POLITICA GENERALĂ PRIVIND PROTECȚIA DATELOR PERSONALE
Subscrisa HARGITA HOLDING IMPORT-EXPORT S.R.L. cu sediul în sat Porumbenii Mici, comuna Porumbeni str. Főút nr. 6 jud. Harghita, înregistrată la Oficiul Registrului Comerţului de pe lângă Tribunalul Harghita sub nr. J19/467/1998, având Cod Unic de Înregistrare nr. 2881330, cont bancar având cod IBAN RO18 BACX 0000 0009 2819 6000, deschis la UNICREDIT BANK ODORHEIU-SECUIESC, reprezentată prin administratorul Szabó Dezső, adresă e-mail: gdpr@harghita-holding.ro, pagina web: https://harghita-holding.ro/, în calitate de operator de date personale, în sensul art. 4 pct. 7 din Regulamentul UE nr. 679/2016, în temeiul prevederilor Regulamentului UE nr. 679/2016 pus în aplicare prin Legea nr. 190/2018, adopt prezenta politică generală privind protecția datelor personale, prin care se stabilesc mijloacele și procedurile de prelucrare precum colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea datelor cu caracter personal, măsurile tehnice și organizatorice adecvate pentru a garanta și a fi în măsură a demonstra faptul că prelucrarea se efectuează în conformitate cu prevederile Regulamentului.
Subscrisa prelucrez date cu caracter personal numai în măsura în care acestea sunt necesare în scopul desfășurării activității.
I. DOMENIUL DE APLICARE ȘI MODIFICAREA POLITICII DE PROTECȚIE A DATELOR
art. 1 Prezenta Politică de protecție a datelor se aplică în cadrul societății HARGITA HOLDING IMPORT-EXPORT S.R.L. inclusiv angajaților și colaboratorilor
societății și se extinde la toate prelucrările de date cu caracter personal.
art. 2 Prezenta Politică este aplicabilă din data de 25 mai 2018.
art. 3 Operatorul își rezervă dreptul ca în orice moment și fără o notificare prealabilă, să modifice Politica sa generală privind datele cu caracter personal prin actualizarea sa sau prin adaptarea ei la noile reglementări, practici sau recomandări, modificările fiind valabile din momentul afișării lor pe pagina web https://harghita-holding.ro/.
II. DEFINIŢII DE BAZĂ
a. „date cu caracter personal” sau DCP înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
- „prelucrare” înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;
- „restricţionarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
- „creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;
- „pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informaţii suplimentare, cu condiţia ca aceste informaţii suplimentare să fie stocate separat şi să facă obiectul unor măsuri de natură tehnică şi organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
- „sistem de evidenţă a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice;
- „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
- „persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
- „destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării;
j. „parte terţă” înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
k. „consimţământ” al persoanei vizate înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
l. „încălcarea securităţii datelor cu caracter personal” înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
- „date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care oferă informaţii unice privind fiziologia sau sănătatea persoanei respective şi care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză;
- „date biometrice” înseamnă o date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;
- „date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia;
- „sediu principal” înseamnă:
(a) în cazul unui operator cu sedii în cel puţin două state membre, locul în care se află administraţia centrală a acestuia în Uniune, cu excepţia cazului în care deciziile privind scopurile şi mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului din Uniune, sediu care are competenţa de a dispune punerea în aplicare a acestor decizii, caz în care sediul care a luat deciziile respective este considerat a fi sediul principal;
(b) în cazul unei persoane împuternicite de operator cu sedii în cel puţin două state membre, locul în care se află administraţia centrală a acesteia în Uniune, sau, în cazul în care persoana împuternicită de operator nu are o administraţie centrală în Uniune, sediul din Uniune al persoanei împuternicite de operator în care au loc activităţile principale de prelucrare, în contextul activităţilor unui sediu al persoanei împuternicite de operator, în măsura în care aceasta este supusă unor obligaţii specifice în temeiul prezentului regulament;
q. „reprezentant” înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana împuternicită de operator în temeiul articolului 27, care reprezintă operatorul sau persoana împuternicită în ceea ce priveşte obligaţiile lor respective care le revin în temeiul prezentului regulament;
r. „întreprindere” înseamnă o persoană fizică sau juridică ce desfăşoară o activitate economică, indiferent de forma juridică a acesteia, inclusiv parteneriate sau asociaţii care desfăşoară în mod regulat o activitate economică;
- „grup de întreprinderi” înseamnă o întreprindere care exercită controlul şi întreprinderile controlate de aceasta;
- „reguli corporatiste obligatorii” înseamnă politicile în materie de protecţie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce priveşte transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe ţări terţe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună;
- „autoritate de supraveghere” înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 51;
- „autoritate de supraveghere vizată” înseamnă o autoritate de supraveghere care este vizată de procesul de prelucrare a datelor cu caracter personal deoarece:
(a) operatorul sau persoana împuternicită de operator este stabilită pe teritoriul statului membru al autorităţii de supraveghere respective;
(b) persoanele vizate care îşi au reşedinţa în statul membru în care se află autoritatea de supraveghere respectivă sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare; sau
(c) la autoritatea de supraveghere respectivă a fost depusă o plângere; - „prelucrare transfrontalieră” înseamnă:
- (a) fie prelucrarea datelor cu caracter personal care are loc în contextul activităţilor sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul Uniunii, dacă operatorul sau persoana împuternicită de operator are sedii în cel puţin două state membre; sau
- (b) fie prelucrarea datelor cu caracter personal care are loc în contextul activităţilor unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane vizate din cel puţin două state membre;
- „obiecţie relevantă şi motivată” înseamnă o obiecţie la un proiect de decizie în scopul de a stabili dacă există o încălcare a prezentului regulament sau dacă măsurile preconizate în ceea ce priveşte operatorul sau persoana împuternicită de operator respectă prezentul regulament, care demonstrează în mod clar importanţa riscurilor pe care le prezintă proiectul de decizie în ceea ce priveşte drepturile şi libertăţile fundamentale ale persoanelor vizate şi, după caz, libera circulaţie a datelor cu caracter personal în cadrul Uniunii;
- „serviciile societăţii informaţionale” înseamnă un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva 2015/1535/CE a Parlamentului European şi a Consiliului din 9 septembrie 2015 referitoare la procedura de furnizare de informaţii în domeniul reglementărilor tehnice şi al normelor privind serviciile societăţii informaţionale (JO L 241, 17.9.2015, p. 1).
