ROMÂNIA
JUDEŢUL IAŞI S.C NUTRISTYLE CENTERL SRL J22/1725/2012 CF 30751190 |
Nr._________/25.05.2018
Aprobat,
Administrator,
- HUȚANAȘU ILIE CĂTĂLIN
REGULAMENT
privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date
CAPITOLUL I:
DISPOZIŢII GENERALE
Scopul și sfera de aplicare
Art. 1 (1) Prezentul Regulament are ca scop garantarea şi protejarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special a dreptului la viaţa intimă, familială şi privată, cu privire la prelucrarea datelor cu caracter personal prelucrate de S.C. NUTRISTYLE CENTER S.R.L., Judetul Iasi.
(2) Exercitarea drepturilor prevăzute în prezentul Regulament nu poate fi restrânsă decât în cazuri expres şi limitativ prevăzute de lege.
CAPITOLUL II:
DOMENIU DE APLICARE
Art. 2. – Prezentul Regulament se aplică prelucrărilor de date cu caracter personal, efectuate, în tot sau în parte, prin mijloace automate, precum şi prelucrării prin alte mijloace decât cele automate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţă sau care sunt destinate să fie incluse într-un asemenea sistem.
CAPITOLUL III:
DEFINIREA TERMENILOR
Art. 3. – Termenii folosiți se definesc după cum urmează:
TERMENI: în înţelesul Legii 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date:
– date cu caracter personal – orice informaţii referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
– prelucrarea datelor cu caracter personal – orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice mod, alăturarea, combinarea, blocarea, ştergerea sau distrugerea.
– stocarea – păstrarea pe orice fel de suport a datelor cu caracter personal culese;
– sistem de evidență a datelor cu caracter personal – orice structură organizată de date cu caracter personal, accesibilă potrivit unor criterii determinate, indiferent dacă aceasta
structură este organizată în mod centralizat ori descentralizat sau este repartizată după
criterii funcționale ori geografice;
– operator – orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, care stabileste scopul si mijloacele de prelucrare a datelor cu caracter personal; daca scopul si mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau in baza unui act normativ, operator este persoana fizica sau juridica, de drept public ori de drept privat, care este desemnata ca operator prin acel act normativ sau in baza acelui act normativ;
– persoana imputernicita de catre operator – o persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, care prelucreaza date cu caracter personal pe seama operatorului;
– tert – orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv
autoritatile publice, institutiile si structurile teritoriale ale acestora, alta decat persoana vizata, operatorul ori persoana imputernicita sau persoanele care, sub autoritatea directa a operatorului sau a persoanei imputernicite, sunt autorizate sa prelucreze date;
– destinatar – orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, careia ii sunt dezvaluite date, indiferent daca este sau nu tert; autoritatile publice carora li se comunica date in cadrul unei competente speciale de ancheta nu vor fi considerate destinatari;
– date anonime – date care, datorita originii sau modalitatii specifice de prelucrare, nu pot fi asociate cu o persoana identificata sau identificabila.
TERMENI: în înţelesul Regulamentului (UE) 2016/679/27.04.2016 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („GDPR”) :
„date cu caracter personal” – orice informaţii privind o persoană fizică identificată sau identificabilă (“persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
Art.4. Alți termeni
- a) persoana vizată – persoana fizică si juridica ale cărei date cu caracter personal sunt prelucrate:
- b) persoanele fizice si persoanele juridice, care, solicita adeverinte si alte inscrisuri de la societatea noastră.
- c) personalul angajat la societății noastre;
- d) a colecta – a strânge, a aduna, a primi date cu caracter personal de la persoanele prevăzute la lit. a), b), c), din prezentul articol, prin intermediul Compartimentelor de specialitate din cadrul societății.
- e) a dezvălui – a transmite, a disemina, a face disponibile în orice alt mod date cu caracter personal, în afara operatorului;
- f) a utiliza – a se folosi datele cu caracter personal de către şi în interiorul operatorului;
- g) consimţământ – acordul neviciat al persoanei vizate de a-i fi prelucrate datele cu caracter personal, care trebuie să fie întotdeauna expres şi neechivoc;
- h) nivel de protecţie şi de securitate adecvat al prelucrărilor de date cu caracter personal – nivelul de securitate proporţional riscului, pe care îl comportă prelucrarea faţă de datele cu caracter personal respective şi faţă de drepturile şi libertăţile persoanelor şi conform cerinţelor minime de securitate a prelucrărilor de date cu caracter personal, elaborate de autoritatea de supraveghere şi actualizate corespunzător stadiului dezvoltării tehnologice şi costurilor implementarii acestor măsuri.
CAPITOLUL IV
Reguli generale privind prelucrarea datelor cu caracter personal
- Caracteristicile datelor cu caracter personal în cadrul prelucrării
Art. 5. – (1) Datele cu caracter personal destinate a face obiectul prelucrării trebuie să fie:
- a) prelucrate cu buna-credinta si in conformitate cu dispozitiile legale in vigoare;
- b) colectate in scopuri determinate, explicite si legitime; prelucrarea ulterioara a datelor cu caracter personal in scopuri statistice, de cercetare istorica sau stiintifica nu va fi considerata incompatibila cu scopul colectarii daca se efectueaza cu respectarea dispozitiilor prezentei legi, inclusiv a celor care privesc efectuarea notificarii catre autoritatea de supraveghere, precum si cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevazute de normele care reglementeaza activitatea statistica ori cercetarea istorica sau stiintifica;
- c) adecvate, pertinente si neexcesive prin raportare la scopul in care sunt colectate si ulterior prelucrate;
- d) exacte si, daca este cazul, actualizate; in acest scop se vor lua masurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate si pentru care vor fi ulterior prelucrate, sa fie sterse sau rectificate;
- e) stocate intr-o forma care sa permita identificarea persoanelor vizate strict pe durata necesara realizarii scopurilor in care datele sunt colectate si in care vor fi ulterior prelucrate; stocarea datelor pe o durata mai mare decat cea mentionata, in scopuri statistice, de cercetare istorica sau stiintifica, se va face cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevazute in normele care reglementeaza aceste domenii, si numai pentru perioada necesara realizarii acestor scopuri.
(2) S.C. NUTRISTYLE CENTER S.R.L în calitate de operator are obligaţia să respecte prevederile alin. (1) şi să asigure îndeplinirea acestor prevederi de către persoanele împuternicite.
- Condiţii de legitimitate privind prelucrarea datelor
Art. 6. – (1) Orice prelucrare de date cu caracter personal, poate fi efectuată numai dacă persoana vizată şi-a dat consimţământul în mod expres şi neechivoc pentru acea prelucrare.
