Politica generală privind prelucrarea datelor cu caracter personal

politica generală privind prelucrarea datelor cu caracter personal

Politica generală privind prelucrarea datelor cu caracter personal în cadrul   S.C. The Traveling Tulip S.R.L

1. Introducere

Pentru desfășurarea în bune condiții a activităților sale, SC THE TRAVELING TULIP SRL, cu sediul în Municipiul Ploiești, Aleea Cirezarilor, nr. 3, bloc 25A, scara A, apartament 7, județ Prahova, înregistrată la Oficiul Registrului Comerțului cu Nr. J29/2554/21.11.2018 și CUI 39561181, reprezentată de Iulia Alexandra Fălcuțescu , în calitate de Administrator (“Operatorul” sau „Societatea”) va fi nevoită ca, după data de 25 mai 2018, să prelucreze anumite date cu caracter personal ale unor categorii de persoane fizice.

În asemenea situații, prelucrarea de date cu caracter personal în cadrul Societății se va realiza cu respectarea cerințelor impuse prin Regulamentul nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („GDPR”) și a celorlalte dispoziții legale aplicabile.

2. II. Principii legate de prelucrarea datelor cu caracter personal

Operatorul și fiecare membru al personalului Operatorului în parte sunt responsabili de respectarea următoarelor principii în cadrul tuturor prelucrărilor de date cu caracter personal care vor fi realizate de Societate în activitatea sa de zi cu zi:

  • A) Legalitate, echitate și transparență Datele cu caracter personal trebuie să fie prelucrate “în mod legal, echitabil și transparent fată de persoana vizată”. Practic, Operatorul și fiecare membru al personalului său va trebui să verifice, anterior începerii prelucrării unor anumite tipuri de date cu caracter personal că la baza prelucrării stă unul dintre următoarele temeiuri juridice:
    • a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale pentru unul sau mai multe scopuri specifice;
    • b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau atunci când prelucrarea este necesară pentru efectuarea unor demersuri necesare încheierii unui contract;
    • c) prelucrarea este necesară pentru îndeplinirea unei obligații legale care îi revine Operatorului;
    • d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
    • e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public;
    • f) prelucrarea este necesară în scopul realizării intereselor legitime urmărite de Operator, exceptând situația în care prevalează interesele persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil. Niciun membru al personalului Operatorului nu va începe o prelucrare de date cu caracter personal fără a fi verificat în prealabil dacă se poate baza pe unul dintre temeiurile juridice amintite mai sus.  
  • B) Limitări Legate De Scop – datele personale vor fi colectate în scopuri bine determinate, explicite și legitime, iar prelucrările ulterioare nu trebuie să fie incompatibile cu aceste scopuri;
  • C) Reducerea la minimum a datelor – orice colectare de date cu caracter personal va fi foarte bine analizată înainte de obținerea efectivă a datelor. Astfel, se impune să fie obținute și prelucrate datele cu caracter personal care sunt relevante și strict limitate la ceea ce este absolut necesar pentru scopurile în care sunt prelucrate.
  • D) Exactitatea informatiilor – Operatorul va lua toate măsurile pentru a asigura validitatea datelor, iar cele dovedite inexacte trebuie actualizate imediat sau șterse, în conformitate cu scopurile pentru care sunt prelucrate. În acest sens, Operatorul va revizui periodic, în măsura în care este necesară ștergerea sau revizuirea datelor cu caracter personal prelucrate de acesta.
  • E) Limitări legate de stocare – datele cu caracter personal vor fi păstrate fix atâta timp cât sunt necesare pentru fiecare tip de prelucrare asumat de către Operator.
  • F) Integritate și confidențialitate – prelucrarea datelor cu caracter personal este făcută în condiții de siguranță, care includ protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare, în conformitate cu prevederile Politicii privind securitatea și intregritatea datelor cu caracter personal din cadrul Societății.

3. Responsabilități

Fiecare membru al personalului Operatorului sau orice persoană care lucrează pentru acesta are responsabilități pentru a se asigura ca datele personale sunt prelucrate în mod corespunzător. Astfel, persoanele care gestionează datele cu caracter personal trebuie să se asigure ca aceste date sunt prelucrate în conformitate cu principiile de mai sus și celelalte prevederi din prezenta politică. În caz de dubiu, membrii personalului Operatorului nu vor decide pe cont propriu dacă să procedeze sau nu la prelucrarea datelor cu caracter personal, ci vor contacta responsabilul cu protecția datelor din cadrul Societății și vor urma îndeaproape instrucțiunile acestuia.

