Politica de confidențialitate și securitate pentru procesarea datelor cu caracter personal
Politica de confidențialitate și securitate pentru procesarea datelor cu caracter personal
Protecția datelor dvs. personale este foarte importantă pentru TPA ROMANIA GROUP (include toate companiile care sunt legate prin intermediul acționarilor lor de compania austriacă „TPA Quintus Holding GmbH” și au sediul legal în România, denumită în continuare „TPA ROMANIA” sau „operatorul”), persoană juridică română, cu sediul în str. Grigore Cobălcescu nr. 46, Etajul 2, Ap. 4, Sector 1, 010196, București.
Dorim ca dvs. să fiți informați în mod corespunzător cu privire la modalitățile și scopurile pentru care TPA ROMANIA procesează datele dvs. personale.
Scopul acestei Politici de Confidențialitate și Securitate a Datelor Personale (denumită în continuare ”Politica de Confidențialitate și Securitate”) este de a sublinia principiile TPA ROMANIA în ceea ce privește datele personale prelucrate și de a stabili măsurile tehnice și organizatorice corespunzătoare și responsabilitățile angajaților TPA ROMANIA care sunt însărcinați cu prelucrarea datelor cu caracter personal și / sau, după caz, a persoanelor împuternicite de TPA ROMANIA să-și îndeplinească obligațiile privind garantarea și protecția drepturilor și libertăților fundamentale ale persoanelor fizice, în special dreptul la intimitate, la viața de familie și la viața privată, în ceea ce privește prelucrarea datelor cu caracter personal.
Dacă observați vreo eroare în furnizarea datelor cu caracter personal care vă privesc, vă rugăm să ne informați cât mai curând posibil folosind oricare dintre mijloacele specificate în secțiunea 7 a prezentei Politici de Confidențialitate și Securitate.
- Principiile procesării datelor cu caracter personal
1.1 Datele personale sunt prelucrate de TPA ROMANIA cu bună credință și în conformitate cu prevederile legale în vigoare.
1.2 Datele personale sunt colectate de către TPA ROMANIA în scopuri bine definite, explicite și legitime, iar prelucrarea ulterioară nu va fi incompatibilă cu aceste scopuri.
1.3 Datele personale sunt adecvate, relevante și nu sunt excesive în raport cu scopul pentru care sunt colectate și prelucrate ulterior.
1.4 Datele cu caracter personal nu vor fi stocate de către TPA ROMANIA pentru o perioadă mai mare decât este necesară pentru atingerea scopurilor pentru care au fost colectate și atâta timp cât TPA ROMANIA are o obligație legală.
1.5 TPA ROMANIA a luat măsurile tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii, pierderii, modificării, dezvăluirii, accesului neautorizat sau a oricărei alte forme de prelucrare ilegală, precum și ștergerea sau rectificarea datelor inexacte sau incomplete cu privire la scopul pentru care sunt colectate și pentru care vor fi prelucrate ulterior.
- Tipurile de date și scopul utilizării datelor cu caracter personal
Datele personale la care se face referire în această Politică de Confidențialitate și Securitate cuprind informații de identificare cum ar fi numele și prenumele, numele și prenumele reprezentanților legali, sexul, data și locul nașterii, vârsta, naționalitatea, telefonul / faxul, adresa de domiciliu, adresa de e-mail, codul numeric personal, numărul de identificare al cărții de identitate / pașaportului, locul de muncă, profesia, formarea – diplomele – studiile, datele bancare sau altele asemenea care servesc la identificarea dvs. sau a persoanelor care vă reprezintă sau pe care le reprezentați.
TPA ROMANIA va colecta, utiliza, procesa și furniza datele dumneavoastră personale în scopuri cum ar fi statistici, organizarea de cursuri, seminarii, organizarea programelor de instruire, emiterea de documente financiare, resurse umane, salarii, documente contabile, contracte sau alte documente necesare în activitatea TPA ROMANIA.
Datele personale sunt destinate utilizării de către TPA ROMANIA și sunt colectate de persoane desemnate. Unele dintre aceste date pot fi transferate partenerilor contractuali ai TPA ROMANIA.
Colectarea și prelucrarea datelor cu caracter personal ale minorilor de către TPA ROMANIA se va face numai cu consimțământul explicit al părinților sau al altor reprezentanți legali.
