PARTEA 1: Termeni si condiții

Introducere

Acești termeni și condiții guvernează utilizarea acestui site web; prin utilizarea acestui site, acceptați integral aceste termene și condiții. Dacă nu sunteți de acord cu acești termeni și condiții sau cu orice parte a acestor termeni și condiții, nu trebuie să utilizați acest site web. Folosind acest site și acceptând acești termeni și condiții, sunteți de acord cu colectarea datelor dvs., în conformitate cu termenii politicii de confidențialitate stipulate in sectiunea a 2-a.

Aplicabilitate

Termenii si conditiile prezentate sunt valabile si se aplica pentru website-ul www.teodordusa.com pentru care DUȘA TEODOR-PETRUȚ PFA are calitatea de autor/proprietar/administrator. Website-ul www.teodordusa.com va fi denumit generic, in mod individual “site” sau “website” in cele ce urmeaza.

Licență pentru utilizarea site-ului web

Cu excepția cazului în care se prevede altfel, DUȘA TEODOR-PETRUȚ PFA și / sau licențiatorii săi dețin drepturile de proprietate intelectuală a materialelor de pe  acest website (imagini, text, grafica, logo-uri, icoane, inregistrari video si inregistrari audio). Sub rezerva licenței, toate aceste drepturi de proprietate intelectuală sunt rezervate. Puteți vizualiza sau descărca continutul, exclusiv în scopuri de cache si numai pentru utilizare personala, sub rezerva restricțiilor stabilite mai jos și conform termneilor si conditiilor stipulate in acest document. Astfel, sunt interzise:

  • Republicarea materiale de pe acest site (inclusiv republicarea pe un alt site web);

  • Imprimarea paginilor sau al conținutului fără consimțământul scris expres al lui DUȘA TEODOR-PETRUȚ PFA

  • Vanzarea, închirierea sau sub-licențierea materialelor de pe site;

  • Afișarea oricarui material de pe site în public;

  • Reproducerea, duplicarea, copierea sau exploatarea materialelor de pe acest site in scopuri comerciale;

  • Editarea sau modificarea oricariu material de pe site; sau

  • Redistribuirea materialelor de pe acest site, cu excepția conținutului specific și explicit pus la dispoziție pentru redistribuire.

Nerespectarea termenilor şi condiţiilor de utilizare atrage răspunderea în conformitate cu prevederile Legii nr. 8/1996 şi ale Legii nr. 161/2003.

Utilizare acceptabilă

Nu trebuie să utilizați acest site în nici un fel care cauzează sau poate provoca daune site-ului sau care afectează disponibilitatea sau accesibilitatea site-ului; sau în orice mod ilegal, fraudulos sau dăunător sau în legătură cu orice scop sau activitate ilegală, frauduloasă sau nocivă. Nu trebuie să utilizați acest site pentru a copia, stoca, găzdui, transmite, trimite, utiliza, publica sau distribuie orice material care constă în (sau este legat) de orice spyware, virus de calculator, cal troian, vierme, logger de tip keystroke, rootkit sau alt program informatic rău intenționat. Nu trebuie să desfășurați activități sistematice sau automate de colectare a datelor , extragerea de date, extragerea de date și recoltarea datelor) pe sau în legătură cu acest site web, fără consimțământul expres scris scris al lui DUȘA TEODOR-PETRUȚ PFA. Nu trebuie să utilizați acest site pentru a transmite sau a trimite comunicații comerciale nesolicitate. Nu trebuie să utilizați acest site web în scopuri legate de marketing fără consimțământul expres scris scris al companiei DUȘA TEODOR-PETRUȚ PFA.

Nu există garanții

Site-ul este furnizat de catre DUȘA TEODOR-PETRUȚ PFA pe o baza “asa cum este” si “atat cat este disponibil”, fara garantii exprese sau implicite. DUȘA TEODOR-PETRUȚ PFA  nu face nicio declarație si nu ofera nici o  garanție în legătură cu acest site web sau cu informațiile și materialele furnizate pe acest site web si legate de disponibilitatea acestora in viitor. Fără a aduce atingere generalității paragrafului precedent, DUȘA TEODOR-PETRUȚ PFA nu garantează că:

  • acest site web va fi disponibil în permanență sau disponibil temporar; sau

  • informațiile de pe acest site web vor fi disponibile în mod constant sau in mod temporar sau limitat.

Nimic pe acest site nu constituie, sau este menit să constituie, un sfat de orice fel.

Limitări ale răspunderii

DUȘA TEODOR-PETRUȚ PFA nu va fi răspunzător față de dvs. în legătură cu conținutul, utilizarea ascestui site web, ori in legatura cu oricare (si nu numai) din urmatoarele:

  • în măsura în care site-ul web este furnizat gratuit, pentru orice pierdere directă;

  • pentru orice pierdere indirectă, specială sau consecventă; sau

  • pentru orice pierderi în afaceri, pierderi de venituri, venituri, profit sau economii anticipate, pierderi de contracte sau relații de afaceri, pierderea reputației sau fondului comercial, pierderea sau corupția informațiilor sau datelor.

Conţinutul site-ului are caracter pur informative, reprezentand opinii si idei personale, neputând fi folosit ca baza legală pentru nicio acţiune/demers în faţa terţilor.

Excepţii

Nimic din această declarație de excludere a responsabilității site-ului nu va exclude sau nu limitează nicio garanție impusă de lege;

Caracter rezonabil

Prin utilizarea acestui site, sunteți de acord că excluderile și limitările de răspundere stabilite în această declarație de declinare a responsabilității site-ului sunt rezonabile. Dacă nu credeți că sunt rezonabile, nu trebuie să utilizați acest site web.

Dispoziții inoperabile

În cazul în care orice prevedere din această declarație de declinare a responsabilității site-ului este sau este dovedită a fi inaplicabilă conform legii aplicabile, aceasta nu va afecta aplicabilitatea celorlalte prevederi ale acestei clauze de declinare a responsabilității site-ului web.

Încălcarea acestor termeni și condiții

Fără a aduce atingere altor drepturi ale DUȘA TEODOR-PETRUȚ PFA, în condițiile prezentelor termeni și condiții, în cazul în care încalcăți aceste condiții și condiții în orice mod, DUȘA TEODOR-PETRUȚ PFA poate lua orice fel de acțiuni legale pe care acesta le consideră adecvate pentru asi apara drepturile, inclusiv suspendarea accesului site-ul dvs., interzicerea accesarii site-ului web, blocând computerele care utilizează adresa dvs. IP pentru a accesa site-ul Web.

Anulabilitate

Dacă o dispoziție a acestor termeni și condiții este determinată de orice instanță sau altă autoritate competentă pentru a fi ilegală și / sau inaplicabilă, celelalte prevederi vor continua să fie în vigoare. Dacă o dispoziție ilegală și / sau inoperabilă ar fi legală sau executorie dacă o parte din ea ar fi fost ștearsă, acea parte va fi considerată eliminată, iar restul prevederii va continua să fie în vigoare.

Drept și jurisdicție

Acești termeni și condiții vor fi guvernate și interpretate în conformitate cu legislația din Romania, iar orice litigii legate de acești termeni și condiții vor face obiectul jurisdicției [exclusive] exclusive a instanțelor din Romania.

