POLITICA DE PROTECȚIE A DATELOR CU CARACTER PERSONAL

POLITICA DE PROTECTIE  A DATELOR CU CARACTER PERSONAL  

1.  OPERATORUL DE DATE

Verdum România S.A. cu sediul in comuna Oradea, Str. Octavian Goga, nr. 5., judetul Bihor, Romania (denumit in cele ce urmeaza ,,Operatorul“) proceseaza date cu caracter personal (denumite in cele ce urmeaza „ DCP”), in calitate de Operator, in modurile si scopurile descrise in prezenta politica de protectie a DCP. 

 Începând cu 25 mai 2018 a intrat în vigoare Regulamentul General privind Protecția Datelor cu Caracter Personal (UE) 2016/679 (GDPR). GDPR este o reglementare unică, direct aplicabilă în toate statele membre ale Uniunii Europene și înlocuiește Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și liberă circulație a acestor date. 

              Operatorul aplică o politică de confidențialitate și securitate a DCP în strictă conformitate cu prevederile GDPR, iar ca parte a angajamentului nostru pentru respectarea drepturilor persoanelor fizice ale căror date personale le prelucrăm, vă transmitem mai jos informații relevante privind modul, scopul, temeiul legal și durata pentru care  prelucrăm datele personale, precum și cu privire la drepturile și modul în care puteți să exercitați aceste drepturi.

Prin această politică Operatorul își propune ca angajații, viitorii și actualii parteneri de afaceri să aibă certitudinea că prelucrarea datelor lor personale are la baza respectarea principiilor impuse si aplicate la nivel european în domeniul protecției datelor.

Politica de protecție a DCP se aplică tuturor informațiilor personale prelucrate de către sau în numele  Operatorului. 

  1. TIPURI DE DCP PRELUCRATE 

DCP prelucrate de Operator reprezintă orice informație referitoare la o persoana fizica identificata sau identificabila, cum ar fi, dar fara a se limita la : 

  • nume si prenume, numar de telefon (fix si/sau mobil), semnatura, adresa de email, functia detinuta (reprezentanti legali ai partenerilor de afaceri, responsabili de contract), starea civila, adresa de domiciliu, adresa de corespondenta,, loc de naștere, data nașterii, CNP, seria și nr. CI, data eliberării, poza, numar si serie pasaport, cetatenia, date privind cazierul judiciar (acolo unde este expres prevazuta de lege obtinerea acestuia), experiența profesională, datele referitoare la drepturile și obligațiile salariatului, informații privind modul în care salariatul își exercita atributiile, informații privind modul în care salariatul folosește logistica pusă la dispoziție de societate,  salariu, beneficii de orice natura ( inclusiv datele minorilor aflati in intretinere in situatia acordarii unor ajutoare cu ocazia nasterii si/sau sarbatorilor) conturi,  studii, certificari, atestate, autorizari, experienta profesionala, aptitudinile profesionale, starea medicala, fisa medicala, fisa instruire, testari psihologice, capacitatea de munca, accidente de munca, masurile disciplinare si/sau penale,  informatii furnizate de GPS-ul unei masini, numarul de inregistrare al unui autovehicul, orice alte informatii listate in CV-uri si in alte documente rezultate in cursul procesului  de recrutare personal sau puse la dispozitie, in mod voluntar in exercitarea relatiilor de afaceri/munca, adresa IP, fisierele jurnal (Log files),  hotarari judecatoresti, web cookies, etc.
  • imaginea sau vocea persoanelor care acționează în numele și pe seama partenerilor de afaceri, atunci când aceștia se deplasează la sediul subscrisei si/ sau punctele de lucru, incinte  care sunt dotate cu camere video de supraveghere;  
  • DCP ale persoanelor care reprezintă și/sau  acționează și/sau semnează acte, în numele și pe seama autorității/instituției publice, aflate in control, la sediul si/sau punctele de lucru ale subscrisei:1. referenții angajați în cadrul Oficiului Registrului Comerțului,  inspectorii ANAF, inspectorii Autorității de Mediu,  inspectorii Consiliului Concurenței, inspectorii Autorității pentru Protecția Datelor cu Caracter Personal etc.
  • datele referitoare la aportul acționarului  în cadrul societății, datele referitoare la cota de participare la beneficii și pierderi a acționarului, datele referitoare la drepturile și obligațiile acționarului persoane fizica si/sau a reprezentantului sau imputernicit ( in situatia in care actionarul este persoana juridica) informațiile privind participarea și modul de exercitare al votului al acționarului în cadrul adunărilor generale (data participării, locul participării, modul de exercitare al votului, comentariile realizate cu ocazia ședinței, etc), datele privind contul/conturile bancare ale acționarului, datele privind veniturile obținute de acționar de la societate. 
  1. SCOPURI PRELUCRARE DCP  : 

– Initierea, derularea sau incetarea unei relatii afaceri / parteneriat ( ex: activități de verificare prealabilă precontractuală, transmitere oferte, primire comenzi, propuneri colaborare parteneriat, alte activități care vizează stabilirea unei relații contractuale etc) – desfasurarea proceselor de recrutare de personal si /sau indeplinirii obligatiilor legale privind incheierea, executarea  si incetarea unor relatii de parteneriat profesional si /sau de munca. 

