SC TRIPLAST SRL prelucrează datele cu caracter personal ale personalului angajat precum și ale candidaților la ocuparea unor posturi în cadrul societății, ale clienților și furnizorilor, prin mijloace manuale sau automatizate. În vederea relizării acestor prelucrări SC TRIPLAST SRL, singură sau împreună cu alte persoane fizice sau juridice, autoritatăți publice, agenții sau alte organisme, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. Având în vedere aceste lucruri, în conformitate cu RGPD, art. 4, al. (7), SC TRIPLAST SRL este OPERATOR de date cu caracter personal.
În calitate de operator de date cu caracter personal SC TRIPLAST SRL își asumă angajamentul de a proteja și respecta confidențialitatea datelor cu caracter personal. Prezenta Politica de confidențialitate are la bază cadrul legislativ stabilit prin Regulamentul nr. 2016/679 privind protecția datelor cu caracter personal si libera circulație a acestora, precum și prevederile naționale aplicabile, urmârind asigurarea cerințelor de conformitate prin raportarea la principiile ce guvernează protecția datelor cu caracter personal.
Datele de contact ale societății:
Denumirea societății (Operatorului): SC TRIPLAST S.R.L.
Sediul social: Târgu Mureș, Str. Gh. Doja, nr.197, jud.Mureș, J26/198/2002; CUI 14516495
Date societate: Numar de inregistrare la Registrul Comertului J26/198/2002, cod fiscal RO1451645,
Cont bancar RO40 BRDE 270S V049 3204 2700, deschis la BRD-GSG
Web: www . triplast . ro
E-mail: dpo @ triplast . ro
1. SCOP
Scopul acestei politici este de a stabili masurile necesare si responsabilitatile angajatilor SC TRIPLAST SRL, pentru indeplinirea obligatiilor referitoare la garantarea si protejarea drepturilor si libertatilor fundamentale ale persoanelor fizice, cu privire la prelucrarea datelor cu caracter personal.
În completarea prezentei Politici de confidențialitate vă rugăm să citiți și ”Politica despre cookie-uri”, pentru a afla modalitatea în care www.triplast.ro folosește cookie-urile, dar și Secțiunea privind ”Termeni și Condiții” privind procesul de vânzare pentru site-ul www.triplast.ro.
2. DOMENIUL DE APLICARE
Prezenta politica se aplică prelucrării datelor cu caracter personal în cadrul activităților SC TRIPLAST S.R.L, desfășurate pentru îndeplinirea misiunii societății de a produce bunuri materiale, de dezvoltare a soluțiilor noi dar și îmbunătățirea continuă a celor deja existente.
3. TERMENI SI DEFINITII
Nr.crt. | Termenul | Definiţia şi/sau, dacă este cazul, actul care defineşte termenul |
5. | Date cu caracter personal | Înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale; |
6. | Prelucrarea datelor cu caracter personal | Înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea |
7 | Restricționarea prelucrării | Înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora |
8. | Creare de profiluri | Înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia; |
9. | Pseudonimizare | Înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile; |
10. | Sistem de evidență a datelor | Înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice; |
11. | Operator | Înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern; |
12. | Persoană împuternicită de operator | Înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului; |
13. | Destinatar | Înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. |
14. | Parte terță | Înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal; |
15. | Consimțământ | Al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate; |
16. | Încălcarea securității datelor cu caracter personal | Înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea |
17. | Date genetice | Înseamnă datele cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice privind fiziologia sau sănătatea persoanei respective și care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză; |
18. | Date biometrice | Înseamnă o date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice; |
19. | Date privind sănătatea | Înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia; |
4. DOCUMENTE DE REFERINTA
- Regulamentul (UE) 679/2016 (“RGPD”), privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date.
- Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).