PARTEA a 2-a: CONFIDENȚIALITATE

Cuprins

  1. Preambul

  2. Principiile de bază ale noului Regulament General de Protecție a datelor personale.

  3. Dicționar de terminologie

  4. Obligațiile principale ale DUȘA TEODOR-PETRUȚ PFA. Arhivarea documentelor care conțin date cu caracter personal, conform legilor speciale.

  5. Codul numeric personal. Cartea de identitate. Domiciliul.

  6. Data Protection Officer – persoana desemnată pentru protecția datelor. Certificarea.

  7. Evaluarea de Impact

  8. Măsuri tehnice și organizatorice privind păstrarea confidențialității cu privire la utilizarea datelor cu caracter personal.

  9. Politica GPDR DUȘA TEODOR-PETRUȚ PFA. Coduri de conduita.

1. Preambul

Regulamentul nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal şi privind libera circulație a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

Comisia Europeană a semnalat, în anul 2012, necesitatea actualizării cadrului normativ european aplicabil în domeniul protecției datelor şi a propus noi reguli utilizând ca instrument normativ regulamentul.

Regulamentul (UE) 2016/679 a intrat în vigoare pe 25 mai 2016, iar prevederile lui vor fi aplicabile începând cu data de 25 mai 2018. Deși principiile şi obiectivele principale stabilite de Directiva 95/46/CE rămân valabile, scopul principal al Regulamentului este acela de a adapta şi actualiza aceste principii în acord cu evoluția tehnologiei. Regulamentul stabilește un set unic de reguli, direct aplicabile în toate statele membre ale Uniunii, destinat protejării mai eficiente a vieții private a persoanelor fizice de pe teritoriul Uniunii Europene.

Principiile şi regulile stabilite de Regulament privesc un drept fundamental al persoanei – dreptul la protecția datelor personale, garantat de art. 8 al Cratei Drepturilor  Fundamentale a UE şi art. 16 al Tratatului UE.

Regulamentul (UE) 2016/679  accentuează responsabilitatea operatorilor care prelucrează date personale, simplificând în același timp,  formalitățile administrative pe care aceștia trebuie să le parcurgă.

Prevederile Regulamentului (UE) 2016/679 consolidează drepturile garantate persoanelor vizate (persoanele ale căror date sunt prelucrate). Astfel, dreptul la informare este extins, în sensul că persoanele vizate pot obține de la operatorul de date informații mai clare şi cuprinzătoare cu privire la scopul şi temeiul legal în care se prelucrează datele personale, perioada de stocare a acestora şi drepturile de care beneficiază.

Dreptul de a fi uitat cu aplicabilitate în mediul on-line este consacrat expres. Regulamentul (UE) 2016/679 mai prevede şi un drept nou, cel la portabilitatea datelor – mai exact posibilitatea persoanelor vizate de a cere transferarea datelor la un alt operator de date.

Minorii beneficiază de mai multă atenție întrucât regulamentul stabilește o serie de garanții specifice pentru a proteja cât mai eficient viața privată a acestora, în special, în mediul on-line.

Regulile stabilite de Regulament vor fi aplicabile tuturor operatorilor de date, indiferent de locul unde sunt stabiliți aceștia, în anumite condiții.

Astfel, în măsura în care bunurile sau serviciile oferite de o companie aflată în afara UE, care presupun prelucrarea datelor personale, sunt adresate în mod vădit şi cetățenilor Uniunii Europene, regulile stabilite de Regulament îi vor fi aplicabile şi acestei companii.

  • Domeniul de aplicare:

  • Regulamentul este direct aplicabil în toate statele membre UE

  • protejează drepturile tuturor persoanelor fizice aflate pe teritoriul UE, indiferent de situarea geografică a operatorului de date

  • extinde sfera de aplicare şi asupra operatorilor de date stabiliți în afara UE, în măsura în care bunurile şi/sau serviciile acestora sunt adresate (şi) persoanelor aflate pe teritoriul UE.

Scopul Regulamentului este să contribuie la asigurarea unei zone de libertate, securitate şi justiție pe teritoriul Uniunii Europene, o zonă în care este asigurat atât progresul economic şi social, cât şi binele individual.

Regulile şi principiile stabilite de Regulament protejează viața privată a tuturor persoanelor aflate pe teritoriul Uniunii Europene, ale căror date personale sunt prelucrate de companii /persoane fizice/instituții/orice alte entități de drept public sau privat.

Aceste reguli şi principii sunt aplicabile tuturor persoanelor, indiferent de cetățenia acestora sau de reședință (în interiorul UE).

Operatorilor de date le este oferită posibilitatea de a interacționa cu o singură autoritate de supraveghere, respectiv cea din statul membru în care este stabilit sediul principal al operatorului de date.

Regulamentul privește atât companiile aflate pe teritoriul Uniunii Europene, cât şi cele din afara acestui spațiu care prelucrează, însă, date personale pentru a oferi bunuri şi servicii persoanelor aflate pe teritoriul Uniunii Europene, indiferent dacă bunurile şi serviciile respective sunt condiționate sau nu de efectuarea unei plăti.

Importantă este intenția companiei de a oferi în mod efectiv bunuri şi/sau servicii persoanelor aflate pe teritoriul UE.

Pentru a identifica intenția de a oferi bunuri sau servicii pe teritoriul Uniunii Europene sunt analizați mai mulți factori, cum ar fi:

  • utilizarea limbii oficiale a unuia dintre statele membre,

  • posibilitatea de a plăti în euro sau altă monedă oficială a statelor membre ori de a livra produsele comandate pe teritoriul UE sau orice alte asemenea indicii.

De asemenea, Regulamentul (UE) 2016/679 va fi aplicabil şi companiilor aflate în afara Uniunii Europene în măsura în care prelucrarea de date efectuată presupune monitorizarea comportamentului  persoanelor aflate pe teritoriul UE.

O astfel de monitorizare presupune, spre exemplu, urmărirea comportamentului în mediul on-line, inclusiv folosirea unor tehnici ulterioare de prelucrare a datelor cum ar fi crearea de profiluri. Astfel de tehnici sunt folosite pentru a stabili preferințele persoanelor, comportamentele şi atitudinile acestora.

Excepții:

  • prevederile Regulamentului nu vor fi aplicabile prelucrărilor efectuate în scopul prevenirii, cercetării şi urmăririi penale a infractorului sau executarea sancțiunii penale. În cazul acestora vor fi aplicabile prevederile unei reglementări naționale în aplicabilitatea Directivei (UE) 2016/680, (care face parte din același „pachet legislativ” cu Regulamentul UE 2016/679).

  • Regulamentul nu va fi aplicabil activităților aflate în afara dreptului Uniunii – aici se încadrează şi prelucrările de date referitoare la securitatea națională a statelor membre şi relațiile externe.

  • Regulamentul nu va fi aplicabil prelucrărilor de date efectuate de o persoană fizică în cadrul unei activități exclusiv personale.

  • Activitățile cuprinse în ultima excepție sunt unele strict personale şi exclud orice legătură cu profesia sau cu orice activitate comercială.

Sunt incluse în această excepție, spre exemplu, corespondența personală prin e-mail, socializarea în mediul on-line şi orice altă asemenea activitate.

Pentru persoanele vizate:

Sunt consolidate drepturile garantate persoanelor şi sunt introduse drepturi noi:

  • dreptul de a fi uitat – persoanele fizice pot cere ștergerea datelor personale dacă acestea au fost prelucrate ilegal, fără consimțământul acestora sau dacă datele nu mai sunt necesare scopului în care au fost prelucrate inițial.