– securitatea persoanelor, spatiilor, bunurilor aflate in proprietatea si/sau utilizarea de Operator. In sensul protejarii acestui interes legitim, Operatorul poate supraveghea video incintele in care isi desfasoara activitatea de afaceri pentru asigurarea pazei si protectiei persoanelor si a patrimoniului statutar. In cazuri exceptionale, cum sunt epidemiile, pandemiile, starile de urgenta sau situatiile de forta majora, Operatorul poate colecta, suplimentar activitatii obisnuite, date de natura medicala (date sensibile), de locatie sau de traseu a delegatilor sau propriilor angajati.

– Realizarea unor operatiuni corporative ( operatiuni de vanzare a actiunilor, plata dividende, inregistrare actionari, numire / incetare mandat administratori, auditori, etc) 

  • Constatarea, exercitarea sau aparararea drepturilor sau intereselor legitime de afaceri si legale, ale subscrisei sau ale altor persoane afiliate  in fata instantelor de judecata, a executorilor judecatoresti, a notarilor publici, a altor autoritati publice, a tribunalelor arbitrare, a mediatorilor sau a altor organisme publice sau private care solutioneaza dispute, a avocatilor, a consultantilor nostri sau alte persoane fizice sau juridice, publice sau private, care sunt implicate in acele actiuni si/sau pentru a îndeplini obligațiile impuse prin lege sau printr-un ordin al Autorității competente 
  • Scopuri arhivistice
  • Scopuri statistice
  1. TEMEIURI JURIDICE PRELUCRARE  DCP 

Operatorul si orice persoană care acționează în numele Operatorului, inclusiv entitati afiliate, vor prelucra datele persoanelor vizate în baza urmatoarelor temeiuri juridice: 

  • în scopul încheierii, executării sau rezilierii contractelor in care persoana vizata este parte sau pentru a face demersuri anterior incheierii contractului la cererea persoanei vizate. Datele personale pot fi prelucrate și anterior încheierii unui contract (pentru transmiterea unei oferte, primirea unei comenzi etc.) 
  • in baza consimtamantului persoanelor vizate. In acest sens, consimțământul trebuie să fie clar, într-un format clar și explicit care va cuprinde toate drepturile persoanei vizate (acces, rectificare, retragere consimțământ etc.),  inclusiv prin mijloace electronice sau printr-o declarație orală (ex. cu ocazia unei conversații telefonice). Astfel, consimțământul trebuie luat pentru o anumită activitate de prelucrare a datelor personale și pentru unul sau mai multe scopuri specifice. În situația luării acordului în format electronic, pre-bifarea unor căsuțe referitoare la consimțământ vor conduce la nevalabilitatea acestuia. Operatorul se va asigura că poate face dovada că persoana vizata și-a dat consimțământul în scopul prelucrării datelor sale. Persoana vizată are dreptul să-și retragă consimțământul în orice moment. Retragerea consimțământului nu afectează legalitatea prelucrării înainte de retragerea acestuia.
  • Prelucrarea datelor în conformitate cu legea. Prelucrarea DCP poate avea loc în baza unui temei din dreptul Uniunii/dreptul intern, prelucrarea DCP fiind necesara pentru indelinirea unei obligatii legale a Operatorului .
  • Prelucrarea datelor în temeiul unui interes legitim urmarit de Operator sau de o parte terta.  Cu titlu de exemplu, Operatorul va putea prelucra date cu caracter personal în scopul prevenirii fraudelor si protejarii patrimoniului societar. 
  • Prelucrarea datelor sensibile. Prelucrarea de categorii speciale de date cu caracter personal este interzisă cu excepția situațiilor în care persoana vizata și-a dat consimțământul explicit pentru prelucrarea acestor categorii de date ori prelucrarea este necesară în scopuri de medicină preventivă a muncii si/sau in procesul de executare silita/ reparare prejudicii. Fac exceptii de la aceasta situatie, cazurile de epidemie, pandemie, cazurile de formta majora sau starea de urgenta declarata de Guvernul Romaniei, cand prelucrarea datelor sensibile a persoanelor vizate va fi posibila si fara obtinerea unui constimant in prealabil. In aceste situatii va prevala intotdeauna interesul legitim al Operatorului privind protejarea starii de sanatate a sa ori a angajatilor sai, precum si patrimoniul statutar ori a activitatilor principale, vitale.
  1. METODA DE PROCESARE

Operatorul va procesa datele cu caracter personal în conformitate cu principiile legalității, corectitudinii și transparenței.

