1. DATELE DE IDENTIFICARE ALE OPERATORULUI
Art. 1. Denumirea operatorului. (1) Operatorul de date cu caracter personal este AUM-MED TERAPII HOLISTICE S.R.L.
Sediul social: București, str. Doamna Oltea, nr. 5, parter, camera nr. 1, sectorul 2.
Număr de ordine în Registrul Comerțului: J40/7527/2006 atribuit pe data de 09.05.2006.
Identificator unic la nivel european (EUID): ROONRC.J40/7527/2008.
Cod unic de înregistrare: 18648405.
Forma de organizare: societate cu răspundere limitată pe acțiuni (S.R.L.).
Durata de funcționare: nelimitată.
Certificat de înregistrare: B3443296 emis pe data de 21.08.2017.
Actul de înmatriculare și autorizare: încheierea judecătorească nr. 7563/09.05.2006.
Starea societății la data întocmirii raportului: în funcțiune.
Art. 2. Activitatea principală a operatorului. (1) Alte forme de învățământ n.c.a.– cod CAEN 8559 conform codificării prevăzute de Ordinul nr. 337/2007 privind actualizarea Clasificării activităților din economia națională (CAEN) emis de Președintele Institutului Național de Statistică.
(2) Număr mediu de salariați pentru anul 2018: un salariat, așa cum rezultă și din datele valabile pentru anul 2017 cuprinse în furnizarea de informații emisă de Oficiul Registrului Comerțului București cu nr. 1457074/30.08.2018.
2. SCOPUL SI DOMENIUL DE APLICARE AL REGULAMENTULUI
Art. 3. Regulamentul urmărește asigurarea efectuării prelucrării datelor cu caracter personal în cadrul activităților desfășurate de operatorul de date cu caracter personal AUM-MED TERAPII HOLISTICE S.R.L în conformitate cu Regulamentul UE nr. 679/2016 al Parlamentului European și al Consiliului din data de 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, denumit în continuare Regulamentul UE nr. 679/2016.
Art. 4. Scopul Regulamentului este de a garanta și proteja drepturile și libertățile fundamentale ale persoanelor fizice, în special a dreptului la viață intimă, familială și privată, cu privire la prelucrarea datelor cu caracter personal.
Art. 5. Regulamentul se aplică prelucrărilor de date cu caracter personal, efectuate, în tot sau în parte, prin mijloace automate, precum și prelucrării prin alte mijloace decât cele automate a datelor cu caracter personal care fac parte dintr-un sistem de evidență sau care sunt destinate să fie incluse într-un asemenea sistem.
Art. 6. Regulamentul urmărește aplicarea dispozițiilor legale referitoare la protecția datelor cu caracter personal prin:
- înțelegerea contextului adoptării Regulamentului UE nr. 679/2016 și cunoașterea domeniului de aplicare;
- însușirea definițiilor de bază prevăzute în Regulamentul UE nr. 679/2016, respectiv a noțiunilor de date cu caracter personal, categorii de date cu caracter personal, operator de date cu caracter personal, subiect al protecției datelor cu caracter personal, protecția datelor cu caracter personal, încălcarea securității datelor cu caracter personal;
- cunoașterea principiilor prelucrării datelor cu caracter personal;
- identificarea obligațiilor operatorului de date cu caracter personal;
- identificarea drepturilor subiectului protecției datelor cu caracter personal;
- identificarea tipurilor de prelucrări de date cu caracter personal;
- identificarea categoriilor de date cu caracter personal prelucrate;
- identificarea temeiului legal în baza căruia se efectuează prelucrarea raport la art. 6 din Regulamentul UE nr. 679/2016;
- identificarea persoanelor care prelucrează datele cu caracter personal;
- asigurarea că persoanele împuternicite își cunosc obligațiile și responsabilitățile;
- identificarea fluxului de date, cu indicarea originii și a destinației datelor, în special pentru a identifica eventualele transferuri de date în afara Uniunii Europene;
- verificarea existenței și clauzelor contractuale și actualizarea obligațiilor persoanelor împuternicite privind securitatea, confidențialitatea și protecția datelor cu caracter personal prelucrate;
- identificarea eventualelor prelucrări de date cu caracter personal susceptibile de a prezenta riscuri ridicate pentru drepturile și libertățile persoanelor fizice pentru a determina dacă operatorul ca efectua o evaluare a impactului asupra protecției datelor în condițiile art. 35 din Regulamentul UE nr. 679/2016;
- identificarea eventualelor prelucrări de date cu caracter personal susceptibile de a impune desemnarea responsabilului cu protecția datelor, persoană care să exercite o misiune de informare, de consiliere și de control în plan intern, în condițiile art. 37-39 din Regulamentul UE nr. 679/2016;
- stabilirea măsurilor tehnice și organizatorice pentru protejarea datelor;
- elaborarea procedurilor interne pentru a asigura permanent un nivel ridicat de protecție a datelor cu caracter personal.
