GDPR

1. Cine suntem

Noi suntem SOTER & PARTNERS un grup de companii din Romania, care isi desfasoara activitatea in domeniul serviciilor financiar-contabilitate, audit, consultanta fiscala si imigrare. Grupul SOTER & PARTNERS este compus din urmatoarele companii: SOTER SRL, SOTER HR SRL, SOTER AUDIT SRL, SOTER ADVISORY SERVICES SRL, SOTER EXPRESS SRL, SOTER TAX SRL, SOTER ACT SRL, SOTER & PARTNERS NETWORK SRL.

Grupul SOTER & PARTNERS a desemnat Consiliul de PROTECTIE A Datelor (Data Privacy Consel) din care fac parte 7 membri cu functii de conducere, ` cate unul din partea fiecarei companii si 3 membri cu functii administrative. Consiliul de Protectie a Datelor este insarcinat cu implementarea, gestionarea, monitorizarea si controlul politicilor de protectie a datelor la nivelul integului grup SOTER & PARTNERS.

2. Legislație privind protecţia datelor

2.1 Regulamentul privind Protecţia Datelor cu Caracter Personal din 2016 vine să înlocuiască Directivă EU din 1995 şi înlocuieşte legislaţia internă a statelor member care a transpus Directiva 95/46/EC. Scopul regulamentului este cel de a proteja “drepturile şi libertăţile” persoanelor fizice (adica cetăţenilor propriu-zis) şi a asigura cadrul legal în care datele cu caracter personal al indivizilor nu sunt procesate fără ştirea şi fără acordul lor, acolo unde este posibil.

2.2 Policiticile noastre privind protectia datelor sunt governate de legsilaţia UE privind protecţia datelor precum şi legislaţia naţională în vigoare privind protecţia datelor

2.3 Definiţiile utilizate de către societate:

Domeniul de aplicare –GDPR se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate (ex: prin calculator), precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor (ex: pe hârtie) sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.

Aplicarea Teritorială – GDPR se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu tutoror entitatilor de pe teritoriul UE, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii. De asemena se aplică entităţilor care nu sunt stabilite UE atunci când oferă bunuri/servicii, sau monitorizează comportamentul prelucrării unor persoane vizate aflate în UE.

Sediul – sediul principal al unui operator în Uniune va terebui să fie locul de unde se iau deciziile principale în ceea ce priveşte deciziile cu impact asupra prelucrării datelor cu caracter personal. Sediul principal ar trebui să fie locul din UE în care se află administrația centrală a acestuia în Uniune. Dacă sedul principal al operatorului se află în afara UE, acesta va trebui să desemneze o persoană împuternicită în juridsdicţia în care operatorul operează datele, pentru ca această să acţioneze în numele lui şi să îl reprezinte în relaţia cu autoritatea de supraveghere.

Date cu caracter personal înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale ale persoanei respective.

Categoriile speciale de Date – datele cu caracter personal care indică originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

Operator - înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern.

Persoana vizată – orice fiinţă umană cu privire la care vreo entitate organizaţie deţine date cu caracter personal.

Prelucrare - înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, deseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Încălcarea securității datelor cu caracter personal - înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea. Operatorul are obligaţia să notifice divulgarea neautorizată sau încălcarea securităţii datelor către autoritatea de supraveghere atunci când încălcarea poate aduce atingere sau să afecteze viaţa personală sau datele persoanei vizate

Consimțământul Persoanei Vizate - înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

Copil –GDPR defineşte ca fiind copil orice persoana care are sub 16 ani, legislaţia statelor membre poate reduce vârsta până la 13 ani. Prelucrarea datelor cu caracter personal ale unui copil este legală în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului. Operatorul trebuie să facă eforturii rezonabile să verifice dacă acordul a fost sau a fost confirmat de către titularul răspunderii părintești asupra copilului.

Parte terță - înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;

Sistem de evidență a datelor - înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;.

3. Declaratia de securitate

3.1 Conducerea grupului SOTER & PARTNERS se angajează să respecte toate legile relevante ale UE și ale statelor membre cu privire la protecţia datelor cu caracter personal și protecția "drepturilor și libertăților" persoanelor ale căror informații SOTER & PARTNERS le colectează și prelucrează în conformitate cu Regulamentul general privind protecția datelor (GDPR).

3.2 Compatibilitatea cu GDPR şi a legislaţiei naţionale privind protecţia datelor este descrisă de această politică și de alte politici relevante, cum ar fi Politica de Securitate a Informațiilor, împreună cu procesele și procedurile conexe.

3.3 GDPR, legislatia UE şi naţională privind protecţia datelor și aceast regulament intern se aplică tuturor datelor personale prelucrate de către societate, inclusiv privind operațiunile de prelucrare privind datelor personale ale clienților, angajaților, furnizorilor și partenerilor, precum și orice alte date personale pe care societatea le prelucrează din orice sursă.

3.4 SOTER & PARTNERS a stabilit obiectivele privind protecţia şi securitatea Datelor, care sunt detaliate în PIMS şi Registrul Obiectivelor GDPR.