- „organizaţie internaţională” înseamnă o organizaţie şi organismele sale subordonate reglementate de dreptul internaţional public sau orice alt organism care este instituit printr-un acord încheiat între două sau mai multe ţări sau în temeiul unui astfel de acord.
aa. „modul cookie” este o colecție de date într-un standard industrial pe care o pagină web le transferă pe computerul vizitatorului, temporar, pentru a permite adaptarea conținutului la utilizator. În acest scop, modulele cookie colectează informații cu privire la comportamentul vizitatorului online. Un modul cookie este un fișier de mici dimensiuni care conține un text alcătuit dintr-un șir de litere și cifre (informații), deseori codificate, care îl identifică în mod unic computerul, terminalul mobil sau alte echipamente ale unui utilizator de pe care se accesează internetul, dar poate conține și alte informații. Un modul cookie este format din două părți: numele și conținutul sau valoarea modulului cookie. Durata de existență a unui modul cookie este determinată.
Un modul cookie este un fișier care este plasat/descărcat pe dispozitivul care este utilizat când pagina web este accesată, prin solicitarea emisă de către web server unui browser (ex.: Internet Explorer, Google Chrome), care permite utilizarea funcționalităților, înregistrând navigarea website-ului, astfel încât, cu ocazia unei noi accesări a paginii web, acesta poate prezenta opțiuni adaptate pe baza informațiilor stocate despre ultima vizită.
Un modul cookie este complet „pasiv” ele permițând exclusiv strângerea de informații despre comportamentul utilizatorilor.
Modulele cookie ajută la generarea unei experiențe de navigare prietenoase și adaptată preferințelor și intereselor fiecărui utilizator. Refuzarea sau dezactivarea modulelor cookie poate face unele website-uri imposibil de folosit.
Refuzarea sau dezactivarea modulelor cookie nu înseamnă că utilizatorul nu va mai primi publicitate online, ci doar că aceasta nu va mai putea ține cont de preferințele și interesele vizitatorului, evidențiate prin comportamentul de navigare.
Pagina web a societăţii folosește module cookie exclusiv în scopuri statistice (tip browser, accesare pagină, tipul dispozitivului folosit de utilizator, durata de timp petrecut pe site), datele astfel obținute sunt anonimizate prin coduri care nu permit identificarea utilizatorilor.
III. PRINCIPII DE PRELUCRARE A DATELOR CU CARACTER PERSONAL
art. 4 HARGITA HOLDING IMPORT-EXPORT S.R.L. prelucrează date personale cu respectarea următoarelor principii:
a. principiul legalității, echității și transparenței
“Legalitatea” – presupune efectuarea prelucrării datelor cu caracter personal pe baza consimțământului persoanei vizate sau în temeiul unui alt motiv sau interes legitim prevăzut de lege, inclusiv necesitatea respectării obligațiilor legale la care este supus operatorul sau necesitatea de a executa un contract la care persoana vizată este parte sau are calitatea de reprezentant sau împuternicit al uneia dintre părți ori pentru a parcurge etapele premergătoare încheierii unui contract.
Conform principiului transparenței orice informație care se adresează publicului sau persoanei vizate trebuie să fie concisă, ușor accesibilă și ușor de înțeles, cu utilizarea unui limbaj simplu și clar. Acest principiu se referă în special la informarea persoanei vizate privind identitatea operatorului și scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica datele cu caracter personal care le privesc.
b. principiul limitării legate de scop
Datele se colectează în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri. Prelucrarea DCP în alte scopuri decât cele pentru care au fost inițial colectate se efectuează doar atunci când aceasta este compatibilă cu scopurile inițiale. În acest caz nu este necesară existența unui nou temei juridic.
