor fizice şi evaluarea riscurilor;
• evaluarea soluţiilor pentru îndepărtarea riscurilor, respectiv a măsurilor de securitate
– trebuie adoptate decizii cu privire la fiecare identificat.
Autoritatea naţională de supraveghere vine în sprijinul operatorilor prin publicarea unor liste care să conţină tipurile de prelucrări care trebuie să fie supuse unei evaluări DPIA, dar şi tipurile de prelucrări care nu trebuie evaluate.
16. SCHIMBUL DE DATE CU CARACTER PERSONAL :
Prin “schimb de date cu caracter personal“ se înțelege divulgarea datelor din una sau mai multe organizaţii către o organizaţie terţă parte sau mai multe sau schimbul de date între diferite entităţi ale unei organizaţii.
Operatorul are obligaţia de a informa persoanele vizate cu privire la existenţa unui schimb de date, inclusiv cu privire la destinatarii sau categoriile de destinatari – prin nominalizarea numelui actual al organizaţiei sau tipul acesteia.
Cel mai important lucru este ca organizaţiile implicate în schimbul de date să conlucreze pentru a se asigura că persoanele vizate implicate cunosc în posesia carei companii sunt sau vor fi datele lor personale precum şi scopul utilizării lor prezente sau viitoare de catre aceasta.
Responsabilitatea principală cade în sarcina organizaţiei care a colectat iniţial datele. Cu toate acestea, ca bună practică, se va urmari ca toate organizațiile implicate în procesul de schimb a datelor personale să se asigure că persoanele vizate sunt și rămân conştiente în privinţa entităţii care deţine datele lor personale si a scopului pentru care sunt prelucrate.
17. STOCAREA DATELOR :
PLURAL MEDICAL CONCEPT S.R.L. nu are o abordare „Păstrăm totul”. Acest lucru nu este nici practic, nici lipsit de costuri și nici nu respectă principiul limitării legate de stocare, enunțat de Regulamentul (EU) 679/2016. Cu toate acestea, unele date cu caracter personal vor fi păstrate, printre altele, pentru că există o obligație legală, sau pentru a ne proteja interesele comerciale. Printre motive, enumerăm:
– Litigii;
– Respectarea legii;
– Protejarea proprietății intelectuale;
– Protejarea secretelor comerciale;
– Ancheta privind incidentele de securitate.
Când datele sunt stocate pe hârtie, ele sunt păstrate într-un loc sigur unde persoanele neautorizate nu pot avea acces.
Aceste instrucțiuni se aplică, de asemenea, asupra datelor care sunt stocate în mod obișnuit în format electronic, dar au fost printate din anumite considerente:
· Hârtiile sau fișierele sunt păstrate într-un loc închis sau într-un sertar închis;
· Angajații ar trebui se asigură că documentul printat nu este lăsat la vederea persoanelor neautorizate, de exemplu pe imprimantă;
· Printurile vor fi distruse când nu mai sunt necesare.
Când datele sunt stocate în format electronic, ele vor fi protejate impotriva accesului neautorizat, ștergerilor accidentale sau atacurilor intenționate de hacking:
· Datele vor fi protejate de parole puternice ce sunt schimbate regulat și niciodatã împărtășite între angajați;
· Dacă datele sunt stocate pe suporturi amovibile (precum CD, DVD), acestea vor fi păstrate în siguranțã atunci când nu sunt folosite;
· Datele vor fi stocate numai în servere sau unități specializate si încărcate într-un serviciu de cloud computing aprobat;
· Serverele ce conțin informații personale vor fi plasate într-un loc sigur, departe de spațiul general de birouri;
· Datele nu vor fi salvate direct pe laptopuri sau alte dispositive mobile precum tablete sau smartphone-uri.
· Datele vor avea un back-up ce va fi testat regulat.
· Toate serverele și calculatoarele ce conțin date vor fi protejate de un software de Securitate și firewall.
Măsuri adoptate de societate:
· Când se lucrează cu date personale, angajații trebuie să se asigure că ecranele calculatoarelor lasate nesupravegheate sunt întotdeauna închise;
· Datele personale nu vor fi transmite prin e-mail, dacă aceasta cale de comunicare nu este sigură.