3.5 Sistemele de management al informatiilor personale (sau PIMS) sunt sisteme care ajuta compania noastra sa gestioneze mai bine datele personale.

PIMS permite gestionarea datelor personale în sisteme de stocare sigure, local sau online și să le împărtășească când și cu cine alege compania. Furnizorii de servicii online și agenții de publicitate vor trebui să interacționeze cu PIMS dacă intenționează să prelucreze datele persoanelor fizice.

3.6 Responsabilul cu protecția datelor (DPO) este desemnată Societatea de Avocați Dumitrache-Chironda, Ivu și Asociații, în persoana Dlui Marius Daniel IVU și a Dnei Oxana Dumitrache-Chironda , notificate către ANSPDCP prin :

  • Adresa din 25.05.2018 avand numar de inregistrare 0027911/132329441314 din 27.06.2018 pentru Soter SRL;
  • Adresa din 25.05.2018 avand numar de inregistrare 0028094/938478035024 din 28.06.2018 pentru Soter HR SRL;
  • Adresa din 25.05.2018 avand numar de inregistrare 0028098/9268332817 din 28.06.2018 pentru Soter AUDIT SRL;
  • Adresa din 25.05.2018 avand numar de inregistrare 0028106/757415644090 din 28.06.2018 pentru Soter ADVISORY SERVICES SRL;
  • Adresa din 25.05.2018 avand numar de inregistrare 0028159/517765500687 din 28.06.2018 pentru Soter EXPRESS SRL;
  • Adresa din 25.05.2018 avand numar de inregistrare 0028183/299340924439 din 28.06.2018 pentru Soter TAX SRL;
  • Adresa din 25.05.2018 avand numar de inregistrare 0028109/334881586374 din 27.06.2018 pentru Soter ACT SRL;
  • Adresa din 25.05.2018 avand numar de inregistrare 0028114/402410415657 din 27.06.2018 pentru Soter & PARTNERS NETWORK SRL.

3.7 Responsabilul privind implementarea politicilor de Protecție a Datelor este Privacy Counsel Societății. Consiliul de Protectie a Datelor este responsabil pentru revizuirea registrului de evidenta a procesarii şi de actualizare anuală în funcție de orice schimbări aduse activităților & PARTNER determinate de schimbările înregistrate în registrul de inventar al datelor și registrul de evidență al operațiunilor de prelucrare a datelor și revizuirea de către managementul societăţii și de orice cerințe suplimentare identificate prin evaluări ale impactului protecției datelor.

3.8 Această politică se aplică tuturor angajaților SOTER & PARTNERS, inclusiv furnizorilor externalizați. Orice încălcare a GDPR sau a PIMS va fi tratată conform politicii disciplinare a SOTER & PARTNERS și poate fi, de asemenea, calificat infracțiune, caz în care va fi dedus deîndată spre soluţionare şi investigare autorităților competente.

3.9 Partenerii de afaceri precum și orice terţi care colaborează cu SOTER & PARTNERS și care au sau ar putea avea acces la date personale se impune să fi citit, înțeles și să îşi asume respectarea aceastei politici de protective a datelor. Niciun terţ nu poate accesa datele cu caracter personal deținute de SOTER & PARTNERS fără să fi încheiat în prealabil un acord de protecţie a datelor [DPA], care impune terţului obligații cel puţin la fel de oneroase ca cele asumate de către SOTER & PARTNERS și care conferă SOTER & PARTNERS dreptul de a audita/verifica respectarea acordului de către terţ.

Sistemul de management al informațiilor personale (PIMS)

Declarație de angajament

Pentru a sprijini respectarea legislaţiei privind protecţia datelor, Consiliul de Protectie a Datelor a aprobat și a sprijinit dezvoltarea, implementarea, întreținerea și îmbunătățirea continuă a unui sistem documentat de gestionare a informațiilor personale ("PIMS") pentru SOTER & PARTNERS.

Toți angajații/personalul SOTER & PARTNERS trebuie să respecte această politică și PIMS care implementează această politică. Toți angajații/personalul, vor fi ţinuţi să parcurgă formarea profesională corespunzătoare. Consecințele încălcării acestei politici de către angajații societății sunt tratate ca abateri disciplinare și intră sub incidenţa procedurii SOTER & PARTNERS de cercetare disciplinară și a măsurilor de angajarea răspunderii terţilor agreate prin contractele și acordurile semnate cu aceştia.

La determinarea domeniului și scopului de aplicare al GDPR, SOTER & PARTNERS va lua în considerare:

  • orice problemă externă și internă care este relevantă pentru activitatea SOTER & PARTNERS și care afectează capacitatea sa de a atinge rezultatele dorite ale PIMS;
  • nevoile și așteptările specifice ale părților interesate care sunt relevante pentru implementarea PIMS;
  • obiectivele și obligațiile organizatorice;
  • nivelul acceptabil de risc al societăţii;
  • orice obligații statutare, regulamentare sau contractuale aplicabile

Obiectivele SOTER & PARTNERS pentru respectarea legilaţiei privind protecţia datelor și a PIMS:

  • sunt în concordanță cu această politică
  • sunt măsurabile
  • să ia în considerare rezultatele evaluărilor riscurilor și ale tratamentelor de risc
  • sunt monitorizate
  • sunt comunicate
  • sunt actualizate după caz

SOTER & PARTNERS documentează aceste obiective în PIMS și Registrul Obiectivelor GDPR.

