Protectia datelor
Scopul, obiectul și utilizatorii
Computerescu face toate eforturile pentru a respecta legile și reglementările aplicabile privind protecția datelor cu caracter personal în țările în care Computerescu operează. Această Politică stabilește principiile de bază prin care Computerescu prelucrează datele personale ale clienților, furnizorilor, partenerilor de afaceri, angajaților și ale altor persoane și indică responsabilitățile departamentelor sale de afaceri și ale angajaților în procesul de prelucrare a datelor cu caracter personal.
Această politică se aplică societății Computerescu și filialelor sale controlate direct sau indirect, care desfășoară activități în Spațiul Economic European (SEE) sau care prelucrează datele cu caracter personal ale subiecților vizați din cadrul SEE.
Utilizatorii acestui document sunt toți angajați, permanenți sau temporari, și contractanții care lucrează în numele Computerescu.
Documentele de referință
- Regulamentul UE GDPR 2016/679 (Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46 / CE)
- Legile sau reglementările naționale relevante pentru implementarea GDPR în fiecare țară în care este reprezentată NETWAVE
- Politica de protecție a datelor cu caracter personal a angajatului
- Politica de păstrare a datelor
- Instrucțiuni pentru activitățile de inventariere și prelucrare a datelor
- Procedura de solicitare a accesului de către subiectul vizat
- Instrucțiuni privind evaluarea impactului privind protecția datelor
- Procedura de transfer a datelor personale transfrontaliere
- Politica de securitate IT
- Politica de control al accesului
- Proceduri de securitate pentru departamentul IT
- Politica „Aduceți-vă propriul dispozitiv" (BYOD)
- Dispozitivele mobile și politica de lucru la distanță
- Politica de anonimizare și pseudonimizare
- Politica privind utilizarea criptării
- Procedura de notificare a încălcării
Definiții
Următoarele definiții ale termenilor utilizați în acest document sunt extrase din articolul 4 din Regulamentul UE privind protecția generală a datelor:
Date personale: Orice informație referitoare la o persoană fizică identificată sau identificabilă ("subiectul vizat") care poate fi identificată, direct sau indirect, în special prin referire la un identificator, cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale a acelei persoane fizice.
Datele cu caracter personal sensibile: Datele personale care, prin natura lor, sunt deosebit de sensibile în raport cu drepturile și libertățile fundamentale, merită o protecție specifică, deoarece contextul prelucrării lor ar putea crea riscuri semnificative pentru drepturile și libertățile fundamentale. Aceste date cu caracter personal includ date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, credințele religioase sau filosofice sau calitatea de membru al unui sindicat, datele genetice, datele biometrice în scopul identificării unice a unei persoane fizice, datele privind sănătatea sau datele referitoare la viața sexuală sau orientarea sexuală a unei persoane.
Operatorul de date: Persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau în comun cu alții, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.
Procesatorul de date: O persoană fizică sau juridică, o autoritate publică, o agenție sau orice alt organism care prelucrează date cu caracter personal în numele unui operator de date.
Prelucrare: o operațiune sau un set de operațiuni care se efectuează asupra datelor personale sau seturilor de date cu caracter personal, indiferent dacă se face prin mijloace automate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, recuperarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea datelor, sau nu.
Anonimizarea: Datele cu caracter personal care nu pot fi identificate în mod ireversibil, astfel încât persoana să nu poată fi identificată într-un timp rezonabil, cu un cost și o tehnologie rezonabile, fie de către operator, fie de către orice altă persoană pentru a identifica persoana respectivă. Principiile de prelucrare a datelor cu caracter personal nu se aplică datelor anonime, deoarece acestea nu mai sunt date cu caracter personal.
Pseudonimizarea: prelucrarea datelor cu caracter personal în așa fel încât datele personale să nu mai poată fi atribuite unui anumit subiect vizat fără utilizarea unor informații suplimentare, cu condiția ca aceste informații suplimentare să fie păstrate separat și să facă obiectul unor măsuri tehnice și organizatorice care să asigure că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau identificabile. Pseudonimizarea reduce, dar nu elimină complet, capacitatea de a lega date personale de un subiect vizat. Deoarece datele pseudonime sunt în continuare date cu caracter personal, prelucrarea datelor pseudonime ar trebui să respecte principiile de prelucrare a datelor personale.
