POLITICĂ DE CONFIDENȚIALITATE
NOTIFICARE DE INFORMARE PRIVIND PRELUCRAREA DATELOR PERSONALE
Preambul:
În mai 2018 a intrat în vigoare Regulamentul European nr. 2016/679 privind
protectia persoanelor fizice referitor la prelucrarea datelor personale si libera
circulatie a acestor date, care instituie dreptu comun în această materie.
Scopul pentru care a fost adoptat regulamentul european este unificarea
legislației și practicii statelor europene, cresterea gradului de protecție a
datelor personale, crearea unui climat de încredere în contextul dezvoltării
mediului IT și al stocării datelor în cloud, domenii care au luat amploare în
ultimul timp și care se vor dezvolta în continuare.
În acest context, subscrisa, numita mai jos „operator”, ne aliniem cerințelor europene impuse, luând o serie de măsuri în ceea ce privește prelucrarea datelor personale.
Toate regulile referitoare la prelucrarea datelor personale de către operator se găsesc în regulamentul adoptat și publicat pe site-ul operatorului.
Terminologie:
„date personale” sau „date cu caracter personal” = orice informaţii privind o
persoană fizică identificată sau identificabilă („persoana vizată”); o persoană
fizică identificabilă este o persoană care poate fi identificată, direct sau
indirect, în special prin referire la un element de identificare, cum ar fi un
nume, un număr de identificare, date de localizare, un identificator online,
sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice,
fiziologice, genetice, psihice, economice, culturale sau sociale;
„prelucrare”; înseamnă orice operaţiune sau set de operaţiuni efectuate asupra
datelor personale sau asupra seturilor de date personale, cu sau fără
utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea,
structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea,
utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie
în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau
distrugerea;
Despre operator:
Operatorul îşi desfăşoară activitatea în scopul promovării activităților cu
caracter montan în rândul întregii populații, dar în special în rândul
tineretului, al educării şi informării populației cu privire la importanța
respectării patrimoniului montan, patrimoniului cultural şi a mediului
înconjurător, precum şi al dezvoltării, reabilitării infrastructurii montane și
culturale din România.
Operatorul aduce la îndeplinire și celelalte obiective definite în actul
constitutiv și în statut, care sunt înregistrate la judecătoria de
circumscripție.
În realizarea activității sale, operatorul recrutează voluntari, prestează
serviciile menționate, emite și înregistrează acte juridice, efectuează
proceduri administrative și interne aferente îndeplinirii scopului, angajează
personal, încheie contracte, efectuează plăți, ș.a.
În toate aceste activități operatorul colectează, înregistrează, stochează,
ș.a., într-un cuvânt prelucrează, date publice și date personale despre
persoanele fizice și juridice cu care intră în contact: persoane în
dificultate, reprezentanții lor legali, parteneri contractuali angajați,
furnizori, ș.a.
Dintre aceste date, datele care au caracter personal urmează regimul stabilit
de lege.
Cine sunt persoanele vizate, care sunt sursele de informare și ce categorii
de date prelucrăm.
Operatorul prelucrează următoarele categorii de date personale pentru următoarele
categorii de persoane fizice:
- PERSOANA VIZATA ȘI SURSE DE INFORMAȚII
Persoanele aflate în raporturi juridice cu operatorul sau care doresc sa
intre în
raporturi juridice cu operatorul: clienți, beneficiari reprezentanții lor
legali,
parteneri contractuali, furnizori, finanțatori, angajați, voluntari,
colaboratorii, potențiali clienți, angajați care urmează un proces de
recrutare, ș.a.
Avem în vedere pe cei care sunt persoane fizice, precum și pe reprezentanții legali sau convenționali ai acestora
Surse de informații: datele personale pot fi puse la dispoziție de persoana vizată, reprezentantul ei, pot fi furnizate online pe e- mail, telefonic, sau prin completarea formularelor web, pot fi obținute din bazele de date publice, disponibile pentru consultare online sau la cerere, pot fi obținute de la autorități sau diverse insitituții publice.