- Legea nr. 682din 28 noiembrie 2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981
- Legea nr. 506din 17 noiembrie 2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice
- LEGE nr. 363din 28 decembrie 2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date
- Legea nr. 365/2002privind comerțul electronic;
- Norme metodologicedin 20 noiembrie 2002 pentru aplicarea Legii nr. 365/2002 privind comertul electronic
- Decizia Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 99 din 18 mai 2018 privind încetarea aplicabilităţii unor acte normative cu caracter administrativ emise în aplicarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
- Alte decizii ale preşedintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal
5. PRECIZARI:
5.1. REGULI GENERALE
Prin cerinte minime de securitate este avut in vedere un complex de masuri tehnice, informatice, organizatorice, logistice, proceduri si politici de securitate prin care sa se asigure nivelul minim de securitate prevazut in Regulamentul (UE) 2016/679 (mentionat in continuare ca si „Regulamentul”), in conformitate cu cerintele minime de securitate a prelucrarilor de date cu caracter personal.
TRIPLAST a adoptat masuri tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal impotriva distrugerilor accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat. In acest sens au fost desemnate, la nivelul TRIPLAST, persoane responsabile cu respectarea dispozitiilor Regulamentului.
TRIPLAST a luat masuri de stocare in siguranta a informatiilor privind date cu caracter personal, astfel incat sa fie asigurat un nivel adecvat de protectie si securitate, in sensul Regulamentului.
Pentru indeplinirea prevederilor legale aferente si in vederea satisfacerii cerintelor pastrarii in siguranta a datelor si informatiilor, institutia a elaborat si implementat masuri organizatorice si tehnice orientate pe anumite directii de actiune:
– Identificarea si autentificarea utilizatorului
– Tipul de acces
– Colectarea datelor
– Executia copiilor de siguranta
– Computerele si terminalele de acces
– Instruirea personalului
5.2. PROCEDURI SPECIFICE
5.2.1 Identificarea si autentificarea utilizatorului
Pentru a avea acces la date cu caracter personal, utilizatorii trebuie sa se autentifice in sistemele informatice ale TRIPLAST. Autentificarea in cadrul sistemelor informatice se face prin introducerea credentialelor de autentificare unice si netransmisibile dobandite in urma procesului de inrolare si management al identitatii electronice, guvernat de politicile de securitate in vigoare.
Fiecare utilizator are propriul sau cod de identificare (nume de utilizator). Niciodata nu este alocat acelasi cod de indentificare mai multor utilizatori si acesta nu poate fi partajat de catre mai multe persoane.
Codurile de identificare (sau conturi de utilizator) nefolosite o perioada mai indelungata sunt dezactivate si distruse dupa un control prealabil. Perioada dupa care codurile trebuie dezactivate si distruse este stabilita prin politicile interne ale firmei.
Orice cont de utilizator este insotit de o modalitate de autentificare, prin introducerea unei chei de autentificare, respectiv o parola.
Parolele sunt siruri de caractere, adecvate din punct de vedere al securitatii ca lungime si compozitie. La introducerea parolelor acestea nu sunt afisate in clar pe monitor. Parolele sunt schimbate periodic conform politicilor interne TRIPLAST. Schimbarea periodica a parolelor se face numai de catre utilizatori autorizati.
Orice utilizator care primeste un cod de identificare si un mijloc de autentificare este obligat prin fisa postului sa pastreze confidentialitatea acestora si sa raspunda in acest sens in fata operatorului.
Este stabilita o procedura proprie de administrare si gestionare a conturilor de utilizator. Sunt autorizati persoanele din cadrul societatii NETALL SRL in calitate de administrator IT pentru a revoca sau a suspenda un cod de identificare si autentificare, daca utilizatorul acestora si-a dat demisia ori a fost concediat, si-a incheiat contractul, a fost transferat la alt serviciu si noile sarcini nu ii solicita accesul la date cu caracter personal, a abuzat de codurile primite sau daca va absenta o perioada indelungata stabilita de entitate.
5.2.2. Tipul de acces
Utilizatorii trebuie sa acceseze numai datele cu caracter personal necesare pentru indeplinirea atributiilor lor de serviciu. Pentru aceasta trebuie sa fie stabilite tipurile de acces dupa functionalitate (administrare, introducere, prelucrare, salvare etc.) si dupa actiuni aplicate asupra datelor cu caracter personal (scriere, citire, stergere), precum si procedurile privind aceste tipuri de acces.
NETALL care asigura suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea incidentelor si a problemelor aparute in utilizarea sistemelor informatice.