În cazul dreptului de a fi uitat, a fost avută în vedere în special prelucrarea datelor în mediul on-line.

  • Dreptul de a fi uitat nu este unul absolut – vor fi analizate întotdeauna circumstanțele specifice fiecărui caz în parte.

Regulamentul permite păstrarea în continuare a datelor cu caracter personal în cazul în care

Aceasta este necesară  pentru:

  • respectarea libertății de exprimare şi a dreptului la informare, pentru respectarea unei obligații legale,

  • pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este investit operatorul, din motive de interes public în domeniul sănătății publice,

  • în scopuri de arhivare în interes public,

  • în scopuri de cercetare științifică sau istorică ori în scopuri statistice sau pentru constatarea, exercitarea sau apărarea unui drept în instanță.

  • dreptul la portabilitatea datelor – oferă posibilitatea persoanei fizice de a cere să se transmită datele la un alt operator sau de a primi datele personale care o privesc şi pe care le-a furnizat operatorului. Operatorul de date trebuie să ofere datele într-un format structurat, utilizat în mod curent, prelucrabil automat şi interoperabil, tocmai pentru ca şi un alt operator de date să le poată prelucra ulterior.

Dreptul la portabilitatea datelor este aplicabil în măsura în care persoana vizată a oferit operatorului datele personale, iar acesta le prelucrează în baza consimțământului sau în executarea unui contract.

Nu se va putea exercita dreptul la portabilitatea datelor în cazul operatorilor de date care prelucrează datele persoanelor fizice în cadrul exercitării funcțiilor lor publice, în cazul în care prelucrarea este necesară în vederea respectării unei obligații legale căreia îi este supus operatorul ori în cazul îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea unei autorități publice cu care este învestit operatorul de date.

În exercitarea dreptului la portabilitatea datelor, nu trebuie aduse atingeri drepturilor altor persoane și libertăților altor persoane – spre exemplu cazul unui set de date care privește mai multe persoane sau dreptul altei persoane de a obține ștergerea datelor care o privesc.

Atunci când se exercită dreptul la portabilitatea datelor, operatorul de date poate transmite datele personale direct altui operator de date ales de persoana vizată.

Aspecte diverse:

  • Regulamentul stabilește obligația operatorului de a demonstra obținerea consimțământului persoanei pentru prelucrările de date personale.

  • Persoana vizată are dreptul să își retragă în orice moment consimțământul, în situația în care acesta constituie temei de prelucrare a datelor.

  • Absența unei manifestări clare de acord nu poate fi privită ca o formă de exprimare a consimțământului.

Spre exemplu, în cazul căsuțelor bifate (prin care este prestabilit acordul) nu poate fi prezumat un consimțământ exprimat în cunoștință de cauză.

În cazul în care datele sunt prelucrate în mai multe scopuri, este important ca operatorul de date să poată demonstra că a obținut acordul persoanei pentru a-i prelucra datele în toate acele scopuri.

Regulamentul stabilește obligația operatorului de date de a asigura un anumit nivel de transparență fată de persoanele vizate.

Acestea trebuie să știe cine este operatorul de date, scopul în care le vor fi prelucrate datele, ce date sunt utilizate, ce drepturi le sunt garantate, cum își pot exercita aceste drepturi şi cine sunt/vor fi terții cărora operatorul le va dezvălui datele, dacă este cazul.

În cazul în care sunt prelucrate date personale ale minorilor, operatorul de date trebuie să ofere informațiile respective utilizând un limbaj cât mai simplu şi clar, astfel încât copilul/minorul să poată înțelege cu ușurință scopul şi modul în care îi vor fi prelucrate datele personale.

Proximitatea față de persoana vizată – autoritatea de supraveghere din statul membru în care se află persoana vizată acționează ca interlocutor/punct de contact atunci când operatorul de date este stabilit într-un alt stat.

În cazul prelucrărilor de date care vizează persoane din mai multe state membre, fiecare persoană are posibilitatea de a se adresa (după caz, de a depune plângere) autorității de supraveghere din statul (membru UE) în care își are domiciliul/reședința. În acest fel, este asigurată implicarea autorității de supraveghere din statul membru în care se află persoana în procedura de adoptare a unei decizii în cazul unui operator de date stabilit într-un alt stat membru.

Cooperare consolidată între autoritățile de supraveghere – în cazul prelucrărilor de date transnaționale (cele care privesc persoane din mai multe state membre UE), autorității de supraveghere din statul respectiv îi sunt oferite competente pentru a se asigura, alături de autoritățile din celelalte state implicate, că datele sunt prelucrate conform regulilor şi principiilor stabilite de Regulament.

Pentru operatorii de date:

One stop shop – formalități reduse pentru operatorii de date (interlocutor unic la nivel UE).

Operatorii de date care își desfășoară activitățile în mai multe state membre UE își pot alege un singur interlocutor – autoritatea de supraveghere din statul membru în care îşi au stabilit sediul principal.

Responsabilizarea operatorilor de date – accentul este pus pe transparența față de persoana vizată şi responsabilitatea operatorului de date față de modul în care prelucrează datele.

În cazul prelucrărilor de date care pot presupune un risc ridicat pentru viața privată a persoanelor, operatorul trebuie să efectueze un studiu de impact asupra vieții private.

Rezultatul unui astfel de studiu îi va permite să identifice riscuri specifice şi să adopte măsuri care să împiedice apariția / producerea acestor situații.

Prelucrarea categoriilor de „date sensibile” poate presupune, de cele mai multe ori, apariția unor riscuri specifice referitoare la viața privată a persoanelor.

O asemenea evaluare va începe întotdeauna cu inventarierea datelor/categoriilor de date personale pe care operatorul intenționează să le prelucreze.

Acestea vor fi supuse unei analize de necesitate pentru a verifica dacă sunt, într-adevăr, necesare toate acele date/categorii de date pentru a atinge scopul urmărit de operator, în vederea respectării principiului minimizării datelor.

Ulterior pot fi identificate şi riscurile presupuse de prelucrarea acelor date, spre exemplu dezvăluirea neautorizată/accidentală/ilicită a datelor şi atingerile pe care producerea unui astfel de risc le pot aduce dreptului persoanei la viață privată.

În funcție de riscurile identificate, operatorul de date își va stabili măsurile tehnice și organizatorice  (proceduri interne) pentru a preveni producerea acestora.

Privacy by design & Privacy by default – două principii esențiale pentru operatorii de date.

Privacy by design – ești dezvoltator de aplicații prin care se vor prelucra şi date personale? Trebuie să te asiguri, încă din stadiul dezvoltării, că aplicația ta va respecta regulile şi principiile stabilite de Regulament.

Privacy by default – furnizezi o aplicație care prelucrează date personale? Trebuie să te asiguri că setările inițiale le vor permite utilizatorilor să își mențină controlul asupra vieții lor private/ceea ce postează sau împărtășesc cu alți utilizatori. Utilizatorul poate alege să dezvăluie mai multe informații/date personale, însă trebuie să o facă în cunoștință de cauză, nu implicit (datorită setărilor inițiale).

Transferul datelor în afara UE – atunci când datele personale sunt transferate în afara Uniunii Europene, acestea vor beneficia în continuare de nivelul de protecție asigurat de regulile şi principiile stabilite de Regulament.

