POLITICA GENERALĂ DE PROTECȚIE A DATELOR CU CARACTER PERSONAL

 

Politica de confidențialitate

Prezenta Politica de confidentialitate vizeaza numai clientii Arte Grup Print S.R.L. şi utilizatorii serviciilor noastre online, respectiv vizitatorii website-ului nostru www.artegrup.ro. În înțelesul prezentei Politici, prin “Regulamentu General Privind Protecția Datelor” (GDPR) se înțelege Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, publicat în Jurnalul Oficial al Uniunii Europene L 119 (4.5.2016) și aplicabil de la 25 mai 2018.

Asigurarea legalității prelucrării, în acord cu dispozițiile art. 5 alin, 1 lit a) prin raportare la dispozițiile art. 6 din GDPR

Orice operațiune de prelucrare se realizează în mod legal, echitabil și transparent. În acest scop, persoana vizată, careia i se prelucreaza datele va fi informată într-un limbaj clar, simplu și concis asupra semnificației noțiunii de “prelucrare” și îi vor fi aduse la cunoștință  toate informațiile și drepturile prevăzute la art. 13 din GDPR, respectiv la art. 14 din GDPR, după cum datele sale personale sunt colectate direct sau din altă sursă. Astfel, persoanei vizate îi vor fi comunicate datele de identificare ale operatorului, datele sale de contact, care vor fi disponibile în permanență pe pagina de internet a societății, la https://www.artegrup.ro/contact, și de asemenea, scopurile în care sunt prelucrate datele și temeiul juridic al prelucrării, cu explicitarea intereselor legitime ale societății, care servesc drept temei al prelucrării, perioada de stocare și criteriile utilizate în stabilirea acestei perioade, destinatarii datelor și eventual, intenția societății de a-i transfera datele către o țară terță sau organizație internațională.

Persoana vizată va fi informată cu privire drepturile sale, după cum urmează:

  • dreptul de a avea acces la datele sale cu caracter personal, astfel cum figurează în evidența societății și de a solicita informații privind modul și scopul în care sunt prelucrate, conform art. 15 din GDPR,
  • dreptul de a solicita rectificarea/corectarea/completarea datelor sale, de a se opune prelucrării acestora total/parțial, de a solicita ştergerea acestora sau restricţionarea prelucrării, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia, conform art. 17-18 și art. 21 din GDPR,
  • dreptul la portabilitatea datelor, constând în posibilitatea  de a cere transmiterea datelor la un alt operator, conform art 20 din GDPR,
  • dreptul a se adresa autorității de supraveghere cu o sesizare/plângere împotriva societății, în ipoteza în care apreciază că aceasta prelucrează datele sale personale cu nerespectarea legislației în vigoare, conform art. 77 din GDPR,
  • dreptul de a i se soluționa solicitările privind datele sale personale într-un termen rezonabil și de a fi informată cu privire la eventualele măsuri adoptate în raport de solicitarea sa, conform art. 12 și 19 din GDPR,
  • dreptul de a fi informată în cazul încălcării securității datelor sale personale, de natură a-i pune sub un risc ridicat drepturile și interesele, conform dispozițiilor art. 34 din GDPR.

În cazul datelor obținute direct de la persoana vizată, prelucrarea se face numai ulterior obținerii consimțământului acesteia. În cazul datelor care nu au fost obținute de la persoana vizată ci din altă sursă, îndeplinirea obligației de informare și de comunicare a drepturilor se face în termen de 10 zile de la colectarea datelor sale, cu posibilitatea prelungirii acestui termen în funcție de volumul solicitărilor, probleme tehnice/organizatorice din cadrul societății și alte asemenea, dar nu mai târziu de o lună de la colectare sau după caz, cu observarea dispozițiilor art. 14 alin. (3) lit b) și c) din GDPR.