Obiectivele SOTER & PARTNERS pentru respectarea legilaţiei privind protecţia datelor și a PIMS:

  • acţiunile care trebuie întreprinse
  • resursele necesare
  • desemnarea responsabililor
  • stabilirea termenelor de finalizare
  • modul de evaluare a rezultatelor

4. Responsabilitățile și rolurile reglementate de GDPR

4.1 În contextual GDPR, SOTER & PARTNERS are calitate atât de Operator pentru datele colectate de la proprii angajaţi, cât de de Persoană Împuternicită pentru Datele colectate de clienţii săi pe care le prelucrează în baza contractelor de prestări servicii semnate cu aceştea.

4.2 Atat conducerea societăţii cât şi toţi cei cu rol în managementul şi supravegherea activităţii SOTER & PARTNERS sunt responsabili pentru dezvoltarea și încurajarea practicilor corespunzătoare de gestionare a informațiilor în cadrul SOTER & PARTNERS; responsabilitățile sunt stabilite în fișele de post individuale.

4.3 Consiliul de Protectie a Datelor răspunde faţă de asociații societăţii SOTER & PARTNERS pentru gestionarea datelor cu caracter personal în cadrul SOTER & PARTNERS, fiind obligat să asigure că poate fi dovedită respectarea legislației privind protecția datelor și a bunelor practici. Această responsabilitate include:

  • 4.3.1 implementarea şi gestionarea GDPR în conformitate cu acest regulament şi policiti;
  • 4.3.2 asigurarea securității și managementul riscurilor în ceea ce privește respectarea politicilor.

4.4 Consiliul de Protectie a Datelor este responsabil pentru urmărirea curentă a respectarii de către SOTER & PARTNERS a acestor politici și, în special, are responsabilitatea directă de a se asigura că SOTER & PARTNERS respectă GDPR

4.5 Consiliul de Protectie a Datelor desemneaza o persoană care are responsabilități specifice în ceea ce privește procedurile speciale precum Procedura de solicitare a accesului la date SAR. Aceasta este persoana de contact şi de apel pentru angajații/personalul care solicită clarificări cu privire la orice aspect al respectării protecției datelor

4.6 Respectarea legislației privind protecția datelor este responsabilitatea tuturor angajaților/personalului SOTER & PARTNERS care colectează sau/şi prelucrează datele cu caracter personal.

4.7 Politica SOTER & PARTNERS de instruire a angajaţilor stabilește cerințe specifice de formare și conștientizare în legătură cu rolurile specifice a angajaților/personalul societăţii.

4.8 Angajații SOTER & PARTNERS sunt responsabili pentru a asigura că datele personale lor personale, aşa cum sunt acestea furnizate de acestea către SOTER & PARTNERS sunt corecte și actualizate.

5. Principiile Protectei Datelor

Toate operațiunile de prelucrare a datelor cu caracter personal trebuie să se desfășoare în conformitate cu principiile de protecție a datelor prevăzute la articolul 5 din GDPR. Politica și procedurile privind SOTER & PARTNERS sunt concepute astfel încât să asigure respectarea principiilor.

5.1 Datele personale trebuie prelucrate în mod legal, corect și transparent

Legalitatea - identificați o bază legală înainte de a putea prelucra datele personale. Acestea sunt adesea denumite "condițiile de procesare/temeiuri legale", de exemplu consimțământul.

Bună credinţă - pentru ca procesarea să fie onestă, operatorul de date trebuie să pună la dispoziția persoanelor vizate informații cât mai practice posibil. Aceasta se aplică dacă datele cu caracter personal au fost obținute direct de la persoanele vizate sau din alte surse.

GDPR are cerințe sporite cu privire la ce informații ar trebui să fie disponibile pentru persoanele vizate, care sunt reglementate prin obligația de asigurare a Transparenței.

Transparenţa - GDPR include reguli privind furnizarea de informații privind confidențialitatea persoanelor vizate în articolele 12, 13 și 14. Acestea sunt detaliate și specificate, punându-se accentul pe faptul că notificările privind securitatea datelor trebuie să fie clare şi accesibile. Informațiile trebuie comunicate persoanei vizate într-o formă inteligibilă, folosind un limbaj clar și simplu.

SOTER & PARTNERS a implementat Procedura de Notificare/Informare privind prelucrarea datelor și Notificarea/Informarea privind prelucrarea datelor.