Datele dumneavoastră cu caracter personal sunt procesate prin intermediul următoarelor operațiuni: colectarea, înregistrarea, organizarea, structurarea, stocarea, consultarea, adaptarea sau modificarea, utilizarea, diseminarea, dezvăluirea prin transmitere, recuperare, aliniere sau combinare, restricționarea, ștergerea sau distrugerea datelor. Datele dumneavoastră cu caracter personal sunt supuse atât procesării tipărite, cât și procesării electronice.

Operatorul va procesa datele cus caracter personal pe perioada de timp necesară pentru a îndeplini scopurile indicate mai sus și, în orice caz, nu mai mult de 10 de ani de la încetarea relațiilor contractuale și nu mai mult de 2 ani de la colectarea datelor în scopuri de marketing.
După ce au trecut 3 ani de la încetarea relațiilor contractuale, accesul la date va fi limitat la șefii de departamente.

În cazul în care Operatorul are o nevoie documentată a stoca datele pe o perioadă de timp mai mare de 10 de ani (de exemplu, dacă ștergerea ar putea compromite dreptul său legitim la apărare sau, în general, pentru a proteja activele societății sale), respectiva stocare a datelor va avea loc limitând accesul la respectivele date numai la seful departamentului juridic, pentru a garanta exercitarea legitimă a dreptului la apărare al Operatorului. 

  1. DECIZII INDIVIDUALE AUTOMATIZATE

În principiu, Operatorul nu recurge la luarea unor decizii bazate exclusiv pe prelucrarea automată a datelor.

Totuși, în situația în care decizia a fost luată în mod automat, Operatorul va implementa măsuri în vederea respectării drepturilor persoanelor vizate (intervenția unei persoane pentru a interpreta decizia, dreptul persoanei vizate de a-și exprima un punct de vedere, dreptul persoanei vizate de a contesta decizia).

  1. BENEFICIARII DATELOR

Datele dumneavoastră pot fi accesibile în scopurile indicate la art. 2 următorilor beneficiari:
– societățile afiliate Operatorului, în măsura în care acest lucru este necesar pentru procesare, în conformitate cu regulile corporatiste obligatorii adoptate de către Operator;

societăți sau alte terțe entități (instituții de credit, firme profesionale, consultanți, firme de asigurări pentru furnizarea de servicii de asigurare, firme de audit, instituții de supraveghere, furnizori servicii  paza si supraveghere video, emitere carduri tichete de masa, servicii  de curierat, servicii IT etc.) care desfășoară activități pe bază de externalizare, în numele Operatorului;

– entități publice, pentru îndeplinirea obligațiilor legale.

Transmiterea datelor cu caracter personal catre destinatarii sus mentionati se va face numai in temeiul unui angajament de confidentialitate si de asigurare a unui nivel adecvat de securitate din partea acestora prin care se garanteaza ca datele personale sunt pastrate in siguranta si ca transmiterea lor se face conform legislatiei in vigoare.

Fără a avea nevoie de consimțământul dumneavoastră explicit, Operatorul poate comunica datele dumneavoastră în scopurile indicate în art. 2 organismelor de supraveghere, autorităților judiciare, firmelor de asigurări pentru furnizarea serviciilor de asigurare, precum și entităților către care comunicarea este obligatorie în termenii legii, pentru îndeplinirea scopurilor menționate.

  1. TRANSFERURI DE DATE 

Datele cu caracter personal sunt stocate pe servere situate în Uniunea Europeană. În orice caz, se înțelege că, dacă acest lucru este necesar, Operatorul va avea dreptul de a muta serverele chiar și în afara UE. Într-un astfel de caz, Operatorul garantează că transferurile de date în afara UE vor fi efectuate în conformitate cu legile în vigoare, inclusiv prin includerea de clauze contractuale standard prevăzute de către Comisia Europeană și prin adoptarea unor reguli corporatiste obligatorii pentru transferuri în interiorul grupului. 