Alte masuri specifice implementate pentru controlul accesului, sunt:
– in spatiile destinate desfasurarii activitatii institutiei sunt instalate sisteme de alarma antiefractie;
– in spatiul aferent intrarii in perimetrul institutiei, in zona halei productie si parcari sunt instalate sisteme de supraveghere video;
– monitorizarea si interventia in caz de alarma este asigurata de o firma de protectie si paza;
5.2.3. Colectarea datelor
TRIPLAST desemneaza utilizatori autorizati pentru operatiile de colectare si introducere de date cu caracter personal in sistemele informationale.
Orice modificare a datelor cu caracter personal se executa doar de catre utilizatori autorizati desemnati.
5.2.4. Executia copiilor de siguranta
Copiile de siguranta ale bazelor de date ce contin date cu caracter personal, precum si ale programelor folosite pentru prelucrarile automatizate se efectueaza odata pe zi, in afara programului zilnic de lucru, perioada fiind prestabilita de NETALL, automat, printr-un sistem informatic de tip Back-Up automat, sistem intretinut de NETALL, responsabila cu securitatea sistemelor informatice.
Copiile de siguranta se stocheaza intr-un server cu acces restrictionat, aflat intr-o incapere supravegheata video si protejata de sistemul anti-efractie al firmei.
Sistemele care gestioneaza date cu caracter personal sunt protejate prin procesul de backup periodic impotriva pierderii, sau distrugerii datelor sau a sistemului informatic.
5.2.5. Computerele si terminalele de acces
Computerele si alte terminale de acces la date cu caracter personal aflate in sediul TRIPLAST sunt instalate in incaperi cu acces restrictionat. Simultan, statiile de luru sunt instalate in incaperi care se pot incuia si/sau sunt supravegheate video.
Daca pe ecran apar date cu caracter personal asupra carora nu se actioneaza o perioada data, stabilta de catre management (de regula 2 minute), sesiunea de lucru se va inchide.
Terminalele de acces folosite in relatia cu publicul, pe care apar date cu caracter personal, sunt pozitionate astfel incat sa nu poata fi vazute de public si dupa o perioada scurta, stabilita de TRIPLAST (de regula 2 minute), in care nu se actioneaza asupra lor, acestea vor fi ascunse sau sesiunea de lucru va fi inchisa.
Serverele care gazduiesc date cu caracter personal pot fi accesate doar in mod controlat, pe baza de drepturi de acces, conform politicilor de securitate ale TRIPLAST;
Nu este permisa scoaterea din institutie a mediilor de stocare mobile (CD/DVD, USB Stick, Portable HDD) care contin date cu caracter personal, decat cu aprobare prealabila din partea conducerii institutiei.
5.2.6. Sistemele de telecomunicatii
TRIPLAST face periodic reviziuirea conturilor de utilizatori si a privilegiilor acordate pentru detectarea unor disfunctionalizati in ceea ce priveste sistemelor informationale.
Sisteleme informationale sunt concepute astfel incat datele cu caracter personal sa nu poate fi interceptate sau transmise din orice amplasament.
Prin sistemele de telecomunicatii datele cu caracter personal sunt transmise printr-un canal sigur.
5.2.7. Instruirea personalului
Personalul TRIPLAST este informat cu privire la prevederile Regulamentului pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, la cerintele minime de securitate a prelucrarilor de date cu caracter personal, precum si cu privire la riscurile pe care le comporta prelucrarea datelor cu caracter personal.
Utilizatorii care au acces la date cu caracter personal sunt instruiti asupra confidentialitatii acestora. Utilizatorii sunt obligati sa isi inchida sesiunea de lucru atunci cand parasesc locul de munca.
5.2.8. Folosirea computerelor
Pentru mentinerea securitatii prelucrarii datelor cu caracter personal (in special impotriva virusilor informatici) sunt luate masuri privind:
– interzicerea folosirii de catre utilizatori a programelor software care provin din surse neverificate;
– informarea utilizatorilor in privinta pericolului privind virusii informatici;
– implementarea unor sisteme automate de tip antivirus si protective malware si de securitate a sistemelor informatice;
5.2.9. Imprimarea datelor
Scoaterea la imprimanta a datelor cu caracter personal se va realiza numai de utilizatori autorizati de catre TRIPLAST pentru aceasta operatiune.
