Lista de opţiuniComparare

Declarație de confidențialitate

Notificare publică cu privire la protecţia datelor personale


1. SCOPUL DOCUMENTULUI

Prezentul document reprezintă Regulamentul privind protecția datelor al societății MUNAX SRL. (denumită în continuare "Societatea" sau "Operatorul de date")

Scopul Regulamentului de protecția datelor al Societății este de a determina ordinea în care Societatea gestionează fișierele de date care conțin date cu caracter personal, asigurând respectarea legislației privind protecția datelor, în special a legii privind autodeterminarea informațiilor și a libertății de informare și Regulamentul UE privind protecția generală a datelor (denumit în continuare "GDPR").

Notificarea publică cu privire la protecția datelor personale conține regulile care se referă la persoanele în cauză în afara angajaților companiei și care guvernează gestionarea datelor acestor persoane.

2. DECLARAȚIE PRIVIND DIRECTIVA

Societatea gestionează în mod confidențial datele cu caracter personal ale persoanelor fizice care intră în contact cu aceasta în conformitate cu reglementările legale în vigoare, asigură securitatea acestora, respectiv ia măsurile tehnice și organizatorice și stabilește reguli procedurale care se aplică în vederea respectării prevederilor  GDPR și a altor legi în vigoarea privind protecția datelor și confidențialitatea.

Societatea se angajează să gestioneze datele cu caracter personal în conformitate cu legislația în vigoare și cu cele mai bune practici din această ramură de industrie.

3. NOȚIUNI ȘI DEFINIȚII

persoana în cauză orice persoană fizică identificată sau identificabilă pe baza oricărei informații;

dată cu caracter personal orice informație privind persoana în cauză;

dată specială toate acele date care aparțin categoriilor speciale de date cu caracter personal, și anume date cu caracter personal referitoare la originea rasială sau etnică, opinii politice, convingeri religioase sau filosofice sau privind apartenența la sindicate, respectiv date genetice, date biometrice pentru identificarea unică a persoanelor fizice, date privind sănătatea, date personale referitoare la viața sexuală sau orientarea sexuală a persoanelor fizice;

profilare gestionarea – în mod automat - a datelor cu caracter personal care vizează evaluarea, analiza sau prognoza privind caracteristicilor personale ale persoanei în cauză, în special privind performanța la locul de muncă, statutul economic, starea de sănătate, preferințele sau interesele personale, credibilitatea, comportamentul, locul de ședere sau mobilitatea acesteia;

acord exprimarea expresă a voinței voluntare, ferme și bazate pe notificarea corespunzătoare a persoanei în cauză,

prin care persoana în cauză își exprimă printr-o declarație în mod expres sau prin oricare comportament univoc faptul că este de acord cu prelucrarea datelor cu caracter personal referitoare la aceasta;

operator de date acea persoană fizică sau juridică, respectiv organizație fără personalitate juridică, care definește în mod individual sau împreună cu alții scopul prelucrării datelor cu caracter personal – în cadrul definit de lege sau de actul legal obligatoriu al Uniunii Europene -, decide și execută decizii privind prelucrarea datelor (inclusiv echipamentele utilizate) sau execută procesarea datelor;

gestionarea datelor orice operațiune efectuată sau orice operațiuni efectuate pe date, indiferent de metoda utilizată, în special colectarea, înscrierea, înregistrarea, sistematizarea, stocarea, modificarea, utilizarea, interogarea, transmiterea, publicarea, armonizarea sau interconectarea, blocarea, ștergerea și distrugerea datelor, respectiv prevenirea utilizării ulterioare a datelor. Înregistrarea de fotografii,  sunete sau imagini, respectiv înregistrarea caracteristicilor fizice pentru identificarea persoanei (cum ar fi amprenta digitală sau a palmei, mostre ADN, imaginile irisului);

transmisia datelor punerea la dispoziție pentru acces a datelor pentru o persoană terță definită;

publicarea datelor punerea la dispoziție a datelor pentru oricine;

