Go to Top

Politica GDPR

Politica de conformitate a protecției datelor
cu caracter personal Invest Intermed GF IFN SRL

~mai 2018~

Cuprins


1. INTRODUCERE


2. TERMINOLOGIE


3. SCOPURILE PRELUCRĂRII DE CĂTRE SOCIETATE


3.1. Societatea a identificat Scopurile specifice prelucrării


3.2. Scopurile de prelucrare de către Societate au un temei legal și valid


3.3. Prelucrarea se limitează doar la ceea ce este necesar pentru atingerea scopului prelucrării


3.3.1. Scopurile de Prelucrare de către Societate sunt limitate la anumite categorii de Persoane vizate și la anumite categorii de Date cu caracter personal (minimizarea datelor)


3.3.2. Datele cu caracter personal colectate de Societate sunt exacte, integrale și confidențiale exactitate și confidențialitate)


3.3.3. Prelucrarea Datelor cu caracter personal în cadrul Societății se efectuează pe perioada necesară îndeplinirii scopului prelucrării (limita de stocare)


3.3.4. Prelucrarea în afara scopurilor de prelucrare ale Societății este interzisă (schimbarea scopului)


3.3.5. Transferul Datelor cu caracter personal


3.3.6. Crearea de profiluri și procesul decizional automatizat


4. SOCIETATEA RESPECTĂ DREPTURILE PERSOANELOR VIZATE


4.1. Societatea informează Persoanele vizate despre activitatea de prelucrare


4.2. Personalul Societății recunoaște și știe cum să gestioneze o solicitare din partea Persoanelor vizate


5. CONFORMITATEA PROTECȚIEI DATELOR ÎN CADRUL SOCIETĂȚII


5.1. Atribuții interne în vederea asigurării conformității protecției datelor la nivelul departamentelor comerciale


5.2. Evaluarea impactului asupra protecției datelor


5.3. Regulamente interne

1. INTRODUCERE

Prezenta politică de conformitate a protecției datelor cu caracter personal (a) se aplică prelucrării datelor cu caracter personal prin mijloace electronice şi în sistemele de arhivare pe suport de hârtie, (b) exclude orice prelucrare a datelor cu caracter personal ale angajaților, candidaților la poziții în cadrul Societății şi (c) nu se aplică obligațiilor pe care Societatea le-ar putea avea în temeiul reglementărilor naționale în domeniul specific de activitate.

Prezenta politică de conformitate a protecției datelor cu caracter personal intră în vigoare la 25 mai 2018. Până la această dată, întregul personal al Societății va lua toate măsurile necesare pentru a asigura respectarea politicii de conformitate a protecției datelor cu caracter personal.

IMPLEMENTAREA ŞI APLICAREA CORECTĂ A PREZENTEI POLITICI DE CONFORMITATE A PROTECŢIEI DATELOR CU CARACTER PERSONAL VOR FI STRICT MONITORIZATE DE SOCIETATE. NERESPECTAREA INTENŢIONATĂ, NEGLIJENTĂ SAU ACCIDENTALĂ A PREZENTEI POLITICI DE CONFORMITATE A PROTECŢIEI DATELOR CU CARACTER PERSONAL POATE CONDUCE LA PIERDERI FINANCIARE ŞI REPUTAŢIONALE SEMNIFICATIVE PENTRU SOCIETATE ŞI, POSIBIL, LA CONSECINŢE DISCIPLINARE PENTRU ANGAJAŢII SOCIETĂȚII RESPONSABILI.

Legalitate, corectitudine şi transparență Datele cu caracter personal vor fi prelucrate în conformitate cu legea, corect şi transparent, în raport cu Persoana Vizată.
Limitarea scopului Datele cu caracter personal vor fi colectate pentru scopuri determinate, explicite şi legitime şi nu vor fi prelucrate într-o manieră incompatibilă cu acele scopuri.
Minimizarea datelor Datele cu caracter personal vor fi adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate.
Exactitate Datele cu caracter personal vor fi exacte şi, acolo unde este necesar, actuale.
Limita de stocare Datele cu caracter personal vor fi păstrate într-o formă care să permită identificarea Persoanelor Vizate atât timp cât este necesar pentru îndeplinirea scopului pentru care Datele cu caracter personal sunt prelucrate.
Integritate şi confidențialitate Datele cu caracter personal vor fi prelucrate într-o modalitate care să le asigure securitatea corespunzătoare, incluzând protecția împotriva prelucrării neautorizate sau ilegale precum şi împotriva pierderii accidentale, distrugerii sau deteriorării, prin folosirea unor măsuri corespunzătoare de ordin tehnic 3 sau organizatoric.
Răspundere Societatea, în calitate de operator, va fi responsabilă pentru şi va trebui să demonstreze conformitatea cu Legile UE privind Protecția Datelor cu Caracter personal.