(2) Consimţământul persoanei vizate nu este cerut în următoarele cazuri:
- a) cand prelucrarea este necesara in vederea executarii unui contract sau antecontract la care persoana vizata este parte ori in vederea luarii unor masuri, la cererea acesteia, inaintea incheierii unui contract sau antecontract;
- b) cand prelucrarea este necesara in vederea protejarii vietii, integritatii fizice sau sanatatii persoanei vizate ori a unei alte persoane amenintate;
- c) cand prelucrarea este necesara in vederea indeplinirii unei obligatii legale a operatorului;
- d) cand prelucrarea este necesara in vederea aducerii la indeplinire a unor masuri de interes public sau care vizeaza exercitarea prerogativelor de autoritate publica cu care este investit operatorul sau tertul caruia ii sunt dezvaluite datele;
- e) cand prelucrarea este necesara in vederea realizarii unui interes legitim al operatorului sau al tertului caruia ii sunt dezvaluite datele, cu conditia ca acest interes sa nu prejudicieze interesul sau drepturile si libertatile fundamentale ale persoanei vizate;
- f) cand prelucrarea priveste date obtinute din documente accesibile publicului, conform legii;
- g) cand prelucrarea este facuta exclusiv in scopuri statistice, de cercetare istorica sau stiintifica, iar datele raman anonime pe toata durata prelucrarii.
(3) Prevederile alin. (2) nu aduc atingere dispoziţiilor legale care reglementează obligaţia S.C. NUTRISTYLE CENTER S.R.L., în calitate de operator, de a respecta şi de a ocroti viaţa intimă, familială şi privată.
- Încheierea operaţiunilor de prelucrare
Art. 7. – (1) La încheierea operaţiunilor de prelucrare, dacă persoana vizată nu şi-a dat în mod expres şi neechivoc consimţământul pentru o altă destinaţie sau pentru o prelucrare ulterioară, datele cu caracter personal vor fi:
- a) distruse;
- b) transferate unui alt operator, cu conditia ca operatorul initial sa garanteze faptul ca
prelucrarile ulterioare au scopuri similare celor in care s-a facut prelucrarea initiala;
- c) transformate in date anonime si stocate exclusiv in scopuri statistice, de cercetare
istorica sau stiintifica.
(2) In cazul operatiunilor de prelucrare efectuate in conditiile prevazute la art. 6 alin. (2) lit.
- c) sau d), in cadrul activitatilor descrise la art. 2 alin. (5), operatorul poate stoca datele cu caracter personal pe perioada necesara realizarii scopurilor concrete urmarite, cu conditia asigurarii unor masuri corespunzatoare de protejare a acestora, dupa care va proceda la distrugerea lor daca nu sunt aplicabile prevederile legale privind pastrarea arhivelor.
CAPITOLUL V
Reguli speciale privind prelucrarea datelor cu caracter personal
A.Prelucrarea unor categorii speciale de date
Art. 8. – (1) Prelucrarea datelor cu caracter personal legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice sau de natură similară, de apartenenţa sindicală, precum şi a datelor cu caracter personal privind starea de sănătate sau viaţa sexuală este interzisă.
(2) Prevederile alin. (1) nu se aplică în următoarele cazuri:
- a) cand persoana vizata si-a dat in mod expres consimtamantul pentru o astfel de prelucrare;
- b) cand prelucrarea este necesara in scopul respectarii obligatiilor sau drepturilor specifice ale operatorului in domeniul dreptului muncii, cu respectarea garantiilor prevazute de lege; o eventuala dezvaluire catre un tert a datelor prelucrate poate fi efectuata numai daca exista o obligatie legala a operatorului in acest sens sau daca persoana vizata a consimtit expres la aceasta dezvaluire;
- c) cand prelucrarea este necesara pentru protectia vietii, integritatii fizice sau a sanatatii persoanei vizate ori a altei persoane, in cazul in care persoana vizata se afla in incapacitate fizica sau juridica de a-si da consimtamantul;
- d) cand prelucrarea este efectuata in cadrul activitatilor sale legitime de catre o fundatie, asociatie sau de catre orice alta organizatie cu scop nelucrativ si cu specific politic, filozofic, religios ori sindical, cu conditia ca persoana vizata sa fie membra a acestei organizatii sau sa intretina cu aceasta, in mod regulat, relatii care privesc specificul activitatii organizatiei si ca datele sa nu fie dezvaluite unor terti fara consimtamantul persoanei vizate;
- e) cand prelucrarea se refera la date facute publice in mod manifest de catre persoana vizata;
- f) cand prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept in justitie;
- g) cand prelucrarea este necesara in scopuri de medicina preventiva, de stabilire a diagnosticelor medicale, de administrare a unor ingrijiri sau tratamente medicale pentru persoana vizata ori de gestionare a serviciilor de sanatate care actioneaza in interesul persoanei vizate, cu conditia ca prelucrarea datelor respective sa fie efectuate de catre ori sub supravegherea unui cadru medical supus secretului profesional sau de catre ori sub supravegherea unei alte persoane supuse unei obligatii echivalente in ceea ce priveste secretul;
- h) cand legea prevede in mod expres aceasta in scopul protejarii unui interes public important, cu conditia ca prelucrarea sa se efectueze cu respectarea drepturilor persoanei vizate si a celorlalte garantii prevazute de prezenta lege.
(3) Prevederile alin. (2) nu aduc atingere dispoziţiilor legale care reglementează obligaţia autorităţilor publice de a respecta şi de a ocroti viaţa intimă, familială şi privată.
- Prelucrarea datelor cu caracter personal având funcţie de identificare
Art. 9. – (1) Prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală poate fi efectuată numai dacă:
- a) persoana vizata si-a dat in mod expres consimtamantul; sau
- b) prelucrarea este prevazuta in mod expres de o dispozitie legala.
CAPITOLUL VI
Drepturile persoanei vizate în contextul prelucrării datelor cu caracter personal
- Informarea persoanei vizate
Art. 10. – (1) În cazul în care datele cu caracter personal sunt obţinute direct de la persoana vizată, S.C. NUTRISTYLE CENTER S.R.L., în calitate de operator, este obligat să furnizeze persoanei vizate cel puţin următoarele informaţii, cu excepţia cazului în care această persoană posedă deja informaţiile respective:
- a) identitatea operatorului si a reprezentantului acestuia, daca este cazul;
- b) scopul in care se face prelucrarea datelor;
- c) informatii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; daca furnizarea tuturor datelor cerute este obligatorie si consecintele refuzului de a le furniza; existenta drepturilor prevazute de prezenta lege pentru persoana vizata, in special a dreptului de acces, de interventie asupra datelor si de opozitie, precum si conditiile in care pot fi exercitate;
- d) orice alte informatii a caror furnizare este impusa prin dispozitie a autoritatii de supraveghere, tinand seama de specificul prelucrarii.
(2) În cazul în care datele nu sunt obţinute direct de la persoana vizată, operatorul este obligat ca, în momentul colectării datelor sau, dacă se intenţionează dezvăluirea acestora către terţi, cel mai târziu până în momentul primei dezvăluiri, să furnizeze persoanei vizate cel puţin următoarele informaţii, cu excepţia cazului în care persoana vizată posedă deja informaţiile respective:
- a) identitatea operatorului si a reprezentantului acestuia, daca este cazul;
- b) scopul in care se face prelucrarea datelor;
- c) informatii suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari ai datelor, existenta drepturilor prevazute de prezenta lege pentru persoana vizata, in special a dreptului de acces, de interventie asupra datelor si de opozitie, precum si conditiile in care pot fi exercitate;
- d) orice alte informatii a caror furnizare este impusa prin dispozitie a autoritatii de supraveghere, tinand seama de specificul prelucrarii.