Art. 7. Aplicarea corectă a prezentului regulament va fi monitorizată de operator. Nerespectarea intenționată sau din culpă a dispozițiilor regulamentului poate conduce la pierderi financiare și reputațiunile semnificative pentru operator, și, posibil, la consecințe disciplinare pentru angajații operatorului responsabili.
3. CONTEXTUL ADOPTARII REGULAMENTULUI UE NR.679/ 2016 SI CUNOASTEREA DOMENIULUI DE APLICARE
Art. 8. (1) Parlamentul European și Consiliul au adoptat, în data de 27 aprilie 2016, Regulamentul UE nr. 679/2016, fiind publicat în Jurnalul Oficial al Uniunii L119 din data de 4 mai 2016. Prevederile lui sunt direct aplicabile în toate statele membre din data de 25 mai 2018.
(2) Regulamentul UE nr. 679/2016 impune un set unic de reguli în materia protecției datelor cu caracter personal, înlocuind Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date.
Art. 9. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene („carta”) și articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene (TFUE) prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.
Art. 10. (1) Principiile și normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, indiferent de cetățenia sau de locul de reședință al persoanelor fizice, trebuie să fie cât mai bine înțelese și aplicate, astfel încât să respecte drepturile și libertățile fundamentale persoanelor fizice, în special dreptul la protecția datelor cu caracter personal.
(2) Protecția conferită de Regulamentul UE nr. 679/2016 vizează persoanele fizice, indiferent de cetățenia sau de locul de reședință al acestora, în ceea ce privește prelucrarea datelor cu caracter personal ale acestora.
(3) Regulamentul UE nr. 679/2016 nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și datele de contact ale persoanei juridice.
Art. 11. Dreptul la protecția datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității. Regulamentul UE 679/2016 respectă toate drepturile fundamentale și libertățile și principiile recunoscute în cartă astfel cum sunt consacrate în tratate, în special respectarea vieții private și de familie, a reședinței și a comunicațiilor, a protecției datelor cu caracter personal, a libertății de gândire, de conștiință și de religie, a libertății de exprimare și de informare, a libertății de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică.
Art. 12. Evoluțiile tehnologice rapide și globalizarea au generat noi provocări pentru protecția datelor cu caracter personal. Amploarea colectării și a schimbului de date cu caracter personal a crescut în mod semnificativ. Tehnologia permite atât societăților private, cât și autorităților publice să utilizeze date cu caracter personal la un nivel fără precedent în cadrul activităților lor. Din ce în ce mai mult, persoanele fizice fac publice la nivel mondial informații cu caracter personal. Tehnologia a transformat deopotrivă economia și viața socială și ar trebui să faciliteze în continuare libera circulație a datelor cu caracter personal în cadrul Uniunii și transferul către țări terțe și organizații internaționale, asigurând, totodată, un nivel ridicat de protecție a datelor cu caracter personal.
Art. 13. Pentru buna funcționare a pieței interne este necesar ca libera circulație a datelor cu caracter personal în cadrul Uniunii să nu fie restricționată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal. Așadar, libera circulație a datelor cu caracter personal în interiorul Uniunii nu poate fi restricționată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.
Art. 14. Regulamentul UE nr. 679/2016 se aplică:
- prelucrării datelor cu caracter personal în cadrul activităților derulate la sediul unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii;
- prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de (i) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată, sau (ii) monitorizarea comportamentului dacă acesta se manifestă în cadrul Uniunii;
- prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public.
4. DEFINITII
Art. 15. În sensul Regulamentului UE nr. 679/2016 :
1. | „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale; |
2. | „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea; |
3. | „restricționarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora; |
4. | „creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;
|
11. | „consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate; |
12. | „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea; |
13. | „date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice privind fiziologia sau sănătatea persoanei respective și care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză; |
14. | „date biometrice” înseamnă o date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice; |
15. | „date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia; |
16. | „sediu principal” înseamnă:
|
23. | „prelucrare transfrontalieră” înseamnă:
|
24. | „obiecție relevantă și motivată” înseamnă o obiecție la un proiect de decizie în scopul de a stabili dacă există o încălcare a prezentului regulament sau dacă măsurile preconizate în ceea ce privește operatorul sau persoana împuternicită de operator respectă prezentul regulament, care demonstrează în mod clar importanța riscurilor pe care le prezintă proiectul de decizie în ceea ce privește drepturile și libertățile fundamentale ale persoanelor vizate și, după caz, libera circulație a datelor cu caracter personal în cadrul Uniunii; |
25. | „serviciile societății informaționale” înseamnă un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva 98/34/CE a Parlamentului European și a Consiliului; |
26. | „organizație internațională” înseamnă o organizație și organismele sale subordonate reglementate de dreptul internațional public sau orice alt organism care este instituit printr-un acord încheiat între două sau mai multe țări sau în temeiul unui astfel de acord.