  • prelucrăm doar Datele cu caracter personal în scopuri de prelucrare determinate; suntem conștienți că Scopul prelucrării are un temei legal valid,
  • suntem transparenți cu Persoanele vizate; întotdeauna informăm persoanele fizice despre ceea ce face Societate cu Datele cu caracter personal (indiferent dacă persoana fizică este un angajat, client, un furnizor sau oricare alt partener de afaceri); faptul că obținem Datele cu caracter personal ale unei persoane fizice care reprezintă o persoană juridică sau care activează ca și angajat al unei persoane juridice nu determină ca acele Date cu caracter personal să fie mai puțin importante sau în afara domeniului de protecție a datelor cu caracter personal,
  • folosim Datele sensibile doar dacă este necesar şi doar acolo unde este permis în mod expres,
  • ne asigurăm că Datele cu caracter personal sunt actualizate, complete şi exacte,
  • tratăm cu seriozitate orice solicitare privind Datele cu caracter personal; permitem Persoanelor vizate să corecteze, să șteargă sau să restricționeze prelucrarea Datele lor cu caracter personal,
  • protejezăm Datele cu caracter personal de pierderi, modificări, divulgări sau accesări neautorizate.

2. TERMINOLOGIE

”Afiliat” Inseamna orice societate dintre: Teilor Invest Exchange SRL, Credit Gold & GF 2003 SRL
”Procesul decizional automatizat” Înseamnă un proces în care datele introduse sunt evaluate exclusiv prin dispozitive IT, fără implicare din partea persoanelor fizice, de exemplu, în conformitate cu criterii/algoritmi pre-definiți, ultima decizie luată având consecințe semnificative pentru Persoana vizată.
”Operator” Înseamnă Invest Intermed GF IFN SRL, respectiv entitatea care determină scopurile şi mijloacele de prelucrate a Datelor cu caracter personal.
”Împuternicit” Înseamnă o entitate care prelucrează Datele cu caracter personal în numele Operatorului.
”Responsabil cu protecția datelor”/”RPD” Înseamnă o persoană fizică sau juridica ce poate fi desemnată de Societate în temeiul unei obligații impuse de Legile UE privind Protecția Datelor cu Caracter Personal. Rolul RPD este de: (a) a informa şi a consilia Societatea şi angajații săi cu privire la obligațiile lor de a se conforma cu Legile UE privind Protecția Datelor, (b) a monitoriza respectării Legilor UE privind Protecția Datelor, (c) a fi prima persoană de contact pentru autoritățile de supraveghere şi pentru persoanele fizice ale căror date sunt prelucrate. Detaliile privind drepturile şi responsabilitățile RPD sunt prevăzute în prezentul document.
”Persoană vizată” Înseamnă persoana identificată sau identificabilă la care se referă Datele cu caracter personal. Din motive ce ţin de această politică, Persoanele vizate pot fi angajați, clienți sau reprezentanți ai furnizorilor şi ai partenerilor de afaceri.
”Legile UE privind Protecția Datelor” Înseamnă toate legile şi reglementările aplicabile în România, indiferent dacă acestea reprezintă legislaţie primară (precum legile naţionale şi/sau GDPR, definite mai jos) ori legislaţie secundară (precum Ghidurile Grupului de lucru sau alte ghiduri emise de Autoritatea de supraveghere), aplicabile prelucrării datelor cu caracter personal.
”GDPR” Înseamnă Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016, privind protecția persoanelor fizice în ceea ce privește prelucrarea Datelor cu caracter personal și libera circulație a acestor date şi abrogarea Directivei 95/46/CE.