Operatorul de date utilizează unul dintre instrumentele prevăzute de Regulament:

  • BCR – (binding corporate rules) reguli corporatiste obligatorii,

  • clauze contractuale standard

  • Decizii privind caracterul adecvat al nivelului de protecție emisă de către Comisia Europeană.

Pentru a se asigura nivelul de protecție a datelor persoanelor fizice, transferul datelor cu caracter personal într-un stat terț sau către o organizație internațională se poate realiza doar cu respectarea unor condiții de către operator şi persoana împuternicită de operator, inclusiv în ceea ce privește transferurile ulterioare de date din statul terț către un alt stat terț sau către o altă organizație internațională.

Transferul datelor cu caracter personal către un stat terț, un teritoriu sau un sector specificat dintr-un stat terț sau o organizație internațională nu necesită autorizare atunci când Comisia Europeană a decis că statul terț, teritoriul, sectorul specificat sau organizația internațională oferă un nivel de protecție adecvat.

În absența unei decizii privind caracterul adecvat al nivelului de protecție, operatorul sau persoana împuternicită trebuie să adopte măsuri care să compenseze lipsa protecției datelor într-un stat terț prin adoptarea unor garanții eficiente pentru persoanele vizate, cum ar fi:

  • un instrument obligatoriu din punct de vedere juridic şi executoriu între autoritățile sau organismele publice (acorduri administrative);

  • reguli corporatiste obligatorii/BCR (binding corporate rules);

  • clauzele standard de protecție a datelor adoptate de Comisia Europeană;

  • clauzele standard de protecție a datelor adoptate de autoritatea de supraveghere;

  • un cod de conduită aprobat;

  • un mecanism de certificare aprobat;

  • clauze contractuale între operator sau persoana împuternicită de operator şi operatorul, persoana împuternicită de operator sau destinatarul datelor din statul terț sau organizația internațională;

  • dispoziții care urmează să fie incluse în acordurile administrative dintre autoritățile sau organismele publice, care includ drepturi opozabile şi efective pentru persoanele vizate (autorizația autorității competente  ar trebui obținută când garanțiile sunt oferite prin acorduri administrative fără caracter juridic obligatoriu).

Un transfer către un stat terț sau o organizație internațională mai poate avea loc, în absența unei decizii privind caracterul adecvat al nivelului de protecție sau a unor garanții adecvate, în una din următoarele condiții:

  • persoana vizată şi-a exprimat în mod explicit acordul cu privire la transferul propus;

  • transferul este necesar pentru executarea unui contract între persoana vizată şi operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;

  • transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator şi o altă persoană fizică sau juridică;

  • transferul este necesar din considerente importante de interes public;

  • transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță;

  • transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-şi exprima acordul;

  • transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau dreptului intern, are scopul de a furniza informații publicului şi care poate fi consultat fie de public în general, fie de orice persoană care poate face dovada unui interes legitim, dar numai în condițiile în care sunt îndeplinite condițiile cu privire la consultare prevăzute de dreptul Uniunii Europene sau de dreptul intern în acel caz specific.

Responsabilul pentru  protecția datelor – DPO

Numirea unui responsabil pentru protecția datelor la nivelul operatorului de date reprezintă una dintre măsurile prin care se încearcă responsabilizarea operatorilor de date.

Responsabilul pentru protecția datelor oferă consultanta necesară în vederea respectării tuturor obligațiilor operatorului de date şi asigurării transparenței necesare față de persoanele vizate.

Responsabilul pentru protecția datelor poate oferi operatorului de date consultanta necesară în vederea efectuării studiului de impact asupra vieții private.

Operatorul de date trebuie să își desemneze un responsabil pentru protecția datelor în următoarele situații:

  • atunci când operatorul de date este o autoritate publică (cu excepția instanțelor sau a autorităților judiciare);

  • în cazul în care activitatea principală a operatorului de date constă în operațiuni de prelucrare care necesită o monitorizare regulată și sistematică a datelor persoanelor vizate pe scară largă

  • în cazul în care activitatea principală a operatorului de date (sau a împuternicitului acestuia) constă în prelucrarea pe scară largă de categorii speciale de date cu caracter personal şi de date privind condamnările penale şi infracțiunile.

Este recomandată numirea unui responsabil pentru protecția datelor la nivelul operatorului de date şi în afara cazurilor de mai sus, întrucât în acest fel poate fi asigurată pe deplin respectarea întocmai a prevederilor Regulamentului în cadrul prelucrării de date efectuată de către operatorul de date / împuternicitul acestuia.

Sancțiuni severe – amenda până la 10 – 20 milioane de euro sau între 2% şi 4% din cifra de afaceri la nivel internațional pentru operatorii din sectorul privat.

Regulamentul stabilește criterii clare de individualizare a sancțiuni – vor fi avute în vedere în mod corespunzător

  • natura,

  • gravitatea şi durata încălcării,

  • caracterul deliberat al încălcării,

  • acțiunile întreprinse pentru a reduce prejudiciul cauzat,

  • gradul de răspundere sau orice încălcări anterioare relevante,

  • modul în care încălcarea a fost adusă la cunoștința autorității de supraveghere,

  • conformitatea cu măsurile adoptate împotriva operatorului sau a persoanei împuternicite de operator,

  • aderarea la un cod de conduită şi orice alt factor agravant sau atenuant.

Fiecare stat membru poate prevedea norme prin care să se stabilească dacă și în ce măsură pot fi impuse amenzi autorităților publice.

Autoritatea națională din România care supraveghează activitatea de protecție a datelor este :

AUTORITATEA NATIONALA DE SUPRAVEGHERE A PRELUCRARII DATELOR CU CARACTER PERSONAL

Bulevardul G-ral Gheorghe Magheru 28-30, sector 1

București, cod poștal 010336

Telefon : 031.805.9211

Fax : 031.805.9602

E-mail : anspdcp@dataprotection.ro

Web : www.dataprotection.ro

2. PRINCIPIILE DE BAZA ALE REGULAMENTULUI GENERAL DE PROTECTIE A DATELOR PERSONALE

  • Renunțarea la orice notificare/înregistrare la ANSPDCP. Practic, dispare birocrația;

  • Responsabilitate și conformare (compliance). Practic, operatorul de date personale trebuie să aibă toate informațiile cu privire la colectarea și prelucrarea de date personale, iar aceste informații să poată fi prezentate oricând Autorității;

  • Se introduce notificarea pentru încălcarea securității; imediat ce constați că serverul ți-a fost atacat și datele personale au fost compromise, trebuie să notifici Autoritatea;

  • Responsabilul pentru protecția datelor. O persoană din cadrul organizației poate avea rolul de responsabil cu protecția datelor cu caracter personal și poate ține legătura cu Autoritatea. Pentru DUȘA TEODOR-PETRUȚ PFA nu este obligatoriu, dar este recomandat ca această persoană să existe, dacă societatea totuși colectează date cu caracter special sau o cantitate mare de date;

  • Coduri de conduită și certificare.

3. DICTIONAR TERMINOLOGIE REGULAMENTUL GENERAL DE PROTECTIE A DATELOR CU CARCATER PERSONAL

Potrivit Regulamentului EU 2016/ 679, noile reguli GDPR se aplică “controlorilor/ operatorilor” și “procesatorilor” de date.