Pentru a stabili dacă scopul prelucrării ulterioare este compatibil cu cel inițial, operatorul, pe lângă respectarea principiului legalității, va ține seama de orice legătură între respectivele scopuri, de contextul în care au fost colectate DCP, în special de așteptările persoanelor vizate bazate pe relația lor cu operatorul, de natura datelor și de consecințele prelucrării ulterioare asupra persoanelor vizate.
c. principiul reducerii la minimum a datelor
Înainte de prelucrarea datelor cu caracter personal, se determină dacă și în ce măsură prelucrarea datelor cu caracter personal este necesară pentru atingerea scopului pentru care este efectuată. Atunci când scopul permite acest lucru și unde cheltuielile implicate sunt proporționale cu scopul urmărit, sunt utilizate date anonime sau statistice.
Datele cu caracter personal nu sunt colectate în avans și stocate în scopuri potențiale viitoare, cu excepția cazului în care acest lucru este impus sau permis de legislația in vigoare.
d. principiul exactității
Societatea prelucrează date exacte, corecte, complete și actualizate, după caz. Totodată, societatea ia toate măsurile pentru a se asigura că DCP inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere.
e. principiul limitării legate de stocare
Operatorul păstrează DCP într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor stabilite.
Perioada de stocare a datelor personale diferă de la caz la caz în funcție de scopul prelucrării și de categoria datelor prelucrate.
Perioadele respective sunt bazate pe prevederile legale, având în vedere, de asemenea, obligațiile legale de stocare a anumitor date, termenele de prescripție aplicabile, durata contractelor și scopurile activității desfăşurate.
Se estimează că activitățile de prelucrare vor necesita stocarea datelor cu caracter personal cel puțin pe următoarele perioade:
e1. pe toată durata contractului și pe perioada necesară pentru protejarea drepturilor subscrisei având în vedere legea aplicabilă contractului, inclusiv perioada de prescripție și termenele prevăzute de către legislația fiscală și contabilă, respectiv perioada de stocare stabilită de către subscrisa
e2. pe toată durata recuperării debitelor, echipamentelor și a soluționării definitive a oricăror situații juridice/divergențe în legătură cu raportul juridic dintre părți
e3. pe toată durata producerii efectelor juridice izvorând din raportul juridic stabilit între părți.
La expirarea perioadei de stocare, DCP se șterg în mod automat sau dacă ștergerea ar avea un impact asupra sistemelor informatice ale societății, datele vor fi anonimizate ireversibil sau pseudonimizate, potrivit posibilităților operatorului, astfel încât să nu mai existe indicii care să poată conduce la identificarea persoanei vizate.
f. principiul integrității și confidențialității
Societatea asigură securitatea adecvată a DCP, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale prin luarea de măsuri tehnice și/sau organizatorice descrise la Capitolul IX. din prezenta.
g. principiul responsabilității
Operatorul este responsabil pentru respectarea tuturor principiilor care guvernează domeniul prelucrării DCP. Totodată, operatorul are sarcina de a demonstra respectarea acestora.
IV. CATEGORII DE DATE CU CARACTER PERSONAL
art. 5 Categorii de date cu caracter personal colectate de subscrisa sunt, după caz:
- nume şi prenume, domiciliu, cod numeric personal
- număr de telefon, adresă de e-mail
- date privind salariul, contul bancar
- date privind religia angajaților
- date cuprinse în acte de identitate
- imagini foto/video
- date obținute ca urmare a localizării, urmăririi și monitorizării activităților
persoanei vizate prin aparat GPS care permit identificarea persoanei - date în legătură cu sănătatea angajaților
- altele:……………………………………..
art. 6 HARGITA HOLDING IMPORT-EXPORT S.R.L. nu prelucrează date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice ori apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea (cu excepția angajaților societății) sau de date privind viața sexuală sau orientarea sexuală a unei persoane fizice.
HARGITA HOLDING IMPORT-EXPORT S.R.L. prelucrează date cu caracter personal referitoare la religia angajaților exclusiv în vederea aplicării prevederilor Codului Muncii în ceea ce privește acordarea de zile libere legale.
Alineatul precedent nu se aplică în cazul în care persoana vizată și-a dat consimțământul explicit sau când prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și al protecției sociale, precum și în cazurile reglementate de art. 9 alin. 2 din Regulamentul GDPR. art. 7 Societatea nu prelucrează DCP referitoare la condamnări penale și la infracțiuni, cu excepția cazului în care se impune desfacerea contractului individual de muncă ca efect al săvârșirii unei fapte penale, cu respectarea dispozițiilor Codului Muncii.
V. PERSOANELE VIZATE
art. 8 Persoanele vizate în sensul prezentei Politici sunt persoanele fizice identificate sau identificabile ale căror date personale sunt prelucrate de către subscrisa.
art. 9 În cazul în care prelucrarea datelor se efectuează în temeiul consimțământului persoanei vizate, consimțământul este valabil exprimat în cazul în care persona în cauză a împlinit vârsta de 16 ani.
