Anexa nr. 1 la Regulamentul de prelucrare a datelor personale
GHID DE INFORMARE REFERITOARE LA REGULAMENTUL DE PRELUCRARE A DATELORPRIVIND DREPTURILE PERSOANELOR FIZICE
CUPRINS
INTRODUCERE
CAPITOLUL I - DENUMIREA UNITĂȚII CARE GESTIONEAZĂ DATELE PERSONALE
CAPITOLUL II–DENUMIREA UNITĂȚII DE PRELUCRARE A DATELOR PERSONALE
1. Furnizorul de servicii IT al companiei noastre
CAPITOLUL III - ASIGURAREA LEGALITĂȚII PROCESULUI DE PRELUCRARE A DATELOR
1. Gestionarea datelor cu acordul persoanei vizate
2. Gestionarea datelor bazată pe îndeplinirea unei obligații legale
3. Facilitarea drepturilor persoanei vizate
CAPITOLUL IV - GESTIONAREA DATELOR VIZITATORILOR PE PAGINA WEB A COMPANIEI - INFORMAȚII PRIVIND UTILIZAREA COOKIE-URILOR
CAPITOLUL V - INFORMAȚII PRIVIND DREPTURILE PERSOANEI INTERESATE
INTRODUCERE
REGULAMENTUL (UE) 679/2016 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI (denumit în continuare „regulament”) privind protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogarea Directivei 46/95/CE determină faptul că operatorul de date ia măsurile adecvate pentru a furniza persoanei vizate toate informațiile referitoare la prelucrarea datelor cu caracter personal într-o formă concisă, transparentă, ușor de înțeles și ușor accesibilă, într-o manieră clară și inteligibilă și facilitează exercitarea drepturilor persoanei vizate.
Obligația de informare prealabilă a persoanei vizate cu privire la dreptul la autodeterminare informațională și libertatea informației este îndeplinită conform legii.
Informațiile vor fi publicate pe site-ul companiei sau trimise persoanei în cauză, la cerere.
CAPITOLUL I
DENUMIREA UNITĂȚII CARE GESTIONEAZĂ DATELE PERSONALE
Furnizorul acestui ghid și operatorul de date personale:
Denumirea firmei: Europroject Iinginer SRL.
Sediul central: Săcuieni, Str. Libertății, nr.25, bloc T5. et.1, ap.2, cod:417435, jud. Bihor
Nr.Ord.Reg.Com.: J05/166/2021
Cod fiscal: 43606133
Reprezentant: Székely Bálint
Număr de telefon: +40755 361 471
Adresa de e-mail: info@centrusemineu.ro
Site: centrusemineu.ro
(în continuare: Firma)
CAPITOLUL II
DENUMIREA UNITĂȚII DE PRELUCRARE A DATELOR PERSONALE
Prelucrător de date personale: orice persoană fizică sau juridică, autoritate publică, agenție sau orice alt organism care prelucrează date cu caracter personal în numele operatorului (Regulament 679/2016/UE).
Contractarea unui prelucrător de date nu necesită acordul prealabil al persoanei vizate, doar informarea acesteia cu privire la prelucrarea datelor sale. În consecință, vă aducem la cunoștință următoarele:
1. Furnizorul de servicii IT al companiei noastre
Firma noastră contractează un agent de prelucrare a datelor pentru a-și întreține și gestiona pagina web, care furnizează servicii IT (servicii hosting) și, în cadrul contractului, gestionează datele cu caracter personal furnizate pe site, operațiunea efectuată este stocarea datelor personale pe server.
Denumirea agentului de prelucrare a datelor:
Denumirea firmei: ErdSoftdoo
Sediul central: 24000 Subotica, Somborski put 33a, Srbija
Nr.Ord.Reg.Com.: 21354619
Cod fiscal: 110478829
Reprezentant: Dániel Erdudac
Număr de telefon: +381 69 606 794
Fax: -
Adresa de e-mail: daniel.erdudac@erdsoft.com
Pagina web: erdsoft.com
CAPITOLUL III
ASIGURAREA LEGALITĂȚII PROCESULUI DE PRELUCRARE A DATELOR
1. Gestionarea datelor cu acordul persoanei vizate
(1) În cazul în care Firma dorește să efectueze prelucrarea datelor pe baza consimțământului, solicitarea consimțământului persoanei vizate pentru prelucrarea datelor cu caracter personal se va face într-un formular cu conținutul și informațiile specificate în regulamentul privind prelucrarea datelor.