Potrivit Art.4, Par.7-10, părțile implicate într-un proces de prelucrare a datelor personale sunt definite astfel:

“operator sau controlor” – persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care – singur sau împreună cu altele – stabilește scopurile şi mijloacele de prelucrare a datelor cu caracter personal;

atunci când scopurile şi mijloacele prelucrării sunt stabilite print-o prevedere a Uniunii Europene sau o prevedere a legislației naționale, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul UE sau în dreptul intern;

“procesator” – persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului, printr-o împuternicire de partea acestuia;

“destinatar sau recipient” – persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate date cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul UE sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării;

“parte terță” – o persoană fizică sau juridică, autoritate publică, agenţie sau organism, altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;

Dar ce se înțelege prin ”persoana vizată”? Pentru acest termen nu am găsit o definiție explicită în Regulament, dar putem presupune în mod implicit că:

”persoana vizată ” – este persoana fizică ale căror date personale sunt supuse prelucrării. Adică este chiar persoana pentru care a fost construit întregul mecanism GDPR. Prin persoană fizică se înțelege orice individ în viața, care conform Art.1 are dreptul la:

  • Protecția datelor cu caracter personal

  • Protecția prelucrării datelor cu caracter personal

  • Libera circulație nerestricționată a datelor cu caracter personal în cadrul UE

Revenind la noțiunile de operator și procesator, dacă momentan sunteți un operator de date personale atunci  prin GDPR se preiau vechile obligații legale specifice activității derulate, venind cu noi cerințe precum:

  • obligativitatea de a păstra evidența datelor cu caracter personal și a activităților de procesare

  • răspundere juridică semnificativă dacă sunteți responsabil pentru o încălcare.

Precizare:  un operator nu este scutit de obligații în cazul în care colaborează cu un procesator de date.

”prelucrarea datelor cu caracter personal”. ”Art.4 – Definiții” ne ajută și de această dată, explicându-ne: ”prelucrarea datelor înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.

GDPR se aplică atât datelor cu caracter personal automatizate, cât și sistemelor de arhivare manuală în care datele personale sunt accesibile conform unor criterii specifice. Aceasta este mai largă decât definiția din Legea 677/ 2001 și ar putea include seturi de înregistrări manuale cronologice care conțin date cu caracter personal. Datele personale care au fost pseudonime – de exemplu, codificate la cheie – pot intra sub incidența GDPR în funcție de dificultatea de a atribui pseudonimul unei anumite persoane.

“restricționarea prelucrării” – marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora,

 “creare de profiluri” înseamnă orice formă de prelucrare automată care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanta la locul de muncă, situația economică, sănătatea, preferințele, personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia.

„Aria geografica acoperită” Una dintre noutățile regulamentului o constituie extinderea ariei geografice de aplicabilitate. Noile reglementări nu se aplică numai prelucrărilor efectuate de organizații care operează în cadrul UE, ci sunt extinse și asupra oricărei organizații din afara UE care oferă bunuri sau servicii persoanelor fizice din UE.

Conform Art.3 – Domeniul de aplicare teritorial, noul regulament ”se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.”

GDPR se aplică ”prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:

  • oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăti de către persoana vizată;

  • monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.

Totodată, regulamentul se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public.

O mai bună explicitare despre prevederile Art.3 pot fi găsite în considerentele publicate în prima parte a documentului oficial EU 2016/679, unde se spune că:

Considerentul 22: ”Orice prelucrare a datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator din Uniune ar trebui efectuată în conformitate cu prezentul regulament, indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii. Sediul implică exercitarea efectivă şi reală a unei activități în cadrul unor înțelegeri stabile. Forma juridică a unor astfel de înțelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privință.”

Considerentul 23: ”Pentru a se asigura că persoanele fizice nu sunt lipsite de protecția la care au dreptul (…) prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu își are sediul în Uniune ar trebui să facă obiectul prezentului regulament în cazul în care activitățile de prelucrare au legătură cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent dacă acestea sunt sau nu legate de o plată. Pentru a determina dacă un astfel de operator sau o astfel de persoană împuternicită de operator oferă bunuri sau servicii unor persoane vizate care se află pe teritoriul Uniunii, ar trebui să se stabilească dacă reiese că operatorul sau persoana împuternicită de operator intenționează să furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. Întrucât simplul fapt că există acces la un site al operatorului, al persoanei împuternicite de operator sau al unui intermediar în Uniune, că este disponibilă o adresă de e-mail şi alte date de contact sau că este utilizată o limbă folosită în general în țară terță în care operatorul își are sediul este insuficient pentru a confirma o astfel de intenție.”

Considerentul 24: ”Prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu își are sediul în Uniune ar trebui, de asemenea, să facă obiectul prezentului regulament în cazul în care este legată de monitorizarea comportamentului unor astfel de persoane vizate, în măsura în care acest comportament se manifestă pe teritoriul Uniunii. Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca “monitorizare a comportamentului” persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferințele personale, comportamentele şi atitudinile acesteia.”

Considerentul 25: ”În cazul în care dreptul unui stat membru se aplică în temeiul dreptului internațional public, prezentul regulament ar trebui să se aplice, de asemenea, unui operator care nu este stabilit în Uniune, ci, de exemplu, într-o misiune diplomatică sau într-un oficiu consular al unui stat membru.”

4. OBLIGAȚIILE PRINCIPALE ALE DUȘA TEODOR-PETRUȚ PFA. CIRCUITUL ȘI ARHIVAREA DOCUMENTELOR CARE CONȚIN DATE CU CARACTER PERSONAL

Arhivarea și păstrarea registrelor de contabilitate și a celorlalte documente financiar-contabile, care conțin date cu caracter personal se face, și după 25.05. 2018, în conformitate cu prevederile Ordinului Ministerului Finanțelor Publice (MFP) nr. 2634/2015, în vigoare de la 1 ianuarie 2016.

Ca regulă generală, registrele de contabilitate şi documentele justificative care stau la baza înregistrărilor în contabilitatea financiară se păstrează în arhiva entităților timp de zece ani, cu începere de la data încheierii exercițiului financiar în cursul căruia au fost întocmite.

Există şi o excepție de la această regulă, şi anume statele de salarii, al căror termen de păstrare este de 50 de ani. 

În același timp, documentul citat reglementează peste 20 de documente a căror perioadă obligatorie de păstrare este de cinci ani, cu începere de la data încheierii exercițiului financiar în cursul căruia au fost întocmite. Dintre care pentru DUȘA TEODOR-PETRUȚ PFA, au relevanță doar  următoarele:

  • notă de recepție și constatare de diferențe;

  • bon de predare, transfer, restituire;

  • dispoziție de livrare;

  • chitanță;

  • chitanță pentru operațiuni în valută;

  • dispoziție de plată/încasare către casierie;

  • borderou de achiziție;

  • borderou de achiziție (de la producători individuali);

  • decont pentru operațiuni în participație;

  • ordin de deplasare (delegație);

  • ordin de deplasare (delegație) în străinătate (transporturi internaționale);

  • decont de cheltuieli (pentru deplasări externe);

  • decont de cheltuieli valutare (transporturi internaționale);

Obligația păstrării documentelor amintite revine, practic, societăți DUȘA TEODOR-PETRUȚ PFA.

De asemenea, este important să precizăm că documentele financiar-contabile care atestă proveniența unor bunuri cu durată de viață mai mare de cinci ani trebuie să fie păstrate pe perioada corespunzătoare duratei de viață utilă a acestora.