”Regulament intern” Înseamnă toate documentele interne (indiferent de numele sau obiectul lor, fara neaparat a se limita la regulamentul intern, politicile si procedurile Societatii) ce reprezinta cadrul regularizat si documentat de functionare al Societatii.
”Date cu caracter personal” Înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă şi care sunt protejate în temeiul Legilor şi Reglementărilor UE privind protecția datelor. În scopul prezentei Politici de conformitate a protecției datelor cu caracter persona, Datele cu caracter personal includ Datele cu caracter personal referitoare la condamnări penale şi infracțiuni (astfel cum sunt definite mai jos) şi Categoriile speciale de date cu caracter personal (astfel cum sunt definite mai jos).
”Date cu caracter personal referitoare la condamnări penale şi infracțiuni” Înseamnă Date cu caracter personal referitoare la condamnări penale, infracțiuni şi/sau grațieri.
”Prelucrare” Înseamnă orice operaţiune sau set de operaţiuni efectuate asupra Datelor cu caracter personal, cu sau fără utilizarea de mijloace automatizate, precum colectarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinerea sau combinarea, restricţionarea, ştergerea sau distrugerea acestora.
”Crearea de profiluri” Orice formă de prelucrare automată a Datelor cu caracter personal care constă în utilizarea Datelor cu caracter personal în vederea evaluării anumitor aspecte personale referitoare la persoanele fizice, în special pentru a analiza sau prevedea aspecte privind performanţa persoanei fizice la serviciu, situaţia economică, starea de sănătate, preferinţele personale, interesele, fiabilitatea, comportamentul, locul unde se află sau deplasările acesteia.
”Evidențele de prelucrare de către Societății” Înseamnă evidenţele obligatorii ţinute la nivelul Societăţii care asigură o vedere de ansamblu asupra tuturor activităţilor de prelucrare din cadrul organizaţiei (de exemplu, ce fel de categorii de date sunt procesate, de către cine (care departamente sau unităţi comerciale) şi care este scopul prelucrării).
”Categoriile speciale de date cu caracter personal” Înseamnă Datele cu caracter personal care dezvăluie originea etnică, convingerile politice, religioase sau filosofice ori calitatea de membru în sindicate, în timp ce prelucrarea datelor genetice şi biometrice în vederea identificării unice a unei persoane fizice precum şi a datelor privind starea de sănătate, viaţa sau orientarea sexuală a unei persoane fizice.
”Sub-împuternicit” Înseamnă orice persoană desemnată de sau în numele Împuternicitului, ori de către un Afiliat pentru a prelucra Datele cu caracter personal în numele Societăţii;
”Autoritate de supraveghere” Înseamnă Autoritatea naţională de supraveghere a prelucrării datelor cu caracter personal sau oricare altă autoritate căreia i se atribuie responsabilităţile de protecţie a datelor în temeiul Legilor şi Reglementărilor UE privind Protecţia Datelor cu Caracter Personal ale oricărui stat membru.
„Transfer“ Înseamnă divularea sau punerea în orice alt mod la dispoziţia terţilor (incluzând Afiliaţii sau Sub-împuternicit) a Datelor cu caracter personal, fie prin transmiterea fizică a Datelor cu caracter personal către respectiva terţă parte, fie prin permiterea accesului la Date prin alte mijloace. Din motive de claritate, stocarea şi copierea de siguranță vor fi considerate transfer în sensul prezentei Politici de conformitate a protectiei datelor cu caracter personal.

