Politica de confidentialitate

POLITICA PRIVIND PROTECȚIA DATELOR CU CARACTER PERSONAL

AVANTAJ SOFIA SRL

CAP. I – DOCUMENTE DE REFERINȚĂ

Prezenta politică este elaborată în conformitate cu următoarele acte normative:

• Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date;
• Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679;
• Ghidurile și deciziile emise de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal;
• Website-ul Comisiei Europene: https://ec.europa.eu;
• Website-ul ANSPDCP: www.dataprotection.ro.

CAP. II – SCOPUL POLITICII

Politica privind protecția datelor cu caracter personal adoptată de AVANTAJ SOFIA SRL are ca obiectiv fundamental asigurarea respectării drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului la viață privată, familială și de confidențialitate, în contextul prelucrării datelor personale.

Compania își asumă responsabilitatea de a respecta atât prevederile legislației europene în vigoare, cât și dispozițiile naționale relevante în materie. Politica este aplicabilă tuturor angajaților, colaboratorilor, partenerilor contractuali și terților care desfășoară activități de prelucrare a datelor cu caracter personal în numele și pe seama societății.

CAP. III – TERMENI ȘI DEFINIȚII

În sensul prezentei politici, termenii utilizați se definesc după cum urmează:

• Date cu caracter personal – orice informație privind o persoană fizică identificată sau identificabilă;
• Prelucrare – orice operațiune sau set de operațiuni efectuate asupra datelor personale, cu sau fără utilizarea unor mijloace automatizate;
• Persoană vizată – persoana fizică ale cărei date sunt supuse prelucrării;
• Operator – entitatea care stabilește scopurile și mijloacele de prelucrare;
• Persoană împuternicită de operator – entitatea care prelucrează date în numele operatorului;
• Consimțământ – manifestarea de voință liber exprimată, specifică, informată și lipsită de ambiguitate prin care persoana vizată acceptă prelucrarea datelor sale;
• Date speciale – categorii de date sensibile (origine etnică, opinii politice, convingeri religioase, date medicale, etc.);
• Încălcarea securității datelor – orice incident care afectează confidențialitatea, integritatea sau disponibilitatea datelor cu caracter personal.

Lista completă a termenilor este aliniată cu art. 4 din Regulamentul (UE) 2016/679.

CAP. IV – DOMENIUL DE APLICARE ȘI REVIZUIREA POLITICII

Prezenta politică se aplică în mod obligatoriu tuturor structurilor interne ale AVANTAJ SOFIA SRL, indiferent de nivelul ierarhic, precum și colaboratorilor, furnizorilor, contractorilor sau altor terți care prelucrează date cu caracter personal în baza relației contractuale cu operatorul.

Politica se aplică în toate procesele care implică prelucrarea de date personale, atât în relația cu angajații, cât și în relațiile cu clienții, partenerii sau alte persoane vizate.

Datele care au fost anonimizate ireversibil nu fac obiectul prezentei politici.

Aceasta este revizuită periodic, cel puțin anual sau ori de câte ori apar modificări legislative ori operaționale relevante. Ultima versiune aprobată de conducerea societății va fi disponibilă intern și pe website-ul oficial.

CAP. V – PRINCIPII GENERALE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

Prelucrarea datelor cu caracter personal în cadrul AVANTAJ SOFIA SRL se realizează cu respectarea strictă a următoarelor principii fundamentale, în conformitate cu prevederile art. 5 din Regulamentul (UE) 2016/679:

1. Legalitate, echitate și transparență

Prelucrarea datelor se efectuează în mod legal, echitabil și transparent față de persoana vizată.

2. Limitarea scopului

Datele sunt colectate exclusiv în scopuri determinate, explicite și legitime, nefiind ulterior prelucrate într-un mod incompatibil cu aceste scopuri.

3. Minimizarea datelor

Datele prelucrate sunt adecvate, relevante și limitate la strictul necesar în raport cu scopurile pentru care sunt prelucrate.