(2) Se consideră consimțământ dacă persoana vizată bifează rubrica corespunzătoare în acest sens atunci când accesează pagina web a firmei, efectuează setări tehnice cu privire la utilizarea serviciilor firmei precum și orice altă declarație sau acțiune care indică în mod clar consimțământul persoanei vizate pentru prelucrarea datelor sale personale. Prin urmare, omiterea declarației, o rubrică bifată în prealabil sau lipsa de acțiune nu se pot considera consimțământ.
(3) Consimțământul este valabil pentru toate activitățile de prelucrare a datelor desfășurate în același scop. Dacă gestionarea datelor servește mai multe scopuri în același timp, trebuie să se dea consimțământul pentru toate scopurile de gestionare a datelor.
(4) În cazul în care consimțământul persoanei vizate este dat sub forma unei declarații scrise referitoare și la alte aspecte, cum ar fi încheierea unui contract de vânzare sau de servicii, cererea de consimțământ se va face într-un mod clar diferențiat de acele alte aspecte, într-o formă ușor de înțeles și ușor accesibilă și într-un limbaj simplu. Orice parte a unei astfel de declarații care încalcă regulamentul, se consideră nulă.
(5) Firma nu are dreptul de a condiționa încheierea sau executarea dispozițiilor unui contract și să solicite consimțământ la prelucrarea datelor cu caracter personal care nu sunt absolut necesare pentru scopurile definite în prealabil.
(6) Retragerea consimțământului trebuie să fie la fel de simplă ca și acordarea acestuia.
(7) În cazul în care datele cu caracter personal au fost colectate cu acordul persoanei vizate, operatorul de date poate prelucra datele înregistrate în scopul îndeplinirii obligației legale care i se aplică, fără consimțământul ulterior și după retragerea consimțământului persoanei vizate, cu excepția cazului în care legea prevede altfel.
2. Gestionarea datelor bazată pe îndeplinirea unei obligații legale
(1) În cazul prelucrării datelor bazate pe o obligație legală, dispozițiile legislației subiacente se aplică categoriilor de date care pot fi prelucrate, scopul prelucrării datelor, durata stocării datelor și destinatarilor.
(2) Prelucrarea datelor bazată pe îndeplinirea unei obligații legale este independentă de consimțământul persoanei vizate, deoarece prelucrarea datelor este definită de lege. În acest caz, persoana vizată este informată înainte de începerea prelucrării în legătură cu obligativitatea acesteia și trebuie să fie informată în mod clar și în detaliu cu privire la toate faptele legate de prelucrare, în special scopul și temeiul juridic al prelucrării, datele persoanei vizate, durata prelucrării datelor, și dacă datele cu caracter personal ale persoanei vizate sunt prelucrate de operatorul de date pe baza obligației legale aplicabile acestuia și cu privire la persoanele/entitățile care pot avea acces la acele datele. Informațiile ar trebui să conțină referințe, de asemenea, și la drepturile și la soluțiile legale ale persoanei vizate, dacă această se necesită. În cazul gestionării obligatorii a datelor, informațiile pot fi furnizate și prin publicarea unei trimiteri la dispozițiile legale care conțin informațiile descrise mai sus.
3. Facilitarea drepturilor persoanei vizate
Compania este obligată să asigure posibilitatea exercitării drepturilor persoanei vizate pe parcursul întregii prelucrări a datelor cu caracter personal.
CAPITOLUL IV
GESTIONAREA DATELOR VIZITATORILOR PE PAGINA WEB A COMPANIEI - INFORMAȚII PRIVIND UTILIZAREA COOKIE-URILOR
1. Vizitatorul site-ului trebuie să fie informat cu privire la utilizarea cookie-urilor de pe site și, cu excepția cookie-urilor de tip session, necesare din punct de vedere tehnic, trebuie solicitat consimțământul acestuia.
2. Informații generale cu privire la cookie-uri
2.1. Un cookie este o informație pe care un site accesat trimite browserului vizitatorului (sub forma unei valori variabile nominale), astfel încât acesta să poată stoca și încărca ulterior conținut pe același site. Cookie-ul poate avea valabilitate, poate fi valabil până la închiderea browserului, dar poate fi valabil și pe termen nelimitat. Ulterior, pentru fiecare solicitare HTTP (S), aceste informații sunt trimise și de către browser către server. Aceasta modifică datele de pe computerul utilizatorului.