(3) Prevederile alin. (2) nu se aplică atunci când prelucrarea datelor se efectuează exclusiv în scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor de informare.
(4) Prevederile alin. (2) nu se aplică în cazul în care prelucrarea datelor se face în scopuri statistice, de cercetare istorică sau ştiinţifică, ori în orice alte situaţii în care furnizarea unor asemenea informaţii se dovedeşte imposibilă sau ar implica un efort disproporţionat faţă de interesul legitim care ar putea fi lezat, precum şi în situaţiile în care înregistrarea sau dezvăluirea datelor este expres prevăzută de lege.
- Dreptul de acces la date
Art. 11. (1) Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit pentru o solicitare pe an, confirmarea faptului că datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, în situaţia în care prelucrează date cu caracter personal care privesc solicitantul, să comunice acestuia, împreună cu confirmarea, cel puţin următoarele:
- a) informaţii referitoare la scopurile prelucrării, categoriile de date avute în vedere şi destinatarii sau categoriile de destinatari cărora le sunt dezvăluite datele;
- b) comunicarea într-o formă inteligibilă a datelor care fac obiectul prelucrării, precum şi a oricărei informaţii disponibile cu privire la originea datelor;
- c) informaţii asupra principiilor de funcţionare a mecanismului prin care se efectuează orice prelucrare automată a datelor care vizează persoana respectivă;
- d) informaţii privind existenţa dreptului de intervenţie asupra datelor şi a dreptului de opoziţie, precum şi condiţiile în care pot fi exercitate;
- e) informaţii asupra posibilităţii de a consulta registrul de evidenţă a prelucrărilor de date cu caracter personal, de a înainta plângere către autoritatea de supraveghere, precum şi de a se adresa instanţei pentru atacarea deciziilor operatorului, în conformitate cu dispoziţiile prezentei legi.
(2) Persoana vizată poate solicita de la operator informaţiile prevăzute la alin. (1), printr-o cerere întocmită în formă scrisă, datată şi semnată. În cerere solicitantul poate arăta dacă doreşte ca informaţiile să îi fie comunicate la o anumită adresă, care poate fi şi de poştă electronică, sau printr-un serviciu de corespondenţă care să asigure că predarea i se va face numai personal.
(3) Operatorul este obligat să comunice informaţiile solicitate, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opţiuni a solicitantului exprimate potrivit alin. (2).
- Dreptul de intervenţie asupra datelor
Art. 12. – (1) Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit:
- a) după caz, rectificarea, actualizarea, blocarea sau ştergerea datelor a căror prelucrare nu este conformă prezentei legi, în special a datelor incomplete sau inexacte;
- b) după caz, transformarea în date anonime a datelor a căror prelucrare nu este conformă prezentei legi;
- c) notificarea către terţii cărora le-au fost dezvăluite datele a oricărei operaţiuni efectuate conform lit. a) sau b), dacă această notificare nu se dovedeşte imposibilă sau nu presupune un efort disproporţionat faţă de interesul legitim care ar putea fi lezat.
(2) Pentru exercitarea dreptului prevăzut la alin. (1) persoana vizată va înainta operatorului o cerere întocmită în formă scrisă, datată şi semnată. În cerere solicitantul poate arăta dacă doreşte ca informaţiile să îi fie comunicate la o anumită adresă, care poate fi şi de poştă electronică, sau printr-un serviciu de corespondenţă care să asigure că predarea i se va face numai personal.
(3) Operatorul este obligat să comunice măsurile luate în temeiul alin. (1), precum şi, dacă este cazul, numele terţului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizată, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opţiuni a solicitantului exprimate potrivit alin. (2).
- Dreptul de opoziţie
Art. 13. – (1) Persoana vizată are dreptul de a se opune în orice moment, din motive întemeiate şi legitime legate de situaţia sa particulară, ca date care o vizează să facă obiectul unei prelucrări, cu excepţia cazurilor în care există dispoziţii legale contrare. În caz de opoziţie justificată prelucrarea nu mai poate viza datele în cauză.
(2) Persoana vizată are dreptul de a se opune în orice moment, în mod gratuit şi fără nici o justificare, ca datele care o vizează să fie prelucrate în scop de marketing direct, în numele operatorului sau al unui terţ, sau să fie dezvăluite unor terţi într-un asemenea scop.
(3) În vederea exercitării drepturilor prevăzute la alin. (1) şi (2) persoana vizată va înainta operatorului o cerere întocmită în formă scrisă, datată şi semnată. În cerere solicitantul poate arăta dacă doreşte ca informaţiile să îi fie comunicate la o anumită adresă, care poate fi şi de poştă electronică, sau printr-un serviciu de corespondenţă care să asigure că predarea i se va face numai personal.
(4) Operatorul este obligat să comunice persoanei vizate măsurile luate în temeiul alin. (1) sau (2), precum şi, dacă este cazul, numele terţului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizată, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opţiuni a solicitantului exprimate potrivit alin. (3).
- Dreptul de a nu fi supus unei decizii individuale
Art. 14. – (1) Orice persoană are dreptul de a cere şi de a obţine:
- a) retragerea sau anularea oricărei decizii care produce efecte juridice în privinţa sa, adoptată exclusiv pe baza unei prelucrări de date cu caracter personal, efectuată prin mijloace automate, destinată să evalueze unele aspecte ale personalităţii sale, precum competenţa profesională, credibilitatea, comportamentul său ori alte asemenea aspecte;
- b) reevaluarea oricărei alte decizii luate în privinţa sa, care o afectează în mod semnificativ, dacă decizia a fost adoptată exclusiv pe baza unei prelucrări de date care întruneşte condiţiile prevăzute la lit. a).
(2) Respectându-se celelalte garanţii prevăzute de prezenta lege, o persoană poate fi supusă unei decizii de natura celei vizate la alin. (1), numai în următoarele situaţii:
- a) decizia este luată în cadrul încheierii sau executării unui contract, cu condiţia ca cererea de încheiere sau de executare a contractului, introdusă de persoana vizată, să fi fost satisfăcută sau ca unele măsuri adecvate, precum posibilitatea de a-şi susţine punctul de vedere, să garanteze apărarea propriului interes legitim;
- b) decizia este autorizată de o lege care precizează măsurile ce garantează apărarea interesului legitim al persoanei vizate.
- Dreptul de a se adresa justitiei
(1) Fara a se aduce atingere posibilitatii de a se adresa cu plangere autoritatii de supraveghere, persoanele vizate au dreptul de a se adresa justitiei pentru apararea oricaror drepturi garantate de prezenta lege, care le-au fost incalcate.
(2) Orice persoana care a suferit un prejudiciu in urma unei prelucrari de date cu caracter personal, efectuata ilegal, se poate adresa instantei competente pentru repararea acestuia.
(3) Instanta competenta este cea in a carei raza teritoriala domiciliaza reclamantul. Cererea de chemare in judecata este scutita de taxa de timbru.