- Reguli generale
3.1 Această Politică de Confidențialitate și Securitate stabilește măsurile tehnice și organizatorice implementate de TPA ROMANIA pentru îndeplinirea obligațiilor privind confidențialitatea și securitatea prelucrării efectuate în cadrul activității sale. Cerințele minime de securitate sunt considerate un complex de măsuri și proceduri tehnice, informaționale, organizaționale și logistice care asigură un nivel minim de securitate a procesării, conform prevederilor legislației naționale în vigoare.
3.2 TPA ROMANIA a adoptat măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegală, pierderii, modificării, dezvăluirii, accesului neautorizat sau a oricărei alte forme de prelucrare ilegală. În acest sens, persoana responsabilă pentru respectarea prevederilor Legii nr. 190/2018 și cu prevederea Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46 / CE (denumită în continuare „GDPR”) este desemnată în numele TPA ROMANIA.
3.3 Pentru a respecta prevederile legale relevante și pentru a satisface cerințele privind păstrarea datelor și informațiilor, TPA ROMANIA a elaborat și implementat măsuri organizatorice și tehnice axate pe anumite direcții de acțiune:
– Identificarea și autentificarea utilizatorilor;
– Tip de acces;
– Colectare de date;
– Executarea backup-ului;
– Computere și terminale de acces;
– Accesare fișiere;
– Instruirea personalului;
– Sisteme de telecomunicații;
– Utilizarea computerului;
– Imprimarea datelor.
- Proceduri specifice
4.1 Identificarea și autentificarea utilizatorilor
Prin utilizator se înțelege orice persoană care acționează sub autoritatea TPA ROMANIA sau o persoană autorizată de TPA ROMÂNIA, cu un drept recunoscut de acces la datele cu caracter personal. Pentru a avea acces la datele personale, utilizatorii trebuie să se identifice. În cazul procesării automate, identificarea se face prin autentificare în sistemele IT ale TPA ROMANIA. Autentificarea se face prin introducerea datelor de autentificare unice, constând dintr-un nume de utilizator și o parolă. Parolele sunt șiruri de securitate adecvate din punct de vedere al lungimii și al compoziției, conform Politicii de Securitate IT a TPA ROMANIA. La introducerea parolelor, caracterele introduse nu sunt afișate în clar pe monitor. Potrivit Politicii de Securitate IT a TPA ROMANIA, parolele trebuie schimbate periodic. Operatorul a implementat un sistem IT care poate refuza în mod automat accesul utilizatorului după mai multe intrări greșite de parolă. Orice utilizator care primește acces la baza de date cu informații personale este informat că trebuie să păstreze confidențialitatea datelor de autentificare și că este răspunzător față de operator în această privință. TPA ROMANIA a stabilit o procedură de administrare și gestionare a conturilor de utilizator furnizate de Politica de Securitate IT a TPA ROMANIA. În conformitate cu dispozițiile sale, sunt stabilite reguli clare în ceea ce privește acordarea și anularea drepturilor și modalitățile de acces la contul de utilizator. Accesul utilizatorilor la bazele de date cu informații personale gestionate manual se face strict pe baza unei liste aprobate de conducerea TPA ROMANIA.
4.2 Tipuri de acces
Utilizatorii pot accesa doar datele personale necesare îndeplinirii sarcinilor atribuite de TPA ROMANIA. În acest scop, sunt implementate tipuri de acces în funcție de funcționalitate (administrare, introducere, prelucrare, salvare etc.) și de acțiunile aplicate datelor personale (scrierea, citirea, ștergerea), precum și proceduri pentru aceste tipuri de acces. Dezvoltatorii de sisteme de prelucrare a datelor cu caracter personal au acces la datele personale în baza unui acord strict de confidențialitate semnat cu TPA ROMANIA, exclusiv acolo unde este necesar, fiecare tranzacție fiind documentată. Departamentul de suport tehnic poate avea acces la datele personale pentru a rezolva incidentele și problemele întâlnite în utilizarea sistemelor IT. Computerele și serverele care conțin baze de date cu informații personale sunt localizate în camere cu acces controlat. Documentele care conțin date cu caracter personal de tipul considerat categorii speciale de date sunt păstrate în camere cu acces restricționat. Operatorul a stabilit modalități stricte de a distruge datele cu caracter personal.
4.3 Colectarea datelor
TPA ROMANIA desemnează utilizatorii autorizați pentru colectarea, introducerea și prelucrarea datelor cu caracter personal într-un sistem informatic sau într-un sistem manual. Orice modificare a datelor cu caracter personal poate fi efectuată doar de către utilizatorii autorizați desemnați de către operator. Operatorul a luat măsuri pentru a se asigura că sistemul de informații înregistrează cine a efectuat modificarea, data și ora modificării.