4. Exactitate

Datele colectate trebuie să fie corecte și actualizate; trebuie luate toate măsurile necesare pentru a șterge sau rectifica fără întârziere datele inexacte.

5. Limitarea stocării

Datele se păstrează într-o formă care permite identificarea persoanei vizate doar pe perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate.

6. Integritate și confidențialitate

Datele sunt prelucrate într-un mod care asigură securitatea lor, inclusiv protecția împotriva prelucrării neautorizate sau ilegale, pierderii, distrugerii sau deteriorării accidentale.

7. Responsabilitate

Operatorul are obligația de a demonstra conformitatea cu principiile enunțate mai sus.

CAP. VI – PRELUCRAREA DATELOR CU CARACTER PERSONAL

AVANTAJ SOFIA SRL prelucrează datele cu caracter personal ale clienților, partenerilor de afaceri, angajaților și altor persoane vizate, cu respectarea strictă a prevederilor legale, în următoarele condiții:

1. A) Datele clienților și partenerilor

Datele pot fi prelucrate pentru:

• Executarea sau inițierea unui contract;
• Comunicarea de oferte, informații sau publicitate;
• Realizarea de analize sau studii de piață;
• Respectarea obligațiilor legale;
• În baza consimțământului expres al persoanei vizate.

1. B) Datele angajaților

Prelucrarea datelor personale ale angajaților se realizează pentru:

• Încheierea și executarea contractului individual de muncă;
• Respectarea obligațiilor legale;
• Monitorizarea activității, în limitele legii;
• Respectarea intereselor legitime ale operatorului.

Datele pot include: identificatori naționali (CNP, seria CI, pașaport), date de contact, informații privind sănătatea, date bancare, situații familiale, evaluări de performanță, etc.

CAP. VII – PRELUCRAREA DATELOR ÎN BAZA INTERESULUI LEGITIM

AVANTAJ SOFIA SRL poate prelucra date cu caracter personal în temeiul interesului său legitim, cu respectarea condițiilor legale, doar în situațiile în care:

• interesul legitim este real, clar determinat și justificat;
• prelucrarea datelor este necesară pentru atingerea acelui interes;
• drepturile și libertățile fundamentale ale persoanelor vizate nu prevalează asupra interesului urmărit.

Exemple de situații:

• prevenirea fraudelor;
• măsuri de securitate informatică;
• apărarea drepturilor operatorului;
• marketing direct (în anumite condiții).

În toate cazurile, operatorul are obligația de a realiza o analiză prealabilă (test de echilibru) între interesul legitim și drepturile persoanei vizate.

CAP. VIII – TRANSFERUL DATELOR CU CARACTER PERSONAL

Transferul datelor cu caracter personal către terți (în interiorul sau în afara UE/SEE) este permis doar cu respectarea strictă a legislației aplicabile.

Transferurile de date în afara Spațiului Economic European (SEE) pot fi realizate doar dacă:

• există o decizie de adecvare emisă de Comisia Europeană;
• au fost implementate garanții adecvate (ex: clauze contractuale standard, reguli corporatiste obligatorii, coduri de conduită, mecanisme de certificare);
• persoana vizată și-a dat consimțământul explicit;
• transferul este necesar pentru executarea unui contract sau pentru apărarea unui drept în justiție.

În toate situațiile, operatorul trebuie să asigure securitatea datelor și respectarea drepturilor persoanei vizate.

CAP. IX – SECURITATEA DATELOR CU CARACTER PERSONAL

AVANTAJ SOFIA SRL aplică măsuri tehnice și organizatorice corespunzătoare pentru asigurarea unui nivel adecvat de securitate a datelor personale, inclusiv:

• măsuri de control al accesului;
• politici interne și reguli clare privind utilizarea echipamentelor IT;
• criptare, pseudonimizare sau anonimizare a datelor, după caz;
• instruirea personalului cu privire la obligațiile de confidențialitate;
• audituri periodice și verificări interne;
• măsuri pentru gestionarea incidentelor de securitate.