CAPITOLUL VII
Confidenţialitatea şi securitatea prelucrărilor
A.Confidenţialitatea prelucrărilor
Art. 15. – Orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite, inclusiv persoana împuternicită, care are acces la date cu caracter personal, nu poate să le prelucreze decât pe baza instrucţiunilor operatorului, cu excepţia cazului în care acţionează în temeiul unei obligaţii legale.
B.Securitatea prelucrărilor
Art. 16. – (1) Operatorul este obligat să aplice măsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectivă comportă transmisii de date în cadrul unei reţele, precum şi împotriva oricărei alte forme de prelucrare ilegală.
(2) Aceste măsuri trebuie să asigure, potrivit stadiului tehnicii utilizate în procesul de prelucrare şi de costuri, un nivel de securitate adecvat în ceea ce priveşte riscurile pe care le reprezintă prelucrarea, precum şi în ceea ce priveşte natura datelor care trebuie protejate. Cerinţele minime de securitate vor fi elaborate de autoritatea de supraveghere şi vor fi actualizate periodic, corespunzător progresului tehnic şi experienţei acumulate.
(3) Efectuarea prelucrărilor prin persoane împuternicite trebuie să se desfăşoare în baza unui contract încheiat în formă scrisă, care va cuprinde în mod obligatoriu:
- a) obligaţia persoanei împuternicite de a acţiona doar în baza instrucţiunilor primite de la operator;
- b) faptul că îndeplinirea obligaţiilor prevăzute la alin. (1) revine şi persoanei împuternicite.
CAPITOLUL VIII
Notificarea către autoritatea de supraveghere
Art.17. (1) Operatorul este obligat să notifice autorităţii de supraveghere, personal sau prin reprezentant, înainte de efectuarea oricărei prelucrări ori a oricărui ansamblu de prelucrări având acelaşi scop sau scopuri corelate.
(2) Notificarea nu este necesară în cazul în care prelucrarea are ca unic scop ţinerea unui registru destinat prin lege informării publicului şi deschis spre consultare publicului în general sau oricărei persoane care probează un interes legitim, cu condiţia ca prelucrarea să se limiteze la datele strict necesare ţinerii registrului menţionat.
(3) Notificarea va cuprinde cel puţin următoarele informaţii:
- a) numele sau denumirea şi domiciliul ori sediul operatorului şi ale reprezentantului desemnat al acestuia, dacă este cazul;
- b) scopul sau scopurile prelucrării;
- c) o descriere a categoriei sau a categoriilor de persoane vizate şi a datelor ori a categoriilor de date ce vor fi prelucrate;
- d) destinatarii sau categoriile de destinatari cărora se intenţionează să li se dezvăluie datele;
- e) garanţiile care însoţesc dezvăluirea datelor către terţi;
- f) modul în care persoanele vizate sunt informate asupra drepturilor lor; data estimată pentru încheierea operaţiunilor de prelucrare, precum şi destinaţia ulterioară a datelor;
- g) transferuri de date care se intenţionează să fie făcute către alte state; h) o descriere generală care să permită aprecierea preliminară a măsurilor luate pentru asigurarea securităţii prelucrării;
- i) specificarea oricărui sistem de evidenţă a datelor cu caracter personal, care are legătură cu prelucrarea, precum şi a eventualelor legături cu alte prelucrări de date sau cu alte sisteme de evidenţă a datelor cu caracter personal, indiferent dacă se efectuează, respectiv dacă sunt sau nu sunt situate pe teritoriul României;
- j) motivele care justifică aplicarea prevederilor art. 12 alin. (3) sau (4) în situaţia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice ori în scopuri statistice, de cercetare istorică sau ştiinţifică.
(4) Dacă notificarea este incompletă, autoritatea de supraveghere va solicita completarea acesteia.
CAPITOLUL IX
Supravegherea şi controlul prelucrărilor de date cu caracter personal Autoritatea de supraveghere
Art. 18. – (1) Autoritatea de supraveghere, în sensul prezentei legi, este Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
(2) Autoritatea de supraveghere îşi desfăşoară activitatea în condiţii de completă independenţă şi imparţialitate.
(3) Autoritatea de supraveghere monitorizează şi controlează sub aspectul legalităţii prelucrările de date cu caracter personal care cad sub incidenţa prezentei legi.
CAPITOLUL X
Soluționarea plângerilor
- Plângeri adresate Autorităţii de Supraveghere
Art. 19. – (1) În vederea apărării drepturilor prevăzute de regulament, persoanele ale căror date cu caracter personal fac obiectul unei prelucrări care cade sub incidenţa regulamentului, pot înainta plângere către autoritatea de supraveghere. Plângerea se poate face direct sau prin reprezentant. Persoana lezată poate împuternici o asociaţie sau o fundaţie să îi reprezinte interesele.
(2) Plângerea către autoritatea de supraveghere nu poate fi înaintată dacă o cerere în justiţie, având acelaşi obiect şi aceleaşi părţi, a fost introdusă anterior.
(3) În afara cazurilor în care o întârziere ar cauza un prejudiciu iminent şi ireparabil, plângerea către autoritatea de supraveghere nu poate fi înaintată mai devreme de 15 zile de la înaintarea unei plângeri cu acelaşi conţinut către operator.
(4) În vederea soluţionării plângerii, dacă apreciază că este necesar, autoritatea de supraveghere poate audia persoana vizată, operatorul şi, dacă este cazul, persoana împuternicită sau asociaţia ori fundaţia care reprezintă interesele persoanei vizate. Aceste persoane au dreptul de a înainta cereri, documente şi memorii. Autoritatea de supraveghere poate dispune efectuarea de expertize.
(5) Dacă plângerea este găsită întemeiată, autoritatea de supraveghere poate decide suspendarea provizorie sau încetarea prelucrării datelor, stergerea parțială ori integral a datelor prelucrate și poate să sesizeze organele de urmărire penală sau să intenteze acțiuni în justiție. Interdicţia temporară a prelucrării poate fi instituită numai până la încetarea motivelor care au determinat luarea acestei măsuri.
(6) Decizia trebuie motivată şi se comunică părţilor interesate în termen de 30 de zile de la data primirii plângerii.
(7) Autoritatea de supraveghere poate ordona, dacă apreciază necesar, suspendarea unora sau tuturor operaţiunilor de prelucrare până la soluţionarea plângerii în condiţiile alin. (5).
(8) Autoritatea de supraveghere se poate adresa justiţiei pentru apărarea oricăror drepturi garantate de prezenta lege persoanelor vizate. Instanţa competentă este Tribunalul. Cererea de chemare în judecată este scutită de taxa de timbru.
(9) La cererea persoanelor vizate, pentru motive întemeiate, instanţa poate dispune suspendarea prelucrării până la soluţionarea plângerii de către autoritatea de supraveghere.
(10) Prevederile alin. (4)-(9) se aplică în mod corespunzător şi în situaţia în care autoritatea de supraveghere află pe orice altă cale despre săvârşirea unei încălcări a drepturilor recunoscute de prezenta lege persoanelor vizate.