2.2. Esența unui cookie este că, prin natura serviciilor paginii de internet, etichetează utilizatorii (de ex. prin faptul că au accesat site-ul respectiv) și le gestionează conform acelor etichete. Pericolul constă în faptul că utilizatorul nu este întotdeauna conștient de acest lucru și poate fi urmărit de operatorul site-ului web sau de un alt furnizor de servicii al cărui conținut este încorporat în site (de exemplu, Facebook, Google Analytics), creând astfel un profil, iar conținutul cookie-ului se consideră dată personală.
2.3. Tipuri de cookie-uri:
2.3.1. Cookie-urile de tip session esențiale din punct de vedere tehnic: fără de care site-ul nu ar funcționa corespunzător, acestea sunt utilizate pentru a identifica utilizatorul, de ex. gestionarea accesărilor, ce este pus în coș și așa mai departe. Acesta este de obicei stocarea unui id de sesiune, restul datelor sunt stocate pe server, păstrându-i siguranța. Are implicații de securitate, dacă valoarea cookie-ului de tip session nu este generată în mod corespunzător, și există riscul unui atac de tip hijacking, deci este imperativ ca aceste valori să fie generate corect. Altă terminologie definește cu termenul cookie de tip session orice cookie care este șters în momentul părăsirii browser-ului (o sesiune este o utilizare a browserului de la pornire până la ieșire).
2.3.2. Cookie-uri care sprijină utilizarea: Acesta este numele dat cookie-urilor care rețin opțiunile utilizatorului, cum ar fi modul în care utilizatorul dorește să vizioneze pagina. Aceste tipuri de cookie-uri reprezintă în esență datele de setare stocate în cookie.
2.3.3. Cookie-uri care asigură performanță: deși nu au prea mult de-a face cu „performanța”, ele sunt de obicei numite cookie-uri care colectează informații despre comportamentul utilizatorului, timpul petrecut, și clicurile pe site-ul respectiv. Acestea sunt de obicei aplicații terțe (de exemplu, cookie-uri Google Analytics, AdWords sau Yandex.ru). Acestea sunt potrivite pentru profilarea persoanelor care vizitează un anumit site.
Aflați mai multe despre cookie-urile Google Analytics aici:
developers.google.com/ana … /analyticsjs/cookie-usage
Aflați mai multe despre cookie-urile Google AdWords aici:
support.google.com/adwords/answer/2407785?hl=ro
Puteți afla mai multe despre cookie-urile Facebook aici:
facebook.com/policy/cookies
2.4. Acceptarea și autorizarea utilizării cookie-urilor nu sunt obligatorii. Puteți reseta setările browserului pentru a respinge toate cookie-urile sau pentru a indica când este trimis un cookie. Deși majoritatea browserelor acceptă automat cookie-urile în mod implicit, acestea pot fi de obicei schimbate pentru a preveni acceptarea automată și pentru a oferi o alegere de fiecare dată.
Puteți găsi informații despre setările cookie ale celor mai populare browsereaccesând linkurile de mai jos
• Google Chrome: support.google.com/accounts/answer/61416?hl=ro
• Firefox: support.mozilla.org/hu/kb … ltasa-amit-weboldak-haszn
• Microsoft Internet Explorer 11: windows.microsoft.com/en- … e-manage-cookies#ie=ie-11
• Microsoft Internet Explorer 10: windows.microsoft.com/en- … ge-cookies#ie=ie-10-win-7
• Microsoft Internet Explorer 9: windows.microsoft.com/en- … te-manage-cookies#ie=ie-9
• Microsoft Internet Explorer 8: windows.microsoft.com/en- … te-manage-cookies#ie=ie-8
• Microsoft Edge: windows.microsoft.com/en- … ndows-10/edge-privacy-faq
• Safari: support.apple.com/en-us/HT201265
Cu toate acestea, vă rugăm să rețineți că anumite caracteristici sau servicii ale site-ului pot să nu funcționeze corect fără cookie-uri.
3. Informații despre cookie-urile utilizate pe site-ul companiei și datele create în timpul vizitei
3.1. Date gestionate în timpul accesării: Site-ul companiei noastre poate înregistra și gestiona următoarele date despre vizitator și dispozitivul utilizat pentru navigare atunci când utilizați pagina noastră web:
• adresa IP utilizată de vizitator,
• tip browser,
• caracteristicile sistemului de operare ale dispozitivului utilizat pentru navigare (limba setată),
• data vizitei,
• pagina, funcția sau serviciul pe care îl vizitați,
• clicuri.