În situația în care copilul nu a îndeplinit vârsta de 16 ani, prelucrarea datelor este legală numai dacă și în măsura în care consimțământul necesar este acordat sau autorizat de titularul răspunderii părintești asupra copilului.
VI. SCOPURILE ÎN CARE SUNT PRELUCRATE DATELE CU CARACTER PERSONAL ȘI TEMEIUL JURIDIC AL PRELUCRĂRII
art. 10 Subscrisa prelucrez datele cu caracter personal ale persoanelor fizice pentru: a) Furnizaredeinformaţiişioferte
Datele se utilizează în vederea transmiterii unor oferte, la cerere, în scopul stabilirii unor raporturi juridice, inclusiv în scopul încheierii și executării contractelor încheiate între părţi.
În acest caz, prelucrarea datelor se întemeiază pe cererea înaintată de persoana vizată, respectiv pe consimțământul persoanei vizate.
b) Soluționarea cererilor
Datele personale se utilizează în vederea formulării unor răspunsuri la solicitările, la cerințele, la reclamațiile sau la orice altă întrebare transmisă(e) de către persoana vizată.
În această situaţie, temeiul prelucrării îl constituie relaţia contractuală dintre părţi, obligaţia legală a subscrisei sau consimţământul persoanei vizate, după caz.
c) Angajareapersoanelor
Nu se păstrează datele personale ale candidaților în vederea ocupării unui loc de muncă. Aceste date se șterg imediat după luarea deciziei de respingere a cererii de angajare.
d) Comunicare în scop de marketing și PR
Datele personale se prelucrează în scop de marketing și PR, prin transmiterea de comunicări comerciale privind oferte (promoționale), produse și servicii noi sau existente, mesaje cu ocazii speciale (de ex. anunțuri privind desfășurarea unor evenimente, ziua de naştere a persoanei vizate, aniversări, etc.), oferte parteneri, concursuri, etc. şi se întemeiază pe consimţământul persoanei vizate.
e) Emiterea facturilor/chitanţelor
Datele personale se prelucrează în vederea menţionării lor pe factură/chitanţă/aviz de însoţire a mărfii/CMR ori pe alte documente financiar-contabile justificative emise, în vederea indicării persoanei şi a datelor cumpărătorului/beneficiarului, a datelor privind expediţia şi/sau primirea documentului, etc.
În această situaţie, temeiul prelucrării îl constituie relaţia contractuală dintre părţi, obligaţia legală a subscrisei sau consimţământul persoanei vizate, după caz.
f) Executarea contractului încheiat între părţi
Datele personale se prelucrează în vederea exercitării drepturilor şi a executării obligaţiilor izvorând din contractul încheiat între părţi, temeiul prelucrării datelor fiind contractul încheiat între părţi sau, în lipsă de reglementare contractuală, prevederile legale în vigoare.
g) Ţinerea relației între părţi
Datele personale se prelucrează în scopul ţinerii relaţiei între părţi. În această situaţie, temeiul prelucrării îl constituie relaţia contractuală dintre părţi, obligaţia legală a subscrisei sau consimţământul persoanei vizate, după caz.
h) Determinarea bonității și solvabilității
Datele personale se pot prelucra în vederea determinării bonității și a gradului de risc de datorii și de fraudă.
În acest caz, temeiul prelucrării îl constituie consimțământul persoanei vizate, precum și interesul legitim al subscrisei.
i) Apărarea drepturilor și a intereselor părţilor sau ale altor persoane
Datele personale se prelucrează pentru exercitarea sau apărarea drepturilor şi/intereselor subscrisei sau ale altor persoane în faţa instanțelor de judecată, a executorilor judecătorești, a notarilor publici, a avocaților, a consultanților subscrisei, a autorităţilor de stat ori a altor persoane fizice sau juridice, publice sau private, care joacă un rol în cauză. În această situaţie, temeiul prelucrării îl constituie relaţia contractuală dintre părţi, legislaţia în vigoare sau consimţământul persoanei vizate, după caz.
j) Prevenirea fraudelor
În dorinţa de a preveni săvârşirea oricărei nelegalităţi, subscrisa îşi rezervă dreptul de a prelucra date personale şi de a le transmite către consultanți din diverse domenii, către auditori/cenzori, către avocați, către contabili etc. În aceste cazuri, prelucrarea se justifică prin interesul legitim al subscrisei de a preveni fraudele și alte nelegalități în activitatea desfăşurată, precum şi prin existenţa obligației legale de a asigura legalitatea operațiunilor.
k) A răspunde solicitărilor autorităților, precum şi în alte cazuri în care legea prevede obligativitatea prelucrării datelor
Subscrisa prelucrez datele personale deţinute ori de câte ori legea prevede obligativitatea acesteia. La fel, în cazurile prevăzute de lege, subscrisa va răspunde solicitărilor întemeiate ale autorităţilor de stat.