Art. 16. Alți termeni
iii) date personale ale persoanelor fizice care au calitatea de reprezentanți legali sau convenționali ai clienților sau partenerilor persoane juridice; iii) administratorii, directorii, mandatarii ori salariații operatorului;
|
5. PRINCIPIILE PRELUCRARII DATELOR CU CARACTER PERSONAL
Art. 17. (1) AUM-MED TERAPII HOLISTICE S.R.L. prelucrează datele cu caracter personal respectând principiul transparenței. Orice informații și comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar.
(2) În virtutea acestui principiu, persoanele vizate sunt informate cu privire la identitatea operatorului și scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica datele cu caracter personal care le privesc care sunt prelucrate.
(3) Persoanele fizice vizate sunt informate cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal și cu privire la modul în care să își exercite drepturile în legătură cu prelucrarea. În special, scopurile specifice în care datele cu caracter personal sunt prelucrate sunt explicite și legitime și determinate la momentul colectării datelor respective.
Art. 18. Datele cu caracter personal sunt:
(a) | prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”); |
(b) | colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1) din Regulamentul UE nr. 679/2016 („limitări legate de scop”); |
(c) | adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”); datele cu caracter personal sunt adecvate, relevante și limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Perioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum. Datele cu caracter personal sunt prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace; |
(d) | exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”);
|
6. SCOPURILE PRELUCRARII DATELOR CU CARACTER PERSONAL. TEMEIURILE LEGALE ALE PRELUCRARII
Art. 19. Datele cu caracter personal colectate de operatorul AUM-MED TERAPII HOLISTICE S.R.L. sunt prelucrate:
în principal,
- în scopul acreditării sau reacreditării pentru a desfășura activități de practician certificat de reconectare, conform cerințelor The Reconnection L.L.C.;
- în scopul prestării serviciilor de reconectare personală;
- în scopul prestării serviciilor reconectare la distanță (pentru altă persoană);
- în scopul acordării biletelor de tombolă;
- când se accesează site-ul www.reconetarea.com;
- când se creează un cont de utilizator pe site-ul www.reconetactarea.com;
- când se accesează pagina de facebook VindecareReconectiva
- când se accesează site-ul web You Tube VindecareReconectiva
în subsidiar,
- în scopul etapelor premergătoare încheierii oricăror contracte la cererea persoanelor vizate;
- în scopul încheierii/executării/modificării/încetării contractelor;
- în scopul îndeplinirii obligațiilor pre
- văzute în actele normative (obligații legale);
- în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate; așadar, interesele legitime ale operatorului, inclusiv cele ale unui operator căruia îi pot fi divulgate datele cu caracter personal sau ale unei terțe părți, pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, luând în considerare așteptările rezonabile ale persoanelor vizate bazate pe relația acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci când există o relație relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în care persoana vizată este un client al operatorului sau se află în serviciul acestuia. În orice caz, existența unui interes legitim necesită o evaluare atentă, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în momentul și în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop. Interesele și drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare ulterioară. Prelucrarea de date cu caracter personal strict necesară în scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date în cauză. Operatorii care fac parte din același grup de întreprinderi sau instituții afiliate societății AUM-MED TERAPII HOLISTICE S.R.L. pot avea un interes legitim de a transmite date cu caracter personal în cadrul grupului de întreprinderi în scopuri administrative interne, inclusiv în scopul prelucrării datelor cu caracter personal ale clienților sau angajaților. Principiile generale ale transferului de date cu caracter personal, în cadrul unui grup de întreprinderi, către o întreprindere situată într-o țară terță rămân neschimbate. De asemenea, prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim.