Aceste date sunt păstrate până la 90 de zile și pot fi utilizate în principal pentru investigarea evenimentelor de securitate.
3.2. Cookie-uri utilizate pe site
3.2.1. Cookie-uri de tip sessionesențiale din punct de vedere tehnic
Scopul gestionării datelor este de a asigura buna funcționare a site-ului. Aceste cookie-uri sunt necesare pentru a facilita navigarea pe site, pentru a utiliza funcțiile și serviciile disponibile prin intermediul site-ului integral și fără probleme, cum ar fi, de exemplu înregistrarea acțiunilor vizitatorului pe acele pagini sau identificarea utilizatorul conectat în timpul unei sesiuni. Durata procesării acestor cookie-uri se aplică doar perioadei petrecute pe site al vizitatorului, acest tip de cookie-uri sunt șterse automat de pe computerul dvs. atunci când sesiunea se încheie sau browserul este închis.
Baza legală pentru acest tip de gestionare a datelor se regăsește în GDPR 679/2016, Regulamentul General de Protecție a Datelor al Uniunii Europene. Dacă celelalte condiții sunt aceleași, furnizorul de servicii trebuie să aleagă și, în toate cazurile, să opereze mijloacele utilizate în furnizarea serviciului informațional, astfel încât datele cu caracter personal să fie prelucrate numai dacă sunt necesare pentru furnizarea serviciului și alte scopuri specificate în legislație, dar în acest caz numai în măsura și pentru timpul absolut necesare.
3.2.1. Cookie-uri care facilitează utilizarea:
Acest tip de cookie-uri reține opțiunile utilizatorului, cum ar fi modul în care acesta dorește ca pagina să fie vizualizată. Ele reprezintă în esență datele de setare stocate în cookie.
Consimțământul vizitatorului asigură baza legală pentru gestionarea datelor.
Scopul gestionării datelor: creșterea eficienței serviciului și îmbunătățirea experienței utilizatorului, și de a face utilizarea site-ului mai convenabilă.
Aceste date se regăsesc în mare parte pe computerul utilizatorului, site-ul accesează și recunoaște doar vizitatorul.
3.2.2. Cookie-uri care contribuie la creșterea performanței:
Colectează informații despre comportamentul utilizatorului, timpul petrecut și clicurile pe site-ul respectiv. Acestea sunt de obicei aplicații terțe (de exemplu, Google Analytics, AdWords).
Consimțământul vizitatorului asigură baza legală pentru gestionarea datelor.
Scopul gestionării datelor: analizarea site-ului, trimiterea de oferte publicitare.
CAPITOLUL V
INFORMAȚII PRIVIND DREPTURILE PERSOANEI INTERESATE
I. Scurt rezumat al drepturilor persoanei vizate:
1. Facilitarea transparenței informaționale, a comunicării și facilitării drepturilor persoanei vizate.
2. Dreptul la accesul informațiilor prealabile - dacă datele personale sunt colectate de la persoana vizată
3. Informarea persoanei vizate și informațiile care urmează a fi furnizate, dacă datele cu caracter personal nu au fost obținute de către operator
4. Dreptul de acces al persoanei vizate
5. Dreptul la rectificare
6. Dreptul de anulare
7. Dreptul de a restricționa prelucrarea datelor
8. Obligația de a notifica în legătură cu rectificarea sau ștergerea datelor cu caracter personal sau restricțiile privind prelucrarea datelor
9. Dreptul la portabilitatea datelor
10. Dreptul la protest
11. Luarea automată a deciziilor în cazuri individuale, inclusiv profilarea
12. Restricții
13. Informarea persoanei vizate cu privire la eventuale evenimente cu privire la protecția datelor
14. Dreptul de a depune plângere la autoritatea competentă (dreptul la recurs oficial)
15. Dreptul la o cale de atac judiciară eficientă împotriva autorității competente
16. Dreptul la o cale de atac judiciară eficientă împotriva operatorului sau a gestionarului de date
II. Drepturile persoanei vizate în detaliu:
1. Facilitarea transparenței informaționale, a comunicării și facilitării drepturilor persoanei vizate.
1.1. Operatorul furnizează persoanei vizate toate informațiile referitoare la prelucrarea datelor cu caracter personal și toate aceste informații într-o formă concisă, transparentă, ușor de înțeles și ușor accesibilă, într-un mod clar și inteligibil, în special în cazul informațiilor adresate copiilor. Informațiile trebuie furnizate în scris sau prin alte mijloace, inclusiv, după caz, prin mijloace electronice. Informațiile orale pot fi furnizate la cererea persoanei vizate, cu condiția ca identitatea persoanei vizate să fie stabilită în alt mod.