Datele cu caracter personal trebuie revizuite și actualizate în mod regulat, de principiu o dată la 5 ani. Dacă se constată că acestea nu mai sunt necesare, acestea trebuie eliminate.

4. Reguli privind stocarea datelor cu caracter personal

Aceste reguli descriu modalitatea de prelucrare în siguranță a datelor cu caracter personal. Întrebările legate de stocarea în siguranță a datelor personale pot fi direcționate către managerul IT sau către responsabilul cu protecția datelor.

Atunci când datele sunt stocate pe suport de hârtie, acestea trebuie păstrate într-un loc sigur, în care persoanele neautorizate nu au acces la acestea. În acest sens, trebuie respectate următoarele reguli:

  • (i) când nu sunt necesare pentru desfășurarea activităților Societății, documentele pe suport de hârtie trebuie păstrate într-un sertar încuiat sau într-un dulap de depozitare, inaccesibil publicului;
  • (ii) angajații trebuie să se asigure că hârtia și materialele tipărite nu sunt lăsate acolo unde oamenii neautorizați le-ar putea vedea, cum ar fi la imprimantă; 
  • documentele pe suport hârtie trebuie să fie fărămițate și eliminate în siguranță atunci când nu mai sunt necesare.

5. Reguli privind acuratețea datelor

Este responsabilitatea tuturor angajaților care lucrează cu date cu caracter personal să ia măsuri rezonabile astfel încât acestea să fie păstrate cu acuratețe. În acest sens, se vor avea în vedere următoarele reguli:

  • (i) datele vor fi păstrate în cât mai puține locuri, după cum este necesar, iar personalul Societății nu trebuie să creeze seturi de date suplimentare;
  • (ii) personalul Societății trebuie să profite de fiecare ocazie pentru a asigura actualizarea datelor; de exemplu, prin confirmarea detaliilor unui client atunci când are loc o convorbire cu acesta;
  • (iii) datele trebuie actualizate/șterse dacă sunt descoperite discrepanțe.

6. Condițiile privind consimțământul persoanei vizate

Există situații în care prelucrarea datelor se efectuează în baza consimțământului persoanei vizate. Ori de câte ori prelucrarea datelor cu caracter personal se bazează pe consimțământul persoanei vizate, Operatorul trebuie să fie în măsură să demonstreze ca a obținut un consimțământ liber exprimat, în cunoștință de cauză, clar și documentat în scris (sau în format electronic, după cum este cazul)  din partea persoanei vizate pentru prelucrarea datelor sale cu caracter personal.

Pentru a fi demonstrată cu usurință obținerea consimțământului persoanei vizate, este recomandabil ca toți membrii personalului Operatorului care au atribuții în acest sens să respecte prevederile de mai jos.

În concret, este necesar să ne asigurăm că persoana vizată înțelege cine este Operatorul, în ce scopuri îi vor fi procesate datele cu caracter personal, cum vor fi prelucrate, care este durata prelucrării datelor sale (sau, acolo unde acest lucru nu este posibil, care sunt criteriile utilizate pentru determinarea acestei perioade), identitatea oricărei persoane (sau categorii de persoane) căreia îi pot fi dezvăluite datele, dacă datele sale cu caracter personal îi vor fi transferate sau nu în afara țării (și, în caz afirmativ, să îi fie precizată locația, destinatarul și garanțiile adecvate pentru transfer, dacă este cazul) precum și care sunt drepturile sale în legătură cu datele cu caracter personal furnizate și cum și le poate exercita.

În toate cazurile, declarația de acordare a consimțământului trebuie să fie prezentată într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu.  

Toți membrii personalului Operatorului trebuie să țină cont de faptul că persoana vizată are dreptul să își retragă în orice moment consimțământul, cu precizarea că această retragere a consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Retragerea consimțămantului trebuie să fie făcută la fel de simplu ca acordarea acestuia, iar toți membrii Operatorului sunt responsabili cu respectarea acestei cerințe legale.