- în scopul etapelor premergătoare încheierii contractelor de individuale de muncă la cererea persoanelor vizate, în scopul recrutării;
- în scopul încheierii/executării, respectării clauzelor contractului de muncă, inclusiv descărcarea de obligațiile stabilite prin lege sau prin acorduri colective, al gestionării, planificării și organizării muncii, al egalității și diversității la locul de muncă, al asigurării sănătății și securității la locul de muncă, precum și în scopul exercitării și beneficierii, în mod individual sau colectiv, de drepturile și beneficiile legate de ocuparea unui loc de muncă, precum și în scopul încetării/stingerii raporturilor de muncă;
- în baza consimțământului persoanei vizate. Cu privire la prelucrarea datelor cu caracter personal în temeiul consimțământului se va ține seama de cerințele referitoare la acest temei. Astfel, consimțământul va fi solicitat persoanei vizate printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu vor constitui consimțământ. Consimțământul va viza toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimțământul va fi dat pentru toate scopurile prelucrării. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul. Consimțământul nu va fi considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată. În anumite circumstanțe, cum ar conversațiile telefonice, consimțământul poate fi dat verbal. În toate cazurile acordarea consimțământului trebuie să fie documentată. Așadar, fără a aduce atingere dispozițiilor legale care reglementează obligația operatorului de a respecta şi de a ocroti viața intimă, familială şi privată, consimțământul persoanei vizate nu este cerut în următoarele cazuri:
- când prelucrarea este necesară în vederea executării unui contract sau antecontract la care persoana vizată este parte ori în vederea luării unor măsuri, la cererea acesteia, înaintea încheierii unui contract sau antecontract;
- când prelucrarea este necesară în vederea protejării vieții, integrității fizice sau sănătății persoanei vizate ori a unei alte persoane amenințate;
- când prelucrarea este necesară în vederea îndeplinirii unei obligații legale a operatorului;
- când prelucrarea este necesară în vederea aducerii la îndeplinire a unor măsuri de interes public sau care vizează exercitarea prerogativelor de autoritate publică cu care este învestit operatorul sau terţul căruia îi sunt dezvăluite datele;
- când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau al terțului căruia îi sunt dezvăluite datele, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile şi libertățile fundamentale ale persoanei vizate;
- când prelucrarea privește date obținute din documente accesibile publicului, conform legii;
- când prelucrarea este făcută exclusiv în scopuri statistice, de cercetare istorică sau științifică, iar datele rămân anonime pe toată durata prelucrăriiArt. 20. (1) Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele cu caracter personal au fost inițial colectate este permisă doar atunci când prelucrarea este compatibilă cu scopurile respective pentru care datele cu caracter personal au fost inițial colectate. (2) Temeiul juridic prevăzut în dreptul Uniunii sau în dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioară. (3) Pentru a stabili dacă scopul prelucrării ulterioare este compatibil cu scopul pentru care au fost colectate inițial datele cu caracter personal, operatorul, după ce a îndeplinit toate cerințele privind legalitatea prelucrării inițiale, va ține seama, printre altele, de orice legătură între respectivele scopuri și scopurile prelucrării ulterioare preconizate, de contextul în care au fost colectate datele cu caracter personal, în special de așteptările rezonabile ale persoanelor vizate, bazate pe relația lor cu operatorul, în ceea ce privește utilizarea ulterioară a datelor, de natura datelor cu caracter personal, de consecințele prelucrării ulterioare preconizate asupra persoanelor vizate, precum și de existența garanțiilor corespunzătoare atât în cadrul operațiunilor de prelucrare inițiale, cât și în cadrul operațiunilor de prelucrare ulterioare preconizate.
7. REGULI SPECIALE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL
Art. 21. (1) Prelucrarea datelor cu caracter personal legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice sau de natură similară, de apartenența sindicală, precum şi a datelor cu caracter personal privind starea de sănătate sau viața sexuală este interzisă.
(2) Prevederile alin. (1) nu se aplică în următoarele cazuri:
- a) când persoana vizată și-a dat în mod expres consimțământul pentru o astfel de prelucrare, cu excepția cazului în care dreptul Uniunii Europene sau dreptul intern prevede ca interdicția prevăzută la alineatul (1) să nu poată din ridicată prin consimțământul persoanei vizate;
- b) când prelucrarea este necesară în scopul respectării obligațiilor sau drepturilor specifice ale operatorului în domeniul dreptului muncii, al securității și protecției sociale, cu respectarea garanțiilor prevăzute de lege; o eventuală dezvăluire către un terț a datelor prelucrate poate fi efectuată numai dacă există o obligație legală a operatorului în acest sens sau dacă persoana vizată a consimțit expres la această dezvăluire;
- c) când prelucrarea este necesară pentru protecția vieții, integrității fizice sau a sănătății persoanei vizate ori a altei persoane, în cazul în care persoana vizată se află în incapacitate fizică sau juridică de a-și da consimțământul;
- d) când prelucrarea este efectuată în cadrul activităților sale legitime de către o fundație, asociație sau de către orice altă organizație cu scop nelucrativ şi cu specific politic, filozofic, religios ori sindical, cu condiția ca persoana vizată să fie membră a acestei organizații sau să întrețină cu aceasta, în mod regulat, relații care privesc specificul activității organizației și ca datele să nu fie dezvăluite unor terți fără consimțământul persoanei vizate;
- e) când prelucrarea se referă la date făcute publice în mod manifest de către persoana vizată;
- f) când prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în justiție;
- g) când prelucrarea este necesară în scopuri de medicină preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizată ori de gestionare a serviciilor de sănătate care acționează în interesul persoanei vizate, cu condiția ca prelucrarea datelor respective să fie efectuate de către ori sub supravegherea unui cadru medical supus secretului profesional sau de către ori sub supravegherea unei alte persoane supuse unei obligații echivalente în ceea ce privește secretul;
- h) când legea prevede în mod expres aceasta în scopul protejării unui interes public important/major, cu condiția ca prelucrarea să se efectueze cu respectarea drepturilor persoanei vizate şi a celorlalte garanții prevăzute legale.
