Politica privind protecţia datelor cu caracter personal
GARANTARE SI CREDITARE I.F.N. S.A., societate de nationalitate română, înregistrată la Oficiul Registrului Comerțului sub nr. J6/233/07,03,2022, CUI 45759729, cu sediul social in România, Municipiul Bistrita, B-dul Decebal, nr. 31, înregistrată în Registrul General al BNR cu nr. RG-PJR-06- 110380/02.09.2022, operator de date cu caracter personal înregistrat în Registrul Prelucrărilor de Date cu Caracter Personal sub numărul 18783/02.11.2022, numită în continuare Operator, are obiectivul să se conformeze cu legile și reglementările aplicabile privind protecția prelucrării datelor cu caracter personal, în țările în care operează Societatea. Această Politică de protecție a prelucrării datelor cu caracter personal stabilește principiile de bază prin care Societatea procesează datele cu caracter personal ale clienților/consumatorilor, furnizorilor, partenerilor comerciali, angajaților și/sau ale altor persoane fizice și indică responsabilitățile departamentelor și angajaților în ceea ce privește procesarea datelor cu caracter personal.
Utilizatorii acestui document sunt toți angajații, permanenți sau temporari, precum și toți contractorii care lucrează în numele Societății.
Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor – GDPR) precum si legislatia nationala adoptata de catre statul roman ulterior.
Următoarele definiții ale termenilor utilizați în acest document sunt prezentate conform articolului 4 din GDPR: Date cu caracter personal: Orice informații privind o persoană fizică identificată sau identificabilă („Persoana Vizată") care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
Categorii speciale de date cu caracter personal : Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale, necesită o protecție specifică, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor și libertăților fundamentale ale persoanei vizate. Aceste date cu caracter personal includ datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice sau calitatea de membru într-un sindicat, datele genetice, datele biometrice în scopul de identificare unică a acelei persoane fizice, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală a persoanei fizice.
Operator: Persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. În sensul prezentei Politici, GARANTARE SI CREDITARE IFN SA este operator de date cu caracter personal.
Persoană împuternicită de Operator: Persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele Operatorului.
Prelucrare: O operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.
Anonimizare: Eliminarea ireversibilă a identificării datelor cu caracter personal, astfel încât să nu se poată identifica persoana prin folosirea unei perioade de timp, costuri și tehnologie rezonabilă, fie de către Operator, fie de către orice altă persoană, pentru a identifica acea persoană fizică. Principiile de prelucrare a datelor cu caracter personal nu se aplică datelor anonimizate, întrucât nu mai sunt date cu caracter personal.
Pseudonimizare: Prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile. Pseudonimizarea reduce, dar nu elimină complet capacitatea de a asocia datele cu caracter personal în scopul identificării unei persoane vizate. Întrucât datele pseudonimizate sunt încă date cu caracter personal, prelucrarea datelor pseudonimizate se conformează principiilor de prelucrare a datelor cu caracter personal.
Creare de profiluri: orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea acestora pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia.
Prelucrare transfrontalieră a datelor cu caracter personal: Prelucrarea datelor cu caracter personal care are loc în contextul activităților sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul Uniunii Europene, dacă operatorul sau persoana împuternicită de operator are sedii în cel puțin două state membre; sau prelucrarea datelor cu caracter personal care are loc în contextul activităților unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane vizate din cel puțin două state membre.
Autoritate de supraveghere: O autoritate publică independentă instituită de un stat membru în temeiul articolului 51 din GDPR UE. Autoritatea de supraveghere locală este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
Autoritate de supraveghere principală: Autoritatea de supraveghere cu responsabilitatea primară de a acționa în privința activității de prelucrare transfrontalieră a datelor, de exemplu atunci când o persoană vizată depune o plângere privind prelucrarea datelor cu caracter personal ale acesteia; răspunde, printre altele, de recepționarea notificărilor privind încălcarea securității informațiilor, de notificarea în privința activității de prelucrare riscantă și va deține autoritatea completă privind îndatoririle acesteia de asigurare a conformării cu prevederile din GDPR UE.