7. Exercitarea drepturilor de către persoana vizată

Societatea garantează că asigură respectarea drepturilor ce revin persoanelor vizate, conform GDPR. Orice persoană a căror date sunt prelucrate de către Societate beneficiază de drepturile expuse mai jos.

A. Transparența informațiilor, comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate

Operatorul adoptă măsurile adecvate pentru a furniza persoanei vizate, la cererea acesteia, toate informațiile și comunicările prevăzute de GDPR într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Informațiile se furnizează în formă scrisă sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. Pentru varianta transmiterii informațiilor în formă scrisă, vor fi utilizate formularele de furnizare de informații anexate prezentei politici, care desigur că vor fi completate și adaptate în mod corespunzător în funcție de solicitarea concretă a persoanei vizate;

În măsura în care Operatorul are îndoieli justificate cu privire la identitatea persoanei vizate care formulează o astfel de cerere, poate solicita acesteia prezentarea de documente și informații suplimentare pentru dovedirea identității sale;

Operatorul nu va refuza să dea curs cererii persoanei vizate de a-și exercita dreptul de acces, dreptul la rectificare, dreptul la ștergere, dreptul la portabilitate și dreptul de opoziție cu privire la datele cu caracter personal și/sau alte drepturi recunoscute de GDPR sau de legislația națională.

Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cereri având ca obiect exercitarea drepturilor prevăzute la paragraful precedent, fără întârzieri nejustificate și în orice caz, în cel mult, o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ținându-se seama de complexitatea și numărul cererilor cu care se confruntă Operatorul în acea perioada. Într-un astfel de caz, Operatorul va informa persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând totodată și motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, Operatorul va furniza informațiile în format electronic acolo unde este posibil, cu excepția cazului în care persoana vizată va solicita un alt format.

B. Dreptul la informare

În situațiile în care datele cu caracter personal sunt colectate de la persoana vizată sau în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, Operatorul furnizează persoanei vizate informațiile prevăzute de GDPR, utilizând ca model formularele atașate care desigur că vor fi completate și adaptate în mod corespunzător.

C. Dreptul de acces al persoanei vizate

La cerere, Operatorul va furniza persoanei vizate o confirmare cu privire la prelucrarea sau neprelucrarea datelor sale cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații:

  • a) scopurile prelucrării;
  • b) categoriile de date cu caracter personal vizate;
  • c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale;
  • d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
  • e) existența dreptului de a solicita Operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
  • f) dreptul de a depune o plângere în fața Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal;
  • g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora;
  • h) existența unui proces decizional automatizat incluzând crearea de profiluri, precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.
  • În cazul în care datele cu caracter personal sunt transferate către o țară terță sau o organizație internaționala, persoană vizată va fi informată cu privire la garanțiile adecvate referitoare la transferul de date respectiv conform GDPR.
  • Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. În cazul în care persoana vizată introduce cererea în format electronic și cu excepția cazului în care persoana vizată solicită un alt format, informațiile sunt furnizate într-un format electronic utilizat în mod curent.   

D. Dreptul la rectificarea datelor cu caracter personal

În urma primirii unei astfel de cereri din partea unei persoane vizate, Operatorul va proceda, fără întârzieri nejustificate, la rectificarea datelor cu caracter personal inexacte care privesc persoana vizată respectivă.

 Ținându-se seama de scopurile în care au fost prelucrate datele, Operatorul va proceda la completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea de către persoana vizată a unei declarații suplimentare, după cum va fi cazul.

E. Dreptul la stergerea datelor cu caracter personal

La solicitarea persoanei vizate, Operatorul va șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:

  • a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
  • b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea datelor personale pentru scopul pentru care au fost colectate;
  • c) persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea;
  • d) datele cu caracter personal au fost prelucrate ilegal;
  • e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine Operatorului.

F. Dreptul la restrictionarea prelucrarii datelor cu caracter personal

La cerere, Operatorul va restricționa prelucrarea datelor cu caracter personal a persoanei vizate în unul dintre următoarele cazuri:

  • a) persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite Operatorului să verifice exactitatea datelor;
  • b) prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;
  • c) Operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță; sau
  • d) persoana vizată s-a opus prelucrării datelor pentru intervalul de timp în care se verifică dacă drepturile legitime ale Operatorului prevalează asupra celor ale persoanei vizate.