- Contestarea deciziilor autorităţii de supraveghere
Art. 20. – (1) Împotriva oricărei decizii emise de autoritatea de supraveghere în temeiul dispoziţiilor prezentei legi operatorul sau persoana vizată poate formula contestaţie în termen de 15 zile de la comunicare, sub sancţiunea decăderii, la instanţa de contencios administrativ competentă. Cererea se judecă de urgenţă, cu citarea părţilor. Soluţia este definitivă şi irevocabilă.
- Dreptul de a se adresa justiţiei
Art. 21. – (1) Fără a se aduce atingere posibilităţii de a se adresa cu plângere autorităţii de supraveghere, persoanele vizate au dreptul de a se adresa justiţiei pentru apărarea oricăror drepturi garantate de prezentul regulament, care le-au fost încălcate.
(2) Orice persoană care a suferit un prejudiciu în urma unei prelucrări de date cu caracter personal, efectuată ilegal, se poate adresa instanţei competente pentru repararea acestuia.
(3) Instanţa competentă este cea în a cărei rază teritorială domiciliază pârâtul. Cererea de chemare în judecată este scutită de taxă de timbru.
CAPITOLUL XI
DISPOZIȚII FINALE
Prezentul Regulament a fost aprobat de conducătorul S.C. NUTRISTYLE CENTER S.R.L. Temeiul legal în baza căruia a fost adoptat prezentul Regulament, Legea 677/2001 cu modificările și completările ulterioare, Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), Directiva (UE) 2016/680 referitoare la protecţia datelor personale în cadrul activităţilor specifice desfăşurate de autorităţile de aplicare a legii.
LISTA ANEXELOR
Anexa 1 –Cerințe minime de Securitate a prelucrării datelor cu caracter personal
Anexa 2 – Declarație X
Anexa 3 – Informare
Anexa 4 – Cod de conduită
Întocmit,
Dr. HUȚANAȘU ILIE CĂTĂLIN
Anexa nr. 1
La Regulamentul privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date
CERINŢELE MINIME DE SECURITATE a prelucrărilor de date cu caracter personal
Prezentele cerinţe minime de securitate a prelucrărilor de date cu caracter personal trebuie să stea la baza adoptării şi implementării de către operator a măsurilor tehnice şi organizatorice necesare pentru păstrarea confidenţialităţii şi integrităţii datelor cu caracter personal. În concordanţă cu acestea operatorii îşi vor stabili propriile politici şi proceduri de securitate. Cerinţele minime de securitate a prelucrărilor de date cu caracter personal acoperă următoarele aspecte:
1.Identificarea şi autentificarea utilizatorului
Prin utilizator se înţelege orice persoană care acţionează sub autoritatea operatorului, a persoanei împuternicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal. Utilizatorii, pentru a căpăta acces la o bază de date cu caracter personal, trebuie să se identifice. Identificarea se poate face prin mai multe metode, cum ar fi: introducerea codului de identificare de la tastatură (un şir de caractere), folosirea unei cartele cu cod de bare, folosirea unei cartele inteligente (smart card) sau a unei cartele magnetice. Fiecare utilizator are propriul său cod de identificare. Niciodată mai mulţi utilizatori nu trebuie să aibă acelaşi cod de identificare. Codurile de identificare (sau conturi de utilizator) nefolosite o perioadă mai îndelungată trebuie dezactivate şi distruse după un control prealabil intern al operatorului. Perioada după care codurile trebuie dezactivate şi distruse se stabileşte de operator. Orice cont de utilizator este însoţit de o modalitate de autentificare. Autentificarea poate fi făcută prin introducerea unei parole
Parolele sunt şiruri de caractere. Cu cât şirul de caractere este mai lung, cu atât parola este mai greu de aflat. La introducerea parolelor acestea nu trebuie să fie afişate în clar pe monitor. Parolele trebuie schimbate periodic în funcţie de politicile de securitate ale entităţii (operator sau persoană împuternicită). Schimbarea periodică a parolelor se face numai de către utilizatori autorizaţi de operator.
Operatorul trebuie să solicite realizarea unui sistem informaţional care să refuze automat accesul unui utilizator după 5 introduceri greşite ale parolei. Orice utilizator care primeşte un cod de identificare şi un mijloc de autentificare trebuie să păstreze confidenţialitatea acestora şi să răspundă în acest sens în faţa operatorului. Fiecare entitate va stabili o procedură proprie de administrare şi gestionare a conturilor de utilizator. Operatorii autorizează anumiţi utilizatori pentru a revoca sau a suspenda un cod de identificare şi autentificare, dacă utilizatorul acestora şi-a dat demisia ori a fost concediat, şi-a încheiat contractul, a fost transferat la alt serviciu şi noile sarcini nu îi solicită accesul la date cu caracter personal, a abuzat de codurile primite sau dacă va absenta o perioadă îndelungată stabilită de entitate. Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se va face pe baza unei liste aprobate de conducerea entităţii.
2.Tipul de acces
Utilizatorii trebuie să acceseze numai datele cu caracter personal necesare pentru îndeplinirea atribuţiilor lor de serviciu. Pentru aceasta operatorii trebuie să stabilească tipurile de acces după funcţionalitate (cum ar fi: administrare, introducere, prelucrare, salvare etc.) şi după acţiuni aplicate asupra datelor cu caracter personal (cum ar fi: scriere, citire, ştergere), precum şi procedurile privind aceste tipuri de acces. Programatorii sistemelor de prelucrare a datelor cu caracter personal nu vor avea acces la datele cu caracter personal. Operatorul va permite accesul programatorilor la datele cu caracter personal după ce acestea au fost transformate în date anonime. Compartimentul care asigură suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea unor cazuri excepţionale. Pentru activitatea de pregătire a utilizatorilor sau pentru realizarea de prezentări se vor folosi date anonime. Operatorul va stabili modalităţile stricte prin care se vor distruge datele cu caracter personal. Autorizarea pentru această prelucrare de date cu caracter personal trebuie limitată la câţiva utilizatori.
- Colectarea datelor
Operatorul desemnează utilizatori autorizaţi pentru operaţiile de colectare şi introducere de date cu caracter personal într-un sistem informaţional. Orice modificare a datelor cu caracter personal se poate face numai de către utilizatori autorizaţi desemnaţi de operator. Operatorul va lua măsuri pentru ca sistemul informaţional să înregistreze cine a făcut modificarea, data şi ora modificării. Pentru o mai bună administrare operatorul va lua măsuri ca sistemul informaţional să menţină datele şterse sau modificate.
4.Execuţia copiilor de siguranţă
Operatorul va stabili intervalul de timp la care se vor executa copiile de siguranţă ale bazelor de date cu caracter personal, precum şi ale programelor folosite pentru prelucrările automatizate. Utilizatorii care execută aceste copii de siguranţă vor fi numiţi de operator, într-un număr restrâns. Copiile de siguranţă se vor stoca în alte camere, în fişete metalice cu sigiliu aplicat, şi, dacă este posibil, chiar în camere din altă clădire. Operatorul va lua măsuri ca accesul la copiile de siguranţă să fie monitorizat.
