Politica de prelucrare a datelor cu caracter personal

Prezenta „Politică de securitate a prelucrării datelor cu caracter personal” a fost elaborata odata cu intrarea in vigoare incepand cu data de 25 mai 2018 a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (denumit in continuare “GDPR”).

Aceasta politica reglementează modul în care sunt colectate și utilizate aceste informaţii, precum și condiţiile de utilizare a informaţiei în cadrul companiei Danco Pro Communication, cu sediul in Bucuresti, Strada Maior Ion Coravu, nr. 29C, sector 2, inregistrata la Registrul Comertului sub nr. J40/4282/1997, cod unic de înregistrare RO9482566, legal reprezentata prin Rodea Daniel Cornel, in calitate de administrator (denumita in continuare “Compania”)

1. DEFINITII

“Date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

„Prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.

Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern.

Persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.

Parte terță” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.

Destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării.

Consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

Restricționarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora.

2. PRINCIPIILE POLITICII DE SECURITATE

Compania proceseaza datele cu caracter personal cu care vine in contact cu respectarea urmatoarelor principii:

Protejarea drepturilor si libertatilor fundamentale ale persoanelor vizate;

Legalitate, echitate si transparenta – datele cu caracter personal sunt prelucrate cu buna credinta si in conformitate cu dispozitiile legale in vigoare, intr-un mod echitabil si transparent fata de persoana vizata;

Scopuri determinate, explicite si legitime – Prelucrarea datelor cu caracter personal de catre Compania se face in scopuri determinate, explicite si legitime si nu sunt prelucrate ulterior intr-un mod incompatibil cu aceste scopuri;

Temei legal – Compania se va asigura ca orice procesare a datelor cu caracter personal va avea un temei bine determinat, precum prevederi legale, consimtamantul persoanei vizate, executarea contractelor, interesul legitim al Companiei (care nu va contraveni intereselor superioare ale persoanei vizate);

Limitare prin raportare la scop – Compania proceseaza datele cu caracter personal numai daca sunt adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate;

Limitare prin raportare la timp – Compania pastreaza datele persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele;

Exactitate si acuratete – Compania proceseaza date cu caracter personal intr-un mod precis si ia masuri rezonabile pentru a se asigura ca datele inexacte de care ia cunostinta sunt sterse sau rectificate;

Securitate – Compania este dedicata asigurarii securitatii tuturor datelor cu caracter personal pe care le prelucreaza si face demersuri constante pentru a atinge acest scop, inclusiv prin instruirea angajatilor, colaboratorilor si partenerilor sai.

3. CATEGORII DE PERSOANE VIZATE

Compania proceseaza date cu caracter personal ale urmatoarelor categorii de persoane vizate:

  • Clientii nostri, persoane fizice;
  • Clientii nostri, persoane juridice;
  • Angajatii/colaboratorii proprii;
  • Angajatii/colaboratorii partenerilor comerciali;
  • Dupa caz, alte persoane fizice care interactioneaza cu societatea in cursul activitatii acesteia.

4. DATELE COLECTATE

In functie de specificul fiecarei relatii, Compania poate procesa urmatoarele categorii de date cu privire la persoanele vizate:

  • Informații de contact, cum ar fi numele, denumirea angajatorului și a postului deținut în cadrul unei companii, adresa de domiciliu și/sau reședință, adresa profesională, numărul de telefon, numărul de telefon mobil, adresa de e-mail, naționalitate, date privind cartea de identitate și/sau în pașaport;
  • Informații suplimentare prelucrate în contextul unui raport contractual sau comunicate în mod voluntar de către dvs., cum ar fi: instrucțiuni acordate, plăți efectuate, informații privind orice chestiuni juridice, status familial etc
  • În contextul serviciilor prestate putem, de asemenea, colecta și prelucra date cu caracter personal ale copiilor dvs. atunci când vacanțele ori călătoriile dvs. îi privesc și pe aceștia. Desigur că dăm o importanță deosebită acestor date și le vom asigura o protecție specifică.
  • Datele rezultate din navigarea dvs. pe pagina noastră de internet colectate prin intermediul cookie-urilor și a tehnologiilor similare (adresa de IP etc). Politica de cookies este disponibila la urmatoarea adresa: http://dancopro.ro/politica-de-cookie-uri/