- CATEGORII DE DATE PERSONALE
-datele de identificare: nume, prenume, adresa de domiciliu, adresa de
corespondență, e-mail, telefon, identificator online, CNP, seria și numărul
actelor de identitate și alte informatii rezultate din acestea (data și locul
nașterii, cetațenia, ș.a.);
-semnătura;
-informații privind seriozitatea, bonitatea persoanei vizate;
-date socio-demografice, ocupația, studii, locuri de muncă, funcții, date
comportamentale, sancțiuni, premii, preferințe, date privind starea de sănătate
specifică postului sau activității montane respective, date comportamentale,
fotografii;
-suplimentar pt angajați: venituri salariale, rețineri salariale, cont bancar;
-date de localizare: IP-ul echipamentului de calcul de pe care se accesează
site-ul
operatorului, date GPS;
-informații rezultate în urma înregistrării video, audio sau foto la sediu,
punctele de
lucru, în mediile de comunicare online (e- mail, chat, ș.a.), cu ocazia
activităților organizate sau la care participă operatorul;
-orice alte informații care derivă din acestea în urma prelucrărilor efectuate de
operator, cum ar fi: istoric contractual, clasificarea persoanelor vizate după
diverse criterii, informații specifice despre produsele și serviciile oferite
de operator și despre felul în care persoana vizată le-a utilizat;
În ce scop prelucrăm datele:
Prelucrăm datele în următoarele scopuri, astfel cum procedează și ceilalți
furnizori de servicii similare: înștiințarea despre activitățile și serviciile
oferite, evaluarea și verificarea clientului, angajaților, colaboratorilor,
voluntarilor, minimizarea riscului pe care îl implică furnizarea
serviciului/activității către acesta, prevenirea și combaterea faptelor
sancționate de lege, recrutarea, negocierea și începerea relației contractuale,
întreținerea relației contractuale, furnizarea de produse și servicii,
identificarea online a clienților, persoanelor vizate și accesul la activități
și servicii, monitorizarea activității acestora, oferirea de asistență cu
privire la activitățile și serviciile oferite, îmbunătățirea și dezvoltarea
activităților și serviciilor oferite, personalizarea acestora, fidelizarea
clientelei, analizarea portofoliului de clienți, angajați, colaboratori,
voluntari, crearea unei baze de date
interne, utilizată centralizat, de către departamentele și aplicațiile interne
ale operatorului, marketing, publicitate, sondaje și studii de piață în
domeniu, raportări financiare, către finanțatori și sponsori, raportări către
autorități, colectare debite, realizare audit, efectuare expertize, solutionare
litigii/ proceduri, activități de registratură, corespondență, curierat,
încetarea și arhivarea relației contractuale, arhivarea documentelor fizice și
electronice, realizarea de back-up a
datelor, înregistrarea audio a convorbirilor telefonice pentru a furniza dovada
consimțământului persoanei vizate cu privire la anumite activități și servicii
și pentru a îmbunătății calitatea serviciilor oferite, securizarea video a
locației operatorului și dovada lipsei/prezenței anumitor persoane sau obiecte
la locație.
Cine are acces la date:
În general, regimul accesului la datele personale este asemănător cu cel
practicat de orice altă persoană juridică care activează în domeniul de
servicii în care activează și operatorul.