Temeiul acestor prelucrări îl constituie prevederile legale în vigoare.
l) Executarea efectivă a contractului de muncă
Datele personale se prelucrează în vederea încheierii şi executării contractelor individuale sau colective de muncă şi se păstrează timp de 75 de ani.
În această situaţie, temeiul prelucrării îl constituie relaţia contractuală dintre părţi, precum şi prevederile legale în vigoare.
m) Înregistrări video
Înregistrările video se efectuează în temeiul interesului legitim al subscrisei de a preveni şi a combate săvârşirea unor fapte ilicite sau penale şi în vederea asigurării unor probe, în caz de nevoie.
Înregistrările se stochează pe o perioadă de 30 de zile, după care se şterg în mod automat.
n) Înregistrări date de localizare și monitorizare prin GPS
HARGITA HOLDING IMPORT-EXPORT S.R.L. monitorizează și localizează autovehiculele deținute în patrimoniu prin aparate GPS, activitate care permite obținerea unor date care fac posibilă identificarea persoanei și, implicit, accesarea unor date cu caracter personal. În aceste cazuri, societatea monitorizează:
- consumul de combustibil
- îndeplinirea sarcinilor de către angajați
- locația mijloacelor de transport
în scopul eficientizării și facilitării activității în ceea ce privește utilizarea optimă a mijloacelor de transport și consumul de combustibil, precum și organizarea muncii.
În cazul în care monitorizarea și urmărirea se face în afara timpului de lucru al prepușilor sau angajaților, prelucrarea datelor se face în temeiul consimțământului persoanei vizate pusă la dispoziția HARGITA HOLDING IMPORT-EXPORT S.R.L.
Datele vor fi stocate până în momentul retragerii consimțământului de către persoana vizată, dar în fiecare caz numai pentru perioada în care prelucrarea este necesară în vedere atingerii scopului urmărit.
art. 11 Ținând cont de prevederile art. 7 alin. 1 din Regulament conform cărora în cazul în care prelucrarea se bazează pe consimțământ, operatorul trebuie să fie în măsură să demonstreze faptul că persoana vizată și-a dat consimțământul pentru prelucrarea DCP .
Societatea pune la dispoziția persoanelor vizate un formular tipizat conținând declarația privind consimțământul acesteia. Formularul electronic cu posibilitate de bifare este o formă simplificată a formularului de exprimare a consimțământului pentru prelucrarea DCP .
Comunicarea de către o terță persoană a datelor de contact, cu ocazia solicitării unor oferte sau informații, cu sau fără caracter comercial, echivalează cu acordul expeditorului, în ceea ce privește prelucrarea datelor sale personale, în scopul ținerii legăturii și comunicării datelor/informațiilor/ofertei solicitate.
art. 12 Declarația va avea o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu.
Persoana vizată are dreptul să își retragă în orice moment consimțământul.
art. 13 Interesele legitime urmărite
Pentru a fi considerat legitim, un interes trebuie să îndeplinească următoarele condiții:
- să fie legal
- să fie concret
- să reprezinte un interes real și actual, ca de exemplu un interes comercial
- prelucrarea este necesară pentru atingerea interesului urmărit.
De exemplu, constituie interes legitim când prelucrarea are loc în cadrul relației
cu un client/partener, când datele personale se prelucrează în scopuri de marketing direct, pentru a preveni frauda, pentru a asigura securitatea rețelei și a informațiilor în sistemele informatice, precum și determinarea bonității și a solvabilității partenerului.
VI. DESTINATARII/CATEGORII DE DESTINATARI
art. 14 Ca regulă, nu se divulgă datele personale deţinute de subscrisa către alte persoane fizice sau juridice.
Cu toate acestea, în anumite cazuri prevăzute de lege, subscrisa are dreptul şi/sau obligaţia legală de a divulga datele deţinute către:
- persoane fizice sau juridice care acționează ca persoane împuternicite pentru subscrisa în diverse domenii (de ex. notar public, avocat, executor judecătoresc, societăți organizatoare de promoții, etc.)
- instanțe de judecată sau arbitrale, autorități de stat
- furnizori de servicii de asigurări
- furnizori de servicii de tipărire și împlicuire comunicări
- societăți de recuperare creanțe
- terțe persoane fizice și/sau juridice în vederea cesionării creanțelor
- societăți ce oferă servicii de curierat/poștă sau de transport
- furnizori de servicii de call-center și asistență clienți
- furnizori de servicii software și/sau echipamente
- campanii studii de piață/studii satisfacție clienți
- parteneri contractuali în vederea îndeplinirii dispozițiilor clienților subscrisei,
respectiv a obligațiilor asumate de către subscrisa față de clienți - furnizori de servicii, parteneri contractuali ai operatorului ce oferă asistență în vederea furnizării, activării, instalării, operării, asigurării mentenanței serviciilor
și/sau produselor furnizate de subscrisa
m.publicul larg prin difuzarea înregistrărilor video/foto efectuate sau a testimonialelor înregistrate în cadrul unor evenimente organizate sau nu de subscrisa prin intermediul paginii web a subscrisei sau prin rețelele sociale de comunicare (inclusiv, dar fără a se limita la facebook și instagram), precum și prin orice alte medii offline și online.