În cazul în care prelucrarea a fost restricționată conform celor menționate mai sus, astfel de date cu caracter personal pot (cu excepția stocării), să fie prelucrate de către Operator numai cu consimțământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanță sau pentru protecția drepturilor unei alte persoane fizice sau juridice sau din motive de interes public.

G. Obligatia de notificare privind rectificarea sau stergerea datelor cu caracter personal sau restrictionarea prelucrarii

După cum va fi cazul, Operatorul va comunica fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice rectificare sau ștergere a datelor cu caracter personal sau restricționare a prelucrării, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune eforturi disproporționate din partea Operatorului.   

H. Dreptul la portabilitatea datelor

La cerere, Operatorul va furniza datele cu caracter personal ale persoanei vizate, într-un format structurat, utilizat în mod curent și care poate fi citit automat (de exemplu, pe adresa de email a persoanei vizate sau într-un cloud privat al persoanei vizate), în cazul în care:

  • a) prelucrarea se bazează pe consimțământul persoanei vizate sau pe un contract; și
  • b) prelucrarea este efectuată prin mijloace automate.

În cazul în care persoana vizată va solicita acest lucru și dacă este fezabil din punct de vedere tehnic, Operatorul va transmite datele cu caracter personal direct la un alt operator de date cu caracter personal.

I. Dreptul la opozitie

În măsura în care persoana vizată se opune prelucrării datelor cu caracter personal, din motive legate de situația particulară în care se află, Operatorul nu va mai prelucra datele respective, cu excepția cazului în care va putea demonstra că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate (de exemplu, este vorba despre o obligație legală) sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.

Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv. În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.

J. Procesul decizional individual automatizat (inclusiv crearea de profiluri)

Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

Într-un astfel de caz, Operatorul va pune în aplicare măsurile corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea Operatorului, de a-și exprima punctul de vedere și de a contesta decizia.

8. Partenerii contractuali

Înainte de intrarea Operatorului în contracte/acorduri/parteneriate care presupun fluxuri de date cu caracter personal, acesta va lua măsurile necesare pentru a se asigura că partenerii contractuali respectivi oferă garanții suficiente din punct de vedere tehnic și organizatoric.

Astfel, toți partenerii contractuali vor fi selectați cu grijă astfel încât să se asigure respectarea drepturilor persoanelor vizate.

9. Transferurile de date cu caracter personal

Datele cu caracter personal vor fi transferate către terțe părți, în afara Uniunii Europene sau a Spațiului Economic European, numai dacă acest transfer al datelor respectă celelalte reguli stabilite în această politică și, totodată, prevederile GDPR. Practic, un astfel de transfer poate avea loc numai dacă acest lucru este în conformitate cu scopul pentru care au fost colectate datele cu caracter personal și dacă transferul este necesar pentru aducerea la îndeplinirea a acestui scop.

Evaluarea legalității transferului de date cu caracter personal în afara Uniunii Europene sau a Spațiului Economic European se realizează prin urmarea celor doi pași de mai jos:

  • a) Datele cu caracter personal pot fi transferate către un terț doar dacă există o justificare legală pentru un astfel de transfer; și
  • b) Un transfer de date cu caracter personal în afara Uniunii Europene sau a Spațiului Economic European este posibilă doar dacă se face către o țară cu privire la care Comisia Europeana a constatat caracterul adecvat al protecției datelor la destinatar sau există una dintre urmatoarele garanții:
  • · Standard Contractual Rules; sau
  • · Binding Corporate Rules; sau
  • · Safe Shield; sau
  • · Persoana vizata si-a exprimat consimtamantul la un astfel de transfer.

În măsura în care aveți oricare nelămuriri cu privire la cele de mai sus, vă puteți adresa responsabilului cu protecția datelor cu caracter personal, respectiv S.C. DINAMIC MANAGEMENT S.R.L., cu sediul în București,   Șos. Nicolae Titulescu Nr 94 Bl 14-14A, Scara 3, Ap 90, etaj 3, Sector 1, înregistrată la Oficiul Registrului Comerțului cu Nr. J40/19986/2004 și CUI RO 17004732, reprezentată de dl. Bălașa Radu Florin, adresă de e-mail  

Prezenta politică este anexă a Regulamentului Intern al Societății, iar nerespectarea acesteia este considerată abatere disciplinară gravă, sancționabilă conform legislației în vigoare.