cos (0)

POLITICA DE SECURITATE

PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

IN CADRUL S.C. MEDFARM TRADING S.R.L.

DATA EMITERII : 07 MAI 2018

 

 

1. PREAMBUL
Prezentul document defineste politica de securitate privind protectia datelor cu caracter pesonal in cadrul firmei MEDFARM TRADING S.R.L., in conformitate cu cerintele Regulamentului UE nr 2016/679 din 27 aprilie 2016 privind protectia datelor cu caracter personal si privind libera circulatie a acestor date, numit in continuare GDPR.
Scopul implementarii acestei politici in cadrul S.C.MEDFARM TRADING S.R.L. este de a asigura protectia datelor cu caracter personal si de a preveni incalcarea securitati acestor date stocate, transmise sau prelucrate in orice alt mod, incalcare care poate fi cu caracter accidental sau ilegala.

2. DEFINITII. CONCEPTE CHEIE
Conceptele cheie prezentate in continuare sunt in conformitate cu definitiile cuprinse in GDPR

2.1 Date cu caracter personal
Inseamna orice informatii privind o persoana fizica identificata sau identificabila, numita in continuare persoana vizata.
O persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi : un nume, un numar de identificare, date de localizare,un identificator on-line, sau unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

2.2 Prelucrare
Inseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi:
- colectarea,
- înregistrarea,
- organizarea,
- structurarea,
- stocarea,
- consultarea,
- utilizarea,
- divulgarea prin transmitere, diseminarea sau punerea la dispoziÈ›ie în orice alt mod,
- adaptarea sau modificarea,
- extragerea,
- alinierea sau combinarea,
- restricționarea,
- ștergerea sau distrugerea;

2.3 Operator (de date cu caracter personal)
Inseamnă persoana fizică sau juridică, autoritatea publică, agenÈ›ia sau alt organism care, singur sau împreună cu altele, stabileÈ™te scopurile È™i mijloacele de prelucrare a datelor cu caracter personal;
Operatorul nu este in mod necesar implicat in activitatile de prelucrare insa aceasta este realizata la initiativa sa, in beneficiul sau.

2.4 Persoana imputernicita de operator
Inseamnă persoana fizică sau juridică, autoritatea publică, agenÈ›ia sau alt organism care prelucrează datele cu caracter personal în numele operatorului;

2.5 Operatori asociati
În cazul în care doi sau mai mulÈ›i operatori stabilesc în comun scopurile È™i mijloacele de prelucrare, aceÈ™tia sunt operatori asociaÈ›i.

2.6 Parte terta
Inseamnă o persoană fizică sau juridică, autoritate publică, agenÈ›ie sau organism altul decât :
- persoana vizată,
- operatorul,
- persoana împuternicită de operator,
- persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal

2.7 Destinatar
Inseamnă persoana fizică sau juridică, autoritatea publică, agenÈ›ia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță.
Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari.

2.8 Consimtamant (al persoanei vizate)
Inseamnă orice manifestare de voință :
- liberă,
- specifică,
- informată și
- lipsită de ambiguitate
a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate

2.9 Incalcarea securitatii datelor cu caracter personal
Inseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la
- distrugerea,
- pierderea,
- modificarea,
- divulgarea neautorizată,
- accesul neautorizat la acestea
a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

2.10 Crearea de profiluri
Inseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanÈ›a la locul de muncă, situaÈ›ia economică, sănătatea, preferinÈ›ele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;

3. PRINCIPII APLICABILE PRELUCRARII DATELOR CU CARACTER PERSONAL

Prelucrarea DCP in cadrul S.C.MEDFARM TRADING S.R.L. se va face pe baza respectarii urmatoarelor principii:
3.1 Legalitate, echitate si transparenta
3.2 Scopurile prelucrarii trebuie sa fie determinate, explicite si legitime
3.3 Reducerea la minim a DCP prelucrate, care trebuie sa fie adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate.
3.4 Exactitate si in caz de necesitate actualizare
3.5 Limitarea stocarii DCP la perioada minima necesara indeplinirii scopurilor in care sunt prelucrate
3.6 Integralitate si confidentialitate – luarea masurilor tehnice si/sau organizatorice necesare pentru asigurarea securitatii DCP, protectiei impotriva prelucrarii neautorizate sau ilegale, a pierderii, si a distrugerii sau deteriorarii accidentale a acestora
3.7 Responsabiltatea operatorului privind implementarea si respectarea principiilor aplicabile prelucrarilor, cu demonstrarea respectarii acestora.

