POLITICA PRIVIND PROTECȚIA DATELOR CU CARACTER PERSONAL

Politica Asociației Misiunea Creștină Armata Salvării din România privind protecția datelor cu caracter personal (în continuarea denumită”PPD”) explică liniile directoare de gestionare a datelor cu caracter personal la nivelul Asociației Misiunea Creștină Armata Salvării din România  (în continuare denumita “AMCASR”), referitoare la aplicarea prevederilor Regulamentului (UE) nr.679/2016 (în continuare denumit GDPR) și ale legislației naționale aplicabile, precum și drepturile de care beneficiază persoanele fizice cu privire la modul în care informațiile sunt prelucrate de către AMCASR.

Prelucrarea datelor cu caracter personal efectuată de AMCASR se va realiza întotdeauna în conformitate cu prevederile GDPR, precum și cu reglementările privind protecția datelor cu caracter personal.

Prin PPD, AMCASR informează prin diverse mijloace persoanele vizate, inclusiv personalul AMCASR, cu privire la natura datelor cu caracter personal pe care le colectează și le procesează, precum și cu privire la scopurile prelucrării. În plus, persoanele vizate sunt informate prin intermediul PPD și cu privire la drepturile de care beneficiază.

 

DEFINIȚII

„Date cu caracter personal” înseamnă orice informație sau informații care pot identifica direct persoana fizică (de exemplu, numele) sau indirect (de exemplu, prin intermediul datelor pseudonime, cum ar fi un număr de identificare unic). Aceasta înseamnă că datele personale includ informații precum adresa de e-mail, domiciliul, numărul de telefon (fix sau mobil), numele de utilizator, informații privind etnia, starea de sănătate, apartenenţa sau opţiunile politice, orientarea sexuală care pot fi legate de o anumită persoană.

“Prelucrarea” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de 2 mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

”Categoriile speciale de date cu caracter personal” sunt acelea care dezvăluie (conform art. 9 GDPR):

  • originea rasială sau etnică;

  • opiniile politice;

  • confesiunea religioasă sau convingerile filozofice;

  • apartenența la sindicate;

  • date genetice;

  • date biometrice pentru identificarea unică a unei persoane fizice;

  • date privind sănătatea;

  • date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

Prin „operator” se înțelege o persoană fizică sau juridică, autoritate publică, agenție sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. AMCASR este operator de date personale.

TIPURI DE DATE CU CARACTER PERSONAL PE CARE LE PRELUCRĂM

Datele cu caracter personal care vor fi prelucrate sunt următoarele: nume, prenume, domiciliu/ reședință, serie și nr. carte de identitate, stare civilă, CNP, vârstă, cetățenie, etnie, data nașterii, număr de telefon și e-mail, orice alte date care rezultă din declarațiile persoanelor fizice sau care rezultă din contracte, fiind necesare AMCASR pentru îndeplinirea unor obligații legale.

PRINCIPII PRIVIND PRELUCRAREA DATELOR

AMCASR se obligă să respecte principiile de protecție a datelor cu caracter personal prevăzute de GDPR, pentru a se asigura că toate datele sunt:

  1. Prelucrate în mod corect, legal și transparent; („legalitate, echitate şi transparenţă”);

  2. Colectate în scopuri specificate, explicite și legitime; („limitări legate de scop”);

  3. Adecvate, relevante și limitate în raport cu scopurile pentru care sunt prelucrate; („reducerea la minimum a datelor”);

  4. Corecte și actualizate; („exactitate”)

  5. Păstrate într-o formă care nu permite identificarea persoanelor vizate mai mult timp decât este necesar în raport cu scopul prelucrării sau atâta timp cât este dispus prin legi speciale sau tratate/regulamante internaționale; („limitări legate de stocare”);

  6. Prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate, confidenţialitate și responsabilitate”).

TEMEIUL ȘI SCOPURILE PRELUCRĂRII DATELOR CU CARACTER PERSONAL

AMCASR poate prelucra date cu caracter personal astfel:

  1. În scopul încheierii și executării contractelor – Conform art. 6 alin. 1 lit. b) din GDPR, pot fi prelucrate date personale în scopul încheierii sau executării contractului.

Pentru a putea derula activitățile aferente unor contracte, este nevoie să prelucrăm date cu caracter personal care aparțin unor persoane fizice.