· Datele ar trebui criptate înainte de a fi transferate electronic. Departamentul IT și/sau împreună cu Managerul companiei va explica cum trebuie trimise datele cãtre contactele externe autorizate.
· Datele personale nu vor fi transferate în afara Spațiului Economic European fara indeplinirea condițiilor cerute de GDPR.
· Angajații nu vor salva datele personale în dispozitivele lor personale. Întotdeauna ar trebui să existe acces și actualizare a copiei centrale a tuturor datelor.
· Angajații care lucrează cu aceste date, vor asigura acuratețea și actualitatea datelor pe cât posibil.
· Angajații trebuie sa păstreze datele în puține locuri si sa nu creeze locuri adiționale fara ca acest lucru sa fie necesar (exemplu – copii inutile)
· Personalul se va folosi de fiecare oportunitate pentru a asigura actualizarea datelor.
· Compania va depune toate diligențele necesare pentru ca subiectele datelor să își poată actualiza informațiile pe care aceasta le deține. (De exemplu, prin intermediul site-ului web al companiei)
· Datele vor fi actualizate când se descoperă inadvertențe – când un client nu mai poate fi contactat prin intermediul unui numãr de telefon, se va proceda la eliminarea acestuia din baza de date a companiei.
· Paginile de internet ale Companiei au fost auditate cu privire la respectarea prevederilor GDPR și au fost implementate sisteme care asigură conformarea acestora la Regulament
Toate aspectele ce țin de prelucrarea în siguranță a datelor cu caracter personal stocate în format electronic sunt detaliate in cadrul Politicii de Securitate IT aprobate în cadrul companiei, iar Departamentul IT intern sau extern este responsabil de aplicarea și verificarea acestora.
Toate mediile de stocare a datelor cu caracter personal vor fi ținute în condiții adecvate și sigure pentru a evita furtul, pierderea sau degradarea electronică.
Datele cu caracter personal vor fi transmise către terți (de exemplu autorități ale statutului, persoane juridice – colaboratori externi) numai atunci când este lucru este conform cu legea și, în toate cazurile, cu respectarea drepturilor persoanei vizate.
Perioada de stocare:
· Datele cu caracter personal ale clienților: 10 ani de la încetarea contractului sau ultima interacțiune cu Societatea. Ulterior acestei perioade, datele vor fi șterse total sau anonimizate complet pentru a fi utilizate în scopuri istorice, statistice sau de cercetare.
· Datele cu caracter personal ale candidaților la un loc de muncă: 1 an de la interviu. Ulterior acestei perioade, datele vor fi șterse total sau anonimizate complet pentru a fi utilizate în scopuri istorice, statistice sau de cercetare.
· Datele cu caracter personal ale angajaților: 10 ani de la încetarea contractului de muncă, cu excepția contractelor de muncă (75 de ani) și a ștatelor de plată (50 de ani). Ulterior acestei perioade, datele vor fi șterse total sau anonimizate complet pentru a fi utilizate în scopuri istorice, statistice sau de cercetare.
· Documentele contabile: 10 ani. Ulterior acestei perioade, datele vor fi șterse total sau anonimizate complet pentru a fi utilizate în scopuri istorice, statistice sau de cercetare.
· Date ale partenerilor de afaceri sau colaboratorilor externi: 10 ani de la încetarea contractului sau ultima interacțiune cu Societatea. Ulterior acestei perioade, datele vor fi șterse total sau anonimizate complet pentru a fi utilizate în scopuri istorice, statistice sau de cercetare.
· Datele prelucrate pentru marketing direct: până la retragerea consimțământului.
· Alte date cu caracter personal se vor păstra pe perioada impusă de lege, iar în lipsa acesteia pe o perioadă de 5 ani de la ultima interacțiune de orice fel cu persoana vizată.