Prelucrarea transfrontalieră a datelor cu caracter personal: prelucrarea datelor cu caracter personal care are loc în cadrul activităților unităților din mai multe state membre ale operatorului sau procesatorului în Uniunea Europeană în cazul în care operatorul sau procesatorul este stabilit în mai mult de un stat membru; sau prelucrarea datelor cu caracter personal care are loc în contextul activităților unei singure unități a unui operator sau procesator în Uniune, dar care afectează în mod substanțial sau sunt susceptibile de a afecta în mod substanțial persoanele vizate în mai multe state membre;
Autoritatea de supraveghere: o autoritate publică independentă stabilită de un stat membru în conformitate cu articolul 51 din GDPR UE;
Autoritatea principală de supraveghere: autoritatea de supraveghere cu responsabilitatea principală pentru gestionarea unei activități de prelucrare a datelor transfrontaliere, de exemplu atunci când un subiect vizat depune o plângere privind prelucrarea datelor sale cu caracter personal; este responsabilă, printre altele, pentru primirea notificărilor privind încălcarea datelor, trebuie să fie notificată cu privire la activitatea de prelucrare riscantă și va avea autoritatea deplină în ceea ce privește obligațiile care îi revin pentru a asigura respectarea dispozițiilor GDPR UE;
Fiecare "autoritate locală de supraveghere" va continua să se mențină în propriul teritoriu și va monitoriza orice prelucrare locală de date care afectează persoanele vizate sau care este efectuată de un operator sau de un procesator din UE sau din afara UE atunci când prelucrarea lor vizează subiecți care locuiesc pe teritoriul său. Sarcinile și competențele acesteia includ desfășurarea de investigații și aplicarea măsurilor administrative și a amenzilor, promovarea gradului de conștientizare a publicului asupra riscurilor, regulilor, securității și drepturilor în ceea ce privește prelucrarea datelor cu caracter personal, precum și obținerea accesului la orice sediu al operatorului și al procesatorului, inclusiv la orice echipament și mijloace de prelucrare a datelor.
"Sediul principal în ceea ce privește un operator" cu sedii în mai multe state membre, locul administrației sale centrale în Uniune, cu excepția cazului în care deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter personal sunt luate într-o altă unitate a operatorului în Uniune și aceasta din urmă are puterea de a pune în aplicare astfel de decizii, caz în care sediul care a luat astfel de decizii trebuie considerată a fi sediul principal;
"Sediul principal în ceea ce privește un procesator" cu sedii în mai multe state membre, locul administrației sale centrale în Uniune sau, în cazul în care procesatorul nu are o administrație centrală în Uniune, sediul procesatorului în Uniune unde activitățile principale de prelucrare în contextul activităților unui sediu al prelucrătorului au loc în măsura în care procesatorul este supus unor obligații specifice în temeiul prezentului Regulament;
Biroul de vânzări: orice filială cu sediul în teritoriile UE și SEE ale Computerescu.
Echipa Computerescu pentru confidențialitatea datelor: Un grup de profesioniști instruiți în mod avansat în cadrul Computerescu, care se pot schimba periodic, dar care va include în orice moment persoane desemnate din departamentul juridic și departamentul IT și care pot fi contactate oricând prin intermediul e-mail: office@computerescu.ro
Protectorii de date Computerescu: Persoane desemnate din fiecare țară din Spațiul Economic European (SEE), în care este reprezentat Computerescu, care în majoritatea cazurilor includ manageri ai departamentelor RU și IT locale, dar și reprezentanți ai altor departamente și care sunt profesioniști avansați în cadrul Computerescuîn domeniul prelucrării datelor cu caracter personal. Pentru detalii de contact cu privire la date specifice legate de Protectorii de date, vă rugăm să trimiteți o cerere prin e-mail: office@computerescu.ro
Principii de bază privind prelucrarea datelor cu caracter personal
Principiile de protecție a datelor definesc responsabilitățile de bază ale organizațiilor care manipulează datele cu caracter personal. Articolul 5 alineatul (2) din GDPR prevede că "operatorul este responsabil și poate să demonstreze respectarea principiilor."
