Clevercheck > Politica generală privind protecția datelor cu caracter personal A societății Biolife Systems S.R.L.

Politica generală privind protecția datelor cu caracter personal A societății Biolife Systems S.R.L.

(denumită în continuare ”Societatea”, ”Biolife”)

1. Prezentare generală

1.1. Introducere

În desfășurarea activității, Societatea prelucrează date cu caracter personal referitoare la persoane fizice. Acestea pot reprezenta date în legătură cu clienții, furnizorii, contacte pentru afaceri, angajați și alte persoane cu care compania/societatea a încheiat un contract (colaboratori) sau cu care aceasta se află într-o legătură.

Această politică descrie modul în care datele personale trebuie colectate, utilizate și stocate pentru a fi în concordanță cu standardele companiei referitoare la protecția datelor – și, de asemenea, să îndeplinească condiția legalității.

Acest control se aplică tuturor sistemelor, persoanelor și proceselor care constituie sistemele informatice ale organizației, inclusiv membrii consiliului, directorii, angajații, furnizorii și alte părți terțe care au acces la sistemele Societății.

Societatea se obligă să colecteze și să prelucreze date cu caracter personal, precum și să respecte drepturile conferite persoanelor vizate în ce privește prelucrarea datelor cu caracter personal ale acestora în conformitate cu prevederile Regulamentului UE 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei Nr. 95/46/CE (denumit în continuare ”RGPD”) și ale legislației naționale aplicabile, Legea nr. 365/2002 privind comerțul electronic și Legea nr.506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, precum și să implementeze și să documenteze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător în ceea ce privește datele cu caracter personal și riscurile asociate prelucrării acestora, având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, incluzând printre altele, după caz:

  • anonimizarea, pseudonimizarea și criptarea datelor cu caracter personal;
  • capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă ale sistemelor și serviciilor de prelucrare;
  • capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
  • un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

Având în vedere cele de mai sus, scopul acestei proceduri este de a asigura utilizarea corectă a resurselor, echipamentelor și produselor Biolife, de a impune o conduită etică cu privire la utilizarea acestora și de a crește gradul de conștientizare în rândul angajaților cu privire la acțiunile permise și la cele nepermise în cadrul companiei.

Aceste proceduri sprijină politica privind protecția datelor și alte politici referitoare la gestionarea datelor cu caracter personal ale clienților, angajaților și oricăror altor persoane vizate de prelucrare.

Prezenta politică își propune:

  • Să protejeze datele colectate și prelucrate în cadrul Biolife, atât cele specifice activității proprii a companiei, cât și datele terțelor persoane care sunt prelucrate în scopuri determinate, precum și de a asigura integritatea și disponibilitatea acestor date;
  • Să stabilească metode care să permită protejarea informațiilor, echipamentelor și a resurselor Biolife față de furt, utilizare abuzivă, pierdere, deteriorare și orice alte forme de utilizare necorespunzătoare, care pun în pericol inclusiv datele conținute de acestea;
  • Să asigure informarea corespunzătoare a tuturor angajaților care utilizează sistemul informatic al companiei pentru a evita incidente de securitate;
  • Să asigurare continuitatea business-ului în caz de incidente de securitate majore;
  • Să asigure securitatea, trasabilitate și controlul datelor stocate în baza de date a companiei, local pe stațiile de lucru, a celor transmise prin rețeaua internă sau publică de comunicație, e-mail sau alta modalitate de comunicare online sau offline.

1.1.1 Definiții

Date cu caracter personal orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”)
Persoana vizată o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale
Prelucrare orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea
Operator persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern
Persoană împuternicită de operator persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului

1.2. Principii privind prelucrarea datelor cu caracter personal

Există o serie de principii fundamentale pe care se bazează prelucrarea datelor personale conform Regulamentului GDPR.