În plus, în caz de încetare a activității societăți DUȘA TEODOR-PETRUȚ PFA, actele financiar-contabile se păstrează în conformitate cu prevederile Legii societăților nr. 31/1990 sau se pot preda la arhivele statului.

Arhivarea pe suport hârtie sau în format electronic

Pe lângă arhivarea pe suport hârtie, Ordinul MFP nr. 2634/2015 a introdus şi posibilitatea păstrării documentelor în format electronic. Astfel, companiile au libertatea de a alege una dintre cele două metode, dar fiecare dintre acestea implică respectarea unor reguli.

Mai precis, în cazul în care DUȘA TEODOR-PETRUȚ PFA alege să păstreze documentele financiar-contabile în format hârtie, arhivarea lor trebuie să respecte două reguli esențiale, astfel:

  • documentele să fie grupate în dosare, numerotate și șnuruite;

  • gruparea documentelor în dosare să fie făcută cronologic și sistematic, în cadrul fiecărui exercițiu financiar la care se referă acestea.

Dosarele trebuie păstrate în spații special amenajate, unde pot fi asigurate împotriva degradării, distrugerii sau sustragerii.

În ceea ce privește evidența documentelor în arhivă, aceasta se ține, potrivit Ordinului MFP nr. 2634/2015, cu ajutorul unui Registru de evidență, în care sunt consemnate dosarele și documentele intrate în arhivă, precum și mișcarea lor în decursul timpului.

În schimb, dacă evidenta contabilă este ținută cu ajutorul programelor informatice, firmele pot păstra documentele pe suporturi tehnice, cu o condiție: actele să poată fi listate în orice moment, fie atunci când entitatea are nevoie, fie la cererea organelor de control competente.

Documentele financiar-contabile pot fi păstrate, în baza unor contracte de prestări servicii, și de către operatori economici autorizați în prestarea de servicii arhivistice. Într-un asemenea caz, răspunderea în ceea ce privește păstrarea documentelor revine administratorului, ordonatorului de credite sau altei persoane care are obligația gestionării entității beneficiare.

Important. Nu se vor elibera sub nicio formă, documente sau copii nici pe suport de hârtie nici  în format electronic, ale documentelor arhivate, unor terțe persoane, instituții, autorități ale statului, care nu justifică un interes direct și personal, decât la solicitarea instanțelor de judecată.

5. CODUL NUMERIC PERSONAL. CARTEA DE IDENTITATE. DOMICILIUL

Conform Regulamentului GPDR, prelucrarea CNP-urilor sau a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală poate să aibă loc numai  în situația în care:

  • există consimțământul explicit din partea persoanei vizate pentru unul sau mai multe scopuri specifice;

  • pentru prelucrări autorizate în domeniul ocupării forței de muncă, al securității sociale şi protecției sociale;

  • pentru protejarea intereselor vitale atunci când persoana vizată se află în incapacitate fizică sau juridică de a-şi da consimțământul;

  • persoanele vizate fac publice în mod manifest date cu caracter personal;

  • constatarea, exercitarea sau apărarea unui drept în instanță;

  • motive de interes public major;

  • scopuri legate de medicina muncii, stabilirea unui diagnostic medical, furnizarea de asistenta medicală sau socială sau gestionarea sistemelor de sănătate sau asistenta socială;

  • motive de interes public în domeniul sănătății publice;

  • copuri de arhivare în interes public, cercetare științifică, istorică sau statistică.

  • Prelucrarea este prevăzută în mod expres de o dispoziție legală. Codul Fiscal, Codul de Procedură fiscală, Legea asigurărilor sociale și alte legi speciale în vigoare.

DUȘA TEODOR-PETRUȚ PFA va prelucra  codul numeric al persoanei vizate,  precum și seria și numărul cărții de identitate, adresa de domiciliu, genul persoanei, numai cu consimțământul expres acordat al persoanei vizate, va prelucra aceste date numai pentru perioada cât persoana vizată se află în relații contractuale sau în relații de muncă cu societatea. Datele înscrise în statele de plată conform legilor speciale se vor arhiva conform obligațiilor legale și se vor afla sub protecția legală prevăzută prin dispozițiile Regulamentului EU 679/2016.

DUȘA TEODOR-PETRUȚ PFA va prelucra  codul numeric al persoanei vizate,  in vederea completării facturii fiscale și a declarațiilor fiscale obligatorii, conform dispozițiilor legale obligatorii legale prevăzute în Codul Fiscal  la art. 319 alin. (20) unde se menționează, elementele necesare ale oricărei facturi: ”denumirea/numele şi adresa beneficiarului bunurilor sau serviciilor, precum şi codul de înregistrare în scopuri de TVA sau codul de identificare fiscală al beneficiarului, dacă acesta este o persoană impozabilă ori o persoană juridică neimpozabilă”. Conform art. 82 alin (1) litera „d” Codului de procedura fiscala „pentru persoanele fizice, altele decât cele prevăzute la lit. c), codul numeric personal atribuit potrivit legii speciale”

DUȘA TEODOR-PETRUȚ PFA nu va prelucra și nu va arhiva sub nicio formă următoarele date sensibile cu caracter personal al persoanelor : “ date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.”

DUȘA TEODOR-PETRUȚ PFA nu va prelucra și nu va arhiva sub nicio formă datele cu caracter personal ale minorilor, fără consimțământul explicit al părinților

6. DATA PROTECTION OFFICER/ PE SCURT DPO ȘI CUM SE CERTIFICĂ

În conformitate cu Articolul 37, Aliniat 1 din GDPR, DUȘA TEODOR-PETRUȚ PFA nu are obligația să desemneze  un ofițer de protecție a datelor (DPO) pentru că nu sunt prezente condițiile de mai jos :

  • Nu este vorba despre o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);

  • Nu efectuează o monitorizare sistematică, la scară largă, a persoanelor (de exemplu, urmărirea comportamentului online);

  • Nu se face o prelucrare la scară largă a unor categorii speciale de date sau date referitoare la condamnările penale și infracțiuni.

Având în vedere obiectul de activitate al DUȘA TEODOR-PETRUȚ PFA în funcție de complexitatea și riscurile asociate activităților de prelucrare a datelor cu caracter personal nu este cazul ca la societatea DUȘA TEODOR-PETRUȚ PFA să fie numit un DPO.

Activitățile de mapare a fluxurilor de date, realizarea evaluărilor de impact,  administrarea  analizelor  de risc se vor efectua în continuare personal de către reprezentantul legal al PFA.

Conform recomandărilor organismelor de certificare cu recunoaștere internațională precum IAPP sau PECB, se arată că pentru acordarea unei diplome de Certified Data Protection Officer este nevoie de o experiență de minim 2-3 ani în protecția datelor personale.

De aici reiese că un candidat serios la poziția de DPO trebuie să fi avut un rol cu certe competențe tehnologice și operaționale, cu experiență în project management, data quality, baze de date, managementul riscurilor, securitatea sau protecția datelor. Diferitele statistici arată că în prezent e nevoie de cel puțin 25-30 de ore de instruire doar pentru a obține o înțelegere coerentă a problematicii GDPR, și de ceva mai mult timp pentru pregătirea poziției de DPO.