(3) Prevederile alin. (2) nu aduc atingere dispozițiilor legale care reglementează obligația autorităților publice de a respecta şi de a ocroti viața intimă, familială şi privată.
Art. 22. Prelucrarea datelor cu caracter personal referitoare la săvârșirea de infracțiuni de către persoana vizată ori la condamnări penale, măsuri de siguranță sau sancțiuni administrative ori contravenționale, aplicate persoanei vizate, poate fi efectuată numai de către sau sub controlul autorităților publice, în limitele puterilor ce le sunt conferite prin lege şi în condițiile stabilite de legile speciale care reglementează aceste materii. Orice registru cuprinzător al condamnărilor penale se ține numai sun controlul unei autorității de stat.
8. CATEGORII DE DATE CU CARACTER PERSONAL PRELUCRATE
Art. 23. (1) AUM-MED TERAPII HOLISTICE S.R.L. prelucrează următoarele date cu caracter personal:
- Date despre clienții care solicită serviciile operatorului, parteneri comerciali și reprezentanți ai acestora. Prelucrarea datelor pentru o relație contractuală
- Datele personale ale eventualilor clienți, clienți existenți și parteneri, precum și ale persoanelor fizice ce îi reprezintă, pot fi procesate în scopul încheierii, executării și finalizării unui contract. Datele cu caracter personal sunt prelucrate și în cursul negocierilor precontractuale, spre exemplu pentru a pregăti oferte sau ale documente în scopul încheierii contractului. Persoanele vizate pot fi contactate în timpul negocierilor/procesului de pregătire a contractului folosind informațiile persoanele pe care acestea lea-u furnizat. Orice restricții solicitate de persoanele vizate în timpul negocierilor trebuie respectate. De regulă, sunt prelucrate următoarele categorii de date cu caracter personal: i) numele și prenumele (ii) data nașterii (iii) locul nașterii (iii) domiciliul (iii) seria și numărul cărții de identitate (iv) codul numeric personal (v) numărul de telefon (vi) e-mail (elemente de identificare on-line (vii) date bancare (viii) informații și date legate de pregătirea educațională și profesională (ix) date privind imaginea: voce, imagine fotografică sau video a persoanei vizate.
- Datele persoanelor care solicită încheierea unui contract individual de muncă
Operatorul prelucrează (i) numele și prenumele (ii) data nașterii (iii) locul nașterii (iii) domiciliul (iii) seria și numărul cărții de identitate (iv) codul numeric personal (v) numărul de telefon (v) e-mail (vi) informații și date legate de pregătirea educațională și profesională (vii) informații și date legate de profesiile și funcțiile exercitate. În situația în care candidatul este respins, datele sale trebuie să fi șterse, în conformitate cu termenul de păstrare necesar, cu excepția cazului în care candidatul a fost de acord ca datele sale să rămână la dosar pentru un viitor proces de selecție. De asemenea, este necesar să se obțină consimțământul pentru a prelucra datele în cadrul altor companii din grup. Dacă în timpul procedurii de aplicare este necesară colectarea informațiilor despre un candidat de la terță parte, se vor respecta, de asemenea, cerințele legale corespunzătoare.
- Datele salariaților sau ale persoanelor asimilate salariaților (administratori, manageri, directori, etc)
Operatorul prelucrează (i) numele și prenumele (ii) data nașterii (iii) locul nașterii (iii) domiciliul (iii) seria și numărul cărții de identitate (iv) codul numeric personal (v) numărul de telefon (v) e-mail (vi) informații și date legate de pregătirea educațională și profesională (vii) informații și date legate de profesiile și funcțiile exercitate.
