POLITICA DE PROTECTIE A DATELOR CU CARACTER PERSONAL

Scop, domeniu de activitate și utilizatori

SC Hundred Percent SRL, denumită în continuare „Societatea”, se străduiește să respecte legile și reglementările aplicabile legate de protecția datelor cu caracter personal în țările în care operează Societatea. Această politică stabilește principiile de baza prin care Societatea prelucrează datele cu caracter personal ale consumatorilor, clienților, furnizorilor, partenerilor de afaceri, angajaților și altor persoane și indică responsabilitățile departamentelor și angajaților săi în timpul procesării datelor cu caracter personal.

Prezenta Politică se aplică Societății și filialelor sale deținute integral sau parțial în Spațiul Economic European (SEE) sau prelucrării datelor cu caracter personal ale persoanelor vizate din cadrul SEE.

Utilizatorii acestui document sunt toți angajați permanenți sau temporari și toți contractanții care lucrează în numele Societății.

Definiții

Următoarele definiții ale termenilor utilizați în acest document sunt extrase din articolul 4 din Regulamentul general al Uniunii Europene privind protecția datelor:

Date cu caracter personal: orice informație referitoare la o persoană fizică identificată sau identificabilă („persoană vizată”) care poate fi identificată, direct sau indirect, în special prin referire la un identificator, cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale a acelei persoane fizice.

Datele cu caracter personal sensibile: Datele cu caracter personal care, prin natura lor, sunt deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale, merită o protecție specifică, deoarece contextul prelucrării lor ar putea crea riscuri semnificative pentru drepturile și libertățile fundamentale. Aceste date cu caracter personal includ date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, credințele religioase sau filosofice sau calitatea de membru al sindicatelor, datele genetice, datele biometrice în scopul identificării unice a unei persoane fizice, datele privind sănătatea sau datele referitoare la sexul unei persoane fizice viață sau orientarea sexuală.

Prelucrare: o operațiune sau un set de operațiuni care se efectuează pe date cu caracter personal sau pe seturi de date cu caracter personal, indiferent dacă sunt sau nu prin mijloace automate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, recuperarea, divulgarea prin transmitere, diseminare sau punerea la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea datelor.

Anonimizarea: datele cu caracter personal care nu permit identificarea ireversibilă, astfel încât persoană să nu poată fi identificată prin utilizarea unui timp rezonabil, a costurilor și a tehnologiei, fie de către operator, fie de către orice altă persoană pentru a identifica persoană respectivă. Principiile de procesare a datelor cu caracter personal nu se aplică datelor anonime, deoarece acestea nu mai sunt date cu caracter personal.

Pseudonimizarea: prelucrarea datelor cu caracter personal în așa fel încât datele cu caracter personal să nu mai poată fi atribuite unui anumit dețînător de date fără utilizarea unor informațîi suplimentare, cu condiția că aceste informații suplimentare să fie păstrate separat și să facă obiectulu nor măsuri tehnice și organizatorice care să asigure că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau identificabile. Pseudonimizarea reduce, dar nu elimina complet, capacitatea de a lega date cu caracter personal cu un dețînător de date. Deoarece datele pseudonime sunt în continuare date cu caracter personal, prelucrarea datelor pseudonime ar trebui să respecte principiile de prelucrare a datelor personale.

Prelucrarea transfrontalieră a datelor cu caracter personal: prelucrarea datelor cu caracter personal care are loc în cadrul activităților unităților din mai multe state membre ale operatorului sau împuternicitului operatorului în Uniunea Europeană în care operatorul sau împuternicitul operatorului este stabilit în mai mult de un stat membru; sau prelucrarea datelor cu caracter personal care are loc în contextul activităților unei singure unități ale operatorului sau ale împuternicitului operatorului care prelucrează în Uniune, dar care afectează în mod substanțial sau care pot afecta în mod substanțial persoanele vizate în mai multe state membre;

Autoritatea de supraveghere: o autoritate publică independentă stabilită de un stat membru în temeiul articolului 51 din GDPR UE;

Autoritatea de supraveghere principala: autoritatea de supraveghere cu responsabilitatea principala pentru gestionarea unei activități de prelucrare a datelor transfrontaliere, de exemplu atunci când un deținător de date depune o plângere privind prelucrarea datelor sale cu caracter personal; este responsabil, printre altele, pentru primirea notificărilor referitoare la încălcarea datelor, pentru notificare cu privire la activitatea de prelucrare riscantă și va avea autoritatea deplină în ceea ce privește obligațiile care îi revin pentru a asigura respectarea prevederilor GDPR UE;

Fiecare „autoritate locală de supraveghere” va continua să se mențină pe propriul teritoriu și va monitoriza orice procesare locală a datelor care afectează persoanele vizate sau care este efectuată de un Operator sau de un Împuternicit din UE sau din afara UE atunci când prelucrarea lor vizează subiecții vizați care locuiesc pe teritoriul său . Sarcinile și competențele acestora includ desfășurarea de investigații și aplicarea măsurilor administrative și a amenzilor, promovarea gradului de conștientizare a publicului asupra riscurilor, regulilor, securității și drepturilor în ceea ce privește prelucrarea datelor cu caracter personal, precum și obținerea accesului la orice sediu al operatorului și al împuternicitului operatorului , inclusiv orice echipament și mijloace de prelucrare a datelor.