5. SCOPURILE SI TEMEIURILE PRELUCRARII

Colectam date cu caracter personal in urmatoarele scopuri:

  • Prestarea serviciilor catre clientii care doresc sa acceseze serviciile Companiei;
  • Promovarea serviciilor Companiei;
  • Executarea contractelor cu furnizorii si partenerii;
  • In procesul de recrutare si gestionare a angajatilor/colaboratorilor nostri;

6. DESTINATARI

Compania nu transfera date cu caracter personal catre destinatari din afara spatiului Uniunii Europene.

Compania nu vinde, nu ofera si nu pune la dispozitia tertilor in interes comercial datele cu caracter personal pe care le prelucreaza. Compania poate avea anumite relatii cu parteneri si colaboratori, situatie in care este posibil ca anumite date sa fie transferate catre si de la acestia, cand acest lucru este necesar in scopul prelucrarii datelor, cum ar fi urmatoarele cazuri:

a) Furnizorii de servicii de calatorie

Datele cu caracter personal necesare furnizarii serviciilor de calatorie pe care le-ati achizitionat vor fi transferate companiilor terte, pentru ca serviciile de calatorie comandate sa fie prestate.

b) Partenerii de afaceri

Este posibil sa lucram cu parteneri de afaceri, care ofera servicii de cazare, asigurare, furnizori de plati sau alte servicii legate de calatorii. In momentul in care achizitionezi un serviciu de la noi, anumite date cu caracter personal necesare pentru furnizarea unor astfel de servicii, cum ar fi numele si adresa ta de email, adresa de domiciliu, detaliile de plata si alte informatii relevante, pot fi transmise partenerilor nostri de afaceri. Datele transmise partenerilor nostri de afaceri sunt limitate la datele cu caracter personal necesare pentru furnizarea serviciului, conform celor stabilite de partenerii de afaceri.

c) Autoritatile competente

Este posibil sa divulgam date cu caracter personal institutiilor care aplica legea, in masura in care acest lucru este solicitat prin lege sau este strict necesar pentru prevenirea, depistarea sau urmarirea penala a infractiunilor si a fraudelor sau daca suntem altfel obligati, prin lege, sa facem acest lucru. Este posibil sa fim nevoiti sa divulgam date cu caracter personal catre Autoritatile competente pentru a ne proteja si a ne apara drepturile sau bunurile sau drepturile si bunurile partenerilor nostri de afaceri.

d) Alte situatii

In anumite situatii specifice, cand colectam datele dvs. cu caracter personal, este posibil sa va cerem consimtamantul pentru transmiterea respectivelor date catre terti. In acest caz, va vom informa cu privire la o astfel de prelucrare si nu vom efectua transmiterea datelor inainte de a va obtine consimtamantul.

7. DURATA STOCARII

Am implementat masuri tehnice si organizatorice, pentru a organiza procesul si criteriile prezentate pentru stergerea datelor dvs. cu caracter personal.

Datele dvs. cu caracter personal vor fi sterse in momentul in care nu mai sunt necesare, in mod rezonabil, scopurilor autorizate sau atunci cand prin accesarea procedurii de retragere a consimtamantului (acolo unde este cazul) si nu mai este necesar, din punct de vedere legal, ca noi sa mai stocam in continuare aceste date. Cu toate acestea, vom retine datele dvs. cu caracter personal, acolo unde este necesar ca noi sa sustinem sau sa va aparam pe dvs. sau alte persoane impotriva oricaror revendicari legale, pana la sfarsitul perioadei relevante de pastrare sau pana cand revendicarile in cauza au fost solutionate.