art. 15 Datele pot fi divulgate şi pentru motive legitime legate de activitatea desfăşurată, cum ar fi degrevarea activității subscrisei, apărarea și exercitarea drepturilor sau intereselor subscrisei.
art. 16 Datele cu caracter personal transmise vor fi prelucrate în condiții de securitate și de confidențialitate, în conformitate cu scopul pentru care au fost transmise și cu respectarea drepturilor și libertăților fundamentale ale persoanei vizate.
art. 17 Datele cu caracter personal divulgate către persoane împuternicite de subscrisa sunt limitate la informațiile minime care sunt necesare pentru îndeplinirea sarcinilor sau în interacțiunile acestor terțe cu subscrisa.
art. 18 Datele cu caracter personal prelucrate de subscrisa pot fi transferate în străinătate către state din Uniunea Europeană sau Spațiul Economic European. Orice transfer realizat de subscrisa într-un stat membru UE sau SEE va respecta cerințele legale prevăzute în Regulamentul GDPR nr. 2016/679 adoptat de Parlamentul European.
VII. DREPTURILE PERSOANEI VIZATE
art. 19 Persoanele vizate au următoarele drepturi:
a. dreptul de informare asupra modului în care se utilizează datele cu caracter personal, chiar de la momentul colectării acestora
În vederea asigurării exercitării acestui drept, societatea pune la dispoziția persoanei vizate o Notă de informare generală privind prelucrarea DCP, pe suport de hârtie sau în format electronic, transmisă prin e-mail sau afișată pe pagina web a subscrisei.
În mod concret, informațiile privind prelucrarea DCP se furnizează prin una dintre următoarele modalități:
a1. prin afișarea pe pagina web a societății: https://harghita-holding.ro/
a2. prin menționarea pe factura emisă a paginii web unde se regăsește Nota de informare generală privind prelucrarea DCP
a3. prin afișarea Notei de informare generală privind prelucrarea DCP la locul unde se întocmește factura
a4. prin trimiterea unui e-mail la care se anexează Nota de informare generală privind prelucrarea DCP.
În situația în care operatorul pune la dispoziția persoanei vizate Nota de informare susmenționată, prin intermediul uneia dintre susmenționatele modalități, obligația de furnizare a informațiilor cuprinse în art. 13-14 din Regulament se consideră îndeplinită în cazul în care persoana vizată nu solicită furnizarea informațiilor în termen de 2 zile calendaristice de la data colectării în cazul în care datele s-au colectat de la persoana vizată sau de la data luării la cunoștință despre deținerea și/sau prelucrarea DCP de către persoana vizată.
Alineatele precedente de la pct. a din prezentul art. nu sunt aplicabile în măsura în care persona vizată deține deja informațiile la care se referă Nota de informare.
b. dreptul de acces la datele cu caracter personal prelucrate: dreptul de a obține confirmarea faptului că datele cu caracter personal sunt sau nu prelucrate și, în caz afirmativ, de a avea acces la tipul de date cu caracter personal și condițiile în care sunt prelucrate, prin adresarea unei cereri în acest sens către operatorul de date
Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă bazată pe costurile administrative.
În cazul în care persoana vizată introduce cererea în format electronic și cu excepția cazului în care persoana vizată solicită un alt format, informațiile sunt furnizate într-un format electronic utilizat în mod curent.
Dreptul de a obține o copie trebuie exercitat astfel încât să nu atingă atingere drepturilor și libertăților altora.
c. dreptul de a solicita rectificarea sau ștergerea datelor cu caracter personal
(„dreptul de a fi uitat”)
Persoana vizată are dreptul de a obține rectificarea sau ștergerea datelor care o privesc, fără întârzieri nejustificate.
d. dreptul de a solicita restricționarea prelucrării
În cazul în care persoana vizată a solicitat restricționarea prelucrării DCP pot, cu excepția stocării, să fie prelucrate numai cu consimțământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanță ori pentru protecția unor altor persoane sau din motive de interes public.
Înainte de ridicare restricției de prelucrare, operatorul are obligația de a informa persoana vizată.
- dreptul de a retrage consimțământul cu privire la prelucrare, atunci când prelucrarea are la bază consimțământul, fără a afecta legalitatea prelucrării efectuate până în momentul respectiv
- dreptul de a se opune cu privire la prelucrarea datelor din motive legate de situația particulară în care se află părțile, atunci când prelucrarea se întemeiază pe interes legitim, precum și de a se opune, în orice moment, prelucrării datelor în scopuri de marketing direct, inclusiv crearea de profiluri
- dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automatizată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează pe aceasta în mod similar într-o măsură semnificativă
- dreptul la portabilitatea datelor, însemnând dreptul de a primi datele cu caracter personal furnizate operatorului de date într-o formă structurată, utilizată în mod curent și care poate fi citită automat, precum și dreptul de a
transfera respectivele date către un alt operator, în cazul în care prelucrarea se bazează pe consimțământul persoanei fizice sau executarea unui contract și este efectuată prin mijloace automate
- dreptul de a depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu sediul în mun. București sector 1, B-dul Gheorghe Magheru nr. 28-30, la numerele de telefon: 0318059211 sau 0318059212, la adresa e-mail: anspdcp@dataprotection.ro.