Proceduri și măsuri în vederea respectării drepturilor persoanelor vizate

În acord cu dispozițiile art. 12 din GDPR, în vederea informării corecte și complete a persoanei vizatei, fiecare persoană implicată în fluxul intern de date este instruită cu privire la obligațiile care îi revin potrivit dispozițiilor GDPR și a legislației naționale, prin raportare la procedurile și măsurile stabilite prin prezenta politica și prin fișele de post.

Preluarea solicitărilor persoanei vizate. Procedura și termenele de soluționare a acestora

La momentul preluării oricărei solicitări, departamentul solitat va verifica identitatea solicitantului. Dacă solicitarea este transmisă în scris (fizic/prin e-mail sau alte mijloace scrise de comunicare) și prezintă cel puțin numele, prenumele, seria și numărul actului de identitate/CNP,  adresa/datele de contact pentru comunicarea răspunsului se consideră că solicitantul este identificat corespunzător.

Dacă solicitantul nu indică suficiente date pentru identificarea sa, nu se va da curs solicitării.

În ipoteza în care, cu prilejul formulării unei solicitări, solicitantul furnizează mai multe date personale decât cele prelucrate deja de către societate, iar datele noi furnizate exced datelor arătate mai sus pentru identificare, acestea vor fi păstrate strict în cuprinsul solicitării transmise, spre a fi prezentate ulterior către ANSPDCP sau instanțelor judecătorești în caz de control/plângere/litigiu, fără a mai fi prelucrate ulterior în alte scopuri. În același mod se va proceda și în cazul datelor furnizate de solicitantul ale cărui date nu au fost prelucrate niciodată de către societate.

În cazul solicitărilor transmise telefonic se va întomi un referat, identificându-se corespunzător solicitantul, persoana care preia solicitarea, inserându-se în mod clar și detaliat solicitarea, datele de contact la care se solicită comunicarea răspunsului, și eventual, dacă răspunsul a fost oferit pe loc, detalierea informațiilor furnizate.

În cazul  solicitărilor transmise telefonic sau prin alte mijloace de comunicare la distanță, dacă departamentul solicitat are dubii asupra identității solicitantului, chiar și în urma oferirii de către aceasta din a urmă a unor date suplimentare de verificare a identității sale, responsabilul de department va cere solicitantului formularea cererii sale în scris și îi va comunica adresa/datele de contact la care acestea vor fi expediate.

În cazul în care, există cel puțin trei solicitări vizând datele aceleiași persoane, formulate într-un interval scurt, de o persoană care nu se identifică în mod adecvat la solicitarea departamentului vizat, în acest caz vor fi informați membrii conducerii societății, care vor decide, după împrejurări, comunicarea acestei situații către persoana vizată de solicitări și eventual, se vor lua în discuție probabilitățile de risc ale unor asemenea solicitări și se vor  adopta măsuri adecvate de securitate.

În cazul tuturor solicitărilor în care solicitantul nu se identifică în mod corespunzător se va întocmi un referat care va cuprinde următoarele elemente: datele de identificare ale solicitantului, astfel cum au fost furnizate, datele de identificare ale persoanei care întocmește referatul, se vor detalia solicitarea și toate împrejurările care nasc dubii rezonabile cu privire la identitatea reală a solicitantului. În referat se va menționa ce date suplimentare au fost cerute solicitantului, dacă i s-au comunicat datele de contact la care le poate transmite și răspunsul/lipsa răspunsului solicitantului la cererea formulată de departamentul solicitat.

Orice solicitări ale persoanei vizate cu referire la dreptrurile ce îi sunt recunoscute prin GDPR și de legislația națională vor fi soluționate într-un termen rezonabil, recomandat în 10 zile de la primire.

Persoana vizată va fi informată cu privire la măsurile adoptate în raport de solicitarea sa în cel mult o lună, cu posibilitatea prelungirii acestui termen la două luni, în situația în care volumul și complexitatea solicitărilor adresate departamentului responsabil de transmiterea răspunsului, problemele tehnice/organizatorice și alte asemenea de la nivelul societății nu permit transmiterea răspunsului în termenul de o lună.

