- DEFINIȚII
„GDPR”, „Regulamentul” – Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor, în limba engleză General Data Protection Regulation);
„date cu caracter personal” – orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
„prelucrare” – înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
„operator” – înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
„persoană împuternicită de operator” – înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
„destinatar” – înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei
anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării;
„parte terță” – înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
„consimțământ” – al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
„încălcarea securității datelor cu caracter personal” – înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
„reprezentant” – înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana împuternicită de operator, care reprezintă operatorul sau persoana împuternicită în ceea ce privește obligațiile lor respective care le revin în temeiul GDPR;
„reguli corporatiste obligatorii” – înseamnă politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce privește transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe țări terțe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună;
„autoritate de supraveghere” – înseamnă o autoritate publică independentă instituită de un stat membru;
„DPO” – responsabilul cu protecția datelor (în limba engleză, data protection officer);
„DPIA” – evaluarea impactului asupra protecției datelor (în limba engleză, data-protection impact assessment, DPIA);
„Autoritate de Supraveghere” – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
- SCOPUL ȘI DOMENIUL DE APLICARE
2.1. SCOPUL
Prezenta procedură documentează cerințele privind întocmirea documentului numit „Registrul de evidență a prelucrărilor de date” (Anexa 1).
2.2. DOMENIUL DE APLICARE
Prezenta procedură se aplică tuturor structurilor organizatorice ale SC TRIPLAST SRL. Prezenta procedură va fi considerată ca având caracter general și se va aplica tuturor prelucrărilor efectuate de Operator.
În cazul în care se constată existența anumitor aspecte pentru care prezenta procedură nu oferă directive corespunzătoare, Angajații trebuie să solicite imediat consiliere din partea Ofițerului responsabil cu protecția datelor (DPO), dacă a fost numit sau reprezentantului legal al Operatorului.
2.3. DOCUMENTE DE REFERINȚĂ
– GDPR
– Regulament intern
– Proceduri interne
- REGULI GENERALE
3.1. GENERAL. Operatorul SC TRIPLAST SRL va întocmi un tabel (de preferat în format excel), în care va enumera fiecare linie de business (de ex. “activitate” desfășurată în cadrul fiecărui proces de business) împreună cu informațiile legate de colectare, stocare, utilizare, transfer și distrugere a conținutului datelor critice pentru fiecare departament.
IMPORTANT: Operatorul va trece prin puncteLE de mai jos fiecare tip de document care conține date cu caracter personal.
3.2. TIPUL/NUMELE DOCUMENTELOR PENTRU COLECTAREA DATELOR CU CARACTER PERSONAL
Operatorul SC TRIPLAST SRL va identifica tipul/numelE documentelor pentru colectarea datelor cu caracter personal se vor selecta categoriile de date din Schema de Clasificare a datelor.
3.3. CATEGORIILE DE DATE
Operatorul SC TRIPLAST SRL va selecta categoriile de date cu caracter personal. În vederea identificării categoriilor de date cu caracter personal colectate se va avea în vedere Schema de Clasificare a datelor.
3.4. TIPUL DATELOR
Operatorul SC TRIPLAST SRL va selecta tipul de date cu caracter personal. În vederea identificării tipului de date cu caracter personal colectate se va avea în vedere Schema de Clasificare a datelor.
3.5. SURSA DATELOR
Operatorul SC TRIPLAST SRL va selecta de unde provin datele personale (ex. sursa de intrare)? Bifați cu “X” sursa de intrare a datelor (sunt posibile mai multe opțiuni).
☐ Clienți (PF sau PJ)
☐ Angajați
☐ Părți terțe (furnizori, parteneri, prestatori de servicii)
3.6. METODA DE COLECTARE A DATELOR
Operatorul SC TRIPLAST SRL va selecta metoda de colectare a datelor cu caracter personal. Bifați cu “X” tipul suport al colectării datelor (sunt posibile mai multe opțiuni).
☐ Fizic (Suport Hartie)
☐ Poștă/Curier
☐ Fax
☐ Portal Web
☐ Formular Online
☐ USB Drive
☐ Hard Drive
☐ CDs/DVDs
☐ Server FTP
☐ Social Media
☐ Call Center
3.7. LOCAȚIA DE TRANSFER URMĂTOARE
Operatorul SC TRIPLAST SRL va selecta locația de transfer a datelor cu caracter personal. Bifați cu “X” locația de transfer a datelor (sunt posibile mai multe opțiuni).
☐ Birouri (Dosare)
☐ E-mail Server
☐ Aplicații IT (numele aplicațiilor utilizate)
☐ Baze de Date
☐ Fișiere Electronice
☐ Telefoane Mobile
3.8. LOCAȚIA DE STOCARE
Operatorul SC TRIPLAST SRL va selecta locația de stocare a datelor cu caracter personal. Bifați cu “X” locația de stocare a datelor (sunt posibile mai multe opțiuni).
☐ Birouri (Dosare)
☐ E-mail Server
☐ Aplicații IT (numele aplicațiilor utilizate)
☐ Sistem Generic/Server
☐ Fișiere Electronice
☐ Baze de Date
☐ Server Web
☐ Arhiva Electronica (back-up)
☐ Cloud
3.9. UTILIZAREA DATELOR (Intern)
Operatorul SC TRIPLAST SRL va selecta modalitatea de utilizare a datelor cu caracter personal. Bifați cu “X” modalitatea de utilizare (sunt posibile mai multe opțiuni).
☐ Departament
☐ Transfer intern către alt departament
☐ Câți angajați au acces la datele cu caracter personal?
3.10. TRANSFERUL DATELOR (Extern)
Operatorul SC TRIPLAST SRL va selecta modalitatea de transfer a datelor cu caracter personal. Bifați cu “X” modalitatea de transfer (sunt posibile mai multe opțiuni).
☐ Autorități
☐ Părți terțe (furnizori, parteneri, prestatori servicii)
☐ Transfrontalier (în UE/ SEE sau în afara UE/SEE)
3.11. REȚINEREA ȘI ARHIVAREA DATELOR
Operatorul SC TRIPLAST SRL va selecta locația de reținere/stocare a datelor. Bifați cu “X” locația de reținere/stocare a datelor (sunt posibile mai multe opțiuni).
☐ Birouri (Arhiva)
☐ E-mail Server
☐ Aplicații IT (numele aplicațiilor utilizate)
☐ Sistem Generic/Server
☐ Fișiere Electronice
☐ Baze de date
☐ Server Web
☐ Arhivare Electronica (back-up)
☐ Cloud
3.12. TERMEN DE STOCARE/REȚINERE
Operatorul SC TRIPLAST SRL va completa termenul de stocare/reținere pentru fiecare temei de prelucrare a datelor cu caracter personal.
☐ Consimțământ
☐ Obligație legală
☐ Obligație contractuala
☐ Interes public
☐ Autorități publice
☐ Protejarea intereselor vitale
☐ Interes legitim
3.13. DISTRUGERE/ȘTERGERE
Operatorul SC TRIPLAST SRL va completa modalitatea de distrugere/ștergere a datelor cu caracter personal. Bifați cu “X” modalitatea de ștergere/distrugere a datelor (sunt posibile mai multe opțiuni).
☐ Coș gunoi
☐ Distrugător de hârtie
☐ Ștergere sisteme informatice .