- DEFINIŢII
„GDPR”, „Regulamentul” – Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor, în limba engleză General Data Protection Regulation);
„date cu caracter personal” – orice informaţii privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
„prelucrare” – înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;
„operator” – înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
„persoana împuternicită de operator” – înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
„destinatar” – înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei
anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării;
„parte terţă” – înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directă autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
„consimţământ” – al persoanei vizate înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care această acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
„încălcarea securităţii datelor cu caracter personal” – înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
„reprezentant” – înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana împuternicită de operator, care reprezintă operatorul sau persoana împuternicită în ceea ce priveşte obligaţiile lor respective care le revin în temeiul GDPR;
„reguli corporatiste obligatorii” – înseamnă politicile în materie de protecţie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce priveşte transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe ţări terţe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună;
„autoritate de supraveghere” – înseamnă o autoritate publică independentă instituită de un stat membru;
„DPO” – responsabilul cu protecţia datelor (în limba engleză, data protection officer);
„DPIA” – evaluarea impactului asupra protecţiei datelor (în limba engleză, data-protection impact assessment, DPIA);
„Autoritate de Supraveghere” – Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
- SCOPUL ŞI DOMENIUL DE APLICARE
2.1. SCOPUL
Prezenta procedură documentează cerinţele privind întocmirea documentului numit „Cartografierea datelor cu caracter personal”.
2.2. DOMENIUL DE APLICARE
Prezenta procedură se aplică tuturor structurilor organizatorice ale Operatorului SC TRIPLAST SLR din Tirgu Mureș. Prezenta procedură va fi considerată ca având caracter general şi se va aplica tuturor prelucrărilor efectuate de Operator.
În cazul în care se constată existenţa anumitor aspecte pentru care prezenta procedură nu oferă directive corespunzătoare, Angajaţii trebuie să solicite imediat consiliere din partea Ofiţerului responsabil cu protecţia datelor (DPO) sau reprezentantului legal al Operatorului.
2.3. DOCUMENTE DE REFERINȚĂ
– GDPR
– Regulament intern
– Proceduri interne
- REGULI GENERALE
3.1. GENERAL. Operatorul TRIPLAST din Tirgu Mureș va întocmi un tabel (de preferat în format excel), în care va enumera fiecare linie (de ex. “activitate” desfăşurată în cadrul fiecărui proces) împreună cu informaţiile legate de colectare, stocare, utilizare, transfer şi distrugere a conţinutului datelor critice pentru fiecare departament.
IMPORTANT: Operatorul va trece prin puncte de mai jos fiecare tip de document care conţine date cu caracter personal.
3.2. TIPUL/NUMELE DOCUMENTELOR PENTRU COLECTAREA DATELOR CU CARACTER PERSONAL
Operatorul TRIPLAST din Tirgu Mureș va identifica tipul/numele documentelor pentru colectarea datelor cu caracter personal se vor selecta categoriile de date din Schema de Clasificare a datelor (Anexa 1).
3.3. CATEGORIILE DE DATE
Operatorul TRIPLAST din Tirgu Mureș va selecta categoriile de date cu caracter personal. În vederea identificării categoriilor de date cu caracter personal colectate se va avea în vedere Schema de Clasificare a datelor (Anexa 1).
3.4. TIPUL DATELOR
Operatorul TRIPLAST din Tirgu Mureș va selecta tipul de date cu caracter personal. În vederea identificării tipului de date cu caracter personal colectate se va avea în vedere Schema de Clasificare a datelor (Anexa 1).
3.5. SURSA DATELOR
Operatorul TRIPLAST din Tirgu Mureș va selecta de unde provin datele personale (ex. sursa de intrare)? Bifaţi cu “X” sursa de intrare a datelor (sunt posibile mai multe opţiuni).
☐ Studenți
☐ Clienţi (PF sau PJ)
☐ Angajaţi
☐ Părţi terţe (furnizori, parteneri, prestatori de servicii)
3.6. METODA DE COLECTARE A DATELOR
Operatorul TRIPLAST din Tirgu Mureș va selecta metoda de colectare a datelor cu caracter personal. Bifaţi cu “X” tipul suport al colectării datelor (sunt posibile mai multe opţiuni).