  1. STOCAREA DATELOR

Datele prelucrate de subscrisa vor fi  stocate  potrivit politicii noastre de pastrare a DCP, perioada stocarii fiind diferita in functie de scopul utilizarii si de categoria de date. Politica noastra are la baza prevederile legale in materia dreptului civil, a protectiei datelor cu caracter personal respectiv cea a arhivarii documentelor. 

Cu privire la realizarea de analize privind navigarea pe site-urile noastre si interactiunile dumneavoastra cu site-urile, vom pastra datele pentru o perioada de pana la 3 ani.

Operatorul poate sterge datele dumneavoastra personale atunci cand considera ca nu mai sunt necesare pentru scopurile si temeiurile in care au fost prelucrate. 

10. DREPTURILE INDIVIDUALE ALE PERSOANELOR VIZATE

DCP trebuie procesate în acord cu drepturile individuale ale persoanelor vizate, precum:

  • dreptul de a solicita accesul la date, rectificarea sau restricționarea prelucrării datelor cu caracter personal;
  • dreptul la portabilitatea datelor;
  • dreptul de a fi uitat;
  • dreptul de a se opune prelucrării datelor;
  • dreptul de a retrage consimțământul;
  • dreptul de a se opune luării unei decizii în mod automat;
  • dreptul de a depune o plângere în fața unei autorități.

În vederea respectării drepturilor persoanelor vizate, Operatorul poate fi contactat prin e-mail, la protectia.datelor@green-group.ro, sau prin poștă, la sediul VERDUM ROMÂNIA S.A (Oradea, Str. Octavian Goga, nr. 5., judetul Bihor, Romania). 

  1. CONFIDENȚIALITATEA DCP 

                Atunci când prelucrăm datele dumneavoastră utilizăm măsuri tehnice și organizatorice care să asigure confidențialitatea, disponibilitatea și corectitudinea datelor dumneavoastră.

  Lucrăm în mod continuu pentru a asigură păstrarea măsurilor noastre de securitate la cel mai înalt nivel și ne angajăm să vă informăm la timp în cazul oricăror incidente de securitate ce ar putea să prezinte un risc semnificativ pentru drepturile dumneavoastră.   

  1. INCIDENTELE DE PROTECȚIE A DATELOR

Operatorul va implementa și deține politici și proceduri de gestionare a incidentelor de securitate, notificând persoanele vizate despre un eventual incident în legătură cu securitatea datelor, fără întârzieri nejustificate.

Operatorul va monitoriza, prin intermediul persoanei responsabile cu protecția datelor, riscurile noi și în curs referitoare la protecția datelor cu caracter personal, actualizând de îndată registrul relevant al riscurilor la nivelul Operatoruui. 

În cazul în care are loc o încălcare a securității datelor cu caracter personal, Operatorul va notifica acest lucru și autorității de supraveghere, fără întârzieri nejustificate și dacă este posibil în cel mult 72 de ore de la data la care a luat la cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.

  1. RESPONSABILITĂȚI ȘI SANCȚIUNI

Este responsabilitatea întregului personal al Operatorului să notifice imediat Responsabilul cu protecția datelor orice încălcare a prezentei politici. Atunci când Responsabilul cu protecția datelor va considera necesar, va informa autoritatea de supraveghere despre aceste încălcări.

Șefii fiecărui departament din cadrul Operatorului vor fi responsabili pentru prelucrarea datelor din cadrul departamentelor lor și vor monitoriza riscurile noi și în curs referitoare la protecția datelor/vor actualiza registrul relevant al riscurilor la nivelul companiei. În cazul sesizării unui risc, vor raporta acest lucru de îndată directorului general și Responsabilului cu protecția datelor.

Șefii fiecărui departament în cadrul căruia se prelucrează date cu caracter personal vor informa Responsabilul cu protecția datelor în timp util cu privire la o fiecare nouă prelucrare a datelor.

Directorul general, împreună cu Responsabilul cu protecția datelor se vor îngriji ca periodic să se efectueze un audit intern al Operatorului prin care să se verifice gestionarea riscurilor privind confidențialitatea și protecția datelor.

Autoritatea de supraveghere competentă trebuie anunțată/consultată ori de câte ori Responsabilul cu protecția datelor are o obligație legală în acest sens. De asemenea, în cazul unui control din partea autorității de supraveghere, Responsabilul cu protecția datelor este anunțat imediat.

Toți angajații Operatorului care lucrează cu date personale au obligația de a informa imediat Responsabilul cu protecția datelor cu privire la orice încălcare a prezentei politici sau a altor reglementări legale aplicabile în materie despre care au luat cunoștință.

Prelucrarea abuzivă a datelor cu caracter personal va conduce la aplicarea de sancțiuni disciplinare, putând fi pedepsită și de legislația penală în domeniu.