5.2.10. Prelucrarea manuala de date cu caracter personal
Documentele care contin date cu caracter personal sunt tinute in fisete sau dulapuri inchise cu cheie sau cu un alt mecanism de securizare. Documentele care contin date cu caracter personal, folosite pentru realizarea anumitor operatiuni se vor preda persoanelor abilitate sau se vor inchide imediat dupa terminarea acestora.
5.3. Principiile care stau la baza prelucrarii datelor cu caracter personal
Prelucrarea datelor cu caracter personal se realizeaza cu respectarea cerintelor legale si in conditii care sa asigure securitatea, confidentialitatea si respectarea drepturilor persoanelor vizate.
Prelucrarea datelor cu caracter personal se face cu respectarea urmatoarelor principii:
- Legalitatea: Prelucrarea datelor cu caracter personal se face in temeiul si in conformitate cu prevederile legale;
- Scopul bine-determinat: Orice prelucrare de date cu caracter personal se face in scopuri bine determinate, explicite si legitime, adecvate, pertinente si neexcesive prin raportare la scopul in care sunt colectate si ulterior prelucrate;
- Confidentialitatea: Persoanele care prelucreaza, in numele TRIPLAST, date cu caracter personal au prevazut in fisa postului, anexa la contractul individual de munca, o clauza de confidentialitate;
- Consimtamantul persoanei vizate: Orice prelucrare de date cu caracter personal, cu exceptia prelucrarilor care vizeaza date din categoriile strict mentionate in Regulament, poate fi efectuata numai daca persoana vizata si-a dat consimtamantul in mod expres si neechivoc pentru acea prelucrare;
- Informarea: Persoanele vizate iau cunostinta despre faptul ca li se vor prelucra date cu caracter personal;
- Protejarea persoanelor vizate: Drepturile persoanelor vizate sunt prezentate la punctul 5.6.
- Securitatea: Masurile de securitate a datelor cu caracter personal sunt stabilite astfel incat sa asigure un nivel adecvat de securitate a datelor cu caracter personal procesate.
5.4. Prelucrarea datelor cu caracter personal avand o functie de identificare de aplicabilitate generala, inclusiv dezvaluirea acestora catre terti, se face numai in urmatoarele conditii:
- a) persoana vizata si-a dat in mod expres consimtamantul; sau
- b) prelucrarea este prevazuta in mod expres de o dispozitie legala; sau
- c) in alte cazuri, cu avizul Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal si numai cu conditia instituirii unor garantii adecvate pentru respectarea drepturilor persoanelor vizate.
TRIPLAST respecta principiul caracterului adecvat, pertinent si neexcesiv, precum si masurile de confidentialitate si de securitate a prelucrarilor. In cazul prevazut la punctul c) de mai sus, se au in vedere urmatoarele aspecte:
- scopul prelucrarii sa fie determinat, explicit si legitim;
- stabilirea si aplicarea unor masuri prin care sa se asigure exercitarea drepturilor persoanelor vizate;
- durata de stocare a datelor sa fie pe perioada strict necesara indeplinirii scopului, dupa care datele vor fi sterse sau distruse, dupa caz;
- stabilirea modalitatilor de acces la sistemele de evidenta in vederea colectarii datelor, in functie de care se vor stabili si respecta masuri tehnice si organizatorice adecvate pentru protejarea datelor;
- utilizarea datelor numai in limitele scopului stabilit;
- dezvaluirea catre alti destinatari este interzisa, cu exceptia situatiei in care exista consimtamantul persoanei vizate sau o prevedere legala expresa;
- desemnarea, in scris, a persoanei/persoanelor care va/vor prelucra datele si care trebuie sa isi asume raspunderea pastrarii confidentialitatii acestora, lista continand evidenta acestor persoane fiind actualizata ori de cate ori se impune;
- numirea, in scris, a unei persoane specializate in securitatea informatiei care sa vegheze la prelucrarea datelor, inclusiv la buna functionare a sistemelor informatice utilizate in aceasta activitate;
- stabilirea unui plan de securitate a informatiilor care sa cuprinda, in principal, securitatea tehnica pe plan informatic si securitatea spatiilor in care se prelucreaza datele, tinand cont de cerintele minime de securitate;
- stabilirea, in scris, a drepturilor si obligatiilor operatorului care transmite datele si ale operatorului care le primeste.