5.Computerele şi terminalele de acces
Computerele şi alte terminale de acces vor fi instalate în încăperi cu acces restricţionat. Dacă nu pot fi asigurate aceste condiţii, computerele se vor instala în încăperi care se pot încuia sau se vor lua măsuri ca accesul la computere să se facă cu ajutorul unor chei ori cartele magnetice. Dacă pe ecran apar date cu caracter personal asupra cărora nu se acţionează o perioadă dată, stabilită de operator, sesiunea de lucru trebuie închisă automat. Mărimea acestei perioade se determină în funcţie de operaţiile care trebuie executate. Terminalele de acces folosite în relaţia cu publicul, pe care apar date cu caracter personal, vor fi poziţionate astfel încât să nu poată fi văzute de public şi după o perioadă scurtă, stabilită de operator, în care nu se acţionează asupra lor, acestea trebuie ascunse.
6.Fişierele de acces
Operatorul este obligat să ia măsuri ca orice accesare a bazei de date cu caracter personal să fie înregistrată într-un fişier de acces (numit log la prelucrările automate) sau într-un registru pentru prelucrările manuale de date cu caracter personal, stabilit de operator. Informaţiile înregistrate în fişierul de acces sau în registru vor fi:
– codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale);
– numele fişierului accesat (fişei);
– numărul înregistrărilor efectuate;
– tipul de acces;
– codul operaţiei executate sau programul folosit;
– data accesului (an, lună, zi);
– timpul (ora, minutul, secunda).
Pentru prelucrările automate aceste informaţii vor fi stocate într-un fişier de acces general sau în fişiere separate pentru fiecare utilizator. Orice încercare de acces neautorizat va fi, de asemenea, înregistrată. Operatorul este obligat să păstreze fişierele de acces cel puţin 2 ani, pentru a fi folosite ca probe în cazul unor investigaţii. Dacă investigaţiile se prelungesc, aceste fişiere se vor păstra atât timp cât se va considera necesar. Fişierele de acces trebuie să facă posibilă identificarea de către operator sau de către persoana împuternicită a persoanelor care au accesat date cu caracter personal fără un motiv anume, în vederea aplicării unor sancţiuni sau a sesizării organelor competente.
- Sistemele de telecomunicaţii
Operatorul este obligat să facă periodic controlul autentificărilor şi tipurilor de acces pentru detectarea unor disfuncţionalităţi în ceea ce priveşte folosirea sistemelor de telecomunicaţii. Operatorii sunt obligaţi să conceapă sistemul de telecomunicaţii astfel încât datele cu caracter personal să nu poată fi interceptate sau transmise de oriunde. Dacă sistemul de telecomunicaţii nu poate fi astfel securizat, operatorul este obligat să impună folosirea metodei de criptare pentru transmisia datelor cu caracter personal. Prin sistemele de telecomunicaţii se vor transmite numai datele cu caracter personal strict necesare.
- Instruirea personalului
În cadrul cursurilor de pregătire a utilizatorilor operatorul este obligat să facă informarea acestora cu privire la prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, la cerinţele minime de securitate a prelucrărilor de date cu caracter personal, precum şi cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal si a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („GDPR”) , în funcţie de specificul activităţii utilizatorului. Utilizatorii care au acces la date cu caracter personal vor fi instruiţi de către operator asupra confidenţialităţii acestora şi vor fi avertizaţi prin mesaje care vor apărea pe monitoare în timpul activităţii. Utilizatorii sunt obligaţi să îşi închidă sesiunea de lucru atunci când părăsesc locul de muncă.
- Folosirea computerelor
Pentru menţinerea securităţii prelucrării datelor cu caracter personal (în special împotriva viruşilor informatici) operatorul va lua măsuri care vor consta în:
- a) interzicerea folosirii de către utilizatori a programelor software care provin din surse externe sau dubioase;
- b) informarea utilizatorilor în privinţa pericolului privind viruşii informatici;
- c) implementarea unor sisteme automate de devirusare şi de securitate a sistemelor informatice;
- d) dezactivarea, pe cât posibil, a tastei “Print screen”, atunci când sunt afişate pe monitor date cu caracter personal, interzicându-se astfel scoaterea la imprimantă a acestora.
- Imprimarea datelor
Scoaterea la imprimantă a datelor cu caracter personal se va realiza numai de utilizatori autorizaţi pentru această operaţiune de către operator. Operatorii sunt obligaţi să aprobe proceduri interne specifice privind folosirea şi distrugerea acestor materiale. Fiecare entitate îşi va aproba propriul sistem de securitate, ţinând seama de aceste cerinţe minime de securitate a prelucrărilor de date cu caracter personal, iar în funcţie de importanţa datelor cu caracter personal prelucrate, îşi va impune măsuri de securitate suplimentare.
Întocmit,
- HUȚANAȘU ILIE CĂTĂLIN
Anexa nr. 2
La Regulamentul privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date
Declaraţie de consimţământ privind prelucrarea datelor personale
Subsemnatul/a (nume, prenume) ……….…………………..………………………………, domiciliat/ă în localitatea ……………………………………….……., judeţul ….………………..…, strada……………………………………………………………., posesor al CI seria ………., numărul……………, eliberat de …………………………….., la data de ………………….., CNP…………………………………….. , îmi exprim acordul cu privire la utilizarea şi prelucrarea datelor mele cu caracter personal de către S.C. NUTRISTYLE CENTER S.R.L. (MAXMEDICA IAȘI), pentru îndeplinirea atribuţiilor legale ale instituţiei.
Am luat la cunoştinţă că informaţiile din cererea depusă şi din actele anexate la aceasta, vor fi prelucrate de S.C. NUTRISTYLE CENTER S.R.L., judetul Iaşi cu respectarea prevederilor legii nr. 677/2001 privind prelucrarea datelor cu caracter personal si a Regulamentului (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (GDPR).
Totodata, declar că sunt de acord ca aceste date cu caracter personal să fie stocate, prelucrate, utilizate şi publicate în condițiile legii.
Am fost informat că am dreptul de a solicita rectificarea datelor sau stergerea acestora sau restricţionarea prelucrării precum şi retragerea, în orice moment, a consimţământului dat.
Declar, susţin şi semnez după ce am luat la cunoştinţă de întregul conţinut şi am completat personal datele din prezenta declaraţie.
Data: Semnătura:
Anexa nr. 3
La Regulamentul privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date
INFORMARE
S.C. NUTRISTYLE CENTER S.R.L., cu sediul în localitatea CIUREA, Judeţul Iaşi, denumită în continuare S.C. NUTRISTYLE CENTER S.R.L. prelucrează datele dumneavoastră cu caracter personal. Conform cerinţelor Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, modificată și completată, ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, ale Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), ale Directivei UE 2016/680 referitoare la protecţia datelor personale în cadrul activităţilor specifice desfăşurate de autorităţile de aplicare a legii,
S.C. NUTRISTYLE CENTER S.R.L. are obligaţia de a administra în condiţii de siguranţă şi numai pentru scopurile specificate, datele personale care îi sunt furnizate. Datele dumneavoastră cu caracter personal, sunt necesare astfel:
- a) pentru realizarea obiectului de activitate principal, respectiv furnizarea de servicii medicale, în sensul iniţierii şi derulării de raporturi specifice domeniului de activitate al C. NUTRISTYLE CENTER S.R.L.