Având în vedere că în România Programul de instruire pentru DPO momentan este oferit doar de către  RQM Certification este acreditat de PECB, organizație cu sediul în Canada recunoscută internațional pentru competențele și expertiza în implementările standardelor ISO, certificarea unui DPO la nivelul societății DUȘA TEODOR-PETRUȚ PFA nu va  un obiectiv pentru viitor. PECB este un organism de certificare pentru persoane, sisteme de management și produse, pentru o gamă largă de standarde internaționale. Ca furnizor global de servicii de instruire, examinare, audit și certificare, PECB oferă expertiza sa în mai multe domenii precum securitatea informației, IT, continuitatea afacerii, managementul serviciilor, sistemele de management al calității sau managementul riscului. Prin parteneriatul cu PECB, compania RQM Cert poate asigura în România obținerea certificărilor pentru standardele ISO 9001, ISO/TS 16949, ISO 31000, ISO 14001 și ISO 27001.

Certificarea DPO oferită de RQM permite specialiștilor desemnați să dobândească expertiza necesară pentru a înțelege riscurile care ar putea avea un impact negativ asupra organizației, oferindu-le cunoștințele esențiale pentru a implementa strategia necesară, pe baza celor mai bune practici, cerințe și principii GDPR. Cursurile Certified Data Protection Officer  organizate de RQM Cert sunt eșalonate pe o durată de 5 zile lucrătoare și sunt structurate în 25 de secțiuni ce acoperă o largă paletă de probleme, de la elementele de bază conținute de GDPR, la analiza nivelului de pregătire, implementarea și complianța, la obținerea și mai ales păstrarea nivelului de conformitate necesar pentru evitarea oricărui risc și continuitatea în business.

7. EVALUAREA DE IMPACT

Una dintre practicile recomandate pentru evaluarea riscurilor și impactului pe care îl poate avea procesarea datelor personale în anumite condiții, este efectuarea unui studiu de impact asupra protecției sau confidențialității datelor, cunoscut sub denumirea generică de DPIA (Data Protection Impact Assessment) sau mai popular PIA (Privacy Impact Assessment).

Evaluările de impact sunt absolut necesare numai în cazul în care există o prelucrare automată și totodată prelucrarea unor categorii speciale de date pe scară largă.

Evaluarea impactului privind protecția datelor (DPIA) – în versiunea mai populară mai des folosit ca Privacy Impact Assessment (PIA), reprezintă un instrument care asigură societății DUȘA TEODOR-PETRUȚ PFA posibilitatea să identifice cea mai eficientă modalitate de a se conforma obligațiilor lor privind protecția datelor și de a răspunde așteptărilor individuale de confidențialitate.

Evaluare de impact efectuată la nivelul societății  relevă faptul că  DUȘA TEODOR-PETRUȚ PFA

  • Privitor la descrierea operațiunilor de prelucrare și a scopurilor, inclusiv a intereselor legitime urmărite nu prezintă riscuri privind protecția și securitatea datelor cu caracter personal;

  • Privind evaluarea necesității și proporționalității procesării în raport cu scopul se poate vedea că DUȘA TEODOR-PETRUȚ PFA nu colectează date pe scară largă, nu colectează date speciale, nu urmărește comportamentul unor persoane, nu colectează date pentru crearea de profile;

  • Privind evaluarea riscurilor pentru persoane fizice, societatea prin obiectul sau de activitate, prin specificul datelor colectate prelucrate nu prezinta riscuri;

  • DUȘA TEODOR-PETRUȚ PFA a făcut demersuri concrete pentru a reduce riscurile, a cerut confirmarea compatibilității GDPR de la prestatori de servicii online pentru asigurarea securității datelor și pentru a demonstra că societatea se  conformează

8. MASURI TEHNICE SI ORGANIZATORICE

  • Demersuri concrete în vederea întocmirii unui Regulament GDPR personalizat cu privire la impactul prevederilor GDPR pentru DUȘA TEODOR-PETRUȚ PFA.

  • Se restrânge accesul persoanelor la datele cu caracter personal al clienților, respectiv reprezentantul legal va fi singura persoana care va avea acces la datele personale ale clienților.

Se vor pune  in aplicare imediată cerințele stipulate de Regulament, respectiv

9. POLITICA GPDR DUȘA TEODOR-PETRUȚ PFA. CODURI DE CONDUITA

DUȘA TEODOR-PETRUȚ PFA, cu sediul în B-dul Bucureștii Noi, 136, et. Parter, ap. 5, SECTOR 1, BUCURESTI, CUI 49130100, F40/8563/2023  declară că respectă întocmai dispozițiile Regulamentului UE 679/2016, se conformează și a pus deja în  aplicare prevederile Regulamentului privind protecția datelor cu caracter personal – GDPR.

Menționăm că vom solicita furnizarea numelui, a prenumelui și a cel puțin uneia dintre datele de contact (număr de telefon, adresa de e-mail sau poștală) ale clienților săi persoane fizice, numai pentru că ne este necesară, dacă aceștia  doresc să poată fi contactați pentru derularea contractelor.

Asigurăm, pe toți partenerii noștri, persoane vizate, sub sancțiunile  prevăzute de Regulamentul EU 679/2016 că nu vom utiliza datele pe care ni le vor pune persoanele vizate la dispoziție în vederea transmiterii unor mesaje care au caracter publicitar, decât dacă și în măsura în care și persoanele vizate doresc acest lucru și numai în condițiile prevăzute în Regulamentul de prelucrare și protecție a datelor cu caracter personal al DUȘA TEODOR-PETRUȚ PFA (“Regulament”), precum și în legislația aplicabilă.

Regulamentul de protecție al datelor cu caracter personal al societății noastre este disponibil la sediul DUȘA TEODOR-PETRUȚ PFA Regulamentul este disponibil și  on-line prin accesarea adresei https://www.teodordusa.com

Datele furnizate de către persoanele vizate nu vor  fi comunicate de DUȘA TEODOR-PETRUȚ PFA unor terțe persoane, sau partenerilor noștri, sub nicio formă, în vederea transmiterii de mesaje publicitare, sau oferte comerciale.

Informăm totodată opinia publică și totodată  pe toți clienții, partenerii, colaboratorii, angajații  noștri că datele persoanelor vizate,  cu caracter personal vor fi prelucrate de DUȘA TEODOR-PETRUȚ PFA până la încetarea relației de afaceri sau până la retragerea consimțământului dat.

Pentru a putea oferi mesaje publicitare, DUȘA TEODOR-PETRUȚ PFA,  a încheiat contracte  cu prestatori de servicii specializate pentru utilizarea unor platforme și utilizarea unor module de colectare si optimizare de date cu acordul  expres, al persoanelor vizate. Prestatorii de servicii vor prelucra automat datele deținute despre clienții care și-au exprimat consimțământul (ex:  locație, adresa e-mail, adresa IP, produse ale DUȘA TEODOR-PETRUȚ PFA achiziționate), in vederea derulării unor servicii ad-Words. De asemenea prestatori de servicii on-line vor putea folosi aceste date pentru optimizarea motoarelor de căutare în interesul DUȘA TEODOR-PETRUȚ PFA. Prestatorii de servicii on-line,  nu au primit mandat din partea DUȘA TEODOR-PETRUȚ PFA pentru  realizarea de  profile personalizate, astfel din intenția  DUȘA TEODOR-PETRUȚ PFA nu se vor  analiza și nu se vor evalua datele persoanelor vizate, deținute in mod individual pentru transmiterea de propuneri personalizate.