4.1. Legalitatea, corectitudinea și transparența
Datele cu caracter personal trebuie prelucrate în mod legal, corect și transparent în raport cu subiectul vizat.
4.2. Limitarea scopului
Datele cu caracter personal trebuie colectate în scopuri specificate, explicite și legitime și nu trebuie prelucrate într-o manieră incompatibilă cu aceste scopuri.
4.3. Minimizarea datelor
Datele cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate. Computerescu trebuie să aplice anonimizarea sau pseudonimizarea datelor personale, dacă este posibil, pentru a reduce riscurile pentru subiecții vizați.
4.4. Precizia
Datele cu caracter personal trebuie să fie exacte și, dacă este necesar, să fie actualizate; trebuie luate măsuri corespunzătoare pentru a ne asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate în timp util.
4.5. Perioada de păstrare limitată
Datele cu caracter personal nu trebuie păstrate decât în măsura necesară scopurilor pentru care datele cu caracter personal sunt prelucrate.
4.6. Integritate și confidențialitate
Luând în considerare stadiul tehnologic și alte măsuri de securitate disponibile, costul de punere în aplicare și probabilitatea și severitatea riscurilor legate de datele cu caracter personal, Computerescu trebuie să utilizeze măsuri tehnice sau organizatorice adecvate pentru prelucrarea datelor cu caracter personal într-o manieră care să asigure o securitate adecvată a datelor cu caracter personal, inclusiv protecția împotriva distrugerii accidentale sau ilegale, pierderii, alternării, accesului neautorizat sau divulgării.
4.7. Responsabilitatea
Operatorii de date trebuie să fie responsabili și să poată demonstra conformitatea cu principiile enunțate mai sus.
Construirea protecției datelor în activitățile de afaceri
Pentru a demonstra conformitatea cu principiile protecției datelor, o organizație ar trebui să creeze o protecție a datelor în activitățile sale de afaceri.
5.1. Notificarea către subiecții vizați
(Consultați secțiunea Instrucțiuni de prelucrare corectă.)
5.2. Alegerea și consimțământul subiectului vizat
(Consultați secțiunea Instrucțiuni de procesare corectă.)
5.3. Colectarea
Computerescu trebuie să depună eforturi pentru a colecta cel mai mic număr de date cu caracter personal posibil. În cazul în care datele cu caracter personal sunt colectate de la o terță parte, Echipa Computerescu pentru confidențialitatea datelor trebuie să se asigure că datele cu caracter personal sunt colectate în mod legal.
5.4 Utilizarea, păstrarea și eliminarea
Scopurile, metodele, limitarea stocării și perioada de păstrare a datelor cu caracter personal trebuie să fie în concordanță cu informațiile conținute în Comunicarea privind confidențialitatea. Computerescu trebuie să mențină acuratețea, integritatea, confidențialitatea și relevanța datelor personale în funcție de scopul prelucrării. Mecanisme de securitate adecvate pentru protejarea datelor cu caracter personal trebuie utilizate pentru a preveni furtul, utilizarea necorespunzătoare sau abuzul datelor personale și prevenirea încălcării datelor cu caracter personal. Echipa Computerescu pentru confidențialitatea datelor este responsabilă de respectarea cerințelor enumerate în această secțiune.
5.5 Divulgarea către terți
Ori de câte ori Computerescu utilizează un furnizor terț sau un partener de afaceri pentru prelucrarea datelor cu caracter personal în numele său, echipa Computerescu pentru confidențialitatea datelor trebuie să se asigure că acest procesator va oferi măsuri de securitate pentru a proteja datele personale față de riscurile asociate. În acest scop, trebuie utilizat chestionarul Computerescu de conformitate al procesatorului GDPR.
Computerescu trebuie să solicite contractual furnizorului sau partenerului de afaceri să ofere același nivel de protecție a datelor. Furnizorul sau partenerul de afaceri trebuie să prelucreze numai datele personale pentru a-și îndeplini obligațiile contractuale față de Computerescu sau pe baza instrucțiunilor Computerescu și nu în alte scopuri. Atunci când Computerescu prelucrează datele personale împreună cu o terță parte independentă, Computerescu trebuie să precizeze în mod explicit responsabilitățile sale și ale părții terțe în contractul corespunzător sau în orice alt document obligatoriu, cum ar fi modelul Acordului de prelucrare a datelor personale Computerescu.