☐ Fizic (Suport Hârtie)
☐ Poștă/Curier
☐ Fax
☐ Portal Web
☐ Formular Online
☐ USB Drive
☐ Hard Drive
☐ CDs/DVDs
☐ Server FTP
☐ Social Media
☐ Call Center
3.7. LOCAŢIA DE TRANSFER URMĂTOARE
Operatorul TRIPLAST din Tirgu Mureș va selecta locaţia de transfer a datelor cu caracter personal. Bifaţi cu “X” locaţia de transfer a datelor (sunt posibile mai multe opţiuni).
☐ Birouri (Dosare)
☐ E-mail Server
☐ Aplicaţii IT (numele aplicaţiilor utilizate)
☐ Baze de Date
☐ Fişiere Electronice
☐ Telefoane Mobile
3.8. LOCAŢIA DE STOCARE
Operatorul TRIPLAST din Tirgu Mureș va selecta locaţia de stocare a datelor cu caracter personal. Bifaţi cu “X” locaţia de stocare a datelor (sunt posibile mai multe opţiuni).
☐ Birouri (Dosare)
☐ E-mail Server
☐ Aplicaţii IT (numele aplicaţiilor utilizate)
☐ Sistem Generic/Server
☐ Fişiere Electronice
☐ Baze de Date
☐ Server Web
☐ Arhiva Electronică (back-up)
☐ Cloud
3.9. UTILIZAREA DATELOR (Intern)
Operatorul TRIPLAST din Târgu Mureș va selecta modalitatea de utilizare a datelor cu caracter personal. Bifaţi cu “X” modalitatea de utilizare (sunt posibile mai multe opţiuni).
☐ Departament
☐ Transfer intern către alt departament
☐ Câţi angajaţi au acces la datele cu caracter personal?
3.10. TRANSFERUL DATELOR (Extern)
Operatorul TRIPLAST din Tirgu Mureș va selecta modalitatea de transfer a datelor cu caracter personal. Bifaţi cu “X” modalitatea de transfer (sunt posibile mai multe opţiuni).
☐ Autorităţi
☐ Părţi terţe (furnizori, parteneri, prestatori servicii)
☐ Transfrontalier (în UE/ SEE sau în afara UE/SEE)
3.11. REŢINEREA ŞI ARHIVAREA DATELOR
Operatorul TRIPLAST din Tirgu Mureș va selecta locaţia de reţinere/stocare a datelor. Bifaţi cu “X” locaţia de reţinere/stocare a datelor (sunt posibile mai multe opţiuni).
☐ Birouri (Arhivă)
☐ E-mail Server
☐ Aplicaţii IT (numele aplicaţiilor utilizate)
☐ Sistem Generic/Server
☐ Fişiere Electronice
☐ Baze de date
☐ Server Web
☐ Arhivare Electronică (back-up)
☐ Cloud
3.12. TERMEN DE STOCARE/REŢINERE
Operatorul TRIPLAST din Tirgu Mureș va completa termenul de stocare/reţinere pentru fiecare temei de prelucrare a datelor cu caracter personal.
☐ Consimţământ
☐ Obligaţie legală
☐ Obligaţie contractuală
☐ Interes public
☐ Autorităţi publice
☐ Protejarea intereselor vitale
☐ Interes legitim
3.13. DISTRUGERE/ŞTERGERE
Operatorul TRIPLAST din Tirgu Mureș va completa modalitatea de distrugere/ştergere a datelor cu caracter personal. Bifaţi cu “X” modalitatea de ştergere/distrugere a datelor (sunt posibile mai multe opţiuni).
☐ Coş gunoi
☐ Distrugător de hârtie
☐ Ştergere sisteme informatice .