ștergerea datelor efectuarea unei operațiuni care face datele irecognoscibile astfel încât restaurarea acestora nu mai este posibilă;

distrugerea datelor distrugerea fizică totală a suportului de date pe care sunt salvate datele;

procesator de date acea persoană fizică sau juridică, respectiv acea organizație fără personalitate juridică care gestionează date cu caracter personal pe baza împuternicii sau dispoziției operatului de date – în cadrul definit de lege sau de actul legal obligatoriu al Uniunii Europene; cu privire la termenii și condițiile administratorului de date, gestionează datele cu caracter personal;

fișier de date totalitatea datelor gestionate într-o evidență;

persoană terță o persoană fizică sau juridică, respectiv o organizație fără personalitate juridică care nu este aceeași cu persoana în cauză, cu operatorul de date, cu persoana care prelucrează datele sau cu acele persoanele care efectuează operațiuni de gestionarea sau de prelucrarea datelor cu caracter personal sub controlul direct al operatorului de date sau al procesatorului de date;

stat SEE un stat membru al Uniunii Europene și un alt stat care face parte din Acordul privind Spațiul Economic European, respectiv acel stat în care cetățeanul are același statut de drept ca cetățeanul definit de Acordul privind Spațiul Economic European, pe baza unui tratat internațional încheiat între Uniunea Europeană și statele sale membre, respectiv un stat nemembru care nu face din Acordul privind Spațiul Economic European;

țară terță orice alt stat care diferă de statele SEE.

4. DREPTURILE PERSOANELOR ÎN CAUZĂ ȘI MODALITATEA DE APLICARE

Persoana în cauză poate solicita de la Societate

Notificarea privind toate faptele legate de gestionarea datelor înainte de a începe gestionarea datelor,

punerea la dispoziție a datelor cu caracter personal și a informații referitoare la gestionarea acestora,
■ corectarea, respectiv completarea informațiilor cu caracter personal,

limitarea gestionării datelor cu caracter personal,

■ ștergerea datelor cu caracter personal,

La cererea persoanei în cauză, Societatea trebuie să informeze persoana în cauză cu privire la datele cu caracter personal ale persoanei în cauză, sursa acestora, scopul, temeiul juridic, durata prelucrării datelor, numele și adresa procesatorului de date și activitățile conexe cu gestionarea datelor, respectiv - în cazul transmiterii datelor cu caracter personal ale persoanei vizate - și titlul de drept și destinatarul transmiterii datelor.

Societatea are o evidență pentru verificarea legalității transmiterii datelor, respectiv pentru informarea persoanelor în cauză (denumită în continuare "Evidență privind transmiterea datelor"), care conține data transmiterii datelor cu caracter personal pe care le administrează, titlul de drept și destinatarul transmiterii de date, definiția tipului de date cu caracter personal transmise, respectiv alte date specificate în legea privind prelucrarea datelor.

Societatea este obligată să furnizeze informațiile în scris, într-o formă inteligibilă, în cel mai scurt termen, dar în cel mult 25 de zile de la depunerea cererii de către persoana în cauză.

În cazul în care datele cu caracter personal nu sunt conforme cu realitatea și dacă datele cu caracter personal care sunt conforme cu realitatea sunt disponibile Societății, atunci Societatea trebuie să corecteze datele cu caracter personal.

Societatea trebuie să șteargă datele cu caracter personal în cazul în care:

gestionarea este ilegală;

persoana în cauză solicită acest fapt;

aceasta este incompletă sau incorectă - și această condiție nu poate fi remediată legal - cu condiția ca ștergerea să nu fie exclusă prin lege;

scopul gestionării datelor a încetat sau a expirat termenul limită legal pentru stocarea datelor;

este ordonat de instanță sau de Autoritatea Națională pentru Protecția Datelor și Informațiilor (denumită în continuare "Autoritatea").

Societatea trebuie să notifice despre corectare sau despre ștergere pe toate persoanele în cauză, respectiv pe toți, cărora li s-au transmis datele în vederea gestionării datelor. Notificarea poate fi omisă dacă nu aduce atingere interesului legitim al persoanei în cauză în scopul prelucrării datelor.

În cazul în care Societatea nu îndeplinește cererea de corectare sau de ștergere, aceasta trebuie să notifice în scris, cu promptitudine, motivele factuale și legale pentru respingerea cererii de corectare sau de ștergere. În cazul respingerii unei cereri corectare sau de ștergere, Societatea informează persoana în cauză cu privire la căile de atac disponibile în instanță și cu privire la posibilitatea de adresare la Autoritate.