18. DISTRUGEREA (ȘTERGEREA) DATELOR:
Potrivit art. 17 din Regulamentului operatorul are obligația de a şterge datele cu caracter
personal în cazul în care:
– datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor
pentru care au fost colectate sau prelucrate;
– persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea şi nu
există niciun alt temei juridic pentru prelucrare;
– persoana vizată se opune prelucrării şi nu există motive legitime care să prevaleze în
ceea ce priveşte prelucrarea;
– datele cu caracter personal au fost prelucrate ilegal;
– datele cu caracter personal trebuie şterse pentru respectarea unei obligaţii legale;
– datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societăţii informaţionale în mod direct unui copil, care are mai puţin de 16 ani, nu există consimţământul acordat sau autorizat de titularul răspunderii părinteşti.
Ştergerea datelor cu caracter personal este o activitate importantă în domeniul protecţiei datelor cu caracter personal, având în vedere principiul potrivit căruia “datele cu caracter personal prelucrate în orice scop/scopuri nu ar trebui păstrate mai mult decât este necesar pentru îndeplinirea acelui scop sau scopuri”.
La expirarea perioadei de stocare se vor distruge complet toate documentele (fizice sau electronice) care conțin date cu caracter personal prin utilizarea tehnologiei disponibile pentru documentele electronice sau prin metode fizice (distrugătoare, ardere) pentru documentele fizice. În aceeași măsură, datele pot fi anonimizate complet pentru a fi utilizate în scopuri istorice, statistice sau de cercetare.
19. Reguli Speciale de Prelucrare
19.1. Prelucrarea in scop de reclama / marketing / publicitate a Datelor Clienților:
Înaintea Prelucrării in scop de reclama/marketing/publicitate, PLURAL MEDICAL CONCEPT S.R.L. va verifica să existe consimțământul valabil al persoanei vizate in acest sens pe toata durata prelucrării (de ex: Persoana vizata sa nu își fi exercitat dreptul de opoziție). Anterior inițierii oricăror prelucrări de date cu caracter personal ale clienților, altele decât cele incluse in Registrul de activități de prelucrare a datelor cu caracter personal, se va solicita avizul DPO/persoana responsabila cu prelucrarea datelor, privind condițiile de legalitate a acestor prelucrări.
19.2. Prelucrarea Datelor aparținând părților terțe:
În cazul operațiunilor desfășurate de PLURAL MEDICAL CONCEPT S.R.L. cu părți terțe, compania obține consimțământul persoanelor vizate/ furnizează informațiile cu privire la prelucrare prin clauzele specifice inserate pe documentele utilizate de PLURAL MEDICAL CONCEPT SRL pentru operațiunile desfășurate de acest tip de persoane vizate, anterior inițierii oricăror prelucrări de Date.
19.3. Metode de monitorizare in cadrul PLURAL MEDICAL CONCEPT S.R.L.
Asigurarea securității sistemului informațional si a comunicărilor electronice in cadrul PLURAL MEDICAL CONCEPT S.R.L.:
Are ca scop protejarea informațiilor confidențiale, securitatea sistemelor informatice, prevenirea si/sau detectarea fraudelor, preîntâmpinării scurgerii informației care conține date cu caracter personal prin metoda excluderii accesului neautorizat la aceasta; preîntâmpinării distrugerii, modificării, copierii, blocării neautorizate a datelor cu caracter personal în rețelele de telecomunicații și resursele informaționale; respectării cadrului normativ de folosire a sistemelor informaționale și a programelor de prelucrare a datelor cu caracter personal; asigurării caracterului complet, integru, veridic al datelor cu caracter personal în rețelele de telecomunicații și resurselor informaționale; păstrării posibilităților de gestionare a procesului de prelucrare și păstrare a datelor cu caracter personal, precum si protecția reputației PLURAL MEDICAL CONCEPT S.R.L. Vizează, de asemenea, urmărirea evoluției amenințărilor aferente sistemelor informatice și mai ales riscurile de natură logică (intruziune, blocarea serviciilor, etc.); Prelucrările vizează doar datele de trafic si datele de acces/transmitere a corespondentei.