1.2. Operatorul trebuie să faciliteze exercitarea drepturilor persoanei vizate.
1.3. Operatorul va informa, fără întârziere nejustificată, în termen de o lună de la primirea cererii, persoana vizată cu privire la acțiunile întreprinse asupra cererii sale de exercitare a drepturilor. Această perioadă poate fi prelungită cu încă două luni în condițiile stabilite în regulament, despre care persoana vizată trebuie să fie informată.
1.4. În cazul în care operatorul nu ia măsuri cu privire la solicitarea persoanei vizate, acesta informează persoana vizată fără întârziere, dar nu mai târziu de o lună de la primirea cererii, cu privire la motivele ne-acțiunii și cu privire la dreptul persoanei vizate la apel, către o autoritate competentă.
1.5. Operatorul de date asigură gratuit datele și informațiile necesare precum și măsurile privind drepturile persoanei vizate, cu toate acestea, se poate percepe o taxă în cazurile prevăzute în regulament.
2. Dreptul la accesul informațiilor prealabile - dacă datele personale sunt colectate de la persoana vizată
2.1. Persoana vizată are dreptul de a fi informat cu privire la faptele și informațiile legate de prelucrarea datelor înainte de începerea procesării datelor. În acest context, persoana vizată primește informații cu privire:
a) la identitatea și datele de contact ale operatorului de date și ale reprezentantului acestuia;
b) la detaliile de contact ale responsabilului cu protecția datelor (dacă există);
c) la scopul prelucrării preconizate a datelor cu caracter personal și baza legală a prelucrării;
d) în cazul prelucrării datelor bazate pe aplicarea unui interes legitim, la interesele legitime ale operatorului sau ale unei părți terțe;
e) destinatarii datelor cu caracter personal cărora li se comunică datele cu caracter personal și categoriile de destinatari, dacă există;
f) dacă este cazul, la faptul că operatorul intenționează să transfere datele cu caracter personal către o țară terță sau către o organizație internațională.
2.2. Pentru a asigura o gestionare corectă și transparentă a datelor, operatorul furnizează persoanei vizate următoarele informații suplimentare:
a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile pentru determinarea acelei perioade;
b) dreptul persoanei vizate de a solicita operatorului accesul, rectificarea, ștergerea sau restricționarea prelucrării datelor cu caracter personal care îl privesc și de a obiecta la prelucrarea acestor date cu caracter personal, precum și dreptul persoanei vizate la portabilitatea datelor;
c) în cazul prelucrării bazate pe consimțământul persoanei vizate, faptul că dreptul de a retrage consimțământul în orice moment nu afectează legalitatea prelucrării efectuate anterior retragerii;
d) dreptul de a depune o reclamație la autoritatea de supraveghere;
e) dacă furnizarea de date cu caracter personal se bazează pe o lege sau o obligație contractuală sau o condiție prealabilă pentru încheierea unui contract, dacă persoana vizată este obligată să furnizeze date cu caracter personal și posibilele consecințe ale neprezentării acestor date;
f) faptul luării de decizii automatizate, inclusiv profilarea, și cel puțin în astfel de situații, logica utilizată și informații ușor de înțeles despre semnificația unei astfel de prelucrări a datelor și consecințele scontate pentru persoana vizată.
2.3. Dacă operatorul intenționează să efectueze o prelucrare suplimentară a datelor cu caracter personal în alt scop decât cel pentru care au fost colectate, acesta trebuie să informeze persoana vizată cu privire la acest scop diferit și să asigure informații suplimentare relevante înainte de prelucrarea ulterioară.
3. Informarea persoanei vizate și informațiile care urmează a fi furnizate, dacă datele cu caracter personal nu au fost obținute de către operator
3.1. În cazul în care operatorul nu a obținut datele cu caracter personal de la persoana vizată, persoana vizată va fi informată de către operatorul de date în termen de cel mult o lună de la achiziționarea datelor cu caracter personal; dacă datele cu caracter personal sunt utilizate în scopul contactării persoanei vizate, cel puțin în momentul primului contact cu persoana vizată; sau, dacă se așteaptă ca datele să fie comunicate altui destinatar, cel târziu la prima comunicare a datelor cu caracter personal, faptele și informațiile prevăzute la punctul 2 de mai sus, categoriile de date cu caracter personal în cauză și sursa datelor cu caracter personal și, dacă datele provin din surse accesibile publicului.