Drepturile persoanei în cauză - din acest capitol - pot fi limitate de lege pentru scopuri de securitate internă și externă a statului, cum ar fi apărarea națională, securitatea națională, prevenirea sau urmărirea penală a infracțiunilor, securitatea executării sentinței și interesul economic sau financiar al statului sau al administrației locale, în interesul economic sau financiar semnificativ al Uniunii Europene, respectiv în scopul prevenirii și detectării abaterilor disciplinare și etice legate de exercitarea profesiei, încălcărilor obligațiilor prevăzute de dreptul muncii și de normele de securitatea muncii -, respectiv în vederea apărării altor drepturi ale persoanei în cauza sau ale altor persoane.

5. CONTESTAREA GESTONĂRII DATELOR CU CARACTER PERSONAL

Persoana în cauză poate contesta gestionarea datelor cu caracter personal în cazul în care

■ prelucrarea sau transmiterea datelor cu caracter personal este necesară doar pentru a îndeplini obligația legală a operatorului de date sau pentru exercitarea intereselor legitime ale operatorului de date, ale procesatorului de date sau ale terților, cu excepția procesării obligatorii a datelor;

■ utilizarea sau transmiterea datelor cu caracter personal se efectuează pentru achiziționarea directă de afaceri, pentru sondaj de opinie sau pentru cercetare științifică; precum și

în orice alte cazuri prevăzute de lege.

Societatea este obligată să examineze cererea în cel mai scurt timp de la data depunerii, să ia o decizie cu privire la întemeierea acesteia și să informeze în scris solicitantul cu privire la decizia sa.

În cazul în care Societatea stabilește întemeierea contestației respective, atunci trebuie să sisteze gestionarea datelor - inclusiv colectarea ulterioară și transferul ulterior de date -, trebuie să sigileze datele, iar aceasta trebuie să notifice despre contestație, respectiv despre măsurile luate pe baza acesteia pe toți, cărora li s-a transmis datele cu caracter personal anterior contestației  și care sunt obligate să ia măsurile necesare pentru validarea dreptului de contestație.

În cazul în care persoana în cauză nu este de acord cu decizia Societății, luată conform celor de mai sus, atunci persoana în cauză poate solicita Autorității inițierea unei anchete.

6. EXERCITAREA DREPTURILOR ÎN INSTANȚĂ

În vederea exercitării dreptului de contestație în instanță, persoana în cauză poate ataca în instanță operatorul de date în cauză, respectiv procesatorul de date – în privința acțiunilor care fac parte din activitatea procesatorului de date -, în cazul în care conform judecății sale operatorul de date, respectiv procesatorul de date împuternicit de acesta sau care acționează pe baza dispozițiilor acesteia, gestionează datele sale cu caracter personal prin încălcarea prevederilor legislației sau prevederile legislației obligatorie a Uniunii Europene privind gestionarea datelor cu caracter personal.

7. DESPĂGUBIRE ȘI TAXĂ DE PREJUDICIU

În cazul în care Societatea, respectiv procesatorul de date împuternicit de acesta sau care acționează pe baza dispozițiilor acesteia încălcă prevederile legislației sau prevederile legislației obligatorie a Uniunii Europene privind gestionarea datelor cu caracter personal și cauzează pagube altor persoane, atunci trebuie să plătească despăgubire.

În cazul în care Societatea, respectiv procesatorul de date împuternicit de acesta sau care acționează pe baza dispozițiilor acesteia încălcă prevederile legislației sau prevederile legislației obligatorie a Uniunii Europene privind gestionarea datelor cu caracter personal și prin aceasta lezează drepturile de personalitate ale altor persoana, atunci persoana care a suferit pagube din cauza operatorului, respectiv din cauza procesatorului de date împuternicit de acesta sau care acționează pe baza dispozițiilor acesteia, poate solicita o taxă de prejudiciu.