5.6. Transferul transfrontalier de date cu caracter personal
Înainte de a transfera date cu caracter personal din Spațiul Economic European (SEE), trebuie să se utilizeze garanții adecvate, inclusiv semnarea unui Acord de transfer de date, conform cerințelor Uniunii Europene și, dacă este necesar, trebuie obținută autorizația autorității competente pentru protecția datelor. Entitatea care primește datele cu caracter personal trebuie să respecte principiile de prelucrare a datelor cu caracter personal prevăzute în Procedura de transfer transfrontalier de date.
5.7. Drepturile de acces ale subiecților vizați
Atunci când acționează în calitate de operator de date, Echipa Computerescu pentru confidențialitatea datelor este responsabilă să furnizeze persoanelor vizate un mecanism de acces rezonabil care să le permită accesul la datele lor personale și trebuie să le permită să actualizeze, să rectifice, să șteargă sau să transmită datele lor personale, dacă este cazul sau dacă acest lucru este cerut de lege. Mecanismul de acces va fi detaliat în continuare în Procedura Computerescu de solicitare a accesului la date.
5.8. Portabilitatea datelor
Subiecții vizați au dreptul să primească, la cerere, o copie a datelor pe care le-au furnizat într-un format structurat și să le transmită unui alt operator în mod gratuit. Echipa Computerescu pentru confidențialitatea datelor este responsabilă pentru a se asigura că aceste cereri sunt procesate în termen de o lună, nu sunt excesive și nu afectează drepturile la datele personale ale altor persoane.
5.9. Dreptul de a fi uitat
La cerere, subiecții vizați au dreptul să obțină de la Computerescu ștergerea datelor lor personale. Atunci când Computerescu acționează în calitate de Operator, Echipa Computerescu pentru confidențialitatea datelor trebuie să ia măsurile necesare (inclusiv măsurile tehnice) pentru a informa părțile terțe care utilizează sau prelucrează aceste date să se conformeze cererii.
Instrucțiuni privind prelucrarea corectă
Datele personale trebuie prelucrate numai când acest lucru este autorizat în mod explicit de Echipa Computerescu pentru confidențialitatea datelor.
Compania trebuie să decidă dacă va efectua evaluarea impactului asupra protecției datelor pentru fiecare activitate de prelucrare a datelor în conformitate cu Instrucțiunile Computerescu pentru cartografierea activităților de inventariere și prelucrare a datelor.
6.1. Notificări către subiecții vizați
La data colectării sau înainte de colectarea datelor personale pentru orice fel de activități de prelucrare, inclusiv, dar fără a se limita la vânzarea de produse, servicii sau activități de marketing, Echipa privind confidențialitatea datelor Computerescu , în colaborare cu Protectorii de date Computerescu din fiecare țară din Spațiul Economic European, în care Computerescu este reprezentat, sunt responsabile să informeze în mod corespunzător persoanele vizate despre următoarele: tipurile de date cu caracter personal colectate, scopul prelucrării, metodele de prelucrare, drepturile subiecților vizați cu privire la datele lor personale, perioada de stocare, potențialele transferuri internaționale de date, în cazul în care datele vor fi comunicate terților și măsurile de securitate ale Computerescu pentru protecția datelor cu caracter personal. Aceste informații sunt furnizate prin Notificarea privind confidențialitatea.
În cazul în care datele cu caracter personal sunt partajate cu o terță parte, Echipa privind confidențialitatea datelor Computerescu trebuie să se asigure că persoanele vizate au fost notificate despre acest lucru printr-o Notificare privind confidențialitatea.
În cazul în care datele cu caracter personal sunt transferate către o țară terță în conformitate cu Politica privind transferul transfrontalier de date, notificarea privind confidențialitatea ar trebui să reflecte acest lucru și să precizeze în mod clar locul și entitatea către care sunt transferate datele personale.
În cazul colectării unor date personale sensibile, Echipa Computerescu pentru confidențialitatea datelor trebuie să se asigure că notificarea privind confidențialitatea precizează explicit scopul pentru care sunt colectate aceste date personale sensibile.