În vederea îndeplinirii scopului respectiv, este posibil să aibă acces la datele
personale următoarele persoane, în condițiile în care accesul la datele
personale este limitat doar la cele necesare realizării scopului: angajații
interni ai operatorului, colaboratorii externi sau voluntarii, contabilii,
auditorii, experții, persoanele care asigură dezvoltarea, mentenanța și
securitatea IT, societăți de curierat, furnizori de servicii în vederea
efectuării plăților on-line, furnizori de utilități, furnizori de rețele de
socializare, de studii de piață, marketing, monitorizare a traficului și
comportamentului utilizatorilor. Ex: fotografii ale persoanelor vizate pot fi
publicate pe site-ul operatorului, în mediile de socializare, în scopul
promovării activităților și serviciilor oferite de operator, persoanele care
oferă sau urmează să ofere asistență specializată din următoarele domenii:
medicina muncii, serviciile de salvamont, salvaspeo, jandarmeria montană, alți
medici și paramedici, autorități publice, birouri notariale, cabinete de
avocatură, instituții financiar-bancare și de asigurare, societăți de arhivare,
persoane juridice către care operatorul a cesionat contractele, drepturile sau
obligațiile legate de acestea sau a subcontractat serviciile oferite,
finanțatori, alte persoane, pentru realizarea scopului respectiv.
În ce temei prelucrăm datele:
Prelucrările de date personale pot fi efectuate dacă persoana vizată şi-a dat
consimţământul în mod expres şi neechivoc pentru acea prelucrare a datelor
personale pentru unul sau mai multe scopuri specifice. Pentru minorii sub 16
ani (ori la o vârstă mai mică, în condițiile legii) sau persoanele lipsite de
discernământ, consimțământul este încuviințat/ suplinit de către reprezentantul
legal. Consimţământul persoanei vizate nu este cerut în următoarele cazuri:
a) prelucrarea este necesară pentru executarea unui contract sau antecontract
la care persoana vizată este parte ori în vederea luării unor măsuri, la
cererea acesteia, înaintea încheierii unui contract sau antecontract. Exemple:
ofertarea, negocierea, încheierea și executarea contractelor cu operatorul:
furnizarea de servicii, asigurarea suportului, furnizarea de informații despre
serviciile și produsele deținute, ș.a.
b) prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care
îi revine operatorului. Exemple: identificarea si cunoașterea clientelei,
identificarea și prevenirea faptelor sancționate de lege, ținerea arhivei și a
evidențelor contabile, raportarea parametrilor activității operatorului, ș.a.
c) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei
vizate sau ale altei persoane fizice;
d) prelucrarea este necesară în vederea aducerii la îndeplinire a unor măsuri
de interes public sau care vizează exercitarea prerogativelor de autoritate
publică cu care este învestit terţul căruia îi sunt dezvăluite datele
personale;
e) prelucrarea este necesară în vederea realizării unui interes legitim al
operatorului sau al terţului căruia îi sunt dezvăluite datele personale, cu
condiţia ca acest interes să nu prejudicieze interesul sau drepturile şi libertăţile
fundamentale ale persoanei vizate, în special atunci când persoana vizată este
un copil.
Exemple: cunoașterea pieței, analiza statistică a portofoliului de clienti,
analizarea unor idei de eficientizare a organizării și funcționării operatorului,
dezvoltarea operatorului, îmbunătățirea produselor și serviciilor oferite,
agregarea operațiunilor, crearea și menținerea unei baze de date interne,
analiza solvabilității
partenerului contractual, minimizarea riscurilor de piață și de fraudă la care
se expune operatorul în legatură cu organizarea și furnizarea serviciilor și
produselor oferite, securizarea informatică (baza de date, programe, rețea,
web, ș.a.), securizarea locației (sediul, puncte de lucru);
f) prelucrarea priveşte date personale obţinute din documente accesibile
publicului, conform legii;
g) prelucrarea este făcută exclusiv în scopuri arhivistice, statistice, de
cercetare istorică sau ştiinţifică, conform legislației de protecție a datelor
personale sau a celei specifice
Întotdeauna, temeiul legal precede temeiul contractual și chiar
consimțământul persoanei vizate.
Lipsa/retragerea consimțământului persoanei vizate cu privire la prelucrarea
datelor personale atrage imposibilitatea începerii/continuării relației
contractuale, daca nu sunt aplicabile cazurile legale de prelucrare a datelor
personale. Retragerea consimțământului produce efecte doar pentru viitor, fără
a afecta
valabilitatea prelucrării până la retragere.