Societatea este scutită de răspundere privind pagubele cauzate și privind plata taxei de prejudiciu, dacă poate dovedi faptul că dauna cauzată sau paguba cauzată prin încălcarea dreptului de personalitate a fost determinată de o cauză inevitabilă, în afara sferei de gestiune a datelor.

Societatea este scutită de răspundere privind pagubele cauzate și privind plata taxei de prejudiciu, dacă poate dovedi faptul că în timpul operațiunilor de prelucrare a acționat prin respectarea prevederilor legislației sau prevederile legislației obligatorie a Uniunii Europene privind gestionarea datelor cu caracter personal, respectând în mod expres obligațiile privind procesatorii de date, respectiv privind instrucțiunile pentru operatorii de date.

Societatea și procesatorul de date împuternicit de acesta sau care acționează pe baza dispozițiilor acesteia, respectiv operatorii de date comuni și procesatorii de date împuternicite de aceștia sau care acționează pe baza dispozițiilor acestora care încălcă prevederile legislației sau prevederile legislației obligatorie a Uniunii Europene privind gestionarea datelor cu caracter personal

răspund solidar pentru dauna cauzată prin încălcarea prevederilor, respectiv

în cazul încălcării drepturilor de personalitate sunt obligați să plătească solidar o taxă de prejudiciu persoanei în cauză.

Societatea nu trebuie să despăgubească daunele și nu se pot solicita taxe de prejudicii, în cazul în care prejudiciul  cauzat sau încălcarea prevederilor privind drepturile personalității provine dintr-un comportament deliberat sau grav neglijent al persoanei care a suferit încălcarea drepturilor de personalitate.

8. DATE DE CONTACT PENTRU RAPORTAREA INCINDENTELOR DE PROTECȚIA DATELOR

Vă rugăm să ne contactați dacă aveți orice preocupări sau întrebări legate de informațiile de mai sus sau doriți să ne cereți să nu vă procesăm datele personale pentru anumite scopuri sau pentru ștergerea datelor dumneavoastră.

Ne puteți adresa aceste solicitari pe adresa de e-mail:

gdpr@munax.ro

Puteți solicita informații privind gestionarea datelor dvs. în Societate, privind modificarea sau ștergerea datelor cu caracter personal, orice informație privind  un incident de protecția datelor sau orice altă chestiune de protecția datelor, detaliate mai sus.

9. INCIDENTE PRIVIND PROTECȚIA DATELOR

Societatea înregistrează următoarele date privind incidentul de protecția datelor care a avut loc în legătură cu datele gestionate de acesta sau de procesatorul de date împuternicit de acesta sau care acționează pe baza dispozițiilor acesteia:

natura incidentului privind protecția datelor, inclusiv – dacă este posibil -  sfera și numărul aproximativ al persoanelor afectate, respectiv domeniul de aplicare și cantitatea aproximativă a datelor implicate în incident;

consecințele provenite, posibile ale incidentului privind protecția datelor, și

măsurile luate sau planificate de Societate pentru gestionarea incidentului privind protecția datelor – în vederea atenuării posibilelor consecințe negative rezultate din incident privind protecția datelor și alte măsuri.

În plus, Societatea notifică imediat Autoritatea despre incidentul privind protecția datelor, dar nu mai târziu de șaizeci și două de ore de la aflarea incidentului privind protecția datelor.

Incidentul de confidențialitate nu trebuie raportat de Societate, în cazul în care este probabil că nu va implica niciun risc pentru aplicarea drepturilor persoanelor în cauză.

 

10. CERINȚE PRIVIND SECURITATEA DATELOR

Societatea operează un sistem de management al securității informațiilor construit în conformitate cu standardul ISO/ IEC 27001: 2011, al cărui domeniu de aplicare acoperă activitățile de servicii închiriate și infrastructura informatică.

Sistemul de management al securității informațiilor al Societății asigură faptul că datele cu caracter personal enumerate în prezentul document sunt clasificate în clasa de informații speciale a Companiei care necesită cel mai înalt nivel de protecție, și prin urmare se aplică controale organizaționale, procesuale și tehnice pentru această clasă de informații în vederea protejării integrității, confidențialității, disponibilității și credibilității datelor.