Orice incident de securitate privind datele cu caracter personal va fi notificat, conform legii, către Autoritatea Națională de Supraveghere, în cel mult 72 de ore de la constatarea acestuia.

CAP. X – DREPTURILE PERSOANEI VIZATE

AVANTAJ SOFIA SRL asigură respectarea tuturor drepturilor de care beneficiază persoanele vizate, conform prevederilor Regulamentului (UE) 2016/679.

Persoanele vizate pot exercita următoarele drepturi:

1. Dreptul la informare

Persoana vizată are dreptul de a fi informată cu privire la modul în care datele sale sunt colectate și prelucrate.

2. Dreptul de acces

Persoana vizată are dreptul de a obține confirmarea dacă datele sale sunt prelucrate și, dacă da, să primească o copie a acestora.

3. Dreptul la rectificare

Persoana vizată poate solicita corectarea datelor inexacte sau completarea datelor incomplete.

4. Dreptul la ștergerea datelor („dreptul de a fi uitat”)

În anumite situații, persoana vizată poate solicita ștergerea datelor sale.

5. Dreptul la restricționarea prelucrării

Persoana vizată poate solicita limitarea prelucrării datelor sale în anumite condiții.

6. Dreptul la opoziție

Persoana vizată se poate opune prelucrării datelor sale, atunci când aceasta se bazează pe interesul legitim al operatorului.

7. Dreptul la portabilitatea datelor

Persoana vizată are dreptul de a primi datele sale într-un format structurat și de a le transmite către alt operator.

8. Dreptul de a nu face obiectul unei decizii automatizate

Persoana vizată are dreptul de a nu fi supusă unei decizii bazate exclusiv pe prelucrare automată, inclusiv crearea de profiluri.

9. Dreptul de a depune o plângere

Persoana vizată se poate adresa Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) sau instanțelor competente.

CAP. XI – GESTIONAREA INCIDENTELOR DE SECURITATE

AVANTAJ SOFIA SRL a implementat proceduri interne clare privind identificarea, evaluarea și soluționarea incidentelor de securitate care afectează datele cu caracter personal.

În cazul în care se constată o încălcare a securității datelor:

• Operatorul va evalua imediat gravitatea incidentului;
• Dacă incidentul prezintă un risc pentru drepturile persoanelor vizate, acesta va fi notificat ANSPDCP în termen de cel mult 72 de ore;
• În situațiile care implică un risc ridicat pentru persoanele vizate, acestea vor fi informate în mod direct și fără întârziere.

Toate incidentele de securitate vor fi documentate și arhivate.

CAP. XII – RESPONSABILITĂȚI ȘI SANCȚIUNI

Respectarea prezentei Politici de protecție a datelor este obligatorie pentru:

• Toți angajații AVANTAJ SOFIA SRL;
• Persoanele împuternicite;
• Partenerii contractuali;
• Colaboratorii și terții.

Nerespectarea politicii poate conduce, în funcție de gravitatea situației, la:

• măsuri disciplinare (avertisment, suspendare, încetarea contractului de muncă);
• răspundere civilă sau penală;
• aplicarea de sancțiuni contravenționale prevăzute de legislația în vigoare.

CAP. XIII – RESPONSABILUL CU PROTECȚIA DATELOR (DPO)

AVANTAJ SOFIA SRL a desemnat un Responsabil cu Protecția Datelor (DPO), care are atribuții specifice de:

• Monitorizare a respectării prevederilor GDPR;
• Consiliere internă;
• Cooperare cu ANSPDCP;
• Punct de contact pentru persoanele vizate.

Date de contact DPO:

• Telefon: 0773 781 840
• Email: avantajsofia@gmail.com

CAP. XIV – PRELUCRAREA DATELOR ÎN CADRUL SITE-ULUI WEB  avantajsofia.ro

AVANTAJ SOFIA SRL, în calitate de operator de date, prelucrează datele cu caracter personal ale utilizatorilor site-ului https://avantajsofia.ro/  în conformitate cu legislația aplicabilă.