4. ACTIUNI PREALABILE INCEPERII OPERATIUNILOR DE PRELUCRARE A DATELOR CU CARACTER PERSONAL

 

Inainte de inceperea prelucrarii DCP se vor realiza urmatoarele actiuni:
4.1 Identificarea categoriilor de persoane vizate, pentru fiecare departament sau sector in parte
4.2 Identificarea si definirea scopurilor prelucrarilor, pentru fiecare departament sau sector in parte
4.3 Identificarea temeiurilor legale ale prelucrarilor, conform Art.6 din GDPR
4.4 Stabilirea DCP prelucrate, care trebuie sa fie adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate
4.5 Stabilirea perioadei pentru care DCP vor fi stocate, care va fi limitata la minimul necesar indeplinirii scopurilor in care sunt prelcrate
4.6 Asigurarea securitatii datelor, prin masuri tehnice si organizatorice adecvate gradului de risc privind drepturile si libertatile persoanelor fizice ale caror DCP se prelucreaza
4.7 Numirea unui responsabil cu protectia DAP

5. COLECTAREA DATELOR CU CARACTER PERSONAL

Colectarea datelor cu caracter personal de catre MEDFARM TRADING S.R.L. va avea la baza urmatoarele deziderate :

5.1 Consimtamantul

Atunci cand temeiul legal al prelucrarii nu se incadreaza in ipotezele prevazute la art. 6 alin. (1) lit. b) – f) (executarea unui contract, obligatie legala, interese legitime, etc.) sau art. 9 alin. (2) lit. b)-j) (situatiile in care se pot prelucra categorii speciale de date) o prelucrare de date cu caracter personal poate fi realizata, daca nu este interzisa in mod explicit de reglementarile aplicabile, in baza consimtamantului persoanei vizate in temeiul art. 6 alin. (1) lit. a) sau art. 9 alin. (2) lit. a).

Conditii privind consimtamantul:
În cazul în care prelucrarea se bazează pe consimțământ, firma va lua toate masurile necesare pentru fi în măsură să demonstreze că persoana vizată È™i-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal.

În cazul în care consimțământul persoanei vizate este dat în contextul unei declaraÈ›ii scrise care se referă È™i la alte aspecte, cererea privind consimțământul va fi prezentat într-o formă care o diferenÈ›iază în mod clar de celelalte aspecte, într-o formă inteligibilă È™i uÈ™or accesibilă, utilizând un limbaj clar È™i simplu. Nicio parte a respectivei declaraÈ›ii care constituie o încălcare a Regulamentului nu va fi opozabila persoanei vizate.

Persoana vizată are dreptul să îÈ™i retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Înainte de acordarea consimțământului, persoana vizată va fi informată cu privire la acest lucru. Retragerea consimțământului se va face la fel de simplu ca acordarea acestuia.
Referitor la consimțământul copiilor în legătură cu serviciile societății informaÈ›ionale,
prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puÈ›in vârsta de 16 ani.
Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare se va realiza numai dacă È™i în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părinteÈ™ti asupra copilului.

5.2 Informarea

În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, în momentul obÈ›inerii acestor date cu caracter personal, firma va furniza gratuit persoanei vizate toate informaÈ›iile următoare:

a) identitatea și datele de contact ale operatorului;
b) datele de contact ale responsabilului cu protecția datelor, după caz;
c) scopurile în care sunt prelucrate datele cu caracter personal, precum È™i temeiul juridic al prelucrării;
d) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmărite de operator sau de o parte terță;
e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
f) dacă este cazul, intenÈ›ia operatorului de a transfera date cu caracter personal către o È›ară terță sau o organizaÈ›ie internaÈ›ională È™i existenÈ›a sau absenÈ›a unei decizii a Comisiei privind caracterul adecvat sau o trimitere la garanÈ›iile adecvate sau corespunzătoare È™i la mijloacele de a obÈ›ine o copie a acestora, în cazul în care acestea au fost puse la dispoziÈ›ie;
g) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
h) existenÈ›a dreptului de a solicita operatorului, în ceea ce priveÈ™te datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau È™tergerea acestora sau restricÈ›ionarea prelucrării sau a dreptului de a se opune prelucrării, precum È™i a dreptului la portabilitatea datelor;
i) atunci când prelucrarea se bazează pe consimtamantul persoanei vizate (inclusiv in cazul prelucrarii unor categorii speciale de date cu caracter personal in baza consimtamantului), existenÈ›a dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;
j) dreptul de a depune o plângere în faÈ›a unei autorități de supraveghere;
k) dacă furnizarea de date cu caracter personal reprezintă o obligaÈ›ie legală sau contractuală sau o obligaÈ›ie necesară pentru încheierea unui contract, precum È™i dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal È™i care sunt eventualele consecinÈ›e ale nerespectării acestei obligaÈ›ii;
l) existenÈ›a unui proces decizional automatizat incluzând crearea de profiluri precum È™i, cel puÈ›in în cazurile respective, informaÈ›ii pertinente privind logica utilizată È™i privind importanÈ›a È™i consecinÈ›ele preconizate ale unei astfel de prelucrări pentru persoana vizată;