  1. În scopul îndeplinirii unor obligații legale – Conform art. 6 alin. 1 lit. c) din GDPR, pot fi prelucrate date personale în scopul îndeplinirii unor obligații legale. AMCASR solicită o serie de date personale, inclusiv, în anumite situații, codul numeric personal, în scopul de a-și îndeplini obligațiile impuse de către autoritățile fiscale, donatori/finanțatori, rezultate din aplicarea legislației muncii sau rezultate din acordurile încheiate în vederea implementării programelor și proiectelor și regulamentelor impuse de donator/finanțator și autoritățile statului.

  2. În scop de studii, cerecetări, evaluări ale gradului de satisfacție – Conform art. 6 alin. 1 lit. a) din GDPR, pot fi prelucrate date personale dacă persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice.

Astfel, în anumite situații, datele cu caracter personal vor fi utilizate cu scopul de:

  • Informare: transmiterea de mesaje de actualitate și interes general privind activitatea Asociatiei, știri, invitații la diverse evenimente,

  • Îndeplinirea obligațiilor de raportare către entitățile aflate în legătură directă cu implementarea programelor de finanțare derulate de AMCASR.

  1. În scopul îndeplinirii obiectului său de activitate – Conform art. 6 alin. 1 lit. a) din GDPR, pot fi prelucrate date personale dacă persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice. Astfel, AMCASR poate contacta persoanele fizice sau poate transmite datele acestora cu caracter personal în scopul realizării obiectului său de activitate.

PROCESAREA FORMULARULUI DE CONTACT SAU A ACORDULUI SCRIS

În scopul obținerii acordului de procesare a datelor, AMCASR va folosi un formular de contact. Informațiile pe care le furnizează persoanele fizice în secțiunea corespunzătoare de contact, existentă pe site, sau direct prin semnarea unui acord sau prin declarație pe propria răspundere. Datele cu caracter personal vor fi folosite exclusiv cu scopul de a le procesa în vederea îndeplinirii scopului său sau pentru a-și îndeplini o obligație legală sau contractuală.

  1. Prin furnizarea oricăror date cu caracter personal prin intermediul site-ului, respectiv a adresei de e-mail indicată pe site, fiecare persoană fizică îți va exprima consimțământul explicit din care trebuie să rezulte că înțelege și că este de acord ca datele sale personale să fie prelucrate în conformitate cu prevederile PPD a AMCASR și că în anumite circumstanțe legale, este posibil, ca AMCASR să aibă obligația de a prelucra date și de a le transmite unor terți. AMCASR a adoptat măsuri tehnice și organizatorice adecvate pentru a asigura securitatea transferului de date, precum și prelucrarea în conformitate cu cerințele GDPR a datelor cu caracter personal. Totodată, AMCASR se obligă să îmbunătățească permanent sistemul de securitate a datelor cu caracter personal.

Măsurile organizatorice sunt acțiuni prin intermediul cărora, în cadrul AMCASR ca operator de date, se creează pe lângă prezenta politică, proceduri și mecanisme interne de organizare menite să asigure securitatea prelucrării. Spre exemplu, prin măsuri organizatorice am putea aminti:

  • training-ul personalului intern;

  • mecanisme interne de securitate la nivelul echipamantelor de calcul și stocare a informației;

  • asigurarea accesului în clădire/birou/camere, la dulapuri și alte echipamante de pastrare a informației, doar pentru persoanele care au dreptul să fie acolo.

AMCASR se obligă să nu prelucreze datele cu caracter personal furnizate în alt scop decât acela pentru care au fost transmise, cu excepția situațiilor în care există consimțământul expres al persoanei fizice pentru a le utiliza și în alte scopuri.

De asemenea, este posibil ca AMCASR să aibă acces și la alte date cu caracter personal prin stabilirea de către persoana fizică a unei legături cu AMCASR, prin prelucrarea datelor comunicate în urma conversațiilor telefonice, conversații, e-mail, prezentarea la sediul nostru în vederea obținerii de informații, etc.

Prin contactarea AMCASR în oricare mod stipulat mai sus sau oricare altă metodă care presupune o comunicare mijlocită sau nemijlocită între persoana fizică și AMCASR, care presupune accesul la date personale, persoana fizică își exprimă acordul pentru ca datele persoanle să fie prelucrate în conformitate cu prevederile PPD.