Informațiile specifice care trebuie furnizate Persoanei vizate trebuie să includă cel puțin:

  • 5.1.1 identitatea și datele de contact ale operatorului și dacă este cazul, ale reprezentantului operatorului;
  • 5.1.2 datele de contact ale responsabilului cu protecția datelor;
  • 5.1.3 scopul prelucrării pentru care sunt destinate datele cu caracter personal, precum și temeiul juridic al prelucrării;
  • 5.1.4 perioada pentru care vor fi stocate datele cu caracter personal;
  • 5.1.5 existența măsurilor care asigură respectarea drepturilor persoanei vizate de a solicita accesul, rectificarea, ștergerea sau opoziția față de prelucrarea (sau lipsa), precum şi limitele exercitarii acestor drepturi, cum ar fi afectarea legalității prelucrării anterioare;
  • 5.1.6 categoriile de date cu caracter personal în cauză;
  • 5.1.7 destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
  • 5.1.8 dacă este cazul, a se indica dacă acolo operatorul intenționează să transfere date cu caracter personal unui destinatar dintr-o țară terță și nivelul de protecție acordat datelor;
  • 5.1.9 orice alte informații necesare pentru a garanta o prelucrare corectă.

5.2 Datele personale pot fi colectate doar în scopuri specifice, explicite și legitime
Datele obținute în scopurile specificate nu trebuie utilizate într-un scop diferit de cele notificate în mod oficial autorității de supraveghere ca parte a procesului de prelucrare a GDPR de către SOTER & PARTNERS. Procedura de confidențialitate GDPR stabilește procedurile relevante.

5.3 Colectarea Datele personale trebuie să fie adecvată, relevantă și limitată la ceea ce este necesar pentru procesare

  • 5.3.1 Consiliul de Protectie a Datelor este responsabil pentru asigurarea faptului că SOTER & PARTNERS nu colectează informații care nu sunt strict necesare scopului pentru care sunt obținute
  • 5.3.2 Toate formularele de colectare a Datelor (electronice sau pe suport de hârtie), inclusiv cerințele de colectare a Datelor în noile sisteme informatice, trebuie să includă o declarație de procesare corectă sau o trimitre la declarația de securitate aprobată de către responsabilul cu protecția datelor.
  • 5.3.3 Consiliul de Protectie a Datelor se va asigura că, anual, toate metodele de colectare a datelor sunt revizuite şi actualizate pentru a se asigura că datele colectate continuă să fie adecvate, relevante și nu excesive (Procedura de evaluare a impactului protecției datelor)
  • 5.4 Datele personale trebuie să fie corecte și să fie actualizate şi şterse, remediate sau corectate cu orice efort şi fără întârziere

    • 5.4.1 Datele care sunt stocate de către operatorul de date trebuie revizuite și actualizate, după caz. Nu trebuie păstrate date decât dacă există un temei legal rezonabil şi just.
    • 5.4.2 Responsabilul cu protecția datelor are responsabilitatea de a se asigura că întreg personalul este instruit în importanța colectării și menținerii datelor exacte.
    • 5.4.3 De asemenea, este responsabilitatea persoanei vizate să se asigure că datele deținute de numele organizației sunt exacte și actualizate. Completarea unui formular de înregistrare sau cerere de către un subiect de date va include o declarație conform căreia datele conținute în acesta sunt corecte la data depunerii.
    • 5.4.4 Angajații sunt solicitaţi să notifice SOTER & PARTNERS cu privire la orice schimbări ale circumstanţelor colectării /procesării, pentru a permite actualizarea în mod corespunzător a evidențelor. Instrucțiunile pentru actualizarea înregistrărilor se vor comunica periodic. Este responsabilitatea SOTER & PARTNERS să se asigure că orice notificare privind schimbarea circumstanțelor este înregistrată și ii se dă curs.
    • 5.4.5 Consiliul de Protectie a Datelor este responsabil de asigurarea aplicării procedurilor și politicilor adecvate pentru păstrarea datelor cu caracter personal corecte și actualizate, ținând cont de volumul de date colectate, de viteza cu care s-ar putea schimba și de orice alți factori relevanți.
    • 5.4.6 Cel puțin o dată pe an, Consiliul de Protectie a Datelor va examina datele de reținere a tuturor datelor personale prelucrate prin SOTER & PARTNERS, prin referință la inventarul de date și va identifica orice date care nu mai sunt necesare în contextul scopului înregistrat. Aceste date vor fi șterse / distruse în mod sigur, în conformitate cu Procedura de eliminare sigură a suporturilor de stocare.
    • 5.4.7 Consiliul de Protectie a Datelor este responsabil pentru a răspunde solicitărilor de rectificare a Datelor de la persoanele vizate în termen de o lună (Procedura de soluţionare a Cererilor de Acces SAR). Aceasta poate fi extinsă la două luni pentru solicitări complexe. În cazul în care SOTER & PARTNERS decide să nu se conformeze cererii, Responsabilul GDPR trebuie să răspundă motivat persoanei vizate pentru a îi furniza explicaţii cu privire la rafuz și să o informeze cu privire la dreptul persoenai vizate de a se plânge autorității de supraveghere și indica căile de atac.
    • 5.4.8 Consiliul de Protectie a Datelor este responsabil cu luarea măsurilor adecvate, în cazul în care către terți au fost trimise Date personale inexacte sau neactualizate, să informeze terţii că informațiile sunt inexacte și/sau neactualizate, informându-i că nu trebuie să fie utilizate în luarea deciziilor privind persoanele vizate; și are obligaţia de a transmite corecțiile şi actualizările Datelor cu caracter personal către terţii care prelucrează date, în cazul în care acest lucru este necesar.