(2) AUM-MED TERAPII HOLISTICE S.R.L. prelucrează datele cu caracter personal astfel:
- în general, datele sunt păstrate pe o perioadă de 5 ani de la ultima interacțiune;
- datele privind supravegherea video pentru asigurarea securității bunurilor și persoanelor, respectiv a înregistrării apelurilor telefonice și a opiniei dumneavoastră privind serviciile operatoriului se vor stoca pe o perioadă de 30 de zile calendaristice, respectiv în conformitate cu temeiurile prevăzute de legislația in vigoare;
- datele privind procesul de recrutare vor fi păstrate pe o perioadă de 6 luni de la încheierea procesului de recrutare/ selecție;
- datele legate de facturare și plăți vor fi stocate pe o perioadă de 10 ani de la data întocmirii lor, conform Legii nr. 82/1991, Legea contabilității;
- prelucrarea datelor în scop de marketing va avea loc pe durata relației contractuale cu operatorului, precum și după încetarea acesteia. În situația în care persoana vizată își retrage consimțământul de marketing direct, datele sale nu vor mai fi prelucrate în acest scop, din momentul retragerii consimțământului;
- datele persoanei vizate pot fi prelucrate și pe durata existenței unei obligații legale pentru păstrarea datelor, respectiv pe durata de existență a unui alt temei justificativ legal, în conformitate cu exigențele art. 5 din Regulamentul General UE privind protecția datelor.
9. DREPTURILE PERSOANELOR AVIZATE
Capitolul IX. Drepturile persoanelor vizate
Art. 24. În virtutea art. 12 din Regulamentul UE 679/2016 privind transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanelor vizate, operatorul va lua măsuri adecvate pentru a furniza persoanei vizate orice informații legate de drepturile persoanelor vizate. În acest sens, operatorul va adopta Procedura privind exercitarea drepturilor persoanelor vizate pentru garantarea următoarelor drepturi:
Dreptul de a fi informat. Persoana vizată are dreptul de a primi informații clare, transparente, ușor de înțeles și ușor accesibile cu privire la modul în care sunt prelucrate datele sale, inclusiv detalii privind drepturile sale, în calitate de persoană vizată.
Dreptul de acces la date. Persoana vizată are dreptul de a accesa datele prelucrate despre ea, fără a percepe vreun fel de taxă la primele furnizări de date.
Dreptul la rectificarea datelor. În cazul în care persoana vizată identifică că datele sale sunt prelucrate incorecte, incomplet sau inexacte poate solicita rectificarea acestora.
Dreptul de ștergere a datelor (dreptul de a fi uitat). Persoana vizată are dreptul de a solicita ștergerea datelor tale în situațiile prevăzute în Procedura privind exercitarea drepturilor persoanelor vizate
Dreptul de a restricționa prelucrarea. Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării datelor în oricare dintre situațiile Procedura privind exercitarea drepturilor persoanelor vizate.
Dreptul de a se opune marketing-ului direct (inclusiv profilarea în scop de marketing direct). Persoana vizată se poate opune oricând și dezabona la comunicările de marketing direct în orice moment.
Dreptul de a se opune prelucrării bazate pe interes legitim. Persoana vizată se poate opune în orice moment oricărei prelucrări de date atunci când la o astfel de prelucrare se bazează pe interesul legitim al operatorului.
Dreptul de portabilitate. Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazurile prevăzute de art. 20 alin. (1) din Regulamentul UE nr. 679/2016.
Dreptul de a face plângeri la autoritatea de supraveghere. Persoana vizată are dreptul să depună orice plângeri în fața Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal („A.N.S.P.D.C.P.”) asupra modului în care îi sunt prelucrate datele tale personale.
9. OBLIGATIILE OPERATORULUI
Art. 25. În virtutea principiului responsabilității prelucrării datelor cu caracter personal, AUM-MED TERAPII HOLISTICE S.R.L.:
- urmărește cu prioritate conformarea cu cerințele Regulamentului UE nr. 679/2016;
- promovează o cultură organizațională care respectă dreptul la viață privată al persoanelor vizate;
- gestionează responsabil datele cu caracter personal;
- prelucrează datele cu caracter personal în mod legal, transparent și echitabil;
- va identifica eventualele prelucrări de date cu caracter personal susceptibile de a prezenta riscuri ridicate pentru drepturile și libertățile persoanelor fizice pentru a determina dacă se impune evaluarea impactului asupra protecției datelor;
- desemna responsabilul cu protecția datelor dacă va aprecia ca sunt întrunite cerințele art. 37 din Regulamentul UE nr. 679/2016;
- creează mecanisme de raportare a conformității.
Art. 26. Orice persoană care acționează sub autoritatea operatorului sau a persoanei împuternicite, inclusiv persoana împuternicită, care are acces la date cu caracter personal, nu poate să le prelucreze decât pe baza instrucțiunilor operatorului, cu excepția cazului în care acționează în temeiul unei obligații legale.
Art. 27. (1) Datele persoanele sunt considerate confidențiale.