DIVULGAREA DATELOR CU CARACTER PERSONAL CĂTRE TERȚI

Datele cu caracter personal prelucrate de către AMCASR vor putea fi divulgate și/ sau transferate către terți doar în situația în care există consimțământul expres al persoanei fizice pentru a proceda în acest sens, cu excepția situațiilor în care există o obligație legală/ contractuală pentru AMCASR de a proceda în acest mod (ex: obligațiile impuse de relațiile de muncă, raportarea rezultatelor, obligațiile fiscale).

În acest sens, în anumite circumstanțe, AMCASR are obligația de a divulga datele cu caracter personal autorităților cu care AMCASR colaborează, donatorilor sau unor parteneri.

PRELUCRAREA DATELOR DE CĂTRE TERȚI, ALTE SITE-URI ȘI DONATORI

Site-ul AMCASR poate conține, la un moment dat, link-uri de acces către alte site-uri ale căror politici de prelucrare a datelor pot fi diferite de cele ale AMCASR.

  1. Persoanele fizice trebuie să aibă în vedere și să consulte politicile privind protecția datelor cu caracter personal ale celorlalte site-uri, AMCASR neasumându-și responsabilitatea cu privire la informațiile trimise sau colectate de aceste terțe părți.

PERIOADA DE PĂSTRARE A DATELOR

AMCASR poate păstra datele prelucrate pentru diferite perioade de timp, apreciate ca fiind rezonabile, legale și necesare, în conformitate cu scopurile indicate anterior.

Datele cu caracter personal vor fi păstrate numai pentru perioada necesară pentru atingerea scopului pentru care sunt colectate și deținute sau pentru îndeplinirea obligațiile impuse de lege, contracte, acorduri naționale și internaționale.

Datele pot fi păstrate o perioadă de timp, în funcție de următoarele criterii:

  1. În cazul în care persoana fizică participă la o ofertă, datele personale se păstrează pe durata desfășurării procedurilor de achiziție, a contractului sau a perioadei de sustenabilitate stabilită prin contracte;

  2. În cazul contactelor sau comunicărilor punctuale, AMCASR păstrează datele personale pe durata necesară procesării întrebărilor/solicitărilor, dar nu mai mult de perioada stabilită prin contracte sau legi ca fiind supusă controalelor, auditurilor și altor reglementări similare.

  3. În cazul în care există consimțământul expres pentru studii, cercetări, altele, datele personale pot fi păstrate până când se solicită ștergerea dacă a fost atins scopul pentru care au fost solicitate și nu este altfel stipulat în obligațiile impuse de lege, contracte, acorduri naționale și internaționale

DREPTURILE PERSOANEI VIZATE

În conformitate cu GDPR, persoana vizată este aceea persoană fizică ale cărei date sunt prelucrate și care are următoarele drepturi:

  1. Dreptul de acces la datele personale prelucrate – Persoana vizată poate întreba AMCASR ce date cu caracter personal despre sine sunt folosite și să solicite accesul la aceste date cu caracter personal.

De asemenea, are dreptul să cunoască scopurile prelucrării, categoriile de date cu caracter personal pe care le deținem, părțile sau categoriile de părți cu care datele sale cu caracter personal sunt partajate, perioada de păstrare a datelor, precum și sursa datelor care nu sunt colectate direct de la persoana vizată.

La solicitarea persoanei vizate, AMCASR poate pune la dispoziție o copie a unei părţi sau a tuturor informaţiilor cu caracter personal pe care le deţine despre aceasta. Solicitările vădit neîntemeiate, excesive sau repetate pot să nu primească un răspuns.

  1. Dreptul la rectificarea datelor introduse greșit – Persoana vizată are dreptul să solicite ca datele sale să fie rectificate dacă sunt inexacte sau au fost modificate între timp și/ sau să le completeze dacă acestea au fost incomplete.