3.2. Regulile suplimentare sunt guvernate de punctul 2. de mai sus (Dreptul la informații prealabile).
Normele detaliate pentru aceste informații sunt stabilite la articolul 14 din regulament.
4. Dreptul de acces al persoanei vizate
4.1. Persoana vizată are dreptul de a primi feedback de la operatorul de date cu privire la faptul că prelucrarea datelor sale personale este în curs și, dacă o astfel de prelucrare a datelor este în curs, are dreptul de a accesa datele personale și informațiile conexe descrise în punctele 2-3. de mai sus.
4.2. În cazul în care datele cu caracter personal sunt transferate către o țară terță sau către o organizație internațională, persoana vizată are dreptul să fie informată cu privire la garanțiile adecvate pentru transfer.
4.3. Operatorul trebuie să pună la dispoziția persoanei vizate o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru copii suplimentare solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă pe baza costurilor administrative.
5. Dreptul la rectificare
5.1. Persoana vizată are dreptul să solicite corectarea, fără întârziere nejustificată, a datelor cu caracter personal greșite sau inexacte.
5.2. Luând în considerare scopul prelucrării datelor, persoana vizată are dreptul de a solicita completarea datelor personale incomplete, printre altele, printr-o transmiterea unei declarații suplimentare.
6. Dreptul la anulare
6.1.Persoana vizată va avea dreptul ca, la cererea sa, operatorul să șteargă fără întârziere datele sale cu caracter personal, dacă:
a) datele cu caracter personal nu mai sunt necesare în scopul pentru care au fost colectate sau prelucrate în alt mod;
b) persoana vizată își retrage consimțământul pe care se bazează prelucrarea și nu există un alt temei legal pentru prelucrare;
c) persoana vizată se opune prelucrării și nu există un motiv legitim imperativ pentru prelucrare;
d) datele cu caracter personal au fost prelucrate ilegal;
e) datele cu caracter personal trebuie șterse pentru a îndeplini o obligație legală la care este supus operatorul în conformitate cu legislația Uniunii Europene sau a statelor membre;
f) colectarea datelor personale s-a efectuat în legătură cu furnizarea de servicii informaționale dedicat copiilor.
6.2. Dreptul de ștergere nu poate fi exercitat dacă este necesară gestionarea datelor
a) în scopul exercitării dreptului la libertatea de exprimare și informare;
b) pentru îndeplinirea unei obligații în temeiul legislației Uniunii Europene sau a statelor membre aplicabile operatorului sau pentru îndeplinirea unei sarcini desfășurate în interes public;
c) din motive de interes public în domeniul sănătății publice;
d) în scopuri de arhivare în interes public, în scopuri de cercetare științifică și istorică sau în scopuri statistice, în cazul în care dreptul de ștergere ar putea face imposibilă sau va pune în pericol o astfel de prelucrare; sau
e) cu scopul depunerii, executării sau a protecției creanțelor legale.
7. Dreptul de a restricționa prelucrarea datelor
7.1.În cazul în care prelucrarea datelor este restricționată, aceste date cu caracter personal pot fi prelucrate, cu excepția stocării, numai cu acordul persoanei vizate sau în scopul formulării, afirmării sau protejării revendicărilor legale sau protejării drepturilor altei persoane fizice sau juridice sau în interesul public al Uniunii Europene sau a statelor membre.
7.2. Persoana vizată are dreptul de a restricționa prelucrarea datelor de către operatorul de date cu caracter personal, dacă este îndeplinită oricare dintre cele de mai jos:
a) persoana vizată contestă acuratețea datelor cu caracter personal, caz în care limitarea se aplică pentru o perioadă care permite operatorului de date să verifice corectitudinea datelor cu caracter personal;
b) prelucrarea este ilegală și persoana vizată se opune ștergerii datelor și solicită în schimb restricționarea utilizării acestora;
c) Operatorul de date nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată solicităîn continuare prelucrarea datelor sale cu scopuri de a depune, de a pune în aplicare sau de a proteja revendicările legale; sau
d) persoana vizată s-a opus prelucrării; în acest caz, restricția se aplică atâta timp cât se stabilește dacă motivele legitime ale operatorului au prioritate față de motivele legitime ale persoanei vizate.