În cazul în care datele cu caracter personal nu au fost obÈ›inute de la persoana vizată, firma va furniza persoanei vizate, in plus fata de informatiile de mai sus, informatii privind sursa din care provin datele cu caracter personal È™i, dacă este cazul, dacă acestea provin din surse disponibile public.

În cazul în care datele cu caracter personal nu au fost obÈ›inute de la persoana vizată, operatorul furnizează informaÈ›iile menÈ›ionate:
- într-un termen rezonabil după obÈ›inerea datelor cu caracter personal, dar nu mai mare de
o lună, È›inându-se seama de circumstanÈ›ele specifice în care sunt prelucrate datele cu
caracter personal,
- dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă,
- dacă se intenÈ›ionează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

Firma va măsuri adecvate pentru a furniza persoanei vizate orice informaÈ›ii È™i orice comunicări în legatura cu exercitarea drepturilor acesteia referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă È™i uÈ™or accesibilă, utilizând un limbaj clar È™i simplu, în special pentru orice informaÈ›ii adresate în mod specific unui copil. InformaÈ›iile se vor furniza în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate, informaÈ›iile pot fi furnizate verbal, cu condiÈ›ia ca identitatea persoanei vizate să fie dovedită prin alte mijloace.

Obligatia de informare nu se aplică dacă È™i în măsura în care persoana vizată deÈ›ine deja informaÈ›iile respective, aspect care trebuie sa fie demonstrabil de catre firma.

De asemenea, in cazul în care datele cu caracter personal nu au fost obÈ›inute de la persoana vizată, obligatia de informare nu se aplica dacă È™i în măsura în care:

a) furnizarea acestor informaÈ›ii se dovedeÈ™te a fi imposibilă sau ar implica eforturi disproporÈ›ionate, în special în cazul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare È™tiinÈ›ifică sau istorică ori în scopuri statistice sau în măsura în care obligaÈ›ia de informare este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective. In astfel de cazuri, operatorul ia măsuri adecvate pentru a proteja drepturile, libertățile È™i interesele legitime ale persoanei vizate, inclusiv punerea informaÈ›iilor la dispoziÈ›ia publicului;
b) obÈ›inerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidenÈ›a căruia intră operatorul È™i care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau
c) în cazul în care datele cu caracter personal trebuie să rămână confidenÈ›iale în temeiul unei obligaÈ›ii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligaÈ›ii legale de a păstra secretul.

În cazul în care firma intenÈ›ionează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, firma va furniza persoanei vizate, înainte de această prelucrare ulterioară, informaÈ›ii privind scopul secundar respectiv È™i orice informaÈ›ii suplimentare relevante.

6. PRELUCRAREA DATELOR CU CARACTER PERSONAL

6.1 Evidentele activitatilor de prelucrare

Firma va păstra evidență a activităților de prelucrare desfășurate sub responsabilitatea sa. Respectiva evidență va cuprinde toate următoarele informații:
- numele și datele de contact ale operatorului și, după caz, ale operatorului asociat și ale responsabilului cu protecția datelor;
- scopurile prelucrării,
- o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
- categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
- dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, daca este cazul, documentația care dovedește existența unor garanții adecvate;
- acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
- acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate privind asigurarea securitatii datelor cu caracter personal.

Firma după caz, persoana împuternicită de firma va păstra o evidență a tuturor categoriilor de activități de prelucrare desfășurate în numele firmei, care cuprind:
- numele È™i datele de contact ale persoanei sau persoanelor împuternicite de firma È™i ale fiecărui operator în numele căruia acÈ›ionează această persoană (aceste persoane);
- categoriile de activități de prelucrare desfășurate în numele fiecărui operator;
- dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, daca este cazul, documentația care dovedește existența unor garanții adecvate;
- acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate.