6.2. Obținerea consimțământului
Ori de câte ori prelucrarea datelor personale se bazează pe consimțământul persoanei vizate sau pe alte motive legale, Echipa Computerescu pentru confidențialitatea datelor este responsabilă pentru păstrarea unei înregistrări a unui astfel de consimțământ. Echipa Computerescu pentru confidențialitatea datelor este responsabilă pentru furnizarea de informații persoanelor vizate cu opțiuni de acordare a consimțământului și trebuie să informeze și să se asigure că acordul lor (ori de câte ori consimțământul este utilizat drept temei legal pentru procesare) poate fi retras în orice moment.
Atunci când colectarea datelor cu caracter personal se referă la un copil cu vârsta sub 16 ani, Echipa Computerescu pentru confidențialitatea datelor trebuie să se asigure că acordul părinților este acordat înainte de colectare, utilizând formularul de consimțământ parental.
Atunci când sunt primite cereri de corectare, modificare sau distrugere a datelor cu caracter personal, Echipa privind confidențialitatea datelor Computerescu trebuie să se asigure că aceste solicitări sunt tratate într-un interval de timp rezonabil. Echipa privind confidențialitatea datelor Computerescu trebuie, de asemenea, să înregistreze cererile și să păstreze un jurnal al acestora.
Datele personale trebuie prelucrate numai în scopul pentru care au fost colectate inițial. În cazul în care Compania dorește să proceseze datele cu caracter personal colectate într-un alt scop, Compania trebuie să solicite consimțământul persoanelor vizate în scris clar și concis. Orice astfel de solicitare ar trebui să includă scopul inițial pentru care au fost colectate datele și, de asemenea, scopul (scopurile) nou sau suplimentar. Cererea trebuie să includă și motivul modificării scopului (scopurilor). Responsabilul cu protecția datelor este responsabil pentru respectarea regulilor din acest paragraf.
Acum și pe viitor, Echipa Computerescu pentru confidențialitatea datelor trebuie să se asigure că metodele de colectare respectă legislația, bunele practici și standardele din domeniu.
Echipa Computerescu pentru confidențialitatea datelor este responsabilă pentru menținerea unui registru al notificărilor privind confidențialitatea la: http://www.computerescu.ro
Organizare și responsabilități
Responsabilitatea pentru asigurarea adecvată a prelucrării datelor personale revine oricărei persoane care lucrează pentru sau cu Computerescu și are acces la datele personale prelucrate de Computerescu.
Domeniile-cheie ale responsabilităților pentru prelucrarea datelor cu caracter personal aparțin următoarelor roluri organizaționale:
Conducerea Computerescu ia decizii și aprobă strategiile generale ale NETWAVE privind protecția datelor cu caracter personal.
Echipa Computerescu pentru confidențialitatea datelor este responsabilă pentru gestionarea programului de protecție a datelor cu caracter personal și este responsabilă pentru dezvoltarea și promovarea politicilor de protecție a datelor cu caracter personal de la un capăt la altul.
Protectorii de date Computerescu împreună cu Directorul Biroului de vânzări Computerescu sunt responsabili de implementarea și localizarea (în cadrul fiecărei țări corespunzătoare din Spațiul Economic European (SEE), unde Computerescu este reprezentat cu un Birou de vânzări) a tuturor activităților și acțiunilor de protecție a datelor personale necesare conform politicilor generale de prelucrare a datelor personale ale Computerescu, precum și instrucțiunilor și recomandărilor Echipei Computerescu privind confidențialitatea datelor.
Departamentul juridic al Computerescu, împreună cu Echipa Computerescu pentru confidențialitatea datelor sunt responsabili pentru:
- Monitorizarea și analizarea legilor privind datele cu caracter personal și modificarea reglementărilor, dezvoltarea cerințelor de conformitate și asistarea departamentelor de afaceri în atingerea obiectivelor lor privind datele personale.
- Asigurarea cerințelor privind datele cu caracter personal față de orice terță parte pe care o utilizează ca furnizor de servicii externe.
- Asigurarea controlului asupra respectării cerințelor privind datele personale în cadrul funcției juridice la nivelul Computerescu.
CTO (Chief Technology Officer) al Computerescu este responsabil pentru:
- Asigurarea ca toate sistemele, serviciile și echipamentele utilizate pentru stocarea datelor să respecte standardele de securitate acceptabile.