Anexa 1: Schema de clasificare a datelor
Atenţie! | Se au în vedere DOAR atributele (datele) unei persoane fizice |
Mai jos sunt furnizate o serie de categorii ce conţin date cu caracter personal (D.C.P.). Lista de mai jos nu este limitativă, în măsura în care consideraţi că sunt colectate/procesate şi alte D.C.P. vă rugăm să le marcaţi în tabel în dreptul unei categorii sau la final (alte date). | |
CATEGORIA | DESCRIERE |
A | Date de identificare şi caracteristici personale |
A.1 | Nume şi prenume |
A.2 | Data naşterii |
A.3 | CNP |
A.4 | Cetăţenie |
A.5 | Serie şi număr buletin/carte de identitate/paşaport/alt act de identitate (e.g. permis de şedere, de muncă, permis de conducere etc.) |
A.6 | Adresa de domiciliu (inclusiv cele anterioare, dacă există) |
A.7 | Data emiterii a actelor de identitate |
A.8 | Data expirării a actelor de identitate |
A.9 | Fotografie (CV, acte de identitate, diplome etc.) |
A.10 | Reşedinţa (dacă există) |
A.11 | Stare Civilă |
A.12 | Număr de telefon (personal şi/sau de serviciu) |
A.13 | E-mail (personal şi/sau de serviciu) |
A.14 | Pseudonim |
A.15 | Semnătura |
A.16 | Vârsta |
A.17 | Religie |
A.18 | Sex |
A.19 | Locul naşterii |
A.20 | Naţionalitate |
A.21 | Nume şi prenume tată |
A.22 | Nume şi prenume mamă |
A.23 | Numărul plăcuţei de înmatriculare a autoturismului (personal şi/sau de serviciu) |
A.24 | Numărul permisului de conducere |
A.25 | Numărul de asigurare socială sau de sănătate |
A.26 | Limbi vorbite |
A.27 | Origine rasială sau etnică |
A.28 | Credinţe religioase sau filizofice |
CATEGORIA | DESCRIERE |
B. | Detalii despre membrii familiei |
B.1 | Nume şi prenume soţ/soţie |
B.2 | Data naştere soţ/soţie |
B.3 | Numele dinainte de căsătorie al soţului/soţiei |
B.4 | Numele după căsătorie soţ/soţie |
B.5 | Nume şi prenume copii |
B.6 | Dată naştere copil |
B.7 | CNP copii |
B.8 | Seria şi numărul certificatului de căsătorie, divorţ, deces etc. |
B.9 | CNP soţ/soţie |
B.10 | Nume şi prenume parinti ,soţi |
B.11 | Istoricul stării civile: căsătorii anterioare, divorţuri etc. |
B.12 | Informaţii despre alţi membri ai familei: numărul copiilor, persoane aflate în întreţinere, părinţi etc. |
B.13 | Informaţii despre copii în întreţinere (pensii alimentare) |
| |
CATEGORIA | DESCRIERE |
C. | Identificare electronică |
C.1 | “Cookies” |
C.2 | Loguri de acces ale angajaţilor |
C.3 | Adresele IP ale angajaţilor |
C.4 | Coordonate GPS, locaţie |
C.5 | Seria şi numărul cardului de acces al unui angajat sau vizitator |
C.6 | Numărul de marcă al angajatului |
C.7 | Dispozitive de sănătate şi de fitness |
CATEGORIA | DESCRIERE |
D. | Elemente Financiare (bancare, financiare şi de avere) |
D.1 | Date identificare bancă al unei persoane fizice (e.g. număr cont bancar al angajatului). |
D.2 | Numărul unui card bancar al unei persoane fizice |
D.3 | Coduri secrete (ex. coduri de acces în anumite spaţii) |
D.4 | Orice tranzacţii financiare in care sunt implicate PF (e.g. persoane fizice beneficiari/plătitori în cadrul unei operaţiuni de plată) |
D.5 | Contracte comerciale, alte documente de natură financiară încheiate de PJ cu PF, sau de către PF din PJ cu un terţ (PF sau PJ) |
D.6 | Venit şi avere |
D.7 | Datorii şi Cheltuieli |
D.8 | Împrumuturi şi ipoteci |
D.9 | Solventă, restanţe, incidente |
D.10 | Tranzacţii financiare |
D.11 | Compensări |
D.12 | Acorduri şi angajamente |
D.13 | Materiale şi echipamente |
D.14 | Proprietăţi locuinţe, terenuri etc. |
D.15 | Certificări, Training Dezvoltare Personală, Activităţi profesionale (tipuri de activităţi, relaţii de afaceri) ale PF din cadrul PJ |
CATEGORIA | DESCRIERE |
E. | Alte caracteristici personale |
E.1 | Informaţii despre stagiul militar |
E.2 | Informaţii despre străin: detalii viză, permis de muncă, condiţii speciale |
E.3 | Numere de identificare emise de guvern |
CATEGORIA | DESCRIERE |
F. | Caracteristici fizice |
F.1 | Înălţime |
F.2 | Greutate |
F.3 | Culoarea părului |
F.4 | Culoarea ochilor |
F.5 | Semne distinctive |