Fiecare „Autoritate de supraveghere locală” va menține încă în propriul teritoriu și va monitoriza orice prelucrare locală a datelor care afectează persoanele vizate sau care se desfășoară de către un operator sau o persoană împuternicită de operator din UE sau non-UE, atunci când prelucrarea acestora se referă la persoanele vizate care locuiesc în teritoriul acesteia. Îndatoririle și puterile acestora includ desfășurarea investigațiilor și aplicarea măsurilor și amenzilor, promovarea informării publice despre riscuri, reguli, securitate și drepturile privind prelucrarea datelor cu caracter personal, precum și obținerea accesului la orice locații ale Operatorului și Persoanei împuternicite de Operator, inclusiv orice echipamente și mijloace de prelucrare a datelor.
Responsabil cu protecția datelor: persoana fizică/juridică desemnată de Societate în baza calităților profesionale și a cunoștințelor de specialitate, pentru a îndeplini sarcinile prevăzute de art. 39 din GDPR;
4. Principii de bază legate de prelucrarea datelor cu caracter personal
Principiile de protecție a datelor cu caracter personal conturează responsabilitățile de bază pentru organizațiile care manevrează date cu caracter personal.
Datele cu caracter personal trebuie prelucrate în mod legal, corect și transparent în legătură cu persoana vizată.
Astfel, Societatea, în calitate de Operator, va utiliza datele cu caracter personal astfel încât Persoana vizată care i-a încredințat datele sale personale, să cunoască această utilizare și să corespundă așteptărilor sale privind utilizarea datelor de către Societate.
Datele cu caracter personal trebuie colectate pentru scopuri determinate, explicite și legitime și nu trebuie prelucrate într-un mod care este incompatibil cu aceste scopuri.
Prelucrarea ulterioară de către Societate în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu va fi incompatibilă cu prelucrarea inițială, câtă vreme se face cu respectarea prevederilor GDPR (art. 89).
În cazul în care oricare din departamentele Societății, inclusiv departamentele cu funcție de suport/funcție administrativă, intenționează să utilizeze datele personale ale clienților/angajaților etc. în scopuri secundare (alte scopuri decât cele pentru care datele personale au fost colectate inițial), va informa Responsabilul cu protecția datelor in vederea identificarii posibilitatii de a utiliza aceste date personale în aceste scopuri secundare.
Datele cu caracter personal trebuie să fie adecvate, relevante și limitate strict la ceea ce este necesar în legătură cu scopurile pentru care se prelucrează. În cazul în care este necesar, Societatea va lua măsuri adecvate de anonimizare și/sau pseudonimizare a datelor cu caracter personal, acolo unde este posibil, pentru a reduce riscurile pentru persoanele vizate.
În acest sens, pe cât posibil, Societatea se va asigura că angajații/colaboratorii săi vor lua și respecta următoarele măsuri organizaționale:
d) Exactitatea datelor
Datele cu caracter personal trebuie să fie exacte și, dacă este necesar, actualizate. În acest sens, Societatea va lua măsuri rezonabile pentru a se asigura că datele cu caracter personal care nu sunt exacte sub aspectul scopurilor pentru care se prelucrează, se șterg sau se rectifică la timp.
În cazul în care oricare din angajații/colaboratorii Societății ia la cunoștință despre orice astfel de inexactitate a datelor cu caracter personal prelucrate de către Societate, acesta va corecta inexactitatea identificată sau, dacă acest lucru nu este posibil, va informa persoana/echipa relevantă care poate înlătura inexactitatea constatată, in conformitate cu procedurile interne ale Societatii de actualizare a datelor cu caracter personal.
Datele cu caracter personal nu trebuie menținute mai mult decât este necesar pentru îndeplinirea scopurilor pentru care se colectează și se prelucrează datele, in conformitate cu Politica de stocare (retentie) a datelor personale a Societăţii. Datele cu caracter personal vor putea fi ținute de către Societate și după îndeplinirea scopurilor pentru care acestea au fost colectate inițial, în măsura în care datele cu caracter personal vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, cu respectarea prevederilor GDPR (art. 89), sub rezerva punerii în aplicare de către Societate de măsuri de ordin tehnic și organizatoric adecvate în vederea respectării și garantării drepturilor și libertăților persoanelor vizate.