- Efectuarea de controale și scanări periodice pentru a se asigura că hardware-ul și software-ul de securitate funcționează corect.
- Asigurarea cerințelor privind datele cu caracter personal față de orice terță parte pe care o utilizează ca furnizor de servicii externe.
- Asigurarea controlului asupra respectării cerințelor privind datele personale în cadrul funcției IT la nivelul Computerescu.
Directorul de marketing Computerescu, este responsabil pentru:
- Aprobarea tuturor declarațiilor de protecție a datelor atașate la comunicări, cum ar fi e-mailurile și scrisorile.
- Abordarea oricărei interogări privind protecția datelor de la jurnaliști sau mass-media, cum ar fi ziarele.
- Dacă este necesar, colaborarea cu Echipa NETWAVE pentru confidențialitatea datelor pentru a se asigura că inițiativele de marketing respectă principiile de protecție a datelor.
- Asigurarea cerințelor privind datele cu caracter personal față de orice terță parte pe care o utilizează ca furnizor de servicii externe.
- Asigurarea controlului asupra respectării cerințelor privind datele personale în cadrul funcției de marketing la nivelul NETWAVE.
Directorul de Resurse Umane și Administrație Computerescu este responsabil pentru:
- Îmbunătățirea gradului de conștientizare a angajaților cu privire la protecția datelor personale ale utilizatorilor.
- Organizarea, colaborarea cu Echipa Computerescu pentru confidențialitatea datelor, expertiză privind protecția datelor cu caracter personal și training de conștientizare a angajaților care lucrează cu date personale.
- Protecția datelor cu caracter personal de la un capăt la altul. Trebuie să se asigure că datele personale ale angajaților sunt prelucrate pe baza scopurilor și necesităților legitime ale angajatorului.
- Asigurarea cerințelor privind datele cu caracter personal față de orice terță parte pe care o utilizează ca furnizor de servicii externe.
- Asigurarea controlului asupra respectării cerințelor privind datele personale în cadrul funcției RU la nivelul Computerescu.
Directorul financiar Computerescu este responsabil pentru:
- Asigurarea cerințelor privind datele cu caracter personal față de orice terță parte pe care o utilizează ca furnizor de servicii externe.
- Asigurarea controlului asupra respectării cerințelor privind datele personale în cadrul funcției din domeniul Finanțelor la nivelul Computerescu.
Directorul departamentului Logistică Computerescu este responsabil pentru:
- Asigurarea cerințelor privind datele cu caracter personal către orice terță parte pe care o utilizează ca furnizor de servicii externe.
- Asigurarea controlului asupra respectării cerințelor privind datele personale în cadrul funcției din domeniul Logistică la nivelul Computerescu.
Directorul Comercial Computerescu este responsabil pentru:
- Transmiterea responsabilităților de protecție a datelor cu caracter personal către furnizori și îmbunătățirea gradului de conștientizare a furnizorilor privind protecția datelor cu caracter personal.
- Asigurarea cerințelor privind datele cu caracter personal față de orice terță parte pe care o utilizează ca furnizor de servicii externe.
- Asigurarea controlului asupra respectării cerințelor privind datele personale în cadrul funcției din domeniul Comercial la nivelul Computerescu.
Directorul Biroului de vânzări Computerescu este responsabil pentru:
- Asigurarea implementării și controlului asupra respectării cerințelor privind datele personale în Biroul său de vânzări.
- Monitorizarea și analizarea legilor locale privind datele cu caracter personal din țara unde se află Biroul său de vânzări și modificarea reglementărilor, elaborând cerințe locale de conformitate, bazate pe politicile și practicile de protecție a datelor personale ale Computerescu, precum și pe legile și reglementările locale.
- Asigurarea cerințelor privind datele cu caracter personal față de orice terță parte pe care o utilizează ca furnizor de servicii externe.
- Transmiterea responsabilităților de protecție a datelor cu caracter personal către furnizorii locali (dacă există) și îmbunătățirea gradului de conștientizare a acestora cu privire la protecția datelor cu caracter personal.
- Transmiterea responsabilităților de protecție a datelor cu caracter personal către clienți și îmbunătățirea gradului de conștientizare a clienților cu privire la protecția datelor cu caracter personal.