(2) Orice prelucrare neautorizată a acestor date ste interzisă. Orice procesare de date efectuată de un salariat care nu a fost autorizat să o îndeplinească, ca parte a atribuțiilor sale de serviciu, este neautorizată.
(3) Salariații pot avea acces la date persoane numai pentru scopul sarcinii de serviciu. Acest lucru necesită punerea în aplicare a rolurilor și responsabilităților fiecărui salariat. Este interzisă prelucrarea datelor cu caracter personal în scopuri private sau comerciale, dezvăluirea făcută persoanelor neautorizate sau punerea la dispoziție a datelor către persoane neautorizate în orice mod. Șefii de departamente și departamentul de resurse umane vor informa salariații la începutul relației de muncă cu privire la obligația de a proteja confidențialitate datelor personale. Această obligație produce efecte și după încetarea contractului individual de muncă.
(4) Operatorul este obligat să aplice măsurile tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectivă comportă transmisii de date în cadrul unei rețele, precum și împotriva oricărei alte forme de prelucrare ilegală.
(5) Aceste măsuri trebuie să asigure, potrivit stadiului tehnicii utilizate în procesul de prelucrare şi de costuri, un nivel de securitate adecvat în ceea ce privește riscurile pe care le reprezintă prelucrarea, precum și în ceea ce privește natura datelor care trebuie protejate. Cerințele minime de securitate a datelor cu caracter personal fac parte din managementul securității informațiilor companiei și vor fi actualizate periodic, corespunzător progresului tehnic și experienței acumulate.
(6) Efectuarea prelucrărilor prin persoane împuternicite trebuie să se desfășoare în baza unui contract încheiat în formă scrisă, care va cuprinde în mod obligatoriu:
- a) obligația persoanei împuternicite de a acționa doar în baza instrucțiunilor primite de la operator;
- b) faptul că îndeplinirea obligațiilor prevăzute în prezentul articol revine și persoanei împuternicite.
Art. 28. În măsura în care vor fi incidente dispozițiile art. 30 din Regulamentul UE nr. 679/2016 privind evidențele activităților de prelucrare, operatorul va întocmi și păstra evidențe ale activităților de prelucrare aflate în responsabilitatea sa. Operatorul cooperează, la cerere, cu autoritatea de supraveghere în îndeplinirea sarcinilor lor, și va pune la dispoziția acesteia, la cerere, aceste evidențe, pentru a putea fi utilizate în scopul verificării operațiunilor de prelucrare respective.
Art. 29. În măsura în care vor fi incidente dispozițiile art. 37 din Regulamentul UE nr. 679/2016 privind desemnarea operatorului de date cu caracter personal, operatorul va desemna responsabilul cu protecția datelor ținând seama și de prevederile art. 38 și 39 din Regulamentul UE nr. 679/2016.
Art. 30. În măsura în care vor fi incidente dispozițiile art. 35 din Regulamentul UE nr. 679/2016 privind evaluarea impactului asupra protecției datelor, operatorul va întocmi evaluarea anterior prelucrării datelor solicitând avizul responsabilului cu protecția datelor dacă acesta a fost desemnat.
11. NOTIFICAREA AUTORITATII DE SUPRAVEGHERE IN CAZUL INCALCARII SECURITATII DATELOR CU CARACTER PERSONAL
Art. 31. (1) Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză.
(2) De îndată ce a luat cunoștință de producerea unei încălcări a securității datelor cu caracter personal, operatorul va notifica încălcarea autorității de supraveghere, fără întârziere nejustificată și, dacă este posibil, în cel mult 72 de ore după ce a luat la cunoștință de existența acesteia, cu excepția cazului în care operatorul este în măsură să demonstreze, în conformitate cu principiul responsabilității, că încălcarea securității datelor cu caracter personal nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice. Atunci când notificarea nu se poate realiza în termen de 72 de ore, aceasta va cuprinde motivele întârzierii, iar informațiile pot fi furnizate treptat, fără altă întârziere.
(3) Operatorul va comunica persoanei vizate încălcarea securității datelor cu caracter personal, fără întârzieri nejustificate, atunci când încălcarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanei fizice, pentru a-i permite să ia măsurile de precauție necesare. Comunicarea trebuie să descrie într-un limbaj clar și simplu natura încălcării securității datelor cu caracter personal și să cuprindă datele de contact ale responsabilului cu protecția datelor sau alt punct de contact de unde se pot obține mai multe informații, consecințele probabile ale încălcării securității datelor cu caracter persona, precum și recomandările pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative.