La data redactării prezentei Prestatorii de servicii internet, platforme on line, servicii de optimizare, utilizate de către DUȘA TEODOR-PETRUȚ PFA  sunt:

  1. Squarespace Ireland Limited

  2. Platforma YouTube

  3. Google Analytics, Google Ireland Limited, Barrow Street 4 Dublin. Limited cu sediul in Irlanda, contact direct online, pentru furnizare servici de evidențe analitice a traficului de date si a vizitatorilor paginii de web.

În situația în care unii clienți nu își vor da acordul explicit pentru aceasta,  putem transmite doar mesaje publicitare adresate publicului larg. Exprimarea dezacordului nu conduce la imposibilitatea obținerii unei oferte personalizate, la solicitarea ulterioară a clienților, în funcție de necesitățile acestora, pe care le pot  aduce la cunoștința unora dintre angajații noștri din cadrul DUȘA TEODOR-PETRUȚ PFA.

Rugăm toți clienții care vor primii cereri pentru exprimarea acordului cu privire la prelucrarea datelor cu caracter personal să-și exprime explicit voința  pentru una dintre următoarele:

  • doresc să li se transmită mesaje publicitare personalizate

  • nu doresc să li se transmită mesaje publicitare personalizate

Datele  cu caracter personal al clienților, colectate nu vor fi utilizate pentru crearea de profile în vederea transmiterii mesajelor publicitare personalizate în interesul DUȘA TEODOR-PETRUȚ PFA, până la îndeplinirea scopului detaliat în paragrafele anterioare sau până la retragerea consimțământului acordat.

Aducem la cunoștința tuturor clienților noștri că pot să-și retragă sau modifica oricând acordul exprimat pentru a primi mesaje cu caracter publicitar prin următoarele modalități:

– trimițând o cerere în acest sens la sediul DUȘA TEODOR-PETRUȚ PFA CUI 49130100, F40/8563/2023 din B-dul Bucureștii Noi, 136, et. Parter, ap. 5, SECTOR 1, BUCURESTI, cu mențiunea “în atenția responsabilului cu protecția datelor cu caracter personal”; – prin mesaj transmis la adresa de e-mail teodordusa1@gmail.com ; – prin accesarea secțiunii dedicate din site-ul DUȘA TEODOR-PETRUȚ PFA- www.teodordusa.com – “ – sunând la numărul de telefon +40728 684 508

Cu privire la prelucrarea datelor cu caracter personal ale clienților noștri în scop publicitar, î-i informăm pe aceștia că au următoarele drepturi:

  • dreptul de a obține din partea DUȘA TEODOR-PETRUȚ PFA o confirmare conform căreia, rezultă că datele dumneavoastră cu caracter personal se prelucrează de către DUȘA TEODOR-PETRUȚ PFA și că a aveți acces la acestea (dreptul de acces la datele cu caracter personal);

  • dreptul de a rectifica sau completa datele cu caracter personal inexacte sau incomplete (dreptul la rectificare);

  • la solicitarea expresă a clientului dreptul la ștergerea datelor („dreptul de a fi uitat”);

  • dreptul de a obține restricționarea prelucrării (dreptul la restricționarea prelucrării);

  • dreptul de a vă opune prelucrării datelor dumneavoastră cu caracter personal în scop publicitar;

  • dreptul de a depune plângere la autoritatea de supraveghere;

  • dreptul de a primi datele cu caracter personal prelucrate de DUȘA TEODOR-PETRUȚ PFA sau de a solicita acestuia să le transmită unui alt operator (dreptul la portabilitatea datelor).

Dacă doriți să contactați DUȘA TEODOR-PETRUȚ PFA în legătură  cu protecția datelor, cu privire la prelucrarea de către DUȘA TEODOR-PETRUȚ PFA, sau partenerii acestora a datelor dumneavoastră cu caracter personal în scopul transmiterii de mesaje publicitare, puteți transmite un mesaj la adresa de e-mail : teodordusa1@gmail.com  sau pe cale poștală la sediul DUȘA TEODOR-PETRUȚ PFA CUI 49130100, F40/8563/2023, cu sediul în B-dul Bucureștii Noi, 136, et. Parter, ap. 5, SECTOR 1, BUCURESTI , cu mențiunea “în atenția responsabilului cu protecția datelor cu caracter personal”.

PARTEA a 3-a: Politica de Cookies

Această Politică de Cookies explică ce sunt cookies, cum le folosim pe site-ul nostru și opțiunile pe care le aveți în legătură cu utilizarea acestora.

1. Ce sunt cookies?

Cookies sunt fișiere mici de text stocate pe dispozitivul dumneavoastră (computer, tabletă sau telefon mobil) atunci când vizitați un site web. Acestea ajută site-ul să funcționeze corect, să ofere o experiență personalizată și să analizeze modul în care este utilizat.

2. Cum folosim cookies pe site-ul nostru?

Folosim cookies pentru următoarele scopuri:

  • Cookies strict necesare: Acestea asigură funcționarea corectă a site-ului (ex. navigarea pe pagini, completarea formularelor).

  • Cookies funcționale: Acestea permit site-ului să memoreze preferințele dumneavoastră (ex. setările de limbă).

  • Cookies analitice: Acestea ne ajută să înțelegem cum este utilizat site-ul, astfel încât să-l putem îmbunătăți (ex. Google Analytics).

  • Cookies de marketing: Acestea colectează informații despre comportamentul dumneavoastră online pentru a vă oferi conținut relevant (ex. publicitate personalizată).

3. Servicii terțe care folosesc cookies

Pe site-ul nostru sunt utilizate următoarele servicii terțe, care pot seta propriile cookies:

  • Squarespace: Platforma pe care este construit site-ul nostru poate utiliza cookies pentru funcționalitatea site-ului și analiză. Mai multe detalii în Politica de Confidențialitate Squarespace.

  • YouTube: Folosim videoclipuri embed de pe YouTube. Acest serviciu poate colecta date despre vizitele dumneavoastră, inclusiv atunci când nu vizionați activ videoclipurile. Mai multe informații găsiți în Politica de Confidențialitate YouTube.

  • Google (Gmail): Formularele de contact completate pe site sunt trimise către adresa noastră de email prin serviciul Gmail oferit de Google. Astfel, Google poate prelucra informațiile furnizate de dumneavoastră. Detalii suplimentare găsiți în Politica de Confidențialitate Google.

4. Cum puteți gestiona cookies?

Când accesați site-ul nostru, aveți opțiunea de a:

  • Accepta toate modulele de cookies prin butonul „Acceptă toate”.

  • Personaliza setările cookies apăsând pe butonul „Personalizează” din banner sau în orice moment din secțiunea „Preferințe Cookies” din josul paginii.

Puteți, de asemenea, să gestionați sau să dezactivați cookies din setările browser-ului dumneavoastră. Rețineți că dezactivarea cookies poate afecta funcționalitatea site-ului.

5. Durata stocării cookies

Durata de stocare a cookies depinde de tipul acestora:

  • Cookies de sesiune: sunt șterse automat când închideți browser-ul.

  • Cookies persistente: rămân stocate pe dispozitiv până când le ștergeți manual sau până expiră automat.

6. Modificări ale politicii de cookies

Această politică poate fi actualizată periodic. Vă recomandăm să verificați această pagină regulat pentru a fi la curent cu eventualele modificări.

7. Contact

Pentru întrebări suplimentare despre utilizarea cookies, ne puteți contacta la:
Email: teodordusa1@gmail.com
Telefon: +40728 684 508

Bucuresti 08.01.2025

DUȘA TEODOR-PETRUȚ PFA