Politica Prime Telecom privind utilizarea datelor cu caracter personal

Politica Prime Telecom privind utilizarea datelor cu caracter personal

by Andrei Stirbu

Politica Prime Telecom

privind utilizarea datelor cu caracter personal

adoptata astazi, 29.05.2018

Avand in vedere Tratatul privind functionarea Uniunii Europene si protectia sporita garantata persoanelor fizice prin Regulamentul nr 679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date, adoptat de catre Parlamentul European si de catre Consiliul Uniunii Europene pe 27 aprilie 2016 si numit in cele ce urmeaza GDPR,

Si avand in vedere necesitatea inerenta oricarui tip de business, de a utiliza date cu caracter personal, intr-o masura specifica fiecarei companii in parte,

Prime Telecom adopta prezenta politica prin care stabileste principiile care stau la baza prelucrarilor de date cu caracter personal, precum si liniile directoare de urmat in orice situatie ce cade sub incidenta Regulamentului 679, atat din perspectiva protejarii intereselor persoanelor vizate, cat si ale companiei.

I. Responsabilitati

Politica de fata se va aplica deopotriva managementului, partenerilor si angajatilor Prime Telecom, care vor asigura protectia datelor persoanelor fizice in a caror posesie intra, fie ca este vorba despre date ale angajatilor, clientilor Prime Telecom sau clientii finali ai acestora, furnizorilor, partenerilor etc. Raspunderea finala a implementarii si respectarii cerintelor GDPR o poarta managementul companiei, care va delega urmatoarele sarcini catre departamentele companiei:

I.1  DPO (responsabilul cu protectia datelor):

a) informarea şi consilierea companiei şi a angajaţilor care se ocupă de prelucrare, cu privire la obligaţiile care le revin;

b) monitorizarea respectării GDPR si a altor dispoziţii de drept şi a politicilor companiei, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente;

c) furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35 din GDPR;

d) cooperarea cu autoritatea de supraveghere.

Managementul Prime Telecom se va asigura permanent că responsabilul cu protecţia datelor este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal, va sprijini responsabilul cu protecţia datelor în îndeplinirea sarcinilor menţionate la articolul 39, asigurându-i resursele necesare pentru executarea acestor sarcini, precum şi accesarea datelor cu caracter personal şi a operaţiunilor de prelucrare, şi pentru menţinerea cunoştinţelor sale de specialitate. Responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea sarcinilor sale, nu poate fi demis sau sancţionat pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct in fata Administratorului Prime Telecom.

I.2 Managerul IT

a) asigurarea ca toate echipamentele si statiile se ridica la standardele de securitate impuse de regulament;

b) efectuarea de verificari periodice pentru a se asigura ca echipamentele si statiile functioneaza corespunzator;

c) evaluarea serviciilor oferite de catre parteneri, prin care se stocheaza si eventual se prelucreaza date, cum ar fi serviciile de cloud, colocare, transport de date etc.;

d) implementarea si monitorizarea aplicatiilor software care garanteaza securitatea masurilor tehnice care stau la baza oricarei prelucrari de date, astfel incat orice prelucrare sa poata fi facuta cu respectarea tuturor principiilor enuntate in capitolul II al acestei politici;

e) asistenta acordata responsabilului cu protectia datelor, in scopul evaluarii proceselor de prelucrare a datelor in companie, si al gasirii de solutii potrivite fiecarui tip de prelucrare.

I.3 Managerul de marketing

a) redactarea sau verificarea declaratiilor de protectie a datelor, atasate comunicarilor emise de catre companie sau angajati ai companiei;

b) redactarea si asigurarea implementarii politicilor de marketing.