„Sediul principal în ceea ce privește un operator” cu unități din mai multe state membre, locul administrației sale centrale în Uniune, cu excepția cazului în care deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter personal sunt luate într-un alt sediu al operatorului în Uniune și această din urmă are puterea de a pune în aplicare astfel de decizii, caz în care instituția care a luat astfel de decizii trebuie considerată a fi sediul principal;

„Sediul principal în ceea ce privește un Împuternicit” cu unități din mai multe state membre, locul administrației sale centrale în Uniune sau, în cazul în care operatorul nu are o administrație centrală în Uniune, sediul Împuternicitului în Uniune în care activitățile principale de prelucrare în contextul activităților unei unități a împuternicitului operatorului au loc în măsură în care împuternicitul operatorului face obiectul unor obligații specifice în temeiul prezentului regulament;

Întreprinderea de grup: orice societate holding împreună cu filiala sa.

Principiile de Baza privind Procesarea Datelor cu Caracter Personal

Principiile de protecție a datelor definesc responsabilitățile de baza ale organizațiilor care manipulează datele cu caracter personal. Articolul 5 alineatul (2) din GDPR prevede că „operatorul este responsabil și poate să demonstreze respectarea principiilor.”

Legalitatea, Corectitudinea și Transparență

Datele cu caracter personal trebuie prelucrate în mod legal, corect și transparent în raport cu persoană vizată.

Limitarea Scopului

Datele cu caracter personal trebuie colectate în scopuri specificate, explicite și legitime și nu trebuie prelucrate într-o manieră incompatibilă cu aceste scopuri.

Minimizarea Datelor

Datele cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate. Societatea trebuie să aplice anonimizarea sau pseudonimizarea datelor personale, dacă este posibil, pentru a reduce riscurile pentru persoanele vizate în cauza.

Acuratețea

Datele cu caracter personal trebuie să fie corecte și, dacă este necesar, să fie actualizate; trebuie luate măsuri rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate în timp util.

Limitarea Perioadei de Stocare

Datele cu caracter personal nu trebuie păstrate decât în măsură necesară scopurilor pentru care sunt prelucrate datele cu caracter personal.

Integritatea și Confidențialitatea

Având în vedere stadiul tehnologic și alte măsuri de securitate disponibile, costul de punere în aplicare și probabilitatea și gravitatea riscurilor de date cu caracter personal, Societatea trebuie să utilizeze măsuri tehnice sau organizatorice adecvate pentru prelucrarea datelor cu caracter personal într-un mod care să asigure o securitate adecvată a datelor cu caracter personal, inclusiv protecția împotriva distrugerii accidentale sau ilegale, a pierderii, a alterării, a accesului neautorizat sau a dezvăluirii.

Responsabilitatea

Operatorii de date trebuie să fie responsabili și să poată demonstra conformitatea cu principiile enunțate mai sus.

Cadrul de Asigurare a Protecției Datelor în Activitățile Comerciale

Colectarea

Societatea trebuie să depună eforturi pentru a colecta cel mai mic număr de date cu caracter personal posibile. Dacă datele cu caracter personal sunt colectate de la o terță parte, Responsabilul cu Protecția Datelor – RPD (DPO) trebuie să se asigure că datele cu caracter personal sunt colectate în mod legal.

Utilizarea, Păstrarea, și Eliminarea

Scopurile, metodele, limitarea depozitării și perioada de păstrare a datelor cu caracter personal trebuie să fie în concordanță cu informațiile conținute în comunicarea privind confidențialitatea. Societatea trebuie să mențină acuratețea, integritatea, confidențialitatea și relevanța datelor personale pe baza scopului de procesare. Mecanismele de securitate adecvate destinate protejării datelor cu caracter personal trebuie utilizate pentru a preveni furtul, utilizarea necorespunzătoare sau abuzul datelor cu caracter personal și prevenirea încălcării datelor cu caracter personal. RPD este responsabil pentru respectarea cerințelor enumerate în această secțiune.

Divulgarea către Terțe Părți

Ori de câte ori Societatea utilizează un furnizor terț sau un partener de afaceri pentru prelucrarea datelor cu caracter personal în numele sau, RPD trebuie să asigure că acest Împuternicit va oferi măsuri de securitate pentru a proteja datele cu caracter personal adecvate riscurilor asociate.

Societatea trebuie să solicite contractual furnizorului sau partenerului de afaceri să ofere același nivel de protecție a datelor. Furnizorul sau partenerul de afaceri trebuie să prelucreze date cu caracter personal numai pentru a-și îndeplini obligațiile contractuale față de Societate sau la instrucțiunile societății și nu în alte scopuri. Atunci când Societatea prelucrează datele cu caracter personal împreună cu o terță parte independenta, Societatea trebuie să precizeze în mod explicit responsabilitățile respective și partea terță în contractul relevant sau în orice alt document obligatoriu, cum ar fi Acordul privind Procesarea Datelor Furnizorului.