După îndeplinirea scopurilor pentru care datele cu caracter personal au fost colectate (și în lipsa aplicabilității situațiilor menționate la paragraful anterior), datele cu caracter personal vor fi distruse, șterse sau anonimizate din bazele de date/sistemele de evidență ale Societății (atât electronice, cât și în format letric/hârtie), cu respectarea prevederilor legale aplicabile și a Politicii de stocare (retenție) a datelor personale a Societății.
Ținând cont de stadiul tehnologiei și al măsurilor de securitate disponibile, de costul de implementare și probabilitatea și gravitatea riscurilor pentru datele cu caracter personal, Societatea are obligația să aplice măsuri tehnice sau organizatorice adecvate pentru a prelucra datele cu caracter personal, într-un mod care să asigure securitatea corespunzătoare a datelor, inclusiv protecția împotriva distrugerii, pierderii, modificării accidentale sau ilegale, accesul neautorizat sau dezvăluirea neautorizată.
Societatea ia măsuri tehnice și organizatorice adecvate pentru a asigura securitatea datelor cu caracter personal, cum ar fi controale de acces, încriptarea datelor, transferul cu respectarea strictă a cerințelor de confidențialitate etc., conform politicilor de securitate ale Societății.
Societatea este responsabilă de conformarea cu principiile prevăzute mai sus și poate să demonstreze respectarea acestora. În acest sens, Societatea documenteaza respectarea principiilor de prelucrare a datelor personale prin întocmirea de proceduri adecvate de confidentialitate, retentie și securitate a datelor, prin pregătirea unui registru de evidență cu operațiunile de prelucrare efectuate de Societate, prin informarea persoanelor vizate (angajați sau clienți etc.) cu privire la prelucrarea datelor cu caracter personal de către Societate, prin postarea Informării privind prelucrarea datelor personale pe website-ul Societății (pentru asigurarea principiului transparenței prelucrărilor), precum și prin orice alte demersuri întreprinse de către Societate pentru a documenta respectarea principiilor de prelucrare și îndeplinirea obligațiilor legale.
5. Implementarea protecției datelor în activitățile comerciale
Pentru a demonstra conformarea cu principiile de protecție a datelor, Societatea are obligația să implementeze protecția datelor în activitățile comerciale ale acesteia, de la momentul colectării datelor personale (sau chiar înainte) și până la distrugerea/ștergerea acestora din sistemele de evidență a datelor deținute și organizate de Societate.
Societatea are obligația să colecteze volumul minim necesar de date cu caracter personal. Dacă datele cu caracter personal se colectează de la un terț, angajatii Societăţii au obligaţia să se asigure că datele cu caracter personal se colectează cu respectarea prevederilor legale aplicabile prevăzute de GDPR si să informeze în prealabil Responsabilul cu Protecţia Datelor din cadrul Societăţii.