EvidenÈ›ele menÈ›ionate se formulează în scris, inclusiv în format electronic.
Obligatia de a tine aceste evidente nu se va aplica in cazul prelucrarilor ocazionale.

6.2 Obligatia de notificare privind rectificarea sau stergerea datelor sau restrictionarea prelucrarii

Firma va comunica fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice rectificare sau È™tergere a datelor cu caracter personal sau restricÈ›ionare a prelucrării cu excepÈ›ia cazului în care acest lucru se dovedeÈ™te imposibil sau presupune eforturi disproporÈ›ionate. Firma va informa persoana vizată cu privire la destinatarii respectivi, dacă persoana vizată solicită acest lucru.

6.3 Notificarea incalcarilor de Securitate

În cazul în care are loc o încălcare a securității datelor cu caracter personal, firma va notifica acest lucru autorității de supraveghere competente, fără întârzieri nejustificate È™i, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoÈ™tință de aceasta, cu excepÈ›ia cazului în care este susceptibilă să genereze un risc pentru drepturile È™i libertățile persoanelor fizice. În cazul în care notificarea nu are loc în termen de 72 de ore, aceasta va fi însoÈ›ită de o explicaÈ›ie motivata.

Persoana împuternicită de firma înÈ™tiinÈ›ează operatorul fără întârzieri nejustificate după ce ia cunoÈ™tință de o încălcare a securității datelor cu caracter personal.

Notificarea autorității de supraveghere competente va cuprinde minim :
- descrierea caracterului încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile È™i numărul aproximativ al persoanelor vizate în cauză, precum È™i categoriile È™i numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
- comunicarea numelui și datelor de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;
- descrierea consecinÈ›elor probabile ale încălcării securității datelor cu caracter personal;
- descrierea măsurilor luate sau propuse spre a fi luate de firma pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, a măsurilor luate pentru atenuarea eventualelor sale efecte negative.

Atunci când È™i în măsura în care nu este posibil să se furnizeze informaÈ›iile în acelaÈ™i timp, acestea vor fi furnizate în mai multe etape, fără întârzieri nejustificate.

Firma păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care vor cuprinde o descriere a situaÈ›iei de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia È™i a măsurilor de remediere întreprinse.

În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile È™i libertățile persoanelor fizice, firma va informa persoana vizată fără întârzieri nejustificate cu privire la această încălcare.

În informarea transmisă persoanei vizate se va include o descriere într-un limbaj clar È™i simplu a caracterului încălcării securității datelor cu caracter personal, precum È™i cel puÈ›in:
- numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;
- consecinÈ›ele probabile ale încălcării securității datelor cu caracter personal;
- măsurile luate sau propuse spre a fi luate de firma pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

Informarea persoanei vizate privind un caz de incalcare a securitatii datelor nu este necesară în cazul în care oricare dintre următoarele condiÈ›ii este îndeplinită:
- firma a implementat măsuri de protecÈ›ie tehnice È™i organizatorice adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securității datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
- firma a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile și libertățile persoanelor vizate nu mai este susceptibil să se materializeze;
- ar necesita un efort disproporÈ›ionat. În această situaÈ›ie, se va efectua o informare publică sau se va lua o măsură similară prin care persoanele vizate vor fi informate într-un mod la fel de eficace.

7. ASIGURAREA SECURITATII DATELOR CU CARACTER PERSONAL

Firma MEDFARM TRADING S.R.L. È™i persoanele împuternicite de acesata vor implementa măsuri tehnice È™i organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, avand in vedere :
- stadiul actual al dezvoltării tehnologice,
- costurile implementării,
- natura, domeniul de aplicare, contextul și scopurile prelucrării,
- riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice,


Aceste masuri vor include printre altele, după caz:
- pseudonimizarea și criptarea datelor cu caracter personal;
- capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;
- capacitatea de a restabili disponibilitatea datelor cu caracter personal È™i accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică (realizarea de copii de siguranta – backup);
- un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
Respectivele măsuri se vor revizui și se vor actualiza dacă este necesar.