Colectarea si prelucrarea datelor cu caracter personal avand o functie de identificare de aplicabilitate generala, inclusiv dezvaluirea acestora, prin efectuarea si retinerea de copii de pe cartea de identitate sau de pe documente care le contin, sunt interzise, cu exceptia situatiilor prevazute la punctele a), b) si c) de mai sus.
5.5. Prelucrarea datelor cu caracter personal prin utilizarea sistemelor de supraveghere video
Prelucrarea datelor cu caracter personal prin utilizarea sistemelor de supraveghere video se efectueaza cu respectarea regulilor generale prevazute de Regulament, cu modificarile si completarile ulterioare.
Camerele de supraveghere video sunt montate in locuri vizibile.
Prelucrarea datelor cu caracter personal prin mijloace de supraveghere video se face pentru realizarea unor interese legitime, fara a se prejudicia drepturile si libertatile fundamentale sau interesul persoanelor vizat. Nu este permisa prelucrarea datelor cu caracter personal ale angajatilor prin mijloace de supraveghere video in interiorul spatiilor/birourilor unde acestia isi desfasoara activitatea la locul de munca, cu exceptia situatiilor prevazute expres de lege sau a avizului ANSPDCP.
TRIPLAST, in calitate de operator care prelucreaza date cu caracter personal prin mijloace de supraveghere video este obligat sa furnizeze informatiile prevazute de Regulament, cu modificarile si completarile ulterioare, inclusiv cu privire la:
- a) existenta sistemului de supraveghere video si scopul prelucrarii datelor prin astfel de mijloace;
- b) identitatea operatorului;
- c) existenta inregistrarii imaginilor si categoriile de destinatari ai acestora;
- d) drepturile persoanelor vizate si modul de exercitare a acestora.
Informatiile mentionate mai sus trebuie aduse la cunostinta persoanelor vizate, in mod clar si permanent.
Existenta sistemului de supraveghere video este semnalata prin intermediul unei pictograme care contine o imagine reprezentativa cu vizibilitate suficienta si pozitionata la o distanta rezonabila de locurile unde sunt amplasate echipamentele de supraveghere video.
Prelucrarea datelor cu caracter personal prin mijloace de supraveghere video se poate realiza doar de persoanele autorizate de catre TRIPLAST (personal propriu sau persoane imputernicite de catre operator), instruite cu privire la legislatia referitoare la protectia datelor cu caracter personal si obligate sa se supuna acesteia.
Durata de stocare a datelor obtinute prin intermediul sistemului de supraveghere video este proportionala cu scopul pentru care se prelucreaza datele, dar nu mai mare de 30 de zile, cu exceptia situatiilor expres reglementate de lege sau a cazurilor temeinic justificate.
La expirarea termenului stabilit, inregistrarile se distrug sau sterg, dupa caz, in functie de suportul pe care s-au stocat.
5.6. Drepturile persoanelor ale caror date personale sunt colectate si/ sau prelucrate
5.6.1. Dreptul de a fi informat
(1) In cazul in care datele cu caracter personal sunt obtinute direct de la persoana vizata, TRIPLAST este obligat sa furnizeze persoanei vizate cel putin urmatoarele informatii, cu exceptia cazului in care aceasta persoana poseda deja informatiile respective:
- a) scopul in care se face prelucrarea datelor;
- b) informatii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; daca furnizarea tuturor datelor cerute este obligatorie si consecintele refuzului de a le furniza;
- c) existenta drepturilor prevazute de lege pentru persoana vizata, in special a dreptului de acces, de interventie asupra datelor si de opozitie, precum si conditiile in care pot fi exercitate;
- d) orice alte informatii a caror furnizare este impusa prin dispozitie a autoritatii de supraveghere, tinand seama de specificul prelucrarii.