În momentul colectării sau înainte de colectarea datelor cu caracter personal pentru orice tip de activități de prelucrare, incluzând, dar nelimitându-se la vânzarea produselor și serviciilor Societății sau activitățile de marketing, Societatea va informa corespunzător Persoanele vizate cu privire la următoarele: (i) identitatea și datele de contact ale operatorului și după caz, ale reprezentantului acestuia; (ii) datele de contact ale Responsabilului cu protecția datelor, după caz; (iii) tipurile de date cu caracter personal colectate; (iv) scopurile prelucrării precum și temeiul juridic al prelucrării; (v) interesele legitime urmărite de Societate în calitate de Operator, în cazul în care efectuează prelucrări în baza acestui temei legal; (vi) destinatarii sau categoriile de destinatari ai datelor cu caracter personal; (vii) drepturile Persoanelor vizate în privința datelor cu caracter personal ale acestora; (viii) perioada de stocare a datelor sau dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; (ix) eventualele transferuri internaționale de date către o țară terță sau o organizație internațională existența unor garanții adecvate luate de Societate pentru a proteja datele cu caracter personal, cu o trimitere la mijloacele de a obține informatii cu privire la aceasta; (x) existența drepturilor pe care le are Persoana vizată, respectiv dreptul persoanei vizate de a-și retrage consimțământul în orice moment; dreptul de a depune o plângere în fața autorității de supraveghere competente; informarea persoanei vizate dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt consecințele nerespectării acestei obligații; dacă este cazul, existența unui proces decizional automatizat incluzând crearea de profiluri și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată. Aceste informații sau comunicat/se comunică Persoanelor vizate prin Informarea privind prelucrarea datelor personale, transmisă de către Societate către Persoanele vizate prin canalele de comunicare stabilite.
Atunci când se colectează categorii speciale de date cu caracter personal, Responsabilul cu Protecția Datelor se va asigura că Informarea privind prelucrarea datelor personale specifică în mod explicit scopul pentru care se colectează aceste date cu caracter personal și temeiul juridic al prelucrării.
c) Temeiuri legale de prelucrare. Consimțământul persoanei vizate
Societatea se asigură că, ori de câte ori colectează și prelucrează datele cu caracter personal ale Persoanelor vizate, prelucrarea datelor cu caracter personal se face în baza unuia din următoarele temeiuri legale de prelucrare:
Când se prelucrează date cu caracter personal în baza consimțământului Persoanei vizate, Societatea răspunde de reținerea înregistrării unui asemenea consimțământ. Societatea răspunde de transmiterea către Persoanele vizate a opțiunilor pentru a acorda consimțământul și are obligația să le informeze și să se asigure că se poate retrage consimțământul acestora (când se utilizează ca bază juridică pentru prelucrare), în orice moment.
Când se solicită corectarea, modificarea sau distrugerea evidențelor datelor cu caracter personal, Societateaare obligația să se asigure că aceste solicitări se gestionează cu respectarea procedurilor interne si legislatiei in vigoare. Societatea are de asemenea obligația să asigure înregistrarea acestor solicitări.
Datele cu caracter personal trebuie prelucrate numai în scopul pentru care s-au colectat inițial. În cazul în care Societatea vrea să prelucreze în alt scop datele cu caracter personal colectate, și nu are un alt temei legal decât consimțământul Persoanei vizate, Societatea are obligația să solicite consimțământul Persoanei vizate pentru scopurile secundare (noi). Orice asemenea solicitare trebuie să includă scopul inițial pentru care s-au colectat datele și de asemenea scopul/scopurile nou/noi sau suplimentar(e).
Societatea are obligația să se asigure că metodele de colectare se conformează cu legea relevantă, bunele practici și standardele din domeniu.
Scopurile, metodele, limitarea stocării și perioada de stocare a datelor cu caracter personal trebuie să fie concordante cu informațiile cuprinse în Informarea privind prelucrarea datelor personale, comunicată persoanelor vizate. Societatea are obligația să mențină corectitudinea, integritatea, confidențialitatea și relevanța datelor cu caracter personal în baza scopului de prelucrare. Este obligatorie utilizarea de mecanisme de securitate corespunzătoare, elaborate să protejeze datele cu caracter personal, pentru a preveni ca datele cu caracter personal să fie sustrase, utilizate abuziv sau abuzate și pentru a preveni încălcarea securității datelor cu caracter personal.
Societatea utilizează diverși furnizori de servicii/parteneri comerciali care au acces, stochează, transferă sau în orice alt fel prelucrează datele cu caracter personal în numele și pe seama Societății. Acești furnizori de servicii/parteneri comerciali au calitatea de Persoană împuternicită de Operator, conform definiției menționate mai sus în cadrul Secțiunii 3 – Definiții.