La evaluarea nivelului adecvat de securitate, se va È›ine seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
Atunci când sunt proporÈ›ionale în raport cu operaÈ›iunile de prelucrare, măsurile menÈ›ionate ivor include punerea în aplicare de către firma a unor politici adecvate de protecÈ›ie a datelor.
Firma È™i persoana împuternicită de aceasta vor stabili măsuri pentru a asigura faptul că orice persoană fizică care acÈ›ionează sub autoritatea firmei sau a persoanei împuternicite de operator È™i care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului (de exemplu in cadrul indeplinirii sarcinilor de serviciu).

Firma va pune în aplicare măsuri tehnice È™i organizatorice adecvate pentru a asigura că, în mod implicit (mijloacele de prelucrare sunt astfel limitate), sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării.
Respectiva obligație se va aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor.
În special, astfel de măsuri vor asigura că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenÈ›ia persoanei, de un număr nelimitat de persoane.

 

Operatori asociati

În cazul in care firma are operatori asociati, acestia stabilesc impreuna cu firma, într-un mod transparent, responsabilitățile fiecăruia în ceea ce priveÈ™te îndeplinirea obligaÈ›iilor care le revin în temeiul prezentului regulament, în special în ceea ce priveÈ™te exercitarea drepturilor persoanelor vizate È™i îndatoririle fiecăruia de furnizare a informaÈ›iilor catre persoanele vizate, prin intermediul unui acord între ei.
Acordul va reflecta în mod adecvat rolurile È™i raporturile respective ale operatorilor asociaÈ›i față de persoanele vizate. EsenÈ›a acestui acord va fi făcută cunoscută persoanei vizate.
Indiferent de clauzele acordului, persoana vizată îÈ™i poate exercita drepturile cu privire la È™i în raport cu fiecare dintre operatori.

Persoana imputernicita de firma

În cazul în care prelucrarea urmează să fie realizată în numele firmei, aceasta va recurge doar la persoane împuternicite care oferă garanÈ›ii suficiente pentru punerea în aplicare a unor măsuri tehnice È™i organizatorice adecvate, astfel încât prelucrarea să respecte cerinÈ›ele prevăzute în Regulament È™i să asigure protecÈ›ia drepturilor persoanelor vizate.

Persoana împuternicită de operator nu va recruta o altă persoană împuternicită de operator fără a primi în prealabil o autorizaÈ›ie scrisă, specifică sau generală, din partea firmei.
În cazul unei autorizaÈ›ii generale scrise, persoana împuternicită de firma va informa firma cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel posibilitatea firmei de a formula obiecÈ›ii față de aceste modificări.

Prelucrarea de către o persoană împuternicită de firma va fi reglementată printr-un contract sau alt act juridic care are caracter obligatoriu pentru persoana împuternicită în raport cu firma È™i care stabileÈ™te :
- obiectul și durata prelucrării,
- natura și scopul prelucrării,
- tipul de date cu caracter personal și categoriile de persoane vizate și
- obligațiile și drepturile operatorului.

Respectivul contract sau act juridic va prevedea în special că persoană împuternicită de operator:
- prelucrează datele cu caracter personal numai pe baza unor instrucțiuni documentate din partea operatorului
- se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație statutară adecvată de confidențialitate
- adoptă toate măsurile necesare pentru asigurarea securitatii datelor prelucrate
- respectă condițiile privind recrutarea altor personae imputernicite
- È›inând seama de natura prelucrării, oferă asistență operatorului prin măsuri tehnice È™i organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligaÈ›iei operatorului de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor sale
- È›inând seama de caracterul prelucrării È™i informaÈ›iile aflate la dispoziÈ›ia persoanei împuternicite de operator, ajută operatorul să asigure respectarea obligaÈ›iilor privind securitatea prelucrarilor, notificarea autoritatii de supraveghere a incalcarilor de Securitate si informarea persoanelor vizate cu privire la incalcari de securitate
- la alegerea operatorului, È™terge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare È™i elimină copiile existente, cu excepÈ›ia cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal
- pune la dispoziÈ›ia operatorului toate informaÈ›iile necesare pentru a demonstra respectarea obligaÈ›iilor prevăzute mai sus, permite desfășurarea auditurilor, inclusiv a inspecÈ›iilor, efectuate de operator sau alt auditor mandatat È™i contribuie la acestea. In acest sens persoana împuternicită de operator informează imediat operatorul în cazul în care, în opinia sa, o instrucÈ›iune încalcă prezentul regulament sau alte dispoziÈ›ii din dreptul intern sau din dreptul Uniunii referitoare la protecÈ›ia datelor.