  2. Dreptul la ștergerea datelor – In unele cazuri, persoanele vizate au dreptul de a obține ștergerea sau distrugerea datelor cu caracter persoanl. Acesta nu este un drept absolut, deoarece uneori s-ar putea ca AMCASR să fie obligat, prin legi sau contracte, să păstreze datele cu caracter personal, pentru o perioadă definită de timp. În alte cazuri, însă, , atunci când informaţiile cu caracter personal sunt necesare pentru îndeplinirea unei obligaţii contractuale a AMCASR, la fel ca atunci când informaţiile cu caracter 6 personal sunt necesare pentru ca AMCASR să respecte anumite obligaţii legale (de ex. legislaţia fiscală, obligațiile de raportare, punerea la dispoziția organelor abilitate a tuturor informațiile, în vederea auditării, controlului și evaluării activității), AMCASR ar putea fi incapabilă să îndeplinească această obligaţie contractuală (ștergerea datelor), .

  3. Dreptul la restricționarea prelucrării – Persoana vizată are dreptul să solicite restricționarea procesării datelor sale personale, numai dacă legea nu prevede altfel. Acest lucru înseamnă că prelucrarea datelor personale este limitată, astfel încât datele să poată fi pastrate, dar să nu fie utilizate sau procesate.

Acest drept se aplică în circumstanțe specifice prevăzute de Regulamentul general privind protecția datelor, și anume:

– exactitatea datelor este contestată de persoana vizată (AMCASR are obligația să verifice corectitudinea datelor);

– prelucrarea este ilegală și persoana vizată solicită restricția de utilizare a acestora;

– pentru stabilirea, exercitarea sau apărarea unor pretenții legale;

– persoana vizată a ridicat obiecții împotriva modului în care AMCASR procesează datele personale în baza unui temei legal pe care AMCASR îl consideră legitim, dacă motivele legitime ale persoanei vizate le depășesc în legitimitate pe cele ale AMCASR.

  1. Dreptul la portabilitatea datelor – Persoana vizată are dreptul să copieze sau să transfere datele personale de la AMCASR către alți operatori.

Acest lucru se aplică numai datelor pe care le-a furnizat, atunci când procesarea se bazează pe consimțământul persoaneĭ sau pe baza unui contract și este implementată prin mijloace automate.

  1. Dreptul de a retrage consimțământul în orice moment – Persoana vizată își poate retrage consimțământul în ceea ce privește prelucrarea datelor personale atunci când o astfel de procesare se bazează pe consimțământ și numai dacă legea nu prevede altfel Retragerea consimțământului nu afectează legalitatea prelucrării pe baza consimțământului înainte de retragerea acestuia.

  2. Dreptul de a depune o plângere la autoritatea de supraveghere competentă – Persoane vizată are dreptul să depună o plângere în fața autorității de protecție a datelor din țara de reședință sau de domiciliu pentru a contesta practicile de protecție a datelor oferite de AMCASR.

  3. Dreptul persoanei vizate de a se opune prelucrării datelor personale de către AMCASR atunci când desfășoară acțiuni în interes public sau în interesele legitime proprii sau ale unui terț – De acest drept se poate uza în orice moment al prelucrării datelor personale. Ca urmare, Operatorul nu mai prelucrează datele cu caracter personal, cu excepţia cazului în care demonstrează că are motive legitime şi imperioase care justifică prelucrarea şi care prevalează asupra intereselor, drepturilor şi libertăţilor persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanţă.

Exercitarea acestor drepturi se poate face printr-o cerere adresată AMCASR la adresa de email [email protected] sau direct la sediu AMCASR.

SOLICITĂRI JURIDICE

AMCASR accesează, păstrează și oferă date cu caracter persoanl autorităților de reglementare, factorilor de aplicare a legii sau altor entități:

  1. Ca răspuns la o solicitare de natură juridică, atunci când consideră, cu bună-credință, că legea ne impune acest lucru.

De asemenea, este posibil ca AMCASR să răspundă la solicitări de natură juridică atunci când consideră, cu bună-credință, că răspunsul impus de legile din jurisdicția respectivă afectează utilizatorii din acea jurisdicție și este conform cu standardele recunoscute la nivel internațional.

  1. Atunci când consideră, cu bună credință, că este necesar, pentru a proteja AMCASR (inclusiv drepturile, bunurile sau materialele), persoanele vizate precum și alte persoane, inclusiv în cadrul investigațiilor sau al anchetelor autorităților de reglementare sau pentru a preveni decesul sau vătămarea corporală iminentă, să acționeze pentru: a detecta, a preveni și a răspunde la acte de fraudă, privind utilizarea neautorizată a oricărui material care aparține AMCASR, încălcări ale condițiilor sau politicilor AMCASR sau alte activități dăunătoare sau ilegale.