CATEGORIA | DESCRIERE |
G. | Informaţii privind stilul de viaţă şi comportamentul |
G.1 | Consum de tutun, alcool |
G.2 | Consum de bunuri |
G.3 | Detalii privind călătoriile: vize, permise de muncă |
G.4 | Contacte pe medii sociale: prieteni, asociaţi, relaţii altele decât familia |
G.5 | Funcţii publice deţinute |
G.6 | Informaţii privind accidentele suferite, persoane implicate, natură accidentului |
G.7 | Profil psihologic |
G.8 | Distincţii civile |
| |
CATEGORIA | DESCRIERE |
H. | Hobby-uri şi interese |
H.1 | Activităţi de tip hobby, sporturi practicate |
| |
CATEGORIA | DESCRIERE |
I. | Afilieri |
I.1 | Membru în diferite organizaţii (mai puţin politice): caritabile, voluntari, cluburi, asociaţii etc. |
I.2 | Apartenenţă la sindicate, uniuni profesionale |
CATEGORIA | DESCRIERE |
J. | Informaţii de natură juridică |
J.1 | Condamnări penale |
J.2 | Amenzi administrative |
J.3 | Suspiciuni, punere sub acuzare, investigaţii (civile, penale) |
J.4 | Măsuri judiciare: punere sub tutelă, sechestru judiciar etc. |
J.5 | Sancţiuni administrative: administrativ-disciplinara, administrativ-contraventionala, administrativ-patrimoniala |
J.6 | Sancţiuni sub legislaţia muncii: administrativ-disciplinara – advertismente, cercetare disciplinară, reţinere salariu |
J.7 | Sancţiuni administrative: administrativ-patrimoniala – reţineri din salariu/poprire conturi bancare |
J.8 | Certificat de cazier judiciar, fiscal, auto |
CATEGORIA | DESCRIERE |
K. | Date privind starea de sănătate (categorii speciale) |
K.1 | Număr asigurare socială |
K.2 | Informaţii privind starea de sănătate a persoanei vizate: certificate medicale, rapoarte medicale, fişe medicale, tratamente, rezultate ale analizelor, diagnostice, certificate concediu medical etc. |
K.3 | Grupa de sânge |
K.4 | Statut Dizabilităţi |
K.5 | Informaţii privind starea de sănătate a persoanei vizate din punctul de vedere al vieţii sexuale: boli sexuale cu transmitere |
CATEGORIA | DESCRIERE |
L. | Informaţii privind studiile şi cursurile |
L.1 | Informaţii privind studiile persoanei vizate: instituţii de învăţământ absolvite, cursuri urmate, diplome, rezultate ale examenelor etc. |
L.2 | Calificări profesionale: patente, licenţe, calificări, certificări etc. |
L.3 | Publicaţii: reviste, cărţi, articole, rapoarte etc. |
CATEGORIA | DESCRIERE |
M. | Informaţii privind istoricul profesional şi viaţa profesională |
M.1 | Informaţii despre angajatorul curent: angajator, funcţia, data angajării, măsuri disciplinare etc. |
M.2 | Informaţii despre terminarea contractului de muncă: data plecării, preavize etc. |
M.3 | Carieră: istoric profesional, poziţie, informaţii despre angajatorii precedenţi |
M.4 | Informaţii financiare: salarii, beneficii, bonusuri, pensii, taxe etc. |
M.5 | Detalii de contact angajare (adresă email loc de muncă, telefon loc de muncă, adresă loc de muncă) |
M.6 | Bunuri deţinute de angajat: obiecte de inventar, maşini, utilizaje etc. |
M.7 | Afilieri organizaţii profesionale |
M.8 | Poziţii publice deţinute |
CATEGORIA | DESCRIERE |
N. | Informaţii privind opiniile politice, filozofice şi sindicate. Opinii religioase |
N.1 | Opinii şi preferinţe politice |
N.2 | Calitatea de membru într-un partid politic |
N.3 | Activităţi de lobby |
N.4 | Apartenenţa la un sindicat |
N.5 | Opinii religioase |
CATEGORIA | DESCRIERE |
O. | Informaţii privind procesarea de imagini |
O.1 | Fotografii, înregistrări video etc. |
O.2 | Date biometrice: amprente digitale, modelele retiniene, structura facială, vocile, dar şi geometria mâinilor, modelul venelor, sau chiar unele abilităţi adânc înrădăcinate sau alte caracteristici comportamentale (e.g. semnătura) |
CATEGORIA | DESCRIERE |
P. | Informaţii privind procesarea de sunete |
P.1 | Înregistrarea de apeluri telefonice |
CATEGORIA | DESCRIERE |
R. | Informaţii privind viaţa sexuală |
R.1 | Informaţii privind orientare sexuală |
R.2 | Informaţii privind viaţa sexuală |
CATEGORIA | DESCRIERE |
S. | Alte date cu caracter personal |