7.3. Persoana vizată este informată în prealabil cu privire la eliminarea restricției privind prelucrarea datelor.
8. Obligația de notificarecu privire la rectificarea sau ștergerea datelor cu caracter personal sau la restricțiile privind prelucrarea datelor
Operatorul informează toți destinatarii cărora sau au fost comunicate datele cu caracter personal cu privire la orice rectificare, ștergere sau restricționare a prelucrării datelor, cu excepția cazului în care acest lucru se dovedește imposibil sau necesită un efort disproporționat. La cerere, operatorul informează persoana vizată cu privire la acești destinatari.
9. Dreptul la portabilitatea datelor
9.1. În condițiile stabilite în regulament, persoana vizată are dreptul să primească date cu caracter personal care îl privesc, și care au fost furnizate operatorului de date într-un format structurat, utilizat pe scară largă, care poate fi citit în format electronic și să transfere aceste date către un alt operator de date fără ca operatorul căruia i-au fost puse la dispoziție datele cu caracter personal, să aducă obstacole acestui act, dacă
a) prelucrarea se bazează pe consimțământ sau contract; și
b) prelucrarea se efectuează automat.
9.2. Persoana vizată poate solicita, de asemenea, transferul direct al datelor cu caracter personal între operatorii de date.
9.3. Exercitarea dreptului la portabilitatea datelor nu aduce atingere dispozițiilor articolului 17. din Ordin (Dreptul de anulare). Acest drept nu trebuie să afecteze în mod negativ drepturile și libertățile altora.
10. Dreptul la protest
10.1. Persoana vizată are dreptul, în orice moment, să se opună din motive personale prelucrării datelor sale personale în interes public (art. 6., alineatul (1), punctul e), sau cu scopul îndeplinirii unei sarcini publice (art. 6., punctul f), inclusiv profilarea pe baza acestor prevederi. În acest caz, operatorul nu poate prelucra în continuare datele cu caracter personal, cu excepția cazului în care acesta demonstrează faptul că prelucrarea datelor este justificată de motive legitime care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau care sunt necesare pentru a aduce, validarea sau protecția revendicărilor legale.
10.2. În cazul în care datele cu caracter personal sunt prelucrate în scopul achiziției directe de afaceri, persoana vizată are dreptul să se opună oricând la prelucrarea datelor sale cu caracter personal în acest scop, inclusiv profilarea. În cazul în care persoana vizată se opune prelucrării datelor cu caracter personal în scopul achiziției directe de afaceri, datele cu caracter personal nu mai pot fi prelucrate în acest scop.
10.3. Aceste drepturi vor fi aduse în mod explicit la cunoștința persoanei vizate cel târziu la momentul primului contact, iar informațiile referitoare la acestea vor fi reprezentate clar și separat de orice alte informații.
10.4. Persoana vizată poate exercita, de asemenea, dreptul de a obiecta prin mijloace automate bazate pe specificații tehnice.
10.5. În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare științifică și istorică sau în scopuri statistice, persoana vizată are dreptul să se opună prelucrării datelor cu caracter personal din motive legate de situația sa, cu excepția cazului în care o astfel de prelucrare este necesară pentru efectuarea unei sarcini desfășurate în interes public.
11. Luarea automată a deciziilor în situații individuale, inclusiv profilarea
11.1. Persoana vizată are dreptul de a nu fi suspusă unor decizii bazate exclusiv pe prelucrarea automată a datelor, inclusiv profilarea, care ar avea efecte juridice asupra sa sau ar avea un efect în acest sens.
11.2. Acest drept nu se aplică în cazul în care decizia:
a) este necesară pentru încheierea sau executarea unui contract între persoana vizată și operator;
b) este guvernat de legislația Uniunii Europene sau a statelor membre aplicabile operatorului, care stabilește, de asemenea, măsuri adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate; sau
c) se bazează pe consimțământul dat expres de către persoana vizată.
11.3. În cazurile menționate la literele a) și c) de mai sus, operatorul ia măsurile potrivite pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate, inclusiv cel puțin dreptul persoanei vizate de a solicita intervenția umană, să-și exprime punctele de vedere și să se opună deciziei.
12. Restricții
Legislația UE sau a statelor membre aplicabile operatorului datelor cu caracter personal poate limita domeniul de aplicare al drepturilor și obligațiilor (articolele 12-22, 34 și 5 din Ordin) prin măsuri legislative, cu condiția ca restricția să respecte conținutul esențial al drepturilor și libertăților fundamentale.
Condițiile pentru această restricție sunt stabilite în articolul 23. din Ordin.