(2) Pe pagina de internet a TRIPLAST (www.TRIPLAST.ro) este postata Politica de confidentialitate;
(3) Inainte de completarea datelor cu caracter personal se solicita consimtamantul persoanelor vizate, pentru prelucrarea acestora;
(4) Numarul de inregistrare a notificarii comunicat de Autoritatea Nationala de supraveghere se mentioneaza in orice document prin care se colecteaza, stocheaza sau dezvaluie date cu caracter personal;
(5) Cladirile care sunt supravegheate video vor avea, la intrare, afisat in loc vizibil, informarea privind preluarea si stocarea de imagini.
5.6.2. Dreptul de acces la date
Orice persoana vizata are dreptul de a obtine de la TRIPLAST (in calitate de operator), la cerere si in mod gratuit, confirmarea faptului ca datele care o privesc sunt sau nu sunt prelucrate de acesta.
TRIPLAST este obligat, in situatia in care prelucreaza date cu caracter personal care privesc solicitantul, sa comunice acestuia, impreuna cu confirmarea, cel putin urmatoarele:
- a) informatii referitoare la scopurile prelucrarii, categoriile de date avute in vedere si destinatarii sau categoriile de destinatari carora le sunt dezvaluite datele;
- b) comunicarea intr-o forma inteligibila a datelor care fac obiectul prelucrarii, precum si a oricarei informatii disponibile cu privire la originea datelor;
- c) informatii asupra principiilor de functionare a mecanismului prin care se efectueaza orice prelucrare automata a datelor care vizeaza persoana respectiva;
- d) informatii privind existenta dreptului de interventie asupra datelor si a dreptului de opozitie, precum si conditiile in care pot fi exercitate;
- e) informatii asupra posibilitatii de a inainta plangere catre autoritatea de supraveghere, precum si de a se adresa instantei pentru atacarea deciziilor operatorului, in conformitate cu dispozitiile legii.
Nota:
(1) Persoana vizata poate solicita de la TRIPLAST informatiile prevazute de lege, printr-o cerere intocmita in forma scrisa, semnata si inregistrata la registratura companiei. In cerere solicitantul poate arata daca doreste ca informatiile sa ii fie comunicate la o anumita adresa, care poate fi si de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.
(2) TRIPLAST este obligat sa comunice informatiile solicitate, in termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului.
5.6.3. Dreptul de interventie asupra datelor
Orice persoana vizata are dreptul de a obtine de la operator, la cerere si in mod gratuit:
- a) dupa caz, rectificarea, actualizarea, blocarea sau stergerea datelor a caror prelucrare nu este conforma legii, in special a datelor incomplete sau inexacte;
- b) dupa caz, transformarea in date anonime a datelor a caror prelucrare nu este conforma legii.
5.6.4. Dreptul de opozitie
Persoana vizata are dreptul de a se opune in orice moment, din motive intemeiate si legitime legate de situatia sa particulara, ca date care o vizeaza sa faca obiectul unei prelucrari, cu exceptia cazurilor in care exista dispozitii legale contrare. In caz de opozitie justificata prelucrarea nu mai poate viza datele in cauza.
5.6.5. Dreptul de a nu fi supus unei decizii individuale
(1) Orice persoana are dreptul de a cere si de a obtine retragerea/ anularea/ reevaluarea oricarei decizii care produce efecte juridice in privinta sa, adoptata exclusiv pe baza unei prelucrari de date cu caracter personal, efectuata prin mijloace automate, destinata sa evalueze unele aspecte ale personalitatii sale, precum competenta profesionala, credibilitatea, comportamentul sau ori alte asemenea aspecte.
(2) Respectandu-se celelalte garantii prevazute de lege, o persoana poate fi supusa unei decizii de natura celei vizate la al. (1), numai in urmatoarele situatii:
- a) decizia este luata in cadrul incheierii sau executarii unui contract, cu conditia ca cererea de incheiere sau de executare a contractului, introdusa de persoana vizata, sa fi fost satisfacuta sau ca unele masuri adecvate, precum posibilitatea de a-si sustine punctul de vedere, sa garanteze apararea propriului interes legitim;
- b) decizia este autorizata de o lege care precizeaza masurile ce garanteaza apararea interesului legitim al persoanei vizate.