Datele personale sunt:

  • prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”);
  • colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1) („limitări legate de scop”);
  • adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”);
  • exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”);
  • păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate („limitări legate de stocare”);
  • prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”).

Societatea se va asigura că respectă toate aceste principii atât în procesul de prelucrare pe care îl desfășoară în prezent, cât și ca parte a introducerii de noi metode de procesare, cum ar fi noile sisteme informatice.

1.3. Drepturile persoanei vizate

Persoana vizată are, de asemenea, drepturi în temeiul Regulamentului GDPR. Acestea constau în:

  • Dreptul de retragere a consimțământului;
  • Dreptul la informare;
  • Dreptul de acces;
  • Dreptul la rectificare;
  • Dreptul la ștergerea datelor („dreptul de a fi uitat”);
  • Dreptul la restricționarea prelucrării;
  • Dreptul la portabilitatea datelor;
  • Dreptul de a se opune prelucrării;
  • Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri;
  • Dreptul de a depune o plângere la Autoritate;
  • Dreptul de a se adresa justiției.

Fiecare dintre aceste drepturi este susținută de proceduri adecvate din Societate care permit ca acțiunea necesară să fie luată în termenele stabilite de Regulamentul GDPR.

Persoanele vizate își pot exercita o parte din drepturile de mai sus prin e-mail, adresate operatorului de date la adresa info@clevercheck.ro. Operatorul de date poate atașa o cerere standard, cu toate că persoanele nu sunt obligate să o folosească.

Cererile vor fi scutite de vreo taxă. Operatorul va fi obligat să furnizeze răspuns în maxim o lună, iar în anumite cazuri excepționale în cel mult două luni de la primirea cererii. În cazul în care Operatorul nu poate răspunde în termen de o lună la cererea Persoanelor vizate, va informa în toate cazurile în termenul de o lună, faptul că va răspunde ulterior acestui termen.

Operatorul de date va verifica întotdeauna identitatea oricărei persoane. În vederea răspunderii la cereri și permiterea exercitării drepturilor, departamentul juridic sau consultanții juridici externi vor avea un cuvânt de spus cu privire la temeinicia cererii.

Organizația respectă următoarele termene pentru răspunsul la cererile persoanelor vizate:

1.4. Temeiurile prelucrării

Există șase moduri alternative în care poate fi stabilită legalitatea unui caz specific de prelucrare a datelor cu caracter personal în cadrul Regulamentului GDPR.

1.4.1 Consimțământul

Cu excepția cazului în care este necesar dintr-un motiv admis în Regulamentul GDPR, Societatea va obține întotdeauna acordul explicit din partea unei persoane vizate pentru colectarea și prelucrarea datelor. În cazul copiilor sub vârsta de 16 ani (o vârstă mai mică poate fi permisă în anumite state membre ale UE), va fi obținut consimțământul părinților. Informații transmise despre utilizarea datelor noastre cu caracter personal vor fi furnizate persoanelor vizate în momentul obținerii consimțământului și explicării drepturilor acestora cu privire la datele lor, cum ar fi dreptul de retragere a consimțământului. Aceste informații vor fi furnizate într-o formă accesibilă, scrise în limbaj clar și gratuit. În principiu Societatea nu prelucrează datele minorilor.

În cazul în care datele cu caracter personal nu sunt obținute direct de la persoana vizată, aceste informații vor fi furnizate persoanei vizate într-o perioadă rezonabilă de timp după obținerea datelor.

1.5. Încheierea sau executarea unui contract

În cazul în care datele cu caracter personal colectate și prelucrate sunt necesare pentru a încheia sau executa un contract cu persoana vizată, nu este necesar consimțământul explicit. Acesta va fi cazul în care contractul nu poate fi încheiat fără datele personale în cauză sau în cazul livrării produselor achiziționate de clienți sau prestărilor de servicii, nu poate fi efectuată fără o adresă de e-mail sau o adresă poștală la care se pot livra serviciile sau produsele achiziționate de clienți.