În cazul în care o persoană împuternicită de firma recrutează o altă persoană împuternicită pentru efectuarea de activități de prelucrare specifice în numele operatorului, aceleaÈ™i obligaÈ›ii privind protecÈ›ia datelor prevăzute în contractul sau în alt act juridic încheiat între operator È™i persoana împuternicită de operator, vor reveni celei de a doua persoane împuternicite, prin intermediul unui contract sau al unui alt act juridic, în temeiul dreptului Uniunii sau al dreptului intern, în special furnizarea de garanÈ›ii suficiente pentru punerea în aplicare a unor măsuri tehnice È™i organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerinÈ›ele prezentului regulament. În cazul în care această a doua persoană împuternicită nu îÈ™i respectă obligaÈ›iile privind protecÈ›ia datelor, persoana împuternicită iniÈ›ială rămâne pe deplin răspunzătoare față de firma în ceea ce priveÈ™te îndeplinirea obligaÈ›iilor acestei a doua persoane împuternicite.

în cazul în care o persoană împuternicită de firma încalcă prezentul regulament, prin stabilirea scopurilor È™i mijloacelor de prelucrare a datelor cu caracter personal, persoana împuternicită de operator este considerată a fi un operator în ceea ce priveÈ™te prelucrarea respectivă.


8. RESPECTAREA DREPTURILOR PERSOANELOR VIZATE

In toate fazele activitatii de prelucrare a DCP MEDFARM TRADING S.R.L. va respecta integral drepturile persoanelor vizate, asa cum sunt definite la articolele 15 – 22 din cadrul GDPR, respectiv :
8.1 Dreptul de acces al persoanei vizate – art. 15 din GDPR
8.2 Dreptul la rectificare – art. 16 din GDPR
8.3 Dreptul la stergerea datelor – art. 17 din GDPR
8.4 Dreptul la restrictionarea prelucrarii – art. 18 din GDPR
8.5 Dreptul la notificare privind rectificarea sau stergerea DAP sau restrictionarea
prelucrarii – art. 19 din GDPR
8.6 Dreptul la portabilitatea datelor – art. 20 din GDPR
8.7 Dreptul la opozitie – art. 21 din GDPR
8.8 Dreptul de a nu face obiectul unui proces decizional automatizat, inclusiv
crearea de profiluri – art. 22 din GDPR

Firma va furniza persoanei vizate informaÈ›ii privind acÈ›iunile întreprinse în urma unei cereri în temeiul articolelor 15-22 din Regulamet, fără întârzieri nejustificate È™i în orice caz în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, È›inându-se seama de complexitatea È™i numărul cererilor. Firma va informa persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând È™i motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informaÈ›iile vor fi furnizate în format electronic acolo unde este posibil, cu excepÈ›ia cazului în care persoana vizată solicită un alt format.
Dacă nu ia măsuri cu privire la cererea persoanei vizate, firma va informa persoana vizată, fără întârziere È™i în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri È™i la posibilitatea de a depune o plângere în faÈ›a unei autorități de supraveghere È™i de a introduce o cale de atac judiciară.
Orice comunicare È™i orice măsuri luate în legatura cu exercitarea drepturilor persoanelor vizate, inclusive in cazul informarii privind incalcari ale securitatii datelor, vor fi oferite gratuit.
În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, firma va putea:
- fie să perceapă o taxă rezonabilă È›inând cont de costurile administrative pentru furnizarea informaÈ›iilor sau a comunicării sau pentru luarea măsurilor solicitate;
- fie să refuze să dea curs cererii
În aceste cazuri, firma va trebui sa demonstreze caracterul vădit nefondat sau excesiv al cererii.
In cazul în care are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea menÈ›ionată la articolele 15-21 din Regulament, firma va solicita furnizarea de informaÈ›ii suplimentare necesare pentru a confirma identitatea persoanei vizate.

9. PRECIZARI FINALE
Prezenta Declaratie de politica de securitate privind datele cu caracter personal va fi detaliata prin proceduri specifice la nivel de departament.
Prezenta Declaratie de politica de securitate privind datele cu caracter personal este insusita de managementul de varf al MEDFARM TRADING S.R.L.


DIRECTOR GENERAL,
     Ing. Miron Tonghioiu
Afla mai multe Inchide