Informațiile pe care le primește AMCASR despre persoana vizată pot fi accesate și stocate o perioadă mai lungă de timp atunci când fac obiectul unei solicitări de natură juridică sau unei obligații legale, al unei anchete guvernamentale, sau al unor investigații privind posibile încălcări ale condițiilor sau politicilor AMCASR, sau în alte cazuri pentru a preveni prejudiciile.

RELAȚIILE CU ALȚI OPERATORI

În funcție de context, s-ar putea ca AMCASR să se afle în situația necesității absolute de a oferi informații la un nivel mai înalt, atât global, cât și intern sau extern, partenerilor noștri și celor cu care facem transfer de date cu respectarea GDPR, în virtutea unor contracte sau legi. Informațiile controlate de AMCASR ar putea fi transferate, transmise sau stocate și prelucrate în UE sau în alte țări decât țara în care locuiește persoana vizată, în scopurile descrise în această politică. Aceste transferuri de date sunt necesare pentru îndeplinirea scopului și obiectivelor legitime.

SECURITATEA PRELUCRĂRII

AMCASR a adoptat măsuri tehnice și organizatorice de prelucrare a datelor, actualizate în conformitate cu cerințele GDPR, cu scopul de a proteja datele cu caracter personal împotriva oricăror acțiuni de acces neautorizat, utilizare necorespunzătoare sau divulgare, modificare neautorizată, distrugere sau pierdere accidentală.

Toți angajații și colaboratorii AMCASR, precum și orice terțe părți care acționează în numele și pe seama AMCASR sunt obligați să respecte confidențialitatea datelor personale și cerințele GDPR, în conformitate cu prevederile PPD.

EXONERARE DE RĂSPUNDERE

Site-ul AMCASR poate conține legături către alte site-uri și/sau alte pagini web care nu sunt proprietatea FRDS. AMCASR nu își asumă nicio responsabilitate cu privire la conținutul acestor site-uri și, prin urmare, nu va putea fi ținută răspunzătoare pentru conținutul, publicitatea, bunurile, serviciile, softwareul, informațiile sau alte materiale disponibile pe sau prin intermediul acestor site-uri.

AMCASR nu va fi responsabilă de pierderea datelor cu caracter personal, de orice efecte negative asupra datelor personale ale vizitatorilor sau de alte daune morale și/ sau patrimoniale cauzate de accesul la respectivele site-uri.

 

APLICAREA ȘI ACTUALIZAREA POLITICII DE PROTECȚIE ȘI PRELUCRARE A DATELOR CU CARACTER PERSONAL

Pentru punerea în practică a obiectivului de implementare a GDPR la nivelul AMCASR, au fost analizate prevederile GDPR cu impact asupra organizației.

În consecință s-au luat/ se iau măsuri tehnice și organizatorice de asigurare a prevederilor GDPR, astfel:

o A fost numit un responsabil cu protecția datelor (DPO – data protection officer),

o Se analizează prevederile GDPR în raport cu riscurile asociate prelucrării datelor și cu infrastructura existentă,

o Se elaborează/ revizuiesc procedurile de lucru în conformitate cu prevederile GDPR,

o Se va stabili baza legitimă pentru fiecare prelucrare a datelor,

o Se asigură informarea permanentă a stakeholderilor,

o Se are în vedere asigurarea unui acces restricționat la date și doar pentru persoanele cu drepturi de prelucrare și consultare, odată cu elaborarea noului SMI aferent activității,

o Se asigură din punct de vedere tehnic măsurile de protecție a datelor stocate pe suport electronic (salvări periodice, controlul accesului, păstrarea unei piste de control a accesului la date, etc.) și pe suport de hârtie,

o A fost planificată instruirea personalului cu privire la prevederile GDPR și prezenta politică,

o A fost elaborată prezenta politică. Prezenta Politică poate face obiectul unor modificări periodice de conținut, cu menționarea datei actualizării ca fiind data aprobării acestor modificări.

Termenii PPD se interpretează în conformitate cu legislația aplicabilă.