    5.5 Datele cu caracter personal trebuie păstrate într-o formă care să permită identificarea persoanei vizate numai atâta timp cât este necesar pentru prelucrare.

    • 5.5.1 În cazul în care datele cu caracter personal sunt păstrate dincolo de data prelucrării, acestea vor fi [minimizate/criptate/pseudonime] pentru a proteja identitatea persoanei vizate în cazul unei încălcări a datelor.
    • 5.5.2 Datele cu caracter personal vor fi păstrate în conformitate cu Procedura de păstrare a înregistrărilor și odată cu expirarea datei de păstrare, trebuie să fie distruse în siguranță, după cum se prevede în această procedură.
    • 5.5.3 Responsabilul cu protecția datelor trebuie să aprobe în mod expres orice reținere a datelor care depășește perioadele de păstrare definite în Procedura de păstrare a înregistrărilor și trebuie să se asigure că indentifică în mod clar temeiul juridic conform cu cerințele legislației privind protecția datelor. Această aprobare trebuie exprimată în scris.

    5.6 Datele personale trebuie prelucrate într-o manieră care să asigure securitatea corespunzătoare

    Responsabilul cu protecția datelor va efectua o evaluare a riscurilor, luând în considerare toate circumstanțele în care SOTER & PARTNERS exercită şi gestionează operaţiunile de procesare.

    În procesul de determinare a caracterului adecvat al procedurilor, Responsabilul cu protecția datelor ar trebui să ia în considerare, de asemenea, amploarea eventualelor daune sau pierderi care ar putea fi cauzate persoanelor (de exemplu, personal sau clienți) în cazul unei încălcări a securității, efectul oricărei încălcări a securității asupra SOTER & PARTNERS și orice daune reputaționale posibile, inclusiv pierderea posibilă a încrederii clientelei.

    La evaluarea măsurilor tehnice adecvate, Responsabilul cu protecția datelor va lua în considerare următoarele:

    • Protecția prin parolă;
    • Blocarea automată a terminalelor inerte;
    • Eliminarea drepturilor/căilor de acces pentru USB și alte suporturi de memorie;
    • Software de verificare a virușilor și firewall-uri;
    • Drepturile de acces bazate pe roluri, inclusiv cele atribuite personalului temporar;
    • Criptarea dispozitivelor care părăsesc sediile organizației, cum ar fi laptopurile;
    • Securitatea rețelelor la nivel local și în afara;
    • Tehnologii de îmbunătățire a confidențialității, cum ar fi pseudonimizarea și anonimizarea;
    • Identificarea standardelor internaționale de securitate relevante pentru SOTER & PARTNERS.

    La evaluarea măsurilor organizatorice adecvate, Responsabilul cu protecția datelor va lua în considerare următoarele:

    • Nivelurile adecvate de instruire în cadrul SOTER & PARTNERS;
    • Măsuri care iau în considerare fiabilitatea angajaților (cum ar fi referințele etc.);
    • Includerea protecției datelor în contractele de muncă;
    • Identificarea măsurilor de sancţionare disciplinară pentru încălcarea normelor de securitate a datelor;
    • Monitorizarea personalului pentru respectarea standardelor de securitate relevante;
    • Controlul accesului fizic la înregistrările electronice și pe hârtie;
    • Adoptarea unei norme clare de birou;
    • Stocarea datelor pe suport de hârtie în dulapuri cu închidere şi rezistenţă la foc;
    • Restricționarea utilizării dispozitivelor electronice portabile în afara locului de muncă;
    • Restricționarea folosirii dispozitivelor personale ale angajatului la locul de muncă;
    • Adoptarea unor reguli clare despre parole;
    • Impunerea obligațiilor contractuale asupra organizațiilor importatoare de a lua măsuri de securitate corespunzătoare atunci când se transferă date în afara SEE.

    Aceste controale au fost selectate pe baza riscurilor identificate la adresa datelor cu caracter personal și a potențialului de deteriorare sau de daune ce pot fi provocate persoanele fizice ale căror date sunt prelucrate.

    5.7 Operatorul trebuie să poată demonstra conformitatea cu celelalte principii ale GDPR

    Răspunderea

    GDPR include prevederi care promovează responsabilitatea. Acestea completează cerințele de transparență ale GDPR. Principiul responsabilității prevăzut la articolul 5 alineatul (2) GDPR impune sa se demonstrezi că sunt respectae principiile și sa se afirme în mod explicit că aceasta este responsabilitatea proprie.

    SOTER & PARTNERS va demonstra conformitatea cu principiile protecției datelor prin implementarea politicilor de protecție a datelor, respectarea codurilor de conduită, punerea în aplicare a măsurilor tehnice și organizatorice, precum și adoptarea unor tehnici precum protecția datelor începând cu momentul conceperii, DPIA, procedurile de notificare a încălcărilor și planurile de reacție la incidente..