Instrucțiuni pentru înființarea Autorității Principale de Supraveghere
8.1. Necesitatea înființării Autorității principale de supraveghere
Identificarea unei autorități principale de supraveghere este relevantă numai dacă societatea desfășoară prelucrarea transfrontalieră a datelor cu caracter personal.
Prelucrarea transfrontalieră a datelor cu caracter personal se efectuează dacă:
a) prelucrarea datelor cu caracter personal este efectuată de filiale ale societății care își au sediul în alte state membre;
sau
b) prelucrarea datelor cu caracter personal care se desfășoară într-un singur sediu al societății în Uniunea Europeană, dar care afectează în mod substanțial sau este susceptibilă să afecteze în mod substanțial persoanele vizate în mai multe state membre.
În cazul în care societatea are sedii numai într-un stat membru, iar activitățile sale de prelucrare nu afectează decât persoanele vizate din respectivul stat membru atunci nu este necesar să se înființeze o autoritate principală de supraveghere. Singura autoritate competentă va fi Autoritatea de Supraveghere din țara în care societatea este înființată în mod legal.
8.2. Sediul principal și Autoritatea principală de supraveghere
8.2.1. Sediul principal al operatorului de date
Consiliul de administrație al Computerescu trebuie să identifice sediul principal, astfel încât să se poată stabili autoritatea principală de supraveghere.
Dacă societatea are sediul într-un stat membru al UE și ia decizii legate de activitățile de prelucrare transfrontalieră în locul administrației sale centrale, va exista o singură autoritate principală de supraveghere a activităților de prelucrare a datelor efectuate de societate.
Dacă societatea are mai multe sedii care acționează independent și iau decizii cu privire la scopurile și mijloacele de prelucrare a datelor cu caracter personal, Consiliul Computerescu trebuie să recunoască faptul că mai există mai mult de o singură autoritate principală de supraveghere.
8.2.2. Sediul principal al procesatorului de date
Atunci când societatea acționează ca procesator de date, atunci sediul principal va fi locul administrației centrale. În cazul în care administrația centrală nu are sediul în UE, sediul principal va fi unitatea din UE unde au loc principalele activități de prelucrare.
8.2.3. Sediul principal pentru societățile din afara UE pentru operatorii și procesatorii de date
În cazul în care societatea nu are un sediu principal în UE și are o filială (filiale) în UE, atunci autoritatea de supraveghere competentă este autoritatea locală de supraveghere.
În cazul în care societatea nu are sediul principal în UE și nici filialele în UE, trebuie să numească un reprezentant în UE, iar autoritatea de supraveghere competentă să fie autoritatea locală de supraveghere în care este localizat reprezentantul.
Răspuns la incidentele de încălcare a datelor cu caracter personal
Atunci când Computerescu suspectează sau găsește o încălcare a datelor cu caracter personal în cadrul Computerescu, Echipa Computerescu pentru confidențialitatea datelor trebuie să efectueze o investigație internă și să ia măsurile adecvate de remediere în timp util, în conformitate cu Politica privind încălcarea datelor. În cazul în care există vreun risc pentru drepturile și libertățile persoanelor vizate, Computerescu trebuie să notifice fără întârziere autoritățile competente pentru protecția datelor și, dacă este posibil, în termen de 72 de ore.
Audit și responsabilitate
Echipa Computerescu pentru confidențialitatea datelor este responsabilă pentru auditarea modului în care departamentele de afaceri implementează această politică.
Orice angajat care încalcă această Politică va face obiectul unor măsuri disciplinare, iar salariatul poate fi, de asemenea, supus unor obligații civile sau penale dacă comportamentul său încalcă legile sau regulamentele.
Conflictele de legi
Această politică este destinată să respecte legile și reglementările de la locul de înființare și ale țărilor în care operează Computerescu. În eventualitatea unui conflict între această politică și legile și reglementările aplicabile, acestea din urmă prevalează.
Gestionarea înregistrărilor păstrate pe baza acestui document
Valabilitatea și gestionarea documentelor
Acest document este valabil începând cu data de 1 mai 2022.
Proprietarul acestui document este Echipa Computerescu pentru confidențialitatea datelor, care trebuie să verifice și, dacă este necesar, să actualizeze documentul cel puțin o dată pe an.