Societatea iau o serie de măsuri de protecție logică și fizică pentru a asigura un nivel suficient de securitatea datelor, dintre care cele mai importante sunt următoarele:

În cazul în care trebuie să asigure un drept de acces logic sau fizic la sistemele de informații ale Societății pentru o terță parte/ un partener, atunci Societatea va evalua eventualele riscuri de securitate înainte de acordarea drepturilor de acces.

Înainte de permiterea accesului logic sau fizic la sistemele de informații ale Societății, Societatea solicită părți terțe/ partenerului contractual să semneze o declarație de confidențialitate care conține și obligații de protecție a datelor! Semnarea declarației de confidențialitate și trimiterea acesteia Societății este o condiție prealabilă pentru atribuirea dreptului logic sau fizic solicitat.

■ Societatea operează controale de securitate fizică (de exemplu sistem de control al accesului fizic, sistem de camere, cameră de server cu aer condiționat etc.), în cazul sistemelor de info-comunicații care stochează, procesează și transmit datele cu caracter personal definite de prezentul document, în conformitate cu practicile din domeniu.

Societatea aplică un proces de autorizare corespunzător în cazul sistemelor de info-comunicații care stochează, procesează și transmit datele cu caracter personal definite de prezentul document.

Societatea aplică controale adecvate de autentificarea utilizatorilor și de gestionarea parolelor în cazul sistemelor de info-comunicații care stochează, procesează și transmit datele cu caracter personal definite de prezentul document.

Societatea aplică controale corespunzătoare pentru securitatea rețelei (de exemplu separarea rețelelor, firewall-uri, sisteme IDS / IPS de rețea) în cazul sistemelor de info-comunicații care stochează, procesează și transmit datele cu caracter personal definite de prezentul document.

Societatea gestionează într-un mod formalizat vulnerabilitățile din sistemele sale informatice, astfel încât sistemele de info-comunicații operate de aceasta să fie expuse la nivel minim la amenințările ivite.

Societatea aplică un sistem de gestionare a incidentelor de securitate în toate sistemele sale, pentru a asigura faptul că eventualele incidente apărute sunt gestionate eficient și  în conformitate cu prevederile legale, respectiv  pentru a asigura faptul că incidentul va putea fi evitat în viitor.


11. TIPUL DATELOR CU CARACTER PERSONAL GESTIONATE DE SOCIETATE,

TITLUL DE DREPT, SCOPUL GESTIONĂRII DATELOR ȘI DURATA GESTIONĂRII DE DATE

Nr crt.

Persoanele vizate, tipul datelor

Scopul gestionării datelor

Titlul de drept al gestionării datelor

Durata gestionării datelor

Transmiterea datelor

1

Datele cu caracter personal ale persoanei fizice care aplică pentru statutul de angajat: numele,

numele primit la naștere, data nașterii, domiciliul, studii terminate, studii în desfășurare, competențe lingvistice, abilități IT, numărul de identificare/ numărul certificatului, experiența profesională.

Selectarea angajaților, încheierea contractului de muncă.

Acordul persoanei în cauză

1 an de la aplicare (După expirarea unui an de la aplicare, datele acelor persoane cu care Societatea nu a încheiat un contract de muncă vor fi șterse.)

departamentul de finanțe, de contabilitate, de muncă externalizat.

2

Bază de date a newsletter-ului MUNAX         WebShop

(http://webshop.munax.ro).

Tipul datelor gestionate:  nume și prenume, adresă de e-mail, data, ora (Număr de evidență  Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter PersonalInformației: 3357)

Bază de date cu scop de marketing direct, trimiterea newsletter-ului pentru persoanele în cauză

Acordul persoanei în cauză

Durata gestionării datelor cu caracter personal este până  în momentul în care persoana în cauză se dezabonează de la newsletter.

departamentul de finanțe, de contabilitate, de muncă externalizat.

3

Înregistrările camerelor amplasate la sediile societății MUNAX SRL. despre angajații, vizitatorii, invitații care intră în sedii.

Supraveghere electronică pentru protecția activelor

Acordul persoanei în cauză (pe baza unei notificări afișate)

Înregistrările video ale camerelor sunt șterse după înregistrare în conformitate cu cerințele stipulate.

departamentul de finanțe, de contabilitate, de muncă externalizat.