Prelucrarea Transfrontalieră al Datelor cu Caracter Personal

Înainte de a transfera date cu caracter personal din Spațiul Economic European (SEE) trebuie să se utilizeze garanții adecvate inclusiv semnarea unui acord de transfer de date, conform cerințelor Uniunii Europene și, dacă este necesar, trebuie obținută autorizația autorității competențe pentru protecția datelor. Entitatea care primește datele cu caracter personal trebuie să respecte principiile de prelucrare a datelor cu caracter personal prevăzute în ”Cadrul de transfer transfrontalier al datelor cu caracter personal”.

Drepturile de Acces ale Persoanelor Vizate

Atunci când acționează în calitate de Operator de date, RPD este responsabil să furnizeze persoanelor vizate un mecanism de acces rezonabil care să le permită accesul la datele lor personale și trebuie să le permită să actualizeze, să rectifice, să șteargă sau să transmită date cu caracter personal, sau cerute de lege.

Portabilitatea Datelor

Subiecții de date au dreptul să primească, la cerere, o copie a datelor pe care le-au furnizat într-un format structurat și să le transmită gratuit unui alt Operator gratuit. RPD este responsabil pentru a se asigura că aceste cereri sunt procesate în termen de o luna, nu sunt excesive și nu afectează drepturile la date cu caracter personal ale altor persoane fizice.

Dreptul de a fi uitat

La cerere, subiecții de date au dreptul să obțină de la Societatea ștergerea datelor sale personale. Atunci când Societatea acționează în calitate de Operator, DPO trebuie să ia măsurile necesare (inclusiv măsurile tehnice) pentru a informa părțile terțe care utilizează sau prelucrează aceste date pentru a se conforma cererii.

Ghiduri de prelucrare corectă

Datele cu caracter personal trebuie prelucrate numai când sunt autorizate în mod explicit de către RPD.

Notificări către Persoanele Vizate

La momentul colectării sau înainte de colectarea datelor cu caracter personal pentru orice fel de activități de prelucrare, inclusiv, dar fără a se limita la vânzarea de produse, servicii sau activități de marketing, RPD este responsabil să informeze în mod corespunzător persoanele vizate despre următoarele: tipuri de date cu caracter personal colectate, scopurile prelucrării, metodele de prelucrare, drepturile persoanelor vizate cu privire la datele lor personale, perioada de păstrare, transferurile potențiale internaționale de date, dacă datele vor fi comunicate terților și măsurile de securitate ale Societății pentru protecția datelor cu caracter personal. Aceste informații sunt furnizate prin notificarea privind confidențialitatea.

Dacă Societatea efectuează mai multe activități de prelucrare a datelor, se vor elabora notificări diferite, care vor diferi în funcție de activitatea de prelucrare și de categoriile de date cu caracter personal colectate.

În cazul în care datele cu caracter personal sunt partajate cu o terță parte, RPD trebuie să se asigure că persoanele vizate au fost notificate cu privire la acest lucru printr-o notificare privind confidențialitatea.

În cazul în care se colectează date cu caracter personal sensibile, RPD trebuie să se asigure că notificarea privind confidențialitatea menționează explicit scopul pentru care sunt colectate aceste date cu caracter personal sensibile.

Obținerea Consimțământului

Atunci când colectarea de date cu caracter personal se  aplica unui copil cu vârstă sub 16 ani, RPD trebuie să se asigure că  exista consimțământ parental , oferit înainte de colectare.

Atunci când se solicită corectarea, modificarea sau distrugerea înregistrărilor de date cu caracter personal, RPD trebuie să se asigure că aceste solicitări sunt tratate într-un interval de timp rezonabil. RPD trebuie, de asemenea, să înregistreze cererile și să păstreze un jurnal al acestora.

Răspuns la Incidente de Încălcare a Datelor cu Caracter Personal

Atunci când Societatea află de o încălcare a datelor cu caracter personal suspectă sau reală, Data Protection Officer trebuie să efectueze o investigație internă și să ia măsurile de remediere adecvate la timp, în conformitate cu politica privind încălcarea datelor. În cazul în care există riscuri pentru drepturile și libertățile persoanelor vizate, Societatea trebuie să notifice fără întârziere autoritățile competente pentru protecția datelor și, dacă este posibil, în termen de 72 de ore.

Conflictul Legilor

Această politică este destinată să respecte legile și reglementările din locul de înființare și ale țărilor în care operează Hundred Percent. În eventualitatea unui conflict între această politică, legile și reglementările aplicabile, acestea din urmă prevalează.

Certification SR EN ISO/IEC 27001:2018

SR EN ISO/IEC 27001:2018 Certificare în Managementul Securității Informațiilor Certificat