1. Categorii de date colectate:

• Date furnizate direct de utilizatori (nume, prenume, email, telefon, mesaje transmise prin formulare);
• Date colectate automat prin intermediul cookie-urilor (IP, localizare, comportament de navigare).

2. Scopurile prelucrării:

• Oferirea de răspunsuri la solicitările transmise de utilizatori;
• Îmbunătățirea experienței de navigare;
• Furnizarea de informații personalizate;
• Asigurarea securității IT;
• Realizarea de statistici.

3. Informarea utilizatorilor:

Site-ul pune la dispoziție în mod vizibil și accesibil:

• Nota de informare GDPR;
• Politica de cookie-uri;
• Formular dedicat pentru solicitări privind datele personale.

Utilizarea cookie-urilor se face doar cu acordul expres al utilizatorilor, cu excepția celor strict necesare funcționării site-ului.

CAP. XV – TRANSFERUL INTERNAȚIONAL DE DATE CU CARACTER PERSONAL

Transferul datelor personale în afara Spațiului Economic European (SEE) de către AVANTAJ SOFIA SRL se realizează exclusiv în următoarele condiții legale:

1. Către țări cu decizie de adecvare emisă de Comisia Europeană;
2. În baza unor garanții adecvate:

• Clauze contractuale standard;
• Reguli corporatiste obligatorii;
• Coduri de conduită aprobate;
• Mecanisme de certificare recunoscute;
• Consimțământ explicit al persoanei vizate;
• Existența unui contract care prevede măsuri de protecție a datelor.

Fără existența acestor condiții, transferul de date este interzis.

CAP. XVI – EVIDENȚA ACTIVITĂȚILOR DE PRELUCRARE (CARTOGRAFIERE)

AVANTAJ SOFIA SRL menține o evidență completă și actualizată a tuturor operațiunilor de prelucrare a datelor, în conformitate cu art. 30 din Regulamentul (UE) 2016/679.

Evidența include:

• Scopurile prelucrării;
• Categorii de date prelucrate;
• Categoriile de persoane vizate;
• Destinatarii datelor;
• Durata de stocare;
• Transferurile de date;
• Măsurile de securitate implementate.

Actualizarea registrului se realizează periodic sau ori de câte ori intervin modificări relevante.

CAP. XVII – PRELUCRAREA DATELOR ÎN RELAȚIILE CONTRACTUALE

În cadrul relațiilor contractuale, AVANTAJ SOFIA SRL stabilește, în funcție de context:

1. a) Raport de tip Operator – Operator

Se încheie acorduri de prelucrare a datelor ce stabilesc:

• Obligațiile părților;
• Drepturile persoanei vizate;
• Măsuri de securitate.

1. b) Raport de tip Operator – Persoană Împuternicită

Se încheie acorduri detaliate conform art. 28 din GDPR, care stabilesc:

• Instrucțiunile clare de prelucrare;
• Confidentialitatea prelucrărilor;
• Măsuri tehnice și organizatorice de securitate;
• Obligații privind notificarea incidentelor.

Este interzisă subîmputernicirea fără acordul expres al AVANTAJ SOFIA SRL

CAP. XVIII – GESTIONAREA RISCURILOR PRIVIND PROTECȚIA DATELOR

În cazul prelucrărilor susceptibile de a genera riscuri ridicate pentru drepturile persoanelor vizate, operatorul efectuează o Evaluare a Impactului asupra Protecției Datelor (DPIA).

DPIA se realizează în special:

• În cazul deciziilor automatizate;
• În cazul monitorizării pe scară largă;
• În cazul prelucrării de date speciale;
• În cazul prelucrării unor volume mari de date.

În situațiile unde riscurile nu pot fi eliminate, se consultă ANSPDCP înainte de a începe prelucrarea.