4.4 Executarea backup-ului
Sistemul informatic efectuează automat backup-ul bazelor de date în fiecare zi pentru eventualele recuperări de date în caz de pierdere, distrugere sau funcționare defectuoasă a sistemelor informatice. TPA ROMANIA stabilește intervalul de timp pentru backup-ul bazelor de date cu informații personale, precum și a programelor utilizate pentru procesarea automatizată. Utilizatorii care execută backup-ul sunt desemnați de către operator într-un număr limitat. Backup-urile sunt stocate într-o locație sigură, cu acces restricționat, situată într-o încăpere diferită de locul unde se face back-up.
4.5 Computere și terminale de acces
Computerele și alte terminale de acces sunt instalate în camere restricționate, cu posibilitate de închidere.
Dacă computerele sunt active fără o accesare din partea utilizatorului pentru o anumită perioadă de timp, setată de administrator, sesiunea se închide automat. Utilizatorii sunt instruiți astfel încât bazele de date cu informații personale să fie închise atunci când sunt în apropiere persoane neautorizate. Serverele care găzduiesc baze de date pot fi accesate în mod controlat numai pe baza drepturilor de acces.
4.6 Accesare fișierelor
TPA ROMANIA ia măsuri pentru a se asigura că orice acces la baza de date cu informații personale este înregistrat într-un fișier de acces (numit un jurnal, pentru prelucrare automată) sau într-un registru în cazul prelucrării manuale a datelor personale, stabilit de operator.
Informațiile înregistrare în fișierul de acces sau registru vor fi:
– codul de identificare (numele utilizatorului pentru bazele de date cu informații personale manuale);
– numele fișierului accesat;
– numărul de înregistrări efectuate;
– tipul de acces;
– codul operațiunii executate sau programul utilizat;
– data de acces (anul, luna, ziua);
– oră de acces (oră, minutul, secunda).
Pentru procesarea automată, aceste informații vor fi stocate într-un fișier de acces general sau în fișiere separate pentru fiecare utilizator. Operatorul este obligat să păstreze fișierele de acces timp de cel puțin 2 ani pentru a fi folosite ca probă pentru investigații. În cazul în care investigațiile vor fi prelungite, aceste dosare vor fi păstrate până la finalizarea investigațiilor și a eventualelor acțiuni. Fișierul de acces trebuie să permită operatorului sau persoanei împuternicite să identifice persoanele care au accesat date cu caracter personal, fără nici un motiv special, în scopul aplicării sancțiunilor sau notificării autorităților competente.
4.7 Sistemele de telecomunicații
TPA ROMANIA, prin intermediul utilizatorilor autorizați, verifică periodic autentificarea și tipurile de acces pentru a detecta disfuncționalitățile în utilizarea sistemelor de telecomunicații. Doar datele cu caracter personal strict necesare vor fi transmise prin intermediul sistemelor de telecomunicații.
4.8 Instruirea personalului
Utilizatorii care au acces la bazele de date cu caracter personal sunt instruiți cu privire la prevederile „GDPR”, la cerințele minime de securitate pentru prelucrarea datelor cu caracter personal privind prevederile Politicii de Securitate IT a TPA ROMANIA, precum și importanța păstrării confidențialității și riscurile implicate în prelucrarea datelor cu caracter personal.
Utilizatorii care au acces la datele cu caracter personal vor fi notificați prin mesaje care vor apărea pe monitor în timpul activității lor. Utilizatorii sunt obligați să își închidă sesiunea de lucru când părăsesc locul de muncă.
4.9 Utilizarea computerelor
Pentru a menține securitatea procesării datelor personale (în special împotriva virușilor de computere), TPA ROMANIA a luat următoarele măsuri:
– utilizarea software-ului provenit din surse nesigure este interzisă;
– utilizatorii nu au privilegii de administrator pe computere;
– se utilizează software licențiat;
– utilizatorii au fost instruiți cu privire la Politica de Securitate IT a TPA ROMANIA și alte politici generale de operare IT, inclusiv amenințarea virușilor de computere;
– computerle sunt protejate prin software antivirus;
– activitatea utilizatorilor este monitorizată.
4.10 Tipărirea datelor
Datele personale pot fi tipărite doar de către utilizatorii desemnați și doar în scopurile specificate în prezentele Reguli.