3. SCOPURILE PRELUCRĂRII DE CĂTRE SOCIETATE

  • Societatea deține un inventar al scopurilor de Prelucrare aplicabile în mod curent acesteia,
  • Scopurile prelucrării sunt menţionate exhaustiv în Registrele de prelucrare ale Societății (păstrate de Responsabilul cu protecţia datelor cu caracter personal),
  • Fiecare scop de prelucrare are un temei juridic valid şi este conectat în mod direct cu activitățile comerciale ale Societății,
  • Scopurile pentru prelucrare reprezintă linia roşie pentru fiecare activitate de prelucrare, Responsabilul pentru protecția datelor fiind imediat informat despre orice abatere de la ori modificare adusă acestora,
  • Prelucrarea Datelor cu caracter personal (colectare, utilizare, stocare etc.) trebuie realizată în strictă conformitate cu scopurile Prelucrării.

3.1. Societatea a identificat scopurile specifice Prelucrării

  1. atunci când o Persoană vizată transmite orice formular sau document, încheie un contract formal sau asigură altă documentaţie ori informaţie cu privire la interacţiunile şi tranzacţiile sale cu Societatea;
  2. atunci când o Persoană vizată interacţionează cu personalul Societății, incluzând responsabilii pentru relaţiile cu clienţii/consumatorii sau alţi reprezentanţi, de exemplu, prin telefon, scrisori, fax, întâlniri în persoană sau email;
  3. atunci când imagini cu o Persoană vizată sunt surprinse de Societate prin camerele de supraveghere în timp ce Persoana vizată se află în incinta Societăţii;
  4. atunci când o Persoana vizată solicită să fie contactată de Societate, să fie inclusă într-un email sau alte liste cu date de corespondență, ori atunci când Persoana vizată răspunde la solicitarea Societății pentru furnizarea de date cu caracter personal suplimentare;
  5. atunci când o Persoană vizată interacţionează cu Societatea prin website-urile Societății;
  6. atunci când Societatea acţionează în vederea prevenirii sau investigării unei suspiciuni de fraudă, activităţi ilegale, omisiuni sau a unui comportament necorespunzător în legătură cu sau care ar putea rezulta din relaţia unei Persoane vizate cu Societate;
  7. atunci când Societatea respectă ori acţionează conform unei solicitări sau directive a oricărei autorităţi publice sau când răspunde solicitărilor de informaţii din partea agenţiilor de reglementare, ministere, consilii statutare ori alte autorităţi similare;
  8. atunci când Societatea efectuează raportarea fiscală, financiară, de reglementare, de management, de gestionare a riscurilor (inclusiv monitorizarea expunerii la risc) şi de audit,
  9. atunci când Societatea caută informaţii despre o Persoană vizată şi primeşte Datele cu caracter personal ale Persoanei vizate în legătură cu relaţia acestuia cu Societatea, inclusiv pentru poliţele de asigurare, de exemplu, de la parteneri de afaceri, agenţii publice, angajatorul actual şi autorităţile relevante; şi/sau
  10. atunci când o Persoană vizată își trimite Datele cu caracter personal ori Datele cu caracter personal ale unei terțe persoane (de exemplu, informații despre soț/soție, rude sau afini, copii, părinți și/sau angajați etc.) către Societate, indiferent de motiv.

Scopurile de Prelucrare de către Societate au un temei legal și valid

(CONSIMȚĂMÂNT) Persoana vizată care și-a dat consimțământul cu privire la Prelucrare.
(EXECUTAREA UNUI CONTRACT) Prelucrarea este necesară: a. pentru un contract pe care Persoana vizată l-a încheiat; sau b. deoarece Persoana vizată a solicitat un aspect pentru a putea încheia un contract
(CONFORMITATEA CU OBLIGAȚIILE LEGALE) Prelucrarea este necesară deoarece există o obligație legală în sarcina Societății.
(INTERESE LEGITIME) Prelucrarea respectă condiția ”interese legitime”

3.3. Prelucrarea se limitează doar la ceea ce este necesar pentru atingerea scopului Prelucrării Societății

3.3.1. Scopurile de Prelucrare de către Societate sunt limitate la anumite categorii de Persoane vizate și la anumite categorii de Date cu caracter personal (minimizarea datelor)




3.3.2. Datele cu caracter personal colectate de Societate sunt exacte, integrale și confidențiale (exactitate și confidențialitate)


3.3.3. Prelucrarea Datelor cu caracter personal în cadrul Societății se efectuează pe perioada necesară îndeplinirii scopului prelucrării (limita de stocare)

  1. pentru perioada necesară îndeplinirii Scopului prelucrării, sau
  2. în măsura în care este necesar pentru a se conforma cu cerințele legale aplicabile, pentru perioada prevăzută, de o dispoziție a unei legi, sau
  3. în funcție de cum este indicat, luând în considerare perioada de prescripție aplicabilă.
3.3.4. Prelucrarea în afara scopurilor de prelucrare ale Societății este interzisă (schimbarea scopului)


  1. stabilirea profilului de risc al Persoanei vizate sau a societății pe care o reprezintă Persoana vizată, sau
  2. audituri interne sau investigații; sau
  3. soluționarea litigiilor; sau
  4. rapoarte de reglementare.


3.3.5. Transferul Datelor cu caracter personal


3.3.6. Crearea de profiluri și procesul decizional automatizat

4. SOCIETATEA RESPECTĂ DREPTURILE PERSOANELOR VIZATE

  • dreptul de a fi informat,
  • dreptul de acces,
  • dreptul la rectificare,
  • dreptul la ștergere (dreptul de a fi uitat)
  • dreptul la restricționarea prelucrării,
  • dreptul la portabilitatea datelor,
  • dreptul la opoziție,
  • drepturi în legătură cu procesul decizional și crearea de profiluri.