Prevederile alineatelor precedente nu aduc atingere dispoziţiilor legale care
reglementează obligaţia operatorului de a respecta şi de a ocroti viaţa intimă,
familială şi privată.
Pe ce durată prelucrăm datele. Destinația ulterioară a datelor:
Datele personale sunt prelucrate pe durata raportului juridic cu operatorul și,
după finalizarea acestuia, pe durata impusă de prevederile legale aplicabile în
domeniu: arhivarea conform Legii Arhivelor Naționale, alte situații prevăzute
de lege.
La operațiunile de prelucrare la care a fost necesar consimțământul, persoana
vizată are dreptul să îşi retragă consimţământul. Retragerea consimţământului
se face la fel de simplu ca acordarea acestuia.
Retragerea consimţământului nu afectează legalitatea prelucrării efectuate pe
baza consimţământului înainte de retragerea acestuia.
Înainte de acordarea consimţământului, persoana vizată este informată cu
privire la acest lucru. Dacă persoana vizată nu şi-a dat în mod expres şi
neechivoc consimţământul pentru o altă destinaţie sau pentru o prelucrare
ulterioară, datele personale vor fi, după caz: distruse, transferate unui alt
operator, cu condiţia ca operatorul iniţial să garanteze faptul că prelucrările
ulterioare au scopuri similare celor în care s-a făcut prelucrarea iniţială,
depuse spre arhivare în condițiile legii, stocate exclusiv în scopuri
statistice, de cercetare istorică sau ştiinţifică, conform legii (anonimizare,
pseudonimizare, ș.a,).
În cazul operațiunilor de prelucrare efectuate în condițiile în care nu a fost
necesar consimțământul persoanei, operatorul poate stoca datele personale pe
perioada necesară realizării scopurilor concrete urmărite, cu condiția
asigurării unor măsuri corespunzătoare de protejare a acestora, după care va
proceda la distrugerea lor dacă nu sunt aplicabile prevederile legale privind
păstrarea arhivelor.
Ce drepturi aveți în legătură cu prelucrarea datelor personale:
Persoana vizată poate să își exercite drepturile și să formuleze cereri privind
prelucrarea datelor personale în condițiile legii și regulamentului intern,
însoțite de documente doveditoare, cereri care vor fi soluționate conform legii
și regulamentului intern.
Dreptul la informare
Persoana vizată are dreptul să se informeze despre prelucrarea datelor sale.
Persoana vizată poate verifica online regulamentul de protecție a datelor
personale și celelalte documente și poate solicita în scris de la operator
informatii privind prelucrarea datelor personale, cum ar fi: identitatea
operatorului, scopul în care se face prelucrarea, destinatarii datelor
personale, drepturile persoanei vizate, posibilitatea de a consulta registrul
specific, ș.a. Persoana vizată are nu numai dreptul, ci și obligația să se
informeze de noutățile și modificările apărute în această materie, inclusiv pe
site-ul operatorului.
Drepul de acces
Persoana vizată are dreptul de a obţine de la operator confirmarea faptului că
datele care o privesc sunt sau nu sunt prelucrate de acesta.
Operatorul, în situaţia în care prelucrează date personale care privesc
solicitantul, va comunica acestuia, împreună cu confirmarea, informații despre
prelucrarea datelor.
Dreptul de intervenție
Persoana vizată poate solicita rectificarea, completarea, actualizarea datelor
personale eronate, incomplete sau neactualizate, poate solicita ștergerea
datelor personale în condițiile prevăzute sau restricționarea prelucrării lor,
poate solicita anonimizarea sau pseudonimizarea lor, precum și notificarea
către destinarii care prelucrează datele personale.