- Drepturile persoanelor ale căror date cu caracter personal sunt colectate și / sau prelucrate
În conformitate cu GDPR, aveți următoarele drepturi în ceea ce privește prelucrarea datelor dvs. personale:
5.1 Dreptul la informație
Aveți dreptul ca TPA ROMANIA să vă furnizeze, conform art. 13 și 14 din GDPR cel puțin următoarele informații, dacă nu aveți deja aceste informații:
- identitatea și datele de contact ale operatorului și reprezentantului operatorului;
ii. scopul prelucrării, precum și temeiul juridic sau interesul legitim urmărit de operatorul de prelucrare;
iii. destinatarii sau categoriile de destinatari ai datelor personale, după caz;
iv. intenția de a transfera datele cu caracter personal unei țări terțe sau unei organizații internaționale, după caz;
v. perioada de stocare sau, în cazul în care perioada nu poate fi stabilită, criteriile utilizate pentru stabilirea acestei perioade;
vi. dreptul individual de a solicita de la TPA ROMANIA accesul, rectificarea, ștergerea datelor cu caracter personal, restricționarea prelucrării, obiecțiile cu privire la prelucrare, precum și dreptul la portabilitatea datelor; dreptul de a se opune prelucrării trebuie prezentat clar și separat de orice alte informații;
vii. dreptul individual de a retrage consimțământul în orice moment, în cazul în care prelucrarea se face pe baza consimțământului individului; retragerea consimțământului nu va afecta legalitatea prelucrării pe baza consimțământului înainte de retragerea acestuia;
viii. dreptul de a depune o plângere la ANSPDCP;
ix. dacă furnizarea de date cu caracter personal este o cerință legală sau contractuală sau o cerință necesară pentru a încheia un contract, precum și dacă persoana vizată este obligată să furnizeze datele cu caracter personal și posibilele consecințe ale neîndeplinirii acestor date;
x. în cazul în care datele nu sunt colectate direct de la persoana vizată, sursa din care provin datele și, dacă este cazul, proveniența surselor publice.
5.2 Dreptul de acces la date
Aveți dreptul de a obține de la TPA ROMANIA, conform art. 15 din GDPR, la cerere, confirmarea faptului dacă datele cu caracter personal care vă privesc sunt sau nu sunt prelucrate și să primiți gratuit o copie a datelor cu caracter personal care fac obiectul prelucrării și accesul la următoarele informații:
i. scopul prelucării;
ii. categoriile de date cu caracter personal în cauză;
iii. destinatarii sau categoriile de destinatari cărora le-au fost sau vor fi dezvăluite datele cu caracter personal, inclusiv, în cazul transferului către o țară terță sau o organizație internațională, o descriere a garanțiilor corespunzătoare;
iv. perioada de stocare preconizată sau criteriile utilizate pentru a determina această perioadă, pe cât posibil;
v. dreptul de a solicita rectificarea, ștergerea, restricționarea prelucrării datelor cu caracter personal, de la TPA ROMANIA sau de a se opune acestei prelucrări;
vi. dreptul de a depune o plângere la ANSPDCP;
vii. orice informații disponibile privind sursa datelor cu caracter personal, dacă nu au fost colectate direct de la persoana vizată.
Pentru orice alte copii solicitate de persoana vizată, TPA ROMANIA poate percepe o taxă pentru acoperirea costurilor administrative.
5.3 Dreptul la rectificare
Aveți dreptul de a obține de la TPA ROMANIA, conform art. 16 din GDPR, la cererea și gratuit, rectificarea datelor personale inexacte referitoare la dvs. Având în vedere scopurile prelucrării, aveți dreptul să completați datele personale incomplete, inclusiv prin furnizarea unei declarații suplimentare.
5.4 Dreptul de ștergere
Aveți dreptul de a obține de la TPA ROMANIA, conform art. 17 din GDPR, ștergerea datelor cu caracter personal referitoare la dvs. în oricare dintre următoarele cazuri:
i. datele cu caracter personal nu mai sunt necesare în raport cu scopurile pentru care au fost colectate sau prelucrate;
ii. individul retrage consimțământul pe care se bazează prelucrarea și nu există alt motiv juridic pentru prelucrare;
iii. individul se împotrivește prelucrării și nu există motive legale întemeiate pentru prelucrare;
iv. datele cu caracter personal au fost procesate ilegal;
v. datele cu caracter personal trebuie să fie șterse pentru respectarea unei obligații legale din legislația UE sau a României, la care este supusă TPA ROMANIA.