4.1. Societatea informează Persoanele vizate despre activitatea de prelucrare



Ce informație trebuie furnizată? La momentul obținerii Datelor cu caracter personal:
Identitatea și datele de contact ale Societății și ale RPD
Scopul Prelucrării și temeiul juridic al Prelucrării
Interesele legitime ale Societății
Categorii de Date cu caracter personal
Destinatarii sau categoriile de destinatari ai Datele cu caracter personal,
Detaliile privind transferul Datelor cu caracter personal în țări terțe și măsurile de siguranță
Perioada pentru care vor fi stocate Datele cu caracter personal și criteriile utilizate pentru a stabili această perioadă
Existența fiecărui drept al Persoanei vizate
Sursa din care provin Datelor cu caracter personal și dacă acestea provin din surse publice
Dacă furnizarea de Date cu caracter personal reprezintă o cerință legală sau contractuală sau o obligație, precum și eventualele consecințe ale nerespectării acestei obligații
Existența/Inexistenta unui Proces decizional automatizat, Crearea de profiluri și informații despre luarea procesului decizional, importanța și consecințele

4.2. Personalul Societății recunoaște și știe cum să gestioneze o solicitare din partea Persoanelor vizate



5. CONFORMITATEA PROTECȚIEI DATELOR ÎN CADRUL SOCIETĂȚII

5.1. Atribuții interne în vederea asigurării conformității protecției datelor la nivelul departamentelor comerciale

  1. Funcția de Responsabil cu protecția datelor este stabilită ca o poziție direct subordonată și în linie directă de raportare la Directorul General al Societatii sau Consiliul de Administratie al Societatii;
  2. Funcția de Responsabil cu protecția datelor nu se supune conflictului de interese;
  3. Societatea implică Responsabilul cu protecția datelor din timp și într-o manieră corespunzătoare, în toate aspectele ce implică protecția Datelor cu caracter personal;

  1. va face cunoscute datele de contact ale Responsabilului cu protecția datelor Persoanelor vizate și le va publica intern, pe intranetul Societății, în agenda telefonică internă și în organigramă, pentru a se asigura că existența și funcția acestuia sunt cunoscute în cadrul Societății.
  2. va transmite datele de contact autorității de supraveghere competente;
  3. va asigura că Responsabilul pentru protecția datelor să fie invitat să participe cu regularitate la întâlnirile cu organele de conducere de nivel mediu și înalt a Societății.
  4. va acorda întotdeauna o pondere corespunzătoare opiniei RPD. În caz de neînțelegere, este important să fie consemnate motivele pentru care nu se urmează opinia RPD.
  5. va consulta imediat și fără întârziere nejustificată Responsabilul pentru protecția datelor în legătură cu producerea unei încălcări a securității datelor sau a altui incident.
  6. in cazul in care RPD este un angajat al societatii (persoana fizica), Societatea va susține RPD prin ”asigurarea resurselor necesare pentru executarea sarcinilor acestuia, accesarea datelor cu caracter personal și a operațiunilor de prelucrare, precum și menținerea cunoștințelor sale de specialitate”
  7. in cazul in care RPD este un angajat al societatii (persoana fizica), Societatea va asigura formarea periodică a RPD căruia îi trebuie oferită oportunitatea de a rămâne la curent cu evoluțiile din domeniul protecției datelor cu caracter personal. Scopul ar trebui să fie creșterea permanentă a nivelului de expertiză a RPD, de aceea, Responsabilul cu protecția datelor ar trebui încurajat să participe la cursuri de formare privind protecția datelor cu caracter personal, precum și la alte forme de dezvoltare personală.
  8. se va asigura că RPD ”nu va primi instrucțiuni în ceea ce privește îndeplinirea sarcinilor sale.”

5.2. Atribuții interne în vederea asigurării conformității protecției datelor la nivelul departamentelor comerciale




  1. să se asigure că direcția din care face parte va prelucra Datele personale în conformitate cu această Politică de conformitate a protecției datelor,
  2. să lucreze împreună cu RPD și să implementeze schimbările solicitate în departamentul său pentru a fi aduse în conformitate cu Legile UE privind Protecția Datelor cu Caracter Personal,
  3. să completeze în mod corespunzător și să semneze chestionarele legate de audit și alte formulare solicitate de RPD,
  4. să realizeze evaluarea impactului asupra protecției datelor pe baza modelului furnizat de RPD,
  5. să obțină opinia RPD cu privire la toate riscurile sau incidentele legate de protecția datelor, aspecte de conformitate, precum și răspunsuri la toate întrebările din cadrul departamentului în care acționează în calitate de responsabil de protecția datelor cu caracter personal,
  6. să transmită rapoarte RPD cu privire la riscurile privind protecția datelor și aspecte de conformitate, cel puțin o dată pe an, dar mai frecvent atunci când îi este necesar/i-a fost solicitat de RPD,
  7. să coordoneze, împreună cu RPD, investigațiile oficiale sau anchetele efectuate de o autoritate guvernamentală despre prelucrarea datelor ce au legătură cu departamentul său.

5.3. Regulamente interne