1.6. Obligația legală

În cazul în care datele cu caracter personal trebuie să fie colectate și prelucrate pentru a ne conforma legii, nu este necesar consimțământul explicit. Aceasta este situația informațiilor prelucrate privind angajarea, achitarea anumitor taxe, impozitarea.

1.7. Interesele vitale ale subiectului datelor

În cazul în care datele cu caracter personal sunt necesare pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice, atunci acesta poate fi utilizat ca temeiul legal al prelucrării. Societatea va păstra dovezi rezonabile, documentate că acest lucru este cazul, ori de câte ori acest motiv este utilizat ca bază legală pentru prelucrarea datelor cu caracter personal.

1.8. Activitatea desfășurată în interes public

În cazul în care Societatea trebuie să îndeplinească o sarcină pe care o consideră a fi în interesul public sau ca parte a unei obligații oficiale, atunci nu va fi solicitat consimțământul persoanei vizate. Evaluarea interesului public va fi documentată și pusă la dispoziție ca dovezi atunci când este necesar.

1.9. Interesul legitim

Dacă prelucrarea datelor cu caracter personal specific este în interesul legitim al Societății și este considerată că nu afectează în mod semnificativ drepturile și libertățile persoanei vizate, atunci aceasta poate fi definită ca fiind motivul legal al prelucrării. Din nou, raționamentul din spatele acestui punct de vedere va fi documentat.

2. Persoane fizice, riscuri și responsabilități

2.1. Domeniul politicii

Prezenta politică se aplică:

  • Sediilor Societății
  • Tuturor departamentelor Societății
  • Întregului personal și voluntarilor Societății
  • Tuturor contractanților, furnizorilor și altor persoane ce lucrează în numele Societății

Are aplicabilitate asupra tuturor datelor pe care compania le deține în legătură cu persoanele fizice identificabile. Acestea pot cuprinde:

  • Numele persoanelor fizice;
  • Adresele poștale;
  • Adresele de e-mail;
  • Numerele de telefon;

și orice alte date referitoare la o persoană fizică identificată sau identificabilă.

2.2. Riscurile

Politica ajută la protejarea Societății reale riscuri la nivel de securitate, incluzând:

  • Încălcări ale confidențialității, informarea angajaților, conștientizarea și înțelegerea de ansamblu a importanței protecției datelor, evitarea incidentelor de securitate.

2.3. Stocarea datelor

Aceste reguli descriu cum și unde ar trebui să fie stocate datele cu caracter personal. Întrebările despre stocarea datelor pot fi redirecționate în siguranță managerului IT sau managerului Societății.

Când datele sunt stocate pe hârtie, ele trebuie păstrate într-un loc sigur unde persoanele neautorizate nu pot avea acces.

Aceste instrucțiuni se aplică, de asemenea, asupra datelor care sunt stocate în mod obișnuit în format electronic, dar au fost printate din anumite considerente:

  • Hârtiile sau fișierele ar trebui păstrate într-un loc închis sau într-un sertar închis;
  • Angajații/ colaboratorii ar trebui să se asigure că hârtia sau cele printate nu sunt lăsate către oameni neautorizați ce ar putea să le vadă, ca de exemplu pe imprimantă;
  • Printurile ar trebui distruse când nu mai sunt necesare.

Când datele sunt stocate în format electronic, ele trebuie să fie protejate de accesul neautorizat, ștergerilor accidentale sau atacurilor intenționate de hacking:

  • • Datele sunt protejate de parole puternice ce sunt schimbate regulat și niciodată împărtășite între angajați, colaboratori;
    • Dacă datele sunt stocate pe suporturi amovibile (precum CD, DVD), acestea sunt păstrate în siguranță atunci când nu sunt folosite;
    • Datele ar trebui stocate numai în servere sau unități specializate și ar trebui să fie încărcate într-un serviciu de cloud computing aprobat;
    • Datele nu ar trebui salvate direct pe laptopuri sau alte dispozitive mobile precum tablete sau smartphone-uri.
    • Datele ar trebui să aibă un back-up. Aceste backup-uri ar trebui testate regulat.
    • Toate serverele și calculatoarele ce conțin date ar trebui protejate de software de Securitate și firewall.