- b) în vederea îmbuntătăţirii modului de comunicare cu pacienții, prin intermediul poştei electronice și a mijloacelor de comunicare electronice (de exemplu, rețelele de socializare), pentru comunicarea operativă şi eficientă a informaţiilor necesare derulării raporturilor dintre dumneavoastră şi C. NUTRISTYLE CENTER S.R.L.
În acest sens aveti obligatia să furnizaţi datele enunţate, deoarece în cazul nefurnizării corecte şi complete a acestora, S.C. NUTRISTYLE CENTER S.R.L. poate să refuze iniţierea de raporturi juridice cu dumneavoastră, întrucât poate fi pusă în imposibilitatea de a desfășura activitatea medicală, de a furniza serviciile medicale solicitate de către Dv la nivele adecvate de performanță sau de a elabora corect, complet și personalizat rezultatele explorărilor medicale și indicațiile de tratament ale afecțiunilor diagnosticate.
Informaţiile înregistrate sunt destinate utilizării de către S.C. NUTRISTYLE CENTER S.R.L. şi sunt comunicate numai următorilor destinatari: persoana vizată sau instituţii publice.
Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de intervenţie asupra datelor şi de dreptul de a nu fi supus unei decizii individuale. Totodată, aveţi dreptul să vă opuneţi prelucrării datelor personale care vă privesc şi să solicitaţi ştergerea datelor, cu excepţia situaţiilor prevăzute expres de lege, când prelucrarea datelor de către S.C. NUTRISTYLE CENTER S.R.L. este obligatorie. Pentru exercitarea acestor drepturi, vă puteţi adresa cu o cerere scrisă, datată şi semnată către S.C. NUTRISTYLE CENTER S.R.L. De asemenea, vă este recunoscut dreptul de a vă adresa justiţiei. Responsabilul pentru Protecţia Datelor poate fi contactat cu privire la orice aspect ce ţine de protecţia datelor personale, prin transmiterea unei solicitari la adresa de e-mail: iasi@maxmedica.ro sau la sediul nostru din Municipiul Iași, Strada Străpungere Silvestru, Nr. 6, Bl. CL21, Parter+Mezanin, Judetul Iaşi. Informatiile complete privind prelucrarea datelor personale şi drepturile detaliate de care beneficiaţi, le veti putea găsi începand cu 25 mai pe site-ul nostru, la adresa www.maxmedica.ro.
Întocmit,
- HUȚANAȘU ILIE CĂTĂLIN
Anexa nr. 4
La Regulamentul privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date
COD DE CONDUITĂ
Preambul:
Luând în considerare importanţa deosebită a garantării dreptului la viaţă intimă, familială şi privată, aşa cum este prevăzut la art. 26 din Constituţia României, ţinând seama de necesitatea protejării acestui drept fundamental în cadrul activităţilor de prelucrare a datelor cu caracter personal, reglementate prin Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, precum şi prin Legea nr. 682/2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981.
CAPITOLUL I
Dispoziţii generale:
Scopul şi sfera de aplicare
Art. 1. – (1) Prezentul cod de conduită are ca scop stabilirea unor norme de conduită pentru asigurarea unui nivel satisfăcător de protecţie a datelor cu caracter personal prelucrate.
(2) Normele de conduită stabilesc exercitarea drepturilor şi obligaţiilor în domeniul protecţiei persoanelor în privinţa datelor cu caracter personal, în relaţiile S.C. NUTRISTYLE CENTER S.R.L. cu persoanele vizate (în calitate de beneficiari).
(3) Normele cuprinse în prezentul model de cod de conduită nu aduc atingere altor obligaţii legale imperative sau deontologice care revin asociaţiilor profesionale.
Definirea termenilor
Art. 2. – (1) Termenii folosiţi în prezentul cod de conduită au următorul sens:
- a) persoană vizată – persoana fizică ale cărei date cu caracter personal sunt prelucrate;
- b) a colecta – a strânge, a aduna, a primi date cu caracter personal prin orice mijloace şi din orice sursă;
- c) a dezvălui – a transmite, a disemina, a face disponibile în orice alt mod date cu caracter personal, în afara operatorului;
- d) a utiliza – a se folosi datele cu caracter personal de către şi în interiorul operatorului;
- e) consimţământ – acordul neviciat al persoanei vizate de a-i fi prelucrate datele cu caracter personal, care trebuie să fie întotdeauna expres şi neechivoc;
- f) nivel de protecţie şi de securitate adecvat al prelucrărilor de date cu caracter personal – nivelul de securitate proporţional riscului, pe care îl comportă prelucrarea faţă de datele cu caracter personal respective şi faţă de drepturile şi libertăţile persoanelor şi conform cerinţelor minime de securitate a prelucrărilor de date cu caracter personal, elaborate de autoritatea de supraveghere şi actualizate corespunzător stadiului dezvoltării tehnologice şi costurilor implementării acestor măsuri;
(2) Termeni precum: date cu caracter personal, prelucrarea datelor cu caracter personal, stocare, operator, terţ, destinatar, date anonime, autoritate de supraveghere, dreptul de informare, dreptul de acces, dreptul de intervenţie, dreptul de opoziţie au sensurile definite de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
Art. 3. – Vor fi respectate dispoziţiile legale referitoare la protecţia dreptului la viaţă intimă, familială şi privată, în ceea ce priveşte prelucrarea datelor cu caracter personal. Se vor avea în vedere în mod special dispoziţiile Legii nr. 677/2001, precum şi ale Legii nr. 682/2001.
CAPITOLUL II
Principiile prelucrărilor de date cu caracter personal efectuate de S.C. NUTRISTYLE CENTER S.R.L.
Legalitatea şi transparenţa
Art. 4. – Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii:
- a) persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
- b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
- c) prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;
- d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
- e) prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;
- f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de autorităţi publice în îndeplinirea atribuţiilor lor.
Responsabilitatea
Art. 5. – (1) S.C. NUTRISTYLE CENTER S.R.L. este responsabilă pentru datele cu caracter personal aflate sub controlul său, precum şi pentru datele transferate către terţi.
(2) S.C. NUTRISTYLE CENTER S.R.L. va desemna persoanele care vor răspunde pentru respectarea dispoziţiilor legale din domeniul protecţiei persoanelor şi a datelor cu caracter personal, precum şi a principiilor prevăzute în prezentul cod de conduită.
Art. 6. – (1) Colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzisă.
(2) S.C. NUTRISTYLE CENTER S.R.L. va comunica scopurile pentru care sunt colectate datele cu caracter personal fie înainte, fie cel mai târziu la momentul colectării.
(3) Menţionarea scopurilor poate fi realizată în scris, oral sau în formă electronică, într-un limbaj uşor accesibil pentru persoanele vizate.
Consimţământul
Art. 7. – (1) Consimţământul persoanelor vizate este cerut în cazul prelucrării datelor cu caracter personal, în afara cazurilor în care legea dispune altfel.
(2) S.C. NUTRISTYLE CENTER S.R.L. va folosi orice mijloace nedolosive, care necesită costuri financiare rezonabile, pentru a informa persoanele vizate în legătură cu prelucrarea datelor cu caracter personal şi pentru a solicita consimţământul acestora la momentul colectării datelor cu caracter personal.