5.5 Dreptul la restricționarea prelucrării
Aveți dreptul de a obține de la TPA România, conform art. 18 și 19 din GDPR, restricționarea procesării în cazul în care se aplică una dintre următoarele:
i. exactitatea datelor personale este contestată de către individ, pentru o perioadă care să permită TPA ROMANIA să verifice corectitudinea datelor cu caracter personal;
ii. prelucrarea este ilegală, iar individul se opune ștergerii datelor cu caracter personal și solicită, în schimb, restricționarea utilizării acestora;
iii. TPA ROMANIA nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar acestea sunt solicitate de către individ pentru stabilirea, exercitarea sau apărarea unor reclamații legale;
iv. individul s-a opus prelucrării în așteptarea verificării dacă motivele legitime ale TPA ROMANIA depășesc cele ale persoanei vizate.
Atunci când se aplică unul dintre cazurile de restricționare a prelucrării, cu excepția stocării, datele cu caracter personal sunt procesate numai cu consimțământul individului sau în scopuri limitate enumerate de GDPR.
5.6 Dreptul la portabilitatea datelor
Aveți dreptul să primiți datele personale referitoare la dvs., conform art. 20 din GDPR, pe care le-ați furnizat TPA ROMANIA, într-un format structurat, utilizat în mod obișnuit și care poate fi citit de mașină și aveți dreptul să transmiteți aceste date altui operator fără impedimente din partea TPA ROMANIA în următoarele cazuri:
- prelucrarea se bazează pe consimțământul acordat de individ pentru unul sau mai multe scopuri specifice sau prelucrarea este necesară pentru executarea unui contract la care individul este parte sau pentru a lua măsuri la cererea individului înainte de a încheia un contract; și
ii. prelucrarea se face prin mijoace automate.
În cazul în care este posibil din punct de vedere tehnic, la cererea dumneavoastră, TPA ROMANIA va transmite datele personale direct unui alt operator.
5.7 Dreptul de a obiecta
Aveți dreptul să vă opuneți în orice moment prelucrării datelor cu caracter personal referitoare la dvs. de către TPA ROMANIA, conform art. 21 din GDPR, ori de câte ori datele dvs. sunt prelucrate de TPA ROMANIA în scopul intereselor legitime urmărite de TPA. În acest caz, TPA ROMANIA nu va mai prelua date cu caracter personal, cu excepția cazului în care TPA demonstrează motive legitime convingătoare pentru procesare care depășește interesele, drepturile și libertățile dvs. sau pentru stabilirea, exercitarea sau apărarea unor revendicări legale.
În plus, aveți dreptul să vă opuneți în orice moment prelucrării datelor dvs. personale în scopuri de marketing direct, inclusiv profilarea. Dacă vă opuneți procesării, TPA ROMANIA nu va mai prelua datele personale în acest scop.
5.8 Dreptul de a nu fi supus unei decizii individuale
Aveți dreptul în temeiul art. 22 din GDPR să solicitați și să obțineți retragerea / anularea / reevaluarea oricărei decizii care are efect juridic asupra dvs., adoptată exclusiv pe baza unei prelucrări de date cu caracter personal efectuată cu mijloace automate destinate să producă efecte juridice cu privire la dvs. sau în mod similar vă afectează semnificativ.
5.9 Dreptul de a face apel la justiție
Aveți, conform art. 79 din GDPR, dreptul de a face apel la instanțele de judecată pentru apărarea oricărui drept garantat de GDPR care a fost încălcat și de a obține o cale de atac efectivă, în cazul în care considerați că drepturile dvs. în temeiul GDPR au fost încălcate ca urmare a prelucrării datele dvs. personale în caz de neconformitate cu GDPR.
Menționăm că acțiunile împotriva TPA ROMANIA vor fi aduse în fața instanțelor din România.
Pentru a putea exercita drepturile enumerate mai sus, ne puteți contacta printr-o solicitare scrisă, datată și semnată, transmisă utilizând datele de contact indicate în secțiunea 7 a prezentei Politici de Confidențialitate și Securitate.
- Dezvăluirea datelor cu caracter personal către terți
Datele colectate sunt comunicate unor terțe părți numai dacă TPA ROMANIA are obligația legală de a face acest lucru. În toate celelalte cazuri, orice divulgare către terțe părți a altor date cu caracter personal se va face numai cu consimțământul dumneavoastră exprimat în prealabil.
- Contact
Pentru întrebări sau alte solicitări, vă rugăm să contactați TPA ROMANIA folosind datele de contact furnizate pe site-ul TPA ROMANIA.
Dispoziții finale
Acest document este completat cu întregul set de proceduri de securitate pentru prelucrarea datelor cu caracter personal aprobate de conducerea TPA ROMANIA, inclusiv politica de securitate IT a TPA ROMANIA,
TPA ROMANIA GROUP