13. Informarea persoanei vizate cu privire la un posibil eveniment legat de protecția datelor
13.1. În cazul în care un asemenea eveniment prezintă un risc ridicat cu privire la drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată despre acel eveniment fără întârziere nejustificată. Aceste informații trebuie să descrie în mod clar și inteligibil natura incidentului de protecție a datelor și să includă cel puțin următoarele:
a) numele și datele de contact ale responsabilului cu protecția datelor sau ale altei persoane de contact pentru informații suplimentare;
c) o descriere a consecințelor probabile ale evenimentului care afectează protecția datelor;
d) o descriere a măsurilor luate sau planificate de operator pentru remedierea problemei, inclusiv, după caz, măsuri pentru atenuarea oricăror consecințe negative care decurg din acel eveniment.
13.2. Persoana vizată nu trebuie să fie informată dacă este îndeplinită oricare dintre următoarele condiții:
a) operatorul a implementat măsuri de protecție tehnică și organizațională adecvate și aceste măsuri au fost aplicate datelor afectate de eveniment în ceea ce privește datele personale, în special măsuri precum utilizarea criptării care o fac de neînțeles pentru persoanele care nu sunt autorizate să acceseze datele cu caracter personal;
b) operatorul a luat măsuri suplimentare în urma incidentului pentru a se asigura că riscul ridicat cu privire la drepturile și libertățile persoanei vizate nu se mai poate materializa;
c) informarea ar necesita un efort disproporționat. În astfel de cazuri, persoana vizată este informată prin informații disponibile publicului sau se va lua o măsură similară pentru a se asigura că persoana vizată este informată la fel de eficient.
14. Dreptul de a depune plângere la autoritatea de supraveghere (dreptul la o cale de atac oficială)
Persoana vizată are dreptul de a depune o plângere la o autoritatea de supraveghere, în special în statul membru al reședinței, a locului de muncă sau a presupusei încălcări de drepturi, în cazul în care consideră că prelucrarea datelor cu caracter personal s-a efectuat cu încălcarea regulamentului. Autoritatea de supraveghere la care a fost depusă plângerea trebuie să informeze clientul cu privire la progresul procedurii în legătură cu plângerea și cu rezultatul acesteia, inclusiv dacă clientul are dreptul la o cale de atac judiciară.
Aceste aspecte sunt detaliate în articolul 77. din Ordin.
15. Dreptul la o cale de atac judiciară eficientă împotriva autorității de supraveghere
15.1. Fără a aduce atingere altor căi de atac administrative sau nejudiciare, toate persoanele fizice și juridice au dreptul la o cale de atac judiciară efectivă împotriva unei decizii obligatorii din punct de vedere juridic a autorității de supraveghere.
15.2. Fără a aduce atingere altor căi de atac administrative sau nejudiciare, toate persoanele vizate au dreptul la o cale de atac judiciară efectivă dacă autoritatea de supraveghere competentă nu soluționează plângerea depusă sau nu informează persoana vizată în termen de trei luni de la depunere, sau rezultatul plângerii.
15.3. Procesele împotriva autorității de supraveghere sunt introduse în fața unei instanțe a statului membru în care își are sediul autoritatea de supraveghere.
15.4. În cazul în care se inițiază proces legal împotriva unei decizii a unei autorități de supraveghere cu privire la care Consiliul a emis anterior un aviz sau o decizie în cadrul mecanismului unic, autoritatea de supraveghere transmite respectivul aviz sau decizie instanței.
Aceste aspecte sunt detaliate în articolul 78. din Ordin.
16. Dreptul la o cale de atac judiciară efectivă împotriva operatorului sau a gestionarului de date
16.1. Fără a aduce atingere căilor de atac administrative sau nejudiciare disponibile, inclusiv a dreptului de a depune plângere la autoritatea de supraveghere, orice persoană vizată are dreptul la o cale de atac judiciară efectivă dacă consideră că drepturile sale, obținute în temeiul prezentului regulament, au fost încălcate prin gestionarea necorespunzătoare a datelor cu caracter personal.
16.2. Procedurile împotriva operatorului de date cu caracter personal sunt introduse în fața instanțelor din statul membru în care este stabilit operatorul. Astfel de proceduri pot fi inițiate și în fața unei instanțe a statului membru în care persoana vizată își are reședința, cu excepția cazului în care operatorul sau persoana împuternicită de operator este o autoritate publică a unui stat membru care acționează în calitate de organ public.
Aceste aspecte sunt detaliate în articolul 79. din Ordin.
Székely Bálint
Director