(3) Persoana vizată îşi poate retrage consimţământul în orice moment, sub condiţia avizării prealabile a operatorului. Acesta va informa persoana vizată în legătură cu procedura şi efectele retragerii consimţământului.
Legitimitatea dezvăluirii
Art. 8. – (1) S.C. NUTRISTYLE CENTER S.R.L. va prelucra datele cu caracter personal numai pentru scopurile pentru care au fost colectate, cu excepţia cazului în care persoana vizată îşi dă consimţământul pentru prelucrarea în alte scopuri sau în alte cazuri permise de lege.
(2) Accesul la datele prelucrate va fi permis numai angajaţilor S.C. NUTRISTYLE CENTER S.R.L., responsabili în acest scop și în îndeplinirea obligaţiilor de serviciu.
Legitimitatea stocării
Art. 9. – (1) S.C. NUTRISTYLE CENTER S.R.L. este obligată să păstreze datele cu caracter personal exacte, complete şi actualizate, pentru realizarea scopurilor pentru care sunt utilizate.
(2) Datele inexacte sau incomplete vor fi şterse sau rectificate.
(3) Datele cu caracter personal vor fi păstrate numai pentru perioada necesară atingerii scopurilor stabilite.
(4) S.C. NUTRISTYLE CENTER S.R.L. stabilește perioada necesară pentru păstrarea datelor colectate, numai pentru perioada necesară realizării scopului, urmărind totodată respectarea drepturilor persoanei vizate, în special a dreptului de acces, de intervenţie şi de opoziţie.
(5) În urma verificărilor periodice datele cu caracter personal deţinute de operator, care nu mai servesc realizării scopurilor sau îndeplinirii unor obligaţii legale, vor fi distruse sau transformate în date anonime într-un interval de timp rezonabil, potrivit procedurilor stabilite de lege.
Securitatea prelucrărilor
Art. 10. – S.C. NUTRISTYLE CENTER S.R.L. va lua toate măsurile tehnice şi organizatorice necesare pentru asigurarea unui nivel de protecţie şi de securitate adecvat, în cadrul operaţiunilor efectuate asupra datelor cu caracter personal, în următoarele scopuri:
– pentru a limita accesul la bazele de date, care este permis numai persoanelor autorizate;
– pentru a interzice copierea datelor în afara locurilor în care sunt gestionate;
– în general, pentru a împiedica orice circulaţie necontrolată a datelor.
Dreptul de informare
Art. 11. – (1) Strategiile şi procedurile folosite de S.C. NUTRISTYLE CENTER S.R.L. în legătură cu procesarea datelor cu caracter personal vor fi puse la dispoziţie persoanelor vizate, sub formă de informaţii furnizate într-un limbaj accesibil, prin mijloace fizice, telefonice sau electronice.
(2) S.C. NUTRISTYLE CENTER S.R.L. va comunica informaţii, la cerere, în legătură cu datele cu caracter personal, pe care le prelucrează, sursele din care au colectat datele cu caracter personal, scopurile prelucrării, dacă şi cărui terţ i-au fost dezvăluite aceste date, atunci când legea nu interzice.
(3) În cazul în care dezvăluirea datelor este impusă de lege (de exemplu, în vederea executării unei hotărâri judecătoreşti), S.C. NUTRISTYLE CENTER S.R.L. se va asigura că terţul care solicită dezvăluirea acţionează în conformitate cu dispoziţiile legale incidente, iar cererea priveşte numai datele cu caracter personal neexcesive prin raportare la scopul prelucrării. Persoana vizată va fi informată în legătură cu dezvăluirea, numai dacă legea permite.
Dreptul de acces
Art. 12. – (1) S.C. NUTRISTYLE CENTER S.R.L. va permite accesul persoanelor vizate la datele cu caracter personal care le privesc, prin cele mai facile mijloace, pe care le pot pune la dispoziţie, în mod rezonabil.
(2) Accesul persoanei vizate nu poate fi permis, cu excepţia cazurilor prevăzute de lege, în următoarele situaţii: în cazul în care sunt solicitate date despre o altă persoană; în cazul în care ar putea fi afectate viaţa şi siguranţa altei persoane; în cazul în care sunt solicitate date care pot privi informaţii confidenţiale; în cazul în care s-ar aduce atingere soluţionării unui litigiu sau a unui proces penal.
(3) S.C. NUTRISTYLE CENTER S.R.L. este obligată să motiveze refuzul de a permite accesul la anumite date cu caracter personal.
Dreptul de intervenţie
Art. 13. – (1) Persoanele vizate au dreptul de a solicita verificarea exactităţii şi a caracterului complet al datelor cu caracter personal care le privesc, precum şi de a solicita rectificarea datelor inexacte sau incomplete, prin formularea unor contestaţii.
(2) S.C. NUTRISTYLE CENTER S.R.L. va păstra o evidenţă a contestaţiilor privind caracterul exact sau complet al datelor, care nu au fost rezolvate, iar în cazul în care datele vor fi transferate către alţi operatori, vor fi precizate datele care au fost rectificate sau în privinţa cărora există contestaţii nerezolvate.
(3) Dispoziţiile alin. (2) se aplică şi în cazul dezvăluirii de date către terţi, dacă este cazul.
(4) Actualizarea bazelor de date se face prin intermediul informaţiilor transmise de persoanele vizate, precum şi prin informaţiile furnizate de orice sursă externă autorizată de lege.
Colaborarea cu autoritatea de supraveghere
Art. 14. – (1) Anual sau ori de câte ori se va solicita S.C. NUTRISTYLE CENTER S.R.L. va prezenta autorităţii de supraveghere a prelucrărilor de date cu caracter personal, rapoarte sau sinteze cu privire la plângerile primite şi la modul de soluţionare a acestora.
(2) Rapoartele şi sintezele la care se referă alin. (1) vor putea conţine şi alte informaţii privind aspecte din activitatea membrilor în domeniul protecţiei datelor cu caracter personal, precum şi propuneri de îmbunătăţire a activităţii acestora.
Art. 15. – S.C. NUTRISTYLE CENTER S.R.L. va lua măsuri pentru asigurarea unui nivel rezonabil al cheltuielilor ocazionate de exercitarea drepturilor prevăzute de lege, cheltuieli care sunt în sarcina persoanei vizate, cu excepţia cazului în care aceste drepturi pot fi exercitate în mod gratuit.
CAPITOLUL III
Dispoziţii finale şi tranzitorii
Modul de aplicare
Art. 16. – (1) Prezentul cod de conduită se completează cu prevederile legale în domeniul protecţiei datelor cu caracter personal. Modificarea şi completarea actualului cod de conduită va fi efectuată în cazul schimbării dispozițiilor legale.
Art. 17. – (1) Modificările sau completările prezentului cod de conduită, vor fi trimise, în scris şi motivat, autorităţii de supraveghere.
(2) Autoritatea de supraveghere va lua în considerare numai propunerile pertinente şi concludente, în vederea modificării şi completării prezentului cod de conduită.
Întocmit,
Dr. HUȚANAȘU ILIE-CĂTĂLIN