Măsurile corespunzătoare solicitării persoanei vizate vor fi adoptate de către membrii conducerii societății și vor fi implementate de departamentele implicate în prelucrare, conform instrucțiunilor acestora.

Responsabilii de departamente solicitate, sau care au luat la cunoștință despre o solicitate care ar face necesară adoptarea unor măsuri interne în departamentul de care sunt responsabili, vor informa de îndată membrii conducerii societății.

În cazul în care, din orice motiv, solicitarea persoanei vizate nu atrage adoptarea unor măsuri interne, în termen de cel mult o lună de la primirea solicitării, departamentul responsabil va informa persoana vizată cu privire la acest lucru, cu arătarea motivelor,. Totodată persoana vizată va fi informată cu privire la dreptul său de a formula plângere împotriva societății la ANSPDCP sau de a se adresa instanțelor judecătorești.

În toate situațiile în care soluționarea solicitării  de către departramentul responsabil nu s-ar putea realiza în cadrul termenelor de două luni, și respectiv o lună, acesta va comunica membrilor conducerii, cu cel puțin o săptămână, respectiv două săptămâni anterior împlinirii acestor termene, această situație. Membrii conducerii vor lua măsurile rezonabile pentru a desemna alte persoane din cadrul societății, care vor răspunde în termen solicitărilor.

În cazul în care solicitarea persoanei vizate privește furnizarea de informații cu privire la modul, scopul și operațiunie de prelucrare a datelor sale, date care sunt prelucrate de mai multe departamente ale societății, acestea își vor da concursul la respectarea termenelor de răspuns/soluționare, sub îndrumarea membrilor conducerii societății.

În cazul opozițiilor la prelucrare, a solicitarilor de ştergerea datelor, a celor de restricţionare a prelucrării, și de portare a datelor, solicitările vor transmise de îndată membrilor conducerii societății, urmând a fi soluționate conform deciziei și instrucțiunilor acestora.

În orice moment în care întâlnesc dificultăți în a răspunde/a soluționa solicitările persoanei vizate, responsabilii de departamente se vor adresa membrilor conducerii societății, aceștia urmand a-și oferi sprijinul în lămurirea/soluționarea corespunzătoare a situațiilor semnalate.

Orice informări/comunicări/răspunsuri către persoana vizată se vor face în scris, într-un mod transparent, concis, inteligibil, ușor accesibil și în mod gratuit. În măsura în care persoana vizată solicită expres o anumită modalitate de comunicare, în măsura în care nu este inaccesibilă societății ori nerezonabil de costisitoare, comunicarea se va realiza conform solicitării. Persoana vizată poate solicita orice modalitate de comunicare, indiferent de costuri, dacă achită costurile aferente comunicării.

Prin excepție, în situația în care solicitările persoanei vizate sunt vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, societatea va percepe o taxă rezonabilă, ținând cont de costurile administrative pentru furnizarea informațiilor sau pentru luarea măsurilor solicitate, în baza dispozițiilor art. 12 alin. (5) lit. a) din GDPR, urmând ca aceste costuri să fie explicitate/justificate la cererea solicitantului. După împrejurări, în cazul solicitărilor vădit nefondate societatea, prin membrii conducerii, va putea refuza să dea curs solicitării, în acord cu dispozițiile art. 12 alin. (5) lit. b) din GDPR. În această din urmă situație, departamentul solicitat va întocmi un referat în care se vor indica: datele de identificare ale solicitantului, datele de identificare ale persoanei care întocmește referatul, și se vor detalia toate împrejurările care dovedesc caracterul vădit nefondat sau excesiv al solicitării (se vor indica, spre exemplu, solicitările anterioare având același obiect și răspunsurile transmise la acestea).