II. Principiile care stau la baza oricarei prelucrari de date cu caracter personal

Orice prelucrare se face intr-un mod legal, echitabil si transparent fata de persoana vizata

            Colectarea datelor este limitata strict la scopul acelei colectari individuale, in mod determinat, explicit si legitim, fara ca datele sa fie utilizate in scopuri pentru care Prime Telecom nu a obtinut in prealabil o autorizare legala

            Volumul datelor colectate este redus la minim, raportat la scopul prelucrarii respective

            Este verificata exactitatea datelor prelucrate, datele inexacte urmand a fi sterse sau rectificate fara intarziere

Datele sunt pastrate pentru o perioda ce nu o depaseste pe cea necesara prelucrarii pentru care au fost colectate

Pe tot parcursul prelucrarii este asigurata securitatea adecvata a datelor, inclusiv impotriva prelucrarii neautorizate sau ilegale, impotriva pierderii, a distrugerii sau deteriorarii accidentale

            Prime Telecom isi insuseste principiile enumerate mai sus si poate face dovada respectarii lor in conditiile procedurale prevazute de catre Regulament.

Activitatile principale desfasurate de catre Prime Telecom nu constau in operatiuni de prelucrare, si cu atat mai mult nu constau in operatiuni de prelucrare care prin prin natura, domeniul de aplicare şi/sau scopurile lor, sa necesite o monitorizare periodică şi sistematică a persoanelor vizate pe scară largă. Prelucrarea in sine nu se numara printre activitatile sau serviciile Prime Telecom, eventuale stocari provizorii de date personale pot aparea doar incidental pe parcursul furnizarii serviciillor noastre si in aceste situatii garantiile enumerate se aplica in egala masura indiferent de volumul sau categoria datelor respective. Datele pot proveni de la clienti, furnizori, angajati, sau alte persoane cu care Prime Telecom dezvolta o relatie contractuala. Nicio prelucrare a datelor nu se va face exclusiv automat, fara sa existe consimtamantul expres al persoanei vizate, sau fara ca prelucrarea sa fie necesara pentru incheierea sau executarea unui contract intre Prime Telecom si persoana vizata, sau fara existenta unui interes legitim.

III. Drepturi garantate de catre Prime Telecom persoanelor vizate

III.1 Informarea si accesul la date cu caracter personal

Fie ca datele sunt colectate direct de la persoana vizata, fie ca sunt colectate de la un tert, persoanei vizate ii vor fi transmise, in masura in care aceasta nu le detine deja, urmatoarele informatii:

a)identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia;

b)datele de contact ale responsabilului cu protecţia datelor, după caz;

c)scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării;

  1. d) interesele legitime urmărite de operator sau de o parte terţă în cazul în care prelucrarea se face in scopul lor;

e)destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

f)dacă este cazul, intenţia Prime Telecom de a transfera date cu caracter personal către o ţară terţă sau o organizaţie internaţională şi garantiile adecvate in temeiul articolul 46 si 49 din  GDPR, şi mijloacele de a obţine o copie a acestora, în cazul în care acestea au fost puse la dispoziţie.

(2)În plus faţă de informaţiile menţionate mai sus, în momentul în care datele cu

caracter personal sunt obţinute, Prime Telecom furnizează persoanei vizate următoarele informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă:

a)perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu

este posibil, criteriile utilizate pentru a stabili această perioadă;

b)existenţa dreptului de a solicita Prime, în ceea ce priveşte datele cu caracter

personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora

sau restricţionarea prelucrării sau a dreptului de a se opune prelucrării, precum şi a dreptului

la portabilitatea datelor;

c)atunci când prelucrarea a fost obtinuta prin consimtamant, existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia;

d)dreptul de a depune o plângere în faţa autorităţii de supraveghere relevante – ANSPDCP;

e)dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau contractuală sau o obligaţie necesară pentru încheierea unui contract, precum şi dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal şi care sunt eventualele consecinţe ale nerespectării acestei obligaţii;

f) existenţa unui proces decizional automatizat incluzând crearea de profiluri, precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată.

III.2 Dreptul de acces al persoanei vizate

Prime Telecom garanteaza dreptul persoanelor vizate, de a obtine o confirmare ca se prelucreaza sau nu datele sale, precum si acces la toate informatiile prevazute la pct II.1 de mai sus.

III.3 Dreptul la rectificare, stergere, restrictionarea prelucrarii, opozitie

Orice date inexacte vor fi sterse sau dupa caz rectificate, la solicitarea persoanei vizate.