3. Utilizarea datelor

Datele personale ale Societății:

  • Când se lucrează cu date personale, angajații/colaboratorii ar trebui să asigure ecranele calculatoarelor întotdeauna închise când le lasă nesupravegheate;
  • Datele personale nu ar trebui transmite prin e-mail, având în vedere că aceasta cale de comunicare nu este sigură.
  • Datele ar trebui criptate înainte de a fi transferate electronic. Managerul IT ar trebui să explice cum sunt trimise datele către contactele externe autorizate.
  • Datele personale nu ar trebui transferate în afara Spațiului Economic European.
  • Angajații/Colaboratorii ar trebui să nu salveze datele personale în dispozitivele lor personale. Întotdeauna ar trebui să existe acces și actualizare a copiei centrale a tuturor datelor.

4. Precizia datelor

Legislația solicită Societății să urmărească pașii în mod rezonabil pentru a asigura precizia și actualitatea datelor.

Acuratețea datelor este foarte importantă și este necesar un efort considerabil din partea Societății pentru a o asigura.

Este responsabilitatea tuturor angajaților și colaboratorilor care lucrează cu aceste date să urmărească pașii pentru a asigura acuratețea și actualitatea datelor pe cât posibil.

  • Datele vor fi păstrate în puține locuri. Personalul nu trebuie să creeze alte locuri adiționale deloc necesare, ca de exemplu copii inutile;
  • Personalul ar trebui să se folosească de fiecare oportunitate pentru a asigura actualizarea datelor. De exemplu, prin confirmarea unor detalii în momentul în care clientul sună;
  • Societatea va depune toate diligențele necesare pentru ca subiectele datelor să își poată actualiza informațiile pe care Societatea le deține. De exemplu, prin intermediul site-ului web al companiei;
  • Datele ar trebui actualizate când se descoperă inadvertențe. De exemplu, când un client nu mai poate fi contactat prin intermediul unui număr de telefon, se recomandă eliminarea din baza de date a acestuia.

5. Divulgarea datelor din alte motive

În anumite circumstanțe, legislația permite datelor personale să fie dezvăluite către organele legii fără consimțământul persoanei subiect al datelor.

În aceste circumstanțe, Societatea va dezvălui datele necesare. Operatorul de date va asigura faptul că cererea este legitimă și prin intermediul consultanților juridici.

6. Furnizare informații

Societatea va depune eforturi constante și calibrate la legislație și activitatea acesteia și se asigură că persoanele vizate au luat la cunoștință și înțeleg:

  • Cum sunt datele lor utilizate;
  • Cum își pot exercita drepturile.

7. Consecințe

Nerespectarea prezentei Politici de către angajații companiei sau alți colaboratori externi poate conduce către sancțiuni disciplinare (inclusiv încetarea contractului de muncă), rezilierea contractelor și, în funcție de circumstanțe, acționarea în instanță pentru recuperarea integrală a prejudiciilor aduse organizației ca urmare a nerespectării prezentei Politici. Când există suspiciunea unor activități ilegale (cum ar fi, exemplificativ, sustragerea documentelor, copierea, distribuirea, transferul bazelor de date), Societatea va denunța activitatea infracțională organelor legii pentru tragerea la răspundere penală a făptuitorului.

Prezenta Politică va fi adusă de către conducerea companiei la cunoștința tuturor angajaților, colaboratorilor, partenerilor de afaceri sau a altor terți.

În acest scop, compania are o Politică de confidențialitate, stabilind cum datele persoanelor sunt utilizate în cadrul acesteia.

Bucuresti, Iunie 2022