6. Drepturile persoanelor vizate
a) Aspecte generale
Atunci când acționează în calitate de Operator, Societatea răspunde de asigurarea pentru persoanele vizate a unui mecanism de acces rezonabil pentru a le oferi posibilitatea persoanelor vizate să își exercite drepturile pe care le au în legătură cu prelucrarea datelor cu caracter personal ale acestora, respectiv: (i) dreptul de a primi informații privind operațiunile de prelucrare a datelor personale care privesc persoana vizată; (ii) dreptul de a solicita acces la datele cu caracter personal deținute și prelucrate de Societate și de asemenea, (iii) dreptul la rectificarea/completarea acestor date dacă acestea sunt inexacte/incomplete; (iv) dreptul de a se opune prelucrării datelor cu caracter personal, în anumite condiții, inclusiv dreptul de a-și retrage consimțământul acordat; (v) dreptul de a solicita ștergerea datelor cu caracter personal, în anumite condiții; (vi) dreptul de a solicita restricționarea prelucrărilor datelor cu caracter personal, în anumite condiții; (vii) dreptul la portabilitatea datelor cu caracter personal, în anumite condiții; (viii) dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau care o afectează în mod similar într-o măsură semnificativă.
Având în vedere elementele de noutate aduse de GDPR în raport cu legislația anterioară de protecție a datelor cu caracter personal, mai jos sunt prezentate detalii privind dreptul la portabilitatea datelor și dreptul la ștergerea datelor („dreptul de a fi uitat”).
Persoanele vizate au dreptul să primească, la cerere, datele pe care le-au transmis Societății într-un format structurat, utilizat în mod curent și care poate fi citit automat și să transmită acele date altui operator, cu titlu gratuit, fără obstacole din partea Societății.
Societatea se asigura că asemenea solicitări se prelucrează în termen de maxim o lună, nu sunt excesive (de exemplu, ale unei persoane vizate care transmite în fiecare zi cereri către o societate) și nu afectează drepturile asupra datelor cu caracter personal ale altor persoane fizice.
La cerere, Persoanele vizate au dreptul să obțină de la Societate ștergerea datele cu caracter personal ale acestora. Atunci când Societatea acționează în calitate de Operator și când poate da curs acțiunii de ștergere a datelor personale (neexistând alte temeiuri legale pentru păstrarea datelor cu caracter personal menționate în solicitarea de ștergere), Societatea va initia acțiunile necesare (inclusiv măsurile tehnice) pentru a informa terții, care utilizează sau prelucrează acele date, să se conformeze cu solicitarea de ștergere primită de la Persoana vizată. Pentru a șterge datele dumneavoastră va rugam sa trimiteti o solicitare in acest sens prin posta la adresa: Bistrita, B-dul Decebal, nr. 31, Jud.Bistrita-Nasaud.
În cazul în care Societatea identifică prelucrări de date cu caracter personal susceptibile de a prezenta riscuri ridicate pentru drepturile și libertăţile persoanelor fizice, va efectua o evaluare a impactului asupra protecţiei datelor, în condiţiile art. 35 din GDPR.
Evaluarea impactului asupra protecţiei datelor se realizează anterior colectării datelor cu caracter personal și efectuării prelucrării. Societatea pune accent pe estimarea riscurilor asupra protecţiei datelor din punctul de vedere al Persoanelor vizate, luând în considerare cel puțin următoarele elemente: (i) natura datelor, (ii) domeniul de aplicare, (iii) contextul și scopurile prelucrării și (iv) utilizarea noilor tehnologii.
Responsabilitatea pentru asigurarea prelucrării corespunzătoare a datelor cu caracter personal revine fiecărei persoane care lucrează pentru Societate sau cu aceasta și are acces la datele cu caracter personal prelucrate de Societate.
Pentru orice informatii legate de prelucrarea datelor cu caracter personal, va rugam sa transmiteti o solicitare scrisa la sediul societatii din Bistrita, B-dul Decebal, nr. 31, Jud.Bistrita-Nasaud.
CLIENT
Nume si prenume: «Solicitant»
Semnătura: «SemnaturaClient»
DATA: «DataCerere»