CAP. XIX – SECURITATEA PRELUCRĂRII DATELOR CU CARACTER PERSONAL

AVANTAJ SOFIA SRL implementează măsuri tehnice și organizatorice adecvate pentru protejarea datelor personale împotriva oricărei forme de:

• Acces neautorizat;
• Pierdere accidentală sau distrugere;
• Modificare neautorizată;
• Dezvăluire ilegală;
• Prelucrare contrară legii.

Exemple de măsuri de securitate:

• Sisteme de control al accesului fizic și informatic;
• Parole complexe și autentificare în doi pași;
• Backup periodic al datelor;
• Criptarea datelor acolo unde este necesar;
• Proceduri de gestionare a incidentelor de securitate;
• Politici interne de utilizare a echipamentelor IT;
• Instruirea permanentă a angajaților cu privire la protecția datelor.

CAP. XX – RESPONSABILITĂȚI INTERNE PRIVIND PROTECȚIA DATELOR

Toți angajații AVANTAJ SOFIA SRL au următoarele obligații:

1. Să respecte principiile GDPR și politica internă de protecție a datelor;
2. Să păstreze confidențialitatea datelor la care au acces;
3. Să utilizeze datele strict în scopul în care au fost colectate;
4. Să notifice imediat DPO orice incident sau suspiciune privind încălcarea securității datelor;
5. Să participe la sesiuni de instruire privind protecția datelor.

În plus, persoanele împuternicite de operator și partenerii contractuali au obligația de a respecta instrucțiunile transmise de AVANTAJ SOFIA SRL în privința prelucrării datelor.

CAP. XXI – PROCEDURI DE EXERCITARE A DREPTURILOR DE CĂTRE PERSOANELE VIZATE

Orice solicitare venită din partea unei persoane vizate cu privire la prelucrarea datelor sale va fi soluționată cu respectarea următoarelor reguli:

• Termen general de răspuns: 30 de zile calendaristice;
• Modalități de transmitere a cererii: în scris, prin poștă, email sau depusă personal;
• Confirmare de primire a solicitării;
• Posibilitatea de prelungire a termenului cu încă 2 luni în cazuri complexe (cu informarea persoanei vizate).

Persoana vizată nu va suporta niciun cost pentru exercitarea drepturilor sale, cu excepția cazurilor în care cererea este vădit nefondată sau excesivă.

CAP. XXII – PROCEDURA ÎN CAZUL INCIDENTELOR DE SECURITATE

În cazul constatării sau suspectării unui incident de securitate, angajații AVANTAJ SOFIA SRL au obligația de a:

1. Informa imediat DPO;
2. Furniza toate detaliile cunoscute despre incident;
3. Colabora pentru investigarea situației;
4. Aplica măsurile stabilite de DPO sau conducere.

DPO are responsabilitatea de a evalua gravitatea incidentului și, dacă este necesar:

• Notifică ANSPDCP în termen de maxim 72 ore;
• Informează persoanele vizate, dacă este cazul;
• Documentează complet incidentul.

CAP. XXIII – SANCȚIUNI PENTRU NERESPECTAREA POLITICII GDPR

Nerespectarea prevederilor prezentei Politici atrage, după caz:

• Măsuri disciplinare interne (avertisment, reducerea salariului, suspendarea contractului, desfacerea disciplinară a contractului de muncă);
• Atrage răspundere materială, civilă sau penală;
• Aplicarea de amenzi contravenționale de către ANSPDCP, conform legislației în vigoare.

CAP. XXIV – RESPONSABILUL CU PROTECȚIA DATELOR (DPO)

Datele de contact ale Responsabilului cu protecția datelor (DPO) desemnat de AVANTAJ SOFIA SRL sunt:

• Telefon: 0773 781 840
• Email: avantajsofia@gmail.com

DPO are rolul de a:

• Consilia operatorul și angajații;
• Monitoriza respectarea Regulamentului GDPR;
• Colabora cu ANSPDCP;
• Gestiunea cererilor primite de la persoanele vizate.