8. DREPTURILE PERSOANELOR VIZATE

Conform GDPR, toate persoanele fizice carora le prelucram date cu caracter personal au drepturi specifice, printre care mentionam:

  1. Dreptul la informare: dreptul de a afla ce date sunt procesate, scopurile si temeiurile prelucrarii, destinatarii datelor, perioada de stocare, existenta drepturilor persoanelor vizate, dreptul de a se adresa autoritatii de supraveghere etc.;
  2. Dreptul de acces: dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care privesc și, în caz afirmativ, acces la datele respective și la informații privind prelucrarea detaliate anterior;
  3. Dreptul la rectificare: dreptul de a obtine corectarea datelor inexacte sau completarea datelor lipsa;
  4. Dreptul la stergerea datelor: dreptul de a solicita stergerea datelor procesate, in situatiile prevazute de lege;
  5. Dreptul de a solicita restrictionarea prelucrarii, in limitele prevazute de lege.
  6. Alte drepturi care pot fi exercitate in limitele prevazute de lege: dreptul la portabilitatea datelor, dreptul de a obiecta la prelucrarea datelor, dreptul de a se opune proceselor decizionale automate, dreptul de a se adresa autoritatilor competente cu solicitari privind prelucrarile efectuate de Compania etc.

9. SECURITATEA DATELOR COLECTATE

Datele cu caracter personal sunt securizate impotriva amenintarilor si ne asiguram ca acestea sunt protejate de o infrastructura IT si masuri de securitate corespunzatoare. Mai mult decat atat, am implementat masuri interne, care ne permit sa descoperim, sa notificam si sa documentam incalcarile de securitate, in cel mai scurt timp posibil, conform regulilor detaliate mai jos.

In activitatea noastra urmarim in primul rand prevenirea oricaror incidente de securitate, precum acces neautorizat la date, scurgeri de informatii, stergere accidentala a datelor si altele asemenea, intreaga structura prelucrarilor de date fiind construita in jurul principiului preventiei.

Daca descoperim orice incalcare a datelor cu caracter personal, care prezinta un risc pentru drepturile si libertatile dvs., vom informa Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal. Totodata, veti fi informat cu privire la incalcarea datelor tale cu caracter personal, daca acest lucru duce la un risc ridicat pentru drepturile si libertatile dvs.

10. REGULI GENERALE

Pentru a asigura protectia adecvata a datelor cu caracter personal la care Compania are acces, am implementat masuri organizatorice si tehnice, precum:

  1. Semnarea unor documente suplimentare cu angajatii, colaboratorii si partenerii nostri pentru asigurarea confidentialitatii datelor cu caracter personal la care au acces cel putin la un nivel similar cu cel impus de compania noastra.
  2. Implementarea unor masuri de securitate fizice cu privire la documentele care contin date cu caracter personal, cum ar fi, de exemplu, stocarea documentelor in dulapuri inchise cu cheie la care are acces doar personalul autorizat, implementarea unor sisteme de acces restrictionat exclusiv pentru persoanele care justifica un interes pentru accesul respectivelor date.
  3. Implementarea unor masuri de securitate in ceea ce priveste sistemele informatice, cum ar fi, de exemplu, asigurarea ca toate echipamentele noastre dispun de programe de securitate corespunzatoare, asigurarea unor copii de rezerva etc.
  4. Implementarea unor programe de instruire a personalului cu privire la cerintele GDPR.

11. REGULI SPECIFICE

Compania a implementat urmatoarele reguli specifice pentru protectia datelor cu caracter personal:

  1. Reguli de securitate tehnica
    1. Interzicerea folosirii de catre utilizatorii de sisteme a unor programe software nelicentiate sau care provin din surse nesigure;
    2. Implementarea unui sistem de autentificare bazat pe user si parole securizate, unice pentru fiecare utilizator autorizat; astfel, pe de o parte se impiedica accesul tertilor la terminale / bazele de date si, pe de alta parte, la introducerea gresita a userului / parolei de un anumit numar de ori, sistemul se blocheaza automat, conform procedurilor tehnice interne;
    3. Implementarea unor masuri de securitate adecvate ale echipamentelor IT si software-ului utilizat in activitatea noastra, dupa cum urmeaza:
      1. informarea utilizatorilor in privinta pericolului privind virusii informatici;
      2. implementarea unor software-uri de protectie adecvate pe terminalele utilizate, precum programe antivirus si informarea salariatilor asupra obligativitatii de scanare periodica a sistemelor pentru prevenirea oricaror programe neautorizate (e.g. malware, phishing) sau, dupa caz, implementarea unor sisteme automate de devirusare si de securitate a sistemelor informatice;
      3. dezactivarea pe cat posibil tastei “Print screen“, atunci cand sunt afisate pe monitor date cu caracter personal, limitandu-se astfel posibilitatea de scoatere la imprimanta a acestora de catre alti utilizatori decat aceia autorizati in acest sens;
      4. limitarea drepturilor de printare, prin implementarea unor sisteme bazate pe user / parola;
      5. monitorizarea accesului la baza de date si logarea accesului si a parcursului utilizatorului;
      6. schimbarea periodica a parolelor de acces la baza de date si la sistemele informatice;
      7. obligatia angajatilor de a securiza accesul in terminalele proprii atunci cand nu le utilizeaza si de a inchide terminalele la finalul programului de munca;
      8. limitarea drepturilor de acces la bazele de date de la distanta (i.e. din afara firmei) / cu utilizarea altor dispozitive decat cele puse la dispozitie de societate;
      9. interzicerea utilizarii unor retele publice (cu acces deschis) de conexiune la internet.
  2. Reguli de securitate organizatorica
    1. Limitarea numarului de destinatari / utilizatori care au acces la datele cu caracter personal si corelarea drepturilor de acces cu necesitatea justificata de fiecare utilizator – e.g. prin impartirea pe arii geografice a informatiilor despre persoanele vizate, prin transmiterea catre imputerniciti doar a datelor necesare pentru executarea contractului etc.;
    2. Introducerea unor conditii si obligatii de confidentialitate si protectie a datelor cu caracter personal suplimentare pentru angajati, colaboratori, furnizori si parteneri;
    3. Introducerea unor reguli specifice privind copierea si diseminarea documentelor pentru a preveni raspandirea si accesul unor persoane neautorizate la datele cu caracter personal;
    4. Introducerea unor reguli prin care angajatii, colaboratorii si partenerii nostri au acces numai la acele date cu caracter personal necesare indeplinirii fisei postului sau, dupa caz, a obligatiilor asumate fata de Compania;
    5. Instalarea unor sisteme de alarma si monitorizare a accesului in spatiile unde sunt stocate documentele care contin date cu caracter personal sau echipamentele pe care sunt stocate aceste date de catre proprietarul cladirii in care ne desfasuram activitatea;
    6. Instalarea unor sisteme de asigurare a securitatii fizice a documentelor care cuprind date cu caracter personal, precum dulapuri inchise sub cheie, asigurarea suprevegherii video a cladirii in care ne desfasuram activitatea (fiind marcate corespunzator zonele supravegheate video) de catre proprietarul cladirii in care ne desfasuram activitatea;
    7. Realizarea unor copii de siguranta a datelor stocate;
    8. Restrictionarea accesului persoanelor neautorizate in spatiile unde sunt stocate datele cu caracter personal sau echipamentele pe care acestea sunt stocate, decat cu asigurarea unor conditii de confidentialitate corespunzatoare;
    9. Interzicerea copierii datelor cu caracter personal pe medii de stocare mobile, fara acordul prealabil al conducerii societatii, cu exceptia situatiei cand aceasta este necesara pentru indeplinirea unor obligatii asumate contractual fata de clienti;
    10. Asigurarea instruirii periodice a personalului cu privire la cerintele GDPR, precum si cele de securitate si riscurile privind datele cu caracter personal.

12. DISPOZITII FINALE

Pentru mai multe detalii, informatii si solicitari orice persoana interesata se poate adresa printr-un e-mail la adresa dedicata dpo@dancopro.ro, prin telefon la numarul 0 21 250.02.21 sau direct la sediul nostru din Str. Maior Ion Coravu, nr. 29C, Sector 2, București. Pentru exercitarea anumitor drepturi ne rezervam dreptul de a solicita ca cererea sa fie depusa in scris, semnata de persoana vizata si ca solicitantul sa prezinte dovezi suficiente de identificare cu persoana vizata (care exercita dreptul conferit de lege).

Această politică este aplicabilă din data de 25 mai 2018.