(4) Comunicările către persoanele vizate vor fi efectuate în cel mai scurt timp posibil în mod rezonabil și în strânsă cooperare cu autoritatea de supraveghere, respectându-se orientările furnizate de aceasta sau de alte autorități competente, cum ar fi autoritățile de aplicare a legii. De exemplu, necesitatea de a atenua un risc imediat de producere a unui prejudiciu ar presupune comunicarea cu promptitudine către persoanele vizate, în timp ce necesitatea de a implementa măsuri corespunzătoare împotriva încălcării în continuare a securității datelor cu caracter personal sau împotriva unor încălcări similare ale securității datelor cu caracter personal ar putea justifica un termen mai îndelungat pentru comunicare.
(5) Informarea persoanei vizate nu este necesară în cazul în care oricare dintre următoarele condiții este îndeplinită:
- a) operatorul a implementat măsuri de protecție tehnice și organizatorice adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securității datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
- b) operatorul a luată măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile și libertățile persoanelor vizate nu mai este susceptibil să se realizeze;
- c) ar necesita un efort disproporționat. În această situație, se efectuează în loc o informare publică sa se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.
12. TRANSFERURILE DE DATE CU CARACTER PERSONAL
Art. 32. (1) Fluxurile de date cu caracter personal către și dinspre țări situate în afara Uniunii Europene (state terțe) și organizații internaționale pot fi necesare pentru dezvoltarea activităților desfășurate de operator, aria sa de activitate fiind comerțul. Operatorul este informat că în cazul în care se transferă date cu caracter personal din Uniunea Europeană către operatori, persoane împuternicite de operatori sau alți destinatari din țări terțe sau organizații internaționale, nivelul de protecție a persoanelor fizice asigurat în Uniune nu ar trebui să fie diminuat. În acest sens, un transfer va avea loc numai dacă, sub rezerva respectării celorlalte dispoziții ale Regulamentului UE nr. 679/2006, operatorul sau persoana împuternicită de operator îndeplinește condițiile prevăzute de dispozițiile Regulamentului UE nr. 679/2006 privind transferul de date cu caracter personal către țări terțe sau organizații internaționale.
(2) Transferul de date cu caracter personal în afara spațiului Uniunii Europene poate avea loc numai dacă în următoarele situații:
- a) Comisia Europeană a emis decizie de adecvare în baza căreia s-a constatat că țara terță, un teritoriu ori unul sau mai multe sectoare specificate din acea țară sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită autorizări speciale. Lista țărilor care îndeplinesc la data prezentului Regulament cerințele de adecvare ale Comisiei este publicată în Jurnalul Oficial al Uniunii Europene: http://ec.europa.eu/justice/dataprotection/internațional-transfers/adequacy/index_en.htm;
- b) în lipsa unei decizii de adecvare, transferul datelor cu caracter personal într-o țară terță sau într-o organizație internațională poate avea loc numai în una dintre următoarele condiții:
– persoana vizată și-a exprimat în mod explicit acordul cu privire la transferul propus, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecție și a unor garanții adecvate;
– transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;
– transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică;
– transferul este necesar din considerente importante de interes public;
– transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță;
– transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau a alte persoana, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul.
13. DISPOZITII FINALE
Art. 33. Garantul respectării dreptului la protecția datelor cu caracter personal Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), cu sediul în București bd. G-ral Gheorghe Magheru, nr.28-30, Sector 1.
Art. 34. Dispozițiile prezentului Regulament se completează cu prevederile Regulamentului UE nr. 679/2016 și cu cele ale Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).
Art. 35. Anexele nr. 1- 5 fac parte din prezentul Regulament și conțin:
- Recomandările organizatorice și tehnice pentru îndeplinirea obligațiilor referitoare la asigurarea confidențialității datelor și informațiilor, pentru păstrarea acestora în siguranță și pentru securitatea și controlul sistemelor informatice;
- Angajamentul de confidențialitate al salariaților;
- modelul Declarației de consimțământ pentru prelucrarea datelor;
- modelul de Act adițional privind activitățile de prelucrare a datelor cu caracter personal ale operatorului;
- modelul de Notificare a Autorității de Supraveghere în cazul unui incident de securitate a datelor.
Art. 36. În virtutea art. 12 din Regulamentul UE 679/2016 privind transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanelor vizate, AUM-MED TERAPII HOLISTICE S.R.L. ia măsuri adecvate pentru a furniza persoanei vizate orice informații legate de drepturile persoanelor vizate conform Procedurii privind exercitarea drepturilor persoanelor vizate.
Art. 37. Prezentul Regulament împreună cu anexele a fost adoptat de operatorul AUM-MED TERAPII HOLISTICE S.R.L. la data de 30 august 2018 și întră în vigoare începând cu această dată.
AUM-MED TERAPII HOLISTICE S.R.L.
reprezentată de administrator Andra Cristina Ivanov