    6. Drepturile Persoanelor vizate

    6.1 Persoanele vizate au următoarele drepturi în ceea ce privește prelucrarea şi înregistrarea datelor lor:

    • 6.1.1 Să facă cereri de acces la informaţii (SAR) interogând natura informațiilor deținute și solicitând să li se arate cui au fost dezvăluite.
    • 6.1.2 Pentru a preveni procesarea care ar putea provoca daune sau suferințe.
    • 6.1.3 Pentru a împiedica prelucrarea în scopul marketingului direct.
    • 6.1.4 Să fie informați cu privire la mecanismul procesului de luare a deciziilor automate care le va afecta în mod semnificativ.
    • 6.1.5 Să nu ia decizii importante doar pe calea unor proceduri automate.
    • 6.1.7 Dreptul să solicite luarea măsurilor de rectificare, blocare, ștergere, inclusiv dreptul de a fi uitat sau să ceară să se distrugă date inexacte.
    • 6.1.8 Să solicite autorității de supraveghere să evalueze dacă o prevedere a GDPR a fost încălcată.
    • 6.1.9 Să aibă date personale furnizate acestora într-un format structurat, utilizat în mod obișnuit și lizibil de mașină și dreptul de a transmite/porta aceste date unui alt controlor.
    • 6.1.10 Să se opună față de orice profil automatizat care se configurează fără consimțământ

    6.2 SOTER & PARTNERS asigură că persoanele vizate pot exercita următaorele drepturi:

    • 6.2.1 Persoanele vizate pot face cereri de acces la date așa cum sunt descrise în Procedura de solicitare a accesului la date; această procedură descrie, de asemenea, modul în care SOTER & PARTNERSse va asigura că răspunsul său la solicitarea de acces la date este în conformitate cu cerințele GDPR.
    • 6.2.2 Persoanele vizate au dreptul să formulize plângeri către SOTER & PARTNERS în legătură cu prelucrarea datelor lor personale, în conformitate cu Procedura de reclamații.

    7. Consimțământul

    7.1 SOTER & PARTNERS înțelege că "Consimțământul" valabil este cel care a fost dat în mod explicit și liber și o exprimare specifică, informată și lipsită de ambiguitate a dorințelor persoanei vizate, printr-o declarație sau printr-o acțiune clară afirmativă, reprezintă consimţământul acesteia pentru prelucrarea datelor cu caracter personal. Persoana vizată își poate retrage consimțământul în orice moment.

    7.2 SOTER & PARTNERS înțelege că "acordul" înseamnă că persoana vizată a fost pe deplin informată cu privire la prelucrarea intenționată și că și-a exprimat acordul, în timp ce se află într-o stare de spirit adecvată pentru a face acest lucru și fără a se exercita presiuni asupra sa. Consimțământul obținut sub presiune sau pe baza unor informații înșelătoare nu va constitui o bază valabilă pentru procesare.

    7.3 Trebuie să existe o comunicare activă între părți pentru a demonstra consimțământul real. Consimțământul nu poate fi dedus din lipsa de răspuns la o comunicare. Operatorul trebuie să poată demonstra că a obținut consimțământul pentru operațiunea de procesare.

    7.4 Pentru datele sensibile, trebuie obținut un acord scris explicit (Procedura privind Consimțământul) al persoanelor vizate, cu excepția cazului în care există o bază legitimă de procesare alternativă.

    7.5 În majoritatea cazurilor, consimțământul de a procesa date personale și sensibile este obținut în mod obișnuit de SOTER & PARTNERS utilizând documentele de consimțământ standard .

    7.6 În cazul în care SOTER & PARTNERS oferă servicii on-line copiilor, trebuie obținută o autorizație parentală sau custodie. Această cerință se aplică copiilor cu vârsta sub 16 ani (cu excepția cazului în care statul membru prevede o limită de vârstă mai mică, care nu poate fi mai mică de 13).

    8. Măsuri de Securitate

    8.1 Toți angajații sunt responsabili pentru a se asigura că toate datele personale deținute de SOTER & PARTNERS și pentru care sunt responsabili, sunt păstrate în siguranță și nu sunt divulgate în niciun fel unei terțe părți decât dacă acea terță parte a fost autorizată în mod special de SOTER & PARTNERS și a încheiat un acord de confidențialitate ş protecţie a datelor.

    8.2 Toate datele personale trebuie să fie accesibile numai celor care au nevoie să le folosească și accesul poate fi acordat numai în conformitate cu Politica de control al accesului. Toate datele cu caracter personal trebuie tratate cu cea mai mare siguranță și trebuie păstrate:

    • intr-o camera inchisa cu acces controlat și / sau
    • într-un sertar încuiat sau într-un dulap încuiat; și / sau
    • dacă este computerizat, protejat prin parolă în conformitate cu cerințele corporative din Politica de control al accesului; și / sau
    • sunt stocate pe suporturi de calculator (detașabile) care sunt criptate în conformitate cu soluția de depozitare sigură a suporturilor de stocare.