Cu toate acestea, accesarea/monitorizarea datelor de conținut este realizată numai în circumstanțe excepționale temeinic justificate precum și în cazurile determinate de necesitatea îndeplinirii unor prevederi legale.
Angajații vor fi informați la angajare, precum și ori de câte ori este cazul, despre modul de utilizare a conexiunii la internet și e-mail, precum și despre excepțiile aplicabile.
20. Prevederi speciale legate de minori
PLURAL MEDICAL CONCEPT S.R.L. nu urmărește în activitățile sale de prelucrare de date, prelucrarea datelor cu caracter personal ale minorilor. O atenție deosebită se acordă pentru a se asigura că orice prelucrare a datelor cu caracter personal ale minorilor se realizează în conformitate cu cerințele Regulamentului, articolul 8 și în cazuri strict determinate.
PLURAL MEDICAL CONCEPT SRL nu realizează activități promoționale de marketing direct față de minori.
Minorilor care nu au împlinit vârsta de 16 ani nu li se permite solicitarea de servicii sau orice comunicații pe site-ul PLURAL MEDICAL CONCEPT S.R.L. decât dacă aceasta se realizează în numele minorului de către reprezentantul legal sau tutorele minorului în cauză, conform legii.
De asemenea, orice persoană care ne furnizează datele personale prin intermediul site-ului sau alte aplicații și/sau dispozitive garantează că este major, respectiv că are capacitate deplină de exercițiu.
Orice colectare sau prelucrare de date cu caracter personal ale minorilor se va realiza numai în condițiile legii, și având în vedere cele de mai sus.
21. Concluzii:
În cadrul PLURAL MEDICAL CONCEPT S.R.L. s-au luat măsuri adecvate de securitate tehnică IT și măsuri organizatorice pentru respectarea pe deplin a Regulamentului European 2016/679, iar prezenta politică generală de prelucrare a datelor cu caracter personal se completează cu dispozițiile cuprinse în:
-politica de confidențialitate publicată și pe site-ul companiei, în vederea informării persoanelor vizate
– politica de securitate IT
– regulile financiar-contabile
– politica de utilizare cookies pentru website-urile companiei
– recomandări aplicații interne
– recomandări utillizare rețele de socializare – Daca este cazul!
– politica privind notificarea incidentelor de securitate
– politică privind procedură răspuns la plângeri – politici și proceduri aprobate de companie, dar și cu restul documentelor privind angajații și celelalte persoane vizate cu care compania intră în contact, registrul activităților de prelucrare păstrat în format electronic fiind actualizat de către companie, ori de câte ori intervine o schimbare de direcție în privința activităților desfășurate de companie.
Conducerea PLURAL MEDICAL CONCEPT S.R.L. precum și angajații și prepușii acestora sunt responsabili de prelucrarea datelor în zona lor de responsabilitate. Prin urmare, acestia sunt obligați să se asigure că sunt îndeplinite cerințele legale pentru protecția datelor și cele conținute în politica de protecție a datelor. Organele de conducere au responsabilitatea de a se asigura că există măsuri organizaționale, resurse umane și tehnice pentru ca orice prelucrare a datelor să fie efectuată în conformitate cu protecția datelor.
Orice informații sau clarificări suplimentare cu privire la prelucrarea datelor dvs. personale – în calitate de persoană vizată sau dacă aveți întrebări sau nelămuriri cu privire la prelucrarea informațiilor dvs. sau doriți să vă exercitați drepturile legale sau aveți orice altă îngrijorare cu privire la confidențialitatea asupra datelor dvs., vă rugăm să contactați PLURAL MEDICAL CONCEPT S.R.L. prin intermediul persoanei desemnate în acest sens, respectiv Dl./ Dna. ____________________________________ la adresa de e-mail ____________________ pentru asigurarea faptului că PLURAL MEDICAL CONCEPT S.R.L. respectă toate cerințele GDPR.
Prezenta Politică internă generală privind prelucrarea datelor cu caracter general a fost aprobată în data de: 25.05.2018
PLURAL MEDICAL CONCEPT S.R.L.
Prin Administrator