- dreptul de a se adresa instanțelor de judecată competente.
art. 20 Toate informațiile furnizate în temeiul unor cereri formulate de persoanele vizate în temeiul art. 15-22 din Regulament, se furnizează în termen de o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni, când este necesar, în funcție de complexitatea și numărul cererilor. Operatorul informează persoana vizată cu privire la prelungirea termenului de o lună, în interiorul acestui termen, prezentând și motivele întârzierii.
art. 21 Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana vizată, fără întârziere și în termen de cel mult o lună de la primirea cererii, despre motivele pentru care nu ia măsuri și despre posibilitatea de a depune o plângere la o autoritate de supraveghere și de a introduce o acțiune în justiție.
art. 22 Informațiile furnizate în temeiul art. 13 și 14 din Regulament și orice comunicare și orice măsuri luate în temeiul art. 15-22 din Regulament sunt oferite gratuit. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în mod special din cauza caracterului lor repetitiv, operatorul poate fie să perceapă o taxă rezonabilă, ținând cont de costurile administrative pentru furnizarea informațiilor sau a comunicării sau pentru luarea măsurilor solicitate, fie să refuze să dea curs cererii. art. 23 În cazul în care operatorul are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererile susmenționate, operatorul poate solicita furnizarea de informații suplimentare necesare pentru a confirma identitatea persoanei vizate.
art. 24 Operatorul comunică fiecărui destinatar căruia i-au fost divulgate DCP orice rectificare sau ștergere a DCP sau restricționare a prelucrării efectuate, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune eforturi disproporționate. Operatorul informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.
VIII. COLECTAREA DATELOR CU CARACTER PERSONAL
art. 25 Datele cu caracter personal provin:
- de la persoana vizată
- din partea clienților/partenerilor subscrisei persoane juridice
- surse publice
- altele: ________________________________________.
IX. SECURITATEA DCP
art. 26 Ținând cont de stadiul actual al dezvoltării, de costurile implementării și de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării confidențialității, integrității, disponibilității și rezistenței continue ale sistemelor și serviciilor de prelucrare.
art. 27 Datele personale sunt protejate împotriva accesului neautorizat și împotriva prelucrării sau divulgării ilegale, precum și pierderii accidentale, modificării sau distrugerii. Acest lucru se aplică indiferent dacă datele sunt prelucrate electronic, pe suport de hârtie sau prin alte mijloace.
art. 28 Accesul la datele cu caracter personal este oferit numai acelor angajaţi ai societății care au nevoie de astfel de date cu caracter personal pentru a-şi îndeplini sarcinile de serviciu legate de oricare dintre scopurile prelucrării menţionate mai sus (inclusiv departamentele resurse umane, financiar-contabil, IT, administrativ, conducere operativă).
art. 29 Orice acces la datele cu caracter personal pentru alţi angajaţi este interzis. Documentele care conţin date cu caracter personal sunt stocate în departamentele structurale ale HARGITA HOLDING IMPORT-EXPORT S.R.L ai căror angajaţi au acces la datele cu caracter personal legat de îndeplinirea atribuţiilor de serviciu.
art. 30 Toți angajații care prelucrează DCP au următoarele obligații:
- să închidă calculatorul sau să iasă din cont ori de câte ori nu se află în incinta
unde se află calculatorul conținând DCP - să utilizeze parole puternice și sigure pe calculator
- să păstreze toate suporturile conținând DCP într-un birou/cameră având cheie cu
acces controlat sau într-un sertar închis cu o cheie - să nu divulge parola nimănui în afara superiorului său
- să nu lase nesupravegheate sau la vedere nici calculatorul și nici înscrisurile care
conțin DCP - să nu folosească DCP în alte scopuri decât cele stabilite de operator
- să anunțe imediat superiorul despre orice încălcare a securității DCP și să
propună măsuri de diminuare și de reparare a prejudiciilor cauzate.
art. 32 Toate datele informatice sunt ținute pe un server securizat cu mai multe parole de către specialiști în domeniu.
X. NOTIFICAREA AUTORITĂȚII DE SUPRAVEGHERE ÎN CAZUL ÎNCĂLCĂRII SECURITĂȚII DATELOR CU CARACTER PERSONAL
art. 33 În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul are obligația de a notifica autoritatea de supraveghere, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.
16
art. 34 Persoana împuternicită de operator înștiințează operatorul fără întârzieri nejustificate după ce ia cunoștință de încălcarea securității DCP.
art. 35 Notificarea susmenționată va cuprinde:
- caracterul încălcării, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de DCP în cauză
- numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații
- consecințele probabile
- măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema
ivită și a atenua eventualele efecte negative.
art. 36 Operatorul păstrează documentele referitoare la toate cazurile de încălcare a securității DCP care cuprind o descriere a situației de fapt în care a avut loc încălcarea, a efectelor acesteia și a măsurilor de remediere întreprinse.