În cazul în care operatorul are dreptul să prelucreze datele în condițiile
legale (arhivare, scopuri, statistice, de cercetare, ș.a.), cererea nu este
regulamentar introdusă sau nu este întemeiată, va respinge cererea și va
comunica persoanei vizate acest lucru;
Dreptul la portabilitate
Persoana vizată poate primi o copie a datelor personale proprii prelucrate sau se
poate solicita ca respectivele date sa fie transmise altui operator;
Dreptul de opoziție
Persoana vizată se poate opune anumitor prelucrari de date. Persoana vizată nu
se poate opune prelucrării de date pentru care există obligația legală de a le
prelucra (ex: arhivare, ș.a.).
Procesul decizional individual automatizat. Crearea de
profiluri:
Pentru a îmbunătăți calitatea serviciilor și produselor oferite și relația
cu persoana vizată, pentru a respecta cerințele legale, operatorul se poate
alinia tendințelor de piață și poate folosi procese decizionale individuale
automatizate și poate crea profiluri ale persoanelor vizate (la accesarea
contului de utilizator pe site-ul operatorului, cu ocazia ofertării, negocierii
contractului, cu ocazia executării sau încetării contractului, ș.a.). Toate
aceste procese automatizate conțin algoritmi
(prelucrarea automată) care se execută în cazul îndeplinirii condiției
stabilite (date de intrare) și returnează un anumit răspuns (date de ieșire):
suspendarea temporară a contului în caz de acces neautorizat, informarea,
alertarea persoanei vizate, ș.a. Acești algoritmi se execută fără intervenție
umană, astfel că fidelitatea procesului este maximă și înlătură orice eroare
umană care poate interveni în prelucrarea datelor. Implementarea lor are ca
finalitate satisfacția persoanei
vizate, oferirea de produse și servicii personalizate cât mai apropiate de
interesele ei. Persoana vizată are dreptul de a nu face obiectul unei decizii
bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care
produce efecte juridice care privesc persoana vizată sau o afectează în mod
similar într-o măsură semnificativă. În caz de opoziție, operatorul, dacă nu
poate aplica măsurile de rigoare, sau provoacă costuri suplimentare, poate
decide neînceperea sau încetarea relației contractuale.
Dreptul de a depune plângere
Persoana vizată poate depune plângere pentru modul în care sunt prelucrate
datele personale la autoritatea de supraveghere și la instanță, în condițiile
prevăzute de lege.
Ce măsuri luăm pentru a asigura protecția datelor cu caracter personal:
Aplicăm un set de măsuri pentru a proteja datele personale, precum: emiterea
regulamentului intern privind prelucrarea datelor personale, modificarea
actelor interne în funcție de acest regulament, înregistrarea la autoritatea de
supraveghere în cazul în care este obligatoriu, reducerea la minim a datelor
personale, desemnarea unor persoane cu măsuri în domeniul protecției datelor
pesonale, informarea persoanelor vizate, prin notificarea de informare, acte
adiționale, publicare pe site-ul web, ș.a., informarea destinatarilor datelor
personale, prin notificarea de informare, acte adiționale, instruirea
personalului, ș.a., ținerea evidențelor activității de prelucrare, cooperarea
cu autoritatea de supraveghere, măsuri de securitate: limitarea accesului la
date cu parole, sisteme antivirus actualizate, asigurarea securității sediului
social, backup-uri periodice, măsuri la încălcarea securității: notificarea
autorității de supraveghere în cel mai scurt timp, formularea de acțiuni,
conform încălcării, în cazurile prevăzute de lege sau de autoritatea de
supraveghere: evaluarea de impact, în cazurile prevăzute de lege: consultarea
prealabilă cu autoritatea de supraveghere, după caz: aderarea la coduri de
conduită, obținerea certificărilor de specialitate.
Transferul către alte state:
Operatorul desfășoară activitatea în România și de principiu nu transferă date
personale către alte state. Orice eventual transfer de date se face numai în
condițiile legii.
Alte informații:
Toate drepturile se exercită conform legii și regulamentului de protecție a
datelor personale, publicat pe site-ul web al operatorului. Pentru alte
detalii, persoana vizată poate contacta conducerea operatorului sau persoana
desemnată cu măsurile privind prelucrarea datelor personale, la adresa de
contact a operatorului.