Cu exceptia existentei unei obligatii legale contrare, orice date vor fi sterse sau prelucrarea lor va fi restrictionata la solicitarea persoanei vizate, atunci cand ele nu mai sunt necesare pentru scopurile in care au fost colectate sau prelucrate, sau persoana vizata si-a retras consimtamantul sau se opune prelucrarii din motive legate de situatia particulara in care se afla. In aceste situatii daca datele au fost transferate catre alti operatori, Prime Telecom ii va informa despre solicitarea de restrictionare sau de stergere si le va pune in vedere sa stearga orice copii, reproduceri sau linkuri catre datele respective.

III. 4. Dreptul la portabilitate si dreptul de a nu fi supus unei decizii bazata exclusiv pe prelucrarea automata, inclusiv crearea de profiluri.

In cazul in care prelucrarea se bazeaza pe consimtamant si este efectuata prin mijloace automate, persoana vizata are dreptul de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat catre Prime Telecom intr-un format structurat, utilizat în mod curent şi care poate fi citit automat şi de a transmite aceste date altui operator.

Cu exceptia situatiilor in care exista consimtamantul persoanei vizate, sau prelucrarea este necesara pentru incheierea sau executarea unui contract, persoana vizata nu va face obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, care ar produce efecte juridice care privesc persoana vizata sau o afecteaza în mod similar intr-o masura semnificativa.

III.4 Securitatea prelucrarii

Prelucrarile de date cu caracter personal sunt supuse unor masuri tehnice si organizatorice adecvate, incluzand, intre altele:

  1. a) pseudonimizarea şi criptarea datelor cu caracter personal;

b )capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea şi rezistenta continue ale sistemelor si serviciilor de prelucrare;

  1. c) capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea in timp util în cazul în care are loc un incident de natura fizica sau tehnica;
  2. d) un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacitatii masurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.

In cazul unei incalcari a securitatii datelor, Prime Telecom va notifica autoritatea de supraveghere in termenul legal de 72 de ore de la momentul la care a luat cunostinta de aceasta, precum si persoana vizata, daca acea incalcare este susceptibila sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice.  In ambele cazuri, informarea va cuprinde cel putin descrierea incidentului, un punct de contact unde se pot obtine mai multe informatii, consecintele probabile si masurile luate sau propuse spre a fi luate. Cu toate acestea, persoana vizata nu va fi totusi informata, daca Prime a implementat masuri prin care datele afectate sunt neinteligibile oricarei persoane neautorizate, sau daca a luat masuri ulterioare prin care riscul asupra drepturilor persoanei vizate nu mai este susceptibil sa se materializeze.

La dispozitia partenerilor Prime Telecom cat si a angajatilor companiei a fost pusa adresa de email gdpr@primetelecom.ro, catre care acestia pot transmite orice solicitare legata de datele lor cu caracter personal prelucrate de catre companie, urmand a primi raspuns in cel mai scurt timp posibil.

Prime Telecom are implementat si mentine un sistem de management al securitatii informatiilor conform standardului ISO 27001:2013, supus auditului anual, o garantie suplimentara pentru protectia datelor personale.

Totodata, vom asigura masuri preventive si la nivel contractual, prin includerea in fiecare contract incheiat a unor clauze ce reduc riscul aparatiei de incidente de securitate si impun partenerilor contractuali asigurarea de garantii privind respectarea drepturilor persoanelor vizate. Astfel de clauze se regasesc in regulamentul de ordine interna al companiei, si in instructiunile de lucru specifice fiecarui departament.

Procedurile elaborate in baza Regulamentului, precum si politica prezenta, vor fi intr-o permanenta monitorizare si adaptare in functie de evolutia legislativa si de evolutia pietei telecom, de raspunsul pietei fata de noile servicii si produse care vor veni in intampinarea cerintelor Regulamentului.

 

Prezenta politica a fost adoptata astazi, 29.05.2018, de catre managamentul companiei Prime Telecom.

 

Top