    8.3 Trebuie să aveți grijă ca ecranele PC și terminalele să nu fie vizibile, cu excepția angajaților / personalului autorizat al SOTER & PARTNERS. Toți angajații / personalul sunt obligați să încheie un Acord de utilizare înainte de a li se permite accesul la informațiile organizaționale de orice fel, care detaliază regulile privind timpul de expirare a ecranului.

    8.4 Evidențele pe support fizic nu pot fi lăsate acolo unde pot fi accesate de personal neautorizat și nu pot fi scoase din spațiile comerciale fără autorizație explicită. Imediat ce înregistrările manuale nu mai sunt necesare pentru asistența zilnică a clienților, acestea trebuie eliminate din arhivarea securizată.

    8.5 Datele personale pot fi șterse sau eliminate numai în conformitate cu Procedura de păstrare a înregistrărilor. Înregistrările pe suport fizic care au împlinit termenul de păstrare trebuie să fie distruse și eliminate ca "deșeuri confidențiale". Unitățile hard disk de PC-uri trebuie să fie îndepărtate și distruse imediat după cum este cerut de GDPR - înainte de eliminare.

    8.6 Prelucrarea datelor cu caracter personal "în afara amplasamentului" prezintă un risc potențial mai mare de pierdere, furt sau deteriorare a datelor cu caracter personal. Personalul trebuie să fie autorizat în mod specific să proceseze datele în afara amplasamentului.

    9. Dezvăluire neautorizată a Datelor

    9.1 SOTER & PARTNERS trebuie să se asigure că datele cu caracter personal nu sunt divulgate terților neautorizați, printre care inclusiv membri ai familiei, prietenii, organisme guvernamentale și în anumite circumstanțe, organele de cercetare penală. Toți angajații trebuie să fie atenți atunci când sunt rugați să dezvăluie datele personale unei persoane vizate către terțe părți [și vor fi obligați să participe la o formare profesională specifică care să le permită să gestioneze eficient de astfel de riscuri]. Este important să se țină seama de faptul dacă divulgarea informațiilor este sau nu conform cu desfășurarea activității SOTER & PARTNERS.

    9.2 Toate răspunsurile la solicitările de furnizare a datelor trebuie întemeiate în mod corespunzător si trebuie însoţite şi susținute de o documentație adecvată, iar toate aceste răspunsuri trebuie să fie autorizate în mod specific de către DPO.

    10. Reținerea și eliminarea datelor

    10.1 SOTER & PARTNERS nu va păstra datele cu caracter personal într-o formă care să permită identificarea persoanelor vizate pentru o perioadă mai lungă decât este necesar, în raport cu scopul (scopurile) pentru care datele au fost colectate inițial.

    10.2 SOTER & PARTNERS poate stoca date pentru perioade mai lungi în cazul în care datele cu caracter personal vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri științifice sau istorice de cercetare sau în scopuri statistice, sub rezerva punerii în aplicare a măsurilor tehnice și organizatorice adecvate pentru protejarea drepturilor și libertăților a persoanei vizate.

    10.3 Perioada de păstrare pentru fiecare categorie de date cu caracter personal va fi stabilită în Procedura de păstrare a înregistrărilor, împreună cu criteriile utilizate pentru stabilirea acestei perioade, inclusiv obligațiile legale ale SOTER & PARTNERS trebuie să păstreze datele.

    10.4 Procedurile SOTER & PARTNERS de păstrare şi eliminare a datelor (Procedura de eliminare a stocărilor) se vor aplica în toate cazurile.

    10.5 Datele cu caracter personal trebuie să fie şterse în siguranță, în conformitate cu al șaselea principiu al GDPR - procesarea într-un mod adecvat pentru a menține securitatea datelor, protejând astfel "drepturile și libertățile" persoanelor vizate. Orice eliminare a datelor se va face în conformitate cu procedura de ştergere în siguranţă.

    11. Transferurile de Date

    11.1 Toate exporturile de date din Spațiul Economic European (SEE) către țările din afara Spațiul Economic European (menționate în GDPR ca țări terțe) sunt ilegale, cu excepția cazului în care există un nivel adecvat de protecție a drepturilor fundamentale ale persoanele vizate .

    11.2 Transferul datelor cu caracter personal în afara SEE este interzis, cu excepția cazului în care se aplică una sau mai multe garanții sau excepții specificate:

    • 11.2.1 O decizie de conformitate Comisia Europeană poate și va evalua țările terțe, un teritoriu și/sau anumite sectoare din țările terțe pentru a evalua dacă există un nivel adecvat de protecție a drepturilor și libertăților persoanelor fizice. În aceste cazuri nu este necesară nicio autorizație. Țările care sunt membre ale Spațiului Economic European (SEE), dar nu și ale UE, sunt acceptate ca îndeplinind condițiile unei decizii de adecvare. O listă a țărilor care îndeplinesc în prezent cerințele de adecvare ale Comisiei este publicată în Jurnalul Oficial al Uniunii Europene.
      https://ec.europa.eu/info/law/law-topic/data-protection_en
    • 11.2.2 Scutul de confidențialitate
      Dacă SOTER & PARTNERS dorește să transfere date personale din UE unei organizații din Statele Unite, ar trebui să verifice dacă organizația este înscrisă în cadrul Privacy Shield la Departamentul de Comerț din S.U.A. Obligația aplicabilă societăților din cadrul protecției private este inclusă în Principiile de confidențialitate. US DOC este responsabil pentru gestionarea și administrarea Scutului de confidențialitate și asigurarea faptului că societăţile își respectă angajamentele. Pentru a putea certifica, companiile trebuie să aibă o politică de confidențialitate în conformitate cu principiile de confidențialitate, de ex. utilizați, stocați și transferați în continuare datele personale în conformitate cu un set serios de reguli și garanții de protecție a datelor. Protecția acordată datelor cu caracter personal se aplică indiferent dacă datele cu caracter personal au legătură cu un rezident al UE sau nu. Organizațiile trebuie să-și reînnoiască "statutul de membru" la Scutul de confidenţialitate în fiecare an. Dacă nu, ele nu mai pot primi și procesa datele cu caracter personal din UE în acest cadru.

    Evaluarea conformităţii de către operatorul de date
    La efectuarea unei evaluări a conformităţii, Operatorul-exportator din România ar trebui să țină seama de următorii factori:

    • natura informațiilor transferate;
    • țara sau teritoriul de origine și destinația finală a informațiilor;
    • modul în care informațiile vor fi utilizate și pentru cât timp;
    • legile și practicile țării cesionarului, inclusiv codurile de practică relevante și obligațiile internaționale

    12 Fluxul Datelor/ Inventarul Datelor

    12.1 SOTER & PARTNERS a stabilit un inventar de date și un proces de flux de date, ca parte a politicilor sale de abordare a riscurilor și oportunităților în cadrul proiectului său de conformitate cu GDPR. Datele inventariate și fluxul de date ale SOTER & PARTNERS determina :

    • activităţile care utilizează date cu caracter personal;
    • sursa datelor personale;
    • volumul persoanelor vizate;
    • descrierea fiecărui element de date cu caracter personal;
    • activitate de prelucrare;
    • gestionarea inventarul pe categoriile de date prelucrate;
    • identificarea scopul (scopurile) pentru care se utilizează fiecare categorie de date cu caracter personal;
    • destinatarii și potențialii beneficiari ai datelor cu caracter personal;
    • rolul SOTER & PARTNERS pe întregul flux de date;
    • sisteme și depozite;
    • transferurile de date;
    • toate cerințele de păstrare și eliminare.

    12.2 SOTER & PARTNERS este conștient de riscurile asociate procesării anumitor tipuri de date cu caracter personal.

    • 12.2.1 SOTER & PARTNERS evaluează nivelul de risc pentru persoanele asociate procesării datelor lor personale. Evaluările impactului privind protecția datelor (DPIA) (procedura DPIA) se efectuează în legătură cu prelucrarea datelor cu caracter personal în cadrul SOTER & PARTNERS și în legătură cu prelucrarea efectuată de alte organizații în numele SOTER & PARTNERS.
    • 12.2.2 SOTER & PARTNERS trebuie să gestioneze orice riscuri identificate prin procedura de evaluare a riscurilor pentru a reduce probabilitatea neconformității cu această politică.
    • 12.2.3 În cazul în care un tip de prelucrare, în special prin utilizarea noilor tehnologii și ținând seama de natura, scopul, contextul și scopurile prelucrării, poate conduce la un risc ridicat pentru drepturile și libertățile persoanelor fizice, inainte de prelucrare a datelor SOTER & PARTNERS trebuie să efectueze un DPIA a impactului operațiunilor de prelucrare preconizate asupra protecției datelor cu caracter personal. O evaluare a impactului (DPIA) poate implica un set de operații de procesare similare care prezintă riscuri similare.
    • 12.2.4 În cazul în care, ca urmare a unei DPIA, este clar că SOTER & PARTNERS este pe cale să înceapă prelucrarea datelor cu caracter personal care ar putea cauza daune și/sau prejudicii persoanelor vizate, decizia cu privire la prelucrare va fi trimisă spre avizare către către responsabilul cu protecția datelor.
    • 12.2.5 Consiliul de Protectie a Datelor trebuie să prezinte speta şi sa solicite decizia autorității de supraveghere, în cazul în care există motive serioase de îngrijorare cu privire la posibilele daune sau prejudicii sau la cantitatea de date în cauză.
    • 12.2.6 Se vor desfăşura controale adecvate pentru a reduce nivelul de risc asociat procesării datelor cu character personal la un nivel acceptabil, și cu respectarea cerinţelor GDPR.
    Aprobarea

    SOTER & PARTNERS este proprietarul acestui document și are responsabilitatea de a asigura că acest document este revizuit în conformitate cu cerințele de revizuire menționate mai sus.

    O versiune actuală a acestui document este disponibilă tuturor membrilor personalului de pe intranetul corporativ

    Această politică a fost modificata si aprobată de către Consiliul de Protectie a Datelor la data de 21.10.2019.