XI. INFORMAREA PERSOANEI VIZATE CU PRIVIRE LA ÎNCĂLCAREA SECURITĂȚII DCP
art. 37 Dacă încălcarea securității DCP este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate. Informarea va cuprinde elementele prevăzute la art. 35 pct. b., c. și d.
art. 38 Informarea persoanei vizate nu este necesară în cazul în care oricare dintre următoarele condiții este îndeplinită:
- operatorul a implementat măsuri de protecție tehnice și organizatorice adecvate care au fost aplicate astfel încât DCP au devenit neinteligibile oricărei persoane care nu este autorizată să le acceseze (de exemplu: prin criptare)
- operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile și libertățile persoanelor vizate nu mai este susceptibil să se materializeze
- informarea ar necesita un efort disproporționat. În această situație se efectuează o informare publică sau se ia o măsură similară având același scop.
XIII. POLITICA PRIVIND UTILIZAREA COOKIE-URILOR
art. 39 Pagina web a societății folosește cookie-uri pentru o mai bună experiență de vizitare. Prin continuarea navigării, vizitatorul este de acord cu modul de utilizare a acestor informații.
HARGITA HOLDING IMPORT-EXPORT S.R.L.
Cookie-urile sunt folosite pentru a îmbunătăți utilizarea și funcționalitatea website-ului societății și pentru a înțelege mai bine modul în care vizitatorii utilizează website-ul https://harghita-holding.ro/, precum și serviciile oferite de către website.
protejeze pe vizitatorii paginii web cu privire la colectarea online a oricăror date
se angajează să-i
personale.
art. 40 Prin accesarea sau utilizarea în continuare a paginii web (prin orice dispozitiv), vizitatorul declară că este de acord cu utilizarea modulelor cookie și a altor tehnologii similare în scopurile specificate în această politică.
.
partenere.
art. 43 Operatorul își rezervă dreptul ca în orice moment și fără o notificare prealabilă,
art. 41 Dacă nu este de acord cu modul de utilizare a modulelor cookie, vizitatorul poate modifica setările browser-ului în mod corespunzător, poate renunța la
utilizarea/vizitarea website-ului societății sau a altor website-uri partenere
art. 42 Dezactivarea modulelor cookie ar putea afecta experiența vizitatorului ca
utilizator pe website și alte website-uri
să modifice
IMPORT-EXPORT S.R.L.
astfel de modificări.
art. 46 Scopul modulelor cookie
HARGITA HOLDING
Politica privind modulele cookie.
art. 44 Toate modificările vor apărea în prezenta politică și intră în vigoare imediat.
art. 45 Utilizarea în continuare a website-ului societății
echivalează cu acordul vizitatorului cu privire la orice
Modulele cookie pot asigura o interacțiune mai rapidă și mai ușoară între utilizatori și website-uri. În alte cazuri, pot fi utilizate pentru stocarea de informații referitoare la activitățile desfășurate de utilizator pe o anumită pagină web, astfel încât acesta să își poată relua ușor respectivele activități la o accesare ulterioară a website- ului.
XIV. TRANSFERUL DE DATE CU CARACTER PERSONAL CĂTRE TERȚI SAU CĂTRE ORGANIZAȚII INTERNAȚIONALE
art. 47 HARGITA HOLDING IMPORT-EXPORT S.R.L. nu va opera transferuri de date cu caracter personal către terțe țări sau către organizaţii internaţionale sau alte persoane juridice străine decât cu excepţia cazului în care DCP sunt necesare pentru implementarea proiectelor finanţate din fonduri europene sau alte fonduri străine sau în relația cu partenerii, furnizorii și colaboratorii străini.
În acest caz nu se va solicita consimţământul prealabil al persoanelor vizate, prelucrarea fiind necesară în vederea îndeplinirii obligaţiilor legale, a prevederilor din oferta/ghidul solicitantului sau a obligațiilor contractuale cu parteneri/colaboratori/furnizori.
XV. PROCEDURI EXTRAJUDICIARE ȘI ALTE PROCEDURI DE SOLUȚIONARE A LITIGIILOR ÎNTRE OPERATOR ȘI PERSOANELE VIZATE
art. 48 Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament. Autoritatea de supraveghere la care s-a depus plângerea informează reclamantul cu privire la evoluția și rezultatul plângerii, inclusiv posibilitatea de a exercita o cale de atac judiciară în temeiul articolului 78 din Regulamentul UE nr. 679/2016.
art. 49 Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.
art. 50 Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care autoritatea de supraveghere care este competentă în temeiul articolelor 55 și 56 din Regulamentul UE nr. 679/2016 nu tratează o plângere sau nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii depuse în temeiul articolului 77 din Regulamentul UE nr. 679/2016.
Prezenta se publică pe pagina web: https://harghita-holding.ro/, și se afișează la sediul societății.
HARGITA HOLDING IMPORT-EXPORT S.R.L.