5.6.6. Dreptul de a se adresa justitiei
(1) Fara a se aduce atingere posibilitatii de a se adresa cu plangere autoritatii de supraveghere, persoanele vizate au dreptul de a se adresa justitiei pentru apararea oricaror drepturi garantate de lege, care le-au fost incalcate.
(2) Orice persoana care a suferit un prejudiciu in urma unei prelucrari de date cu caracter personal, efectuata ilegal, se poate adresa instantei competente pentru repararea acestuia.
5.7. Comunicarea datelor cu caracter personal
(1) Datele cu caracter personal se pot comunica intre TRIPLAST si imputernicitii acestuia sau intre TRIPLAST sau imputerniciti ai acestuia si alte institutii ori organisme publice sau entitati de drept public sau privat in una dintre urmatoarele situatii:
- a) daca persoana vizata si-a dat consimtamantul expres si neechivoc pentru comunicarea datelor sale;
- b) fara consimtamantul persoanei vizate in cazurile prevazute de lege.
(2) Comunicarea datelor cu caracter personal in situatiile prevazute la alin. (1) se poate face daca este indeplinita una dintre urmatoarele conditii:
- a) comunicarea se efectueaza pe baza unui contract sau, dupa caz, a unui document de cooperare care trebuie sa cuprinda cel putin: numarul de inregistrare a notificarii, temeiul legal al prelucrarii si scopul acesteia, termenul maxim de prelucrare, drepturile si obligatiile partilor, modalitatile de asigurare a securitatii prelucrarilor si de respectare a drepturilor persoanei vizate, precum si mentiunea ca datele pot fi utilizate doar de structura beneficiara si numai in scopul pentru care au fost solicitate;
- b) comunicarea se efectueaza in baza unei solicitari scrise, care trebuie sa cuprinda temeiul legal, scopul prelucrarii si datele solicitate, precum si, daca este cazul, numarul atribuit beneficiarului de Autoritatea nationala de supraveghere.
(3) Comunicarea datelor cu caracter personal se poate face si on-line, cu respectarea dispozitiilor alin. (1) si (2) si asigurarea securitatii sistemelor de comunicatii a datelor cu caracter personal.
(4) Datele cu caracter personal asupra carora persoanele vizate au exercitat si li s-a recunoscut dreptul de opozitie nu pot face obiectul prelucrarii.
(5) Cererile pentru comunicarea datelor cu caracter personal adresate TRIPLAST trebuie sa contina datele de identificare a solicitantului, precum si motivarea si scopul cererii, conform prevederilor legale.
(6) Cererile care nu contin aceste elementele se restituie pentru completare, iar cele care nu se incadreaza in conditiile prevazute de lege se resping, mentionandu-se motivele pentru care comunicarea datelor cu caracter personal nu este posibila.
(7) Inainte de comunicarea datelor cu caracter personal, TRIPLAST verifica daca acestea sunt exacte si, daca este cazul, actualizate.
(8) In situatia in care se constata ca au fost transmise date incorecte sau neactualizate, TRIPLAST are obligatia de a informa destinatarii respectivelor date asupra neconformitatii acestora, cu mentionarea datelor care au fost modificate.
(9) La comunicarea datelor cu caracter personal TRIPLAST atentioneaza destinatarii asupra interdictiei de a prelucra datele pentru alte scopuri decat cele specificate in cererea de comunicare.
5.8. Masuri tehnice privind prelucrarea datelor cu caracter personal
Toate documentele care contin date cu caracter personal se inregistreaza si urmeaza regulile de pastrare, procesare, multiplicare, transport, transmitere, distrugere si arhivare stabilite prin Legea Arhivelor nationale si prin proceduri interne.
Nota 1: Acest document se completeaza cu intreg setul de politici/proceduri de securitate aprobat de conducerea TRIPLAST si aflat in vigoare.
Nota 2: Lista datelor cu caracter personal, mecanismul lor de inregistrare, prelucrare, stocare si divulgare sunt prezentate in Anexe la prezentul document.