Politica generală privind protecția și confidențialitatea datelor cu caracter personal
FFCR („Federația” sau „FFCR”) este Operator de date cu caracter personal și prelucrează date cu caracter personal în legătură cu clienții, furnizorii, angajați și alte persoane cu care federația a încheiat un contract sau cu care aceasta se află într-o legătură.
Această politică descrie modul în care datele cu caracter personal sunt colectate, utilizate și stocate pentru a fi în concordanță cu standardele federației și cu dispozițiile legale relevante privind protecția datelor cu caracter personal.
Această politică se aplică tuturor persoanelor care au acces la datele cu caracter personal deținute de federație precum și sistemelor, și proceselor care constituie infrastructura și suportul informatic al federației prin intermediul cărora sunt stocate și prelucrate datele cu caracter personal.
Această politică se aplică tuturor prelucrărilor de date cu caracter personal, indiferent dacă datele sunt stocate în format electronic, pe hârtie sau pe un alt tip de suport.
Scopul politicii
Această politică privitoare la protecția datelor a fost concepută și pusă în aplicare pentru a asigura:
- conformitatea cu legislația privind protecția datelor cu caracter personal și practicile performante la acest nivel;
- protecția drepturilor persoanelor vizate: de exemplu a partenerilor, donatorilor, beneficiarilor, angajaților Federației, membrilor Federației, voluntarilor, datele persoanelor înscrise la newslettere, datele participanților la evenimentele Federației, datele finanțatorilor instituționali sau asociativi sau reprezentanților celor menționați anteriori, reprezentanților fundațiilor comunitare sau ai altor organizații non-guvernamentale etc.;
- un mod eficient și sigur de stocare și prelucrare a datelor persoanelor fizice;
- protecția federației de posibilele riscuri referitoare la încălcarea securității datelor.
Obiectivele și sfera de aplicare a prezentei politici
Federația acordă o mare importanta protecției adecvate, siguranței și confidențialității tuturor datelor personale ale salariaților săi și ale celorlalte persoane ale căror date cu caracter personal le deține, precum datele partenerilor, donatorilor, beneficiarilor, angajaților Federației, membrilor Federației, voluntarilor, datele persoanelor înscrise la newslettere, datele participanților la evenimentele Federației, datele finanțatorilor instituționali sau asociativi sau reprezentanților celor menționați anteriori, reprezentanților fundațiilor comunitare sau ai altor organizații non-guvernamentale etc.
Prin urmare, Federația se angajează pe deplin sa respecte cerințele legislației privind protecția datelor aplicabile, respectiv ale Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 („GDPR”) transpus în legislația internă prin Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE și prin Legea nr. 102 din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Scopul prezentei Politici este să reliefeze practicile noastre generale privind procesarea informațiilor dvs. personale conform legii, în scopurile menționate mai jos, incluzând tipurile de informații pe care le colectăm, modul în care le folosim sa le protejăm și cum puteți corecta/interveni în acest proces
O mare parte din datele cu caracter personal pe care Federația le procesează au fost obținute în mod direct de la persoana vizată, există însă și date cu caracter personal obținute din surse externe.
În vederea protejării datelor colectate, Federația a pus în aplicare măsuri de securitate, astfel încât să fie evitată pe cât posibil o eventuală breșă de securitate. Măsurile aplicate sunt reevaluate periodic în vederea actualizării cu noile tehnologii.
Procedurile noastre cu privire la protecția datelor cu caracter personal, măsurile organizatorice și tehnice, sunt structurate în scopul de a asigura confidențialitatea și securitatea datelor cu caracter personal și a tuturor informațiilor aflate în grija noastră. Verificăm periodic caracterul adecvat al măsurilor implementate.
Totodată, ne angajăm să folosim toate măsurile tehnice și organizatorice care ne stau la dispoziție pentru a asigura securitatea datelor tale cu caracter personal, protejarea lor împotriva distrugerii, modificării, dezvăluirii sau accesului neautorizat asupra lor.
Sfera de aplicabilitate
Prezenta politică se aplică întregului personal al FFCR, tuturor contractanților, fundațiilor comunitare din cadrul Federației și altor persoane ce lucrează în numele FFCR.
Aceasta se aplica tuturor datelor pe care Federația le deține în legătură cu persoanele fizice și care pot duce la identificarea acestora.
Informațiile personale sunt colectate și utilizate în mod corect, stocate în siguranță. Folosirea în mod ilegal a datelor cu caracter personal deținute de FFCR nu este permisă, Federația sancționează orice încercare de utilizare ilegală a datelor cu caracter personal.
Definiții
Definițiile conceptelor pe care este fundamentată această politică sunt următoarele:
Date cu caracter personal | orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”) |
Persoana vizată | o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale |
Prelucrare | orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea |
Operator | persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern |
Persoană împuternicită de operator / Împuternicit | persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului |
Principii privind prelucrarea datelor cu caracter personal
Prelucrarea datelor personale se bazează, conform GDPR, pe o serie de principii fundamentale de prelucrare.
Datele personale sunt:
- prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”);
- colectate în scopuri determinate, explicite, legitime și relevante pentru îndeplinirea necesităților operaționale ale Federației și nu sunt prelucrate ulterior într-un mod incompatibil cu scopurile pentru care au fost obținute; prelucrarea datelor este strict limitată la ceea ce este absolut necesar pentru scopurile în care sunt prelucrate, în sensul că datele cu caracter personal sunt nu vor fi păstrate mai mult decât este necesar în ceea ce privește respectivul scop sau respectivele scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1) GDPR („limitări legate de scop”);
- adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”);
- exacte și corecte; în cazul în care este necesar să fie actualizate, trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”);
- păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute de GDPR în vederea garantării drepturilor și libertăților persoanei vizate („limitări legate de stocare”);
- prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”).
Drepturile persoanei vizate
Aceste drepturi constă în:
- dreptul la informare (art. 13 si 14 GDPR);
- dreptul de acces la datele sale personale (art. 15 GDPR);
- dreptul de rectificare a datelor incomplete, eronate sau care nu mai corespund realității (art. 16 GDPR);
- dreptul la ștergerea datelor (dreptul de a fi uitat) (art. 17 GDPR);
- dreptul la restricționarea prelucrării (art. 18 GDPR);
- dreptul la portabilitatea datelor (art. 20 GDPR);
- dreptul de a se opune prelucrării (art. 21 GDPR);
- dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri (art. 22 GDPR).
Ne puteți întreba ce informații avem despre dumneavoastră și ne puteți cere să le corectăm dacă sunt inexacte. Dacă v-am cerut consimțământul dvs. pentru a procesa datele personale, puteți retrage acest consimțământ în orice moment.
Dacă prelucrăm datele dvs. personale pentru a îndeplini un contract sau în temeiul consimțământului, puteți să ne cereți să vă oferim o copie a informațiilor într-un format care să poată fi citit, astfel încât să îl puteți transfera altui furnizor.
Dacă prelucrăm datele dvs. personale pe bază de consimțământ sau de interes legitim, puteți solicita ștergerea datelor dvs.
Aveți dreptul să ne cereți să nu mai folosim informațiile dvs. pentru o perioadă de timp dacă credeți că nu facem acest lucru în mod legal.
Pentru a trimite o solicitare privind datele dvs. personale prin e-mail, poștă sau telefon, utilizați informațiile de contact furnizate de noi pe acest site.
Temeiurile prelucrării
Există șase moduri alternative în care poate fi stabilită legalitatea unui caz specific de prelucrare a datelor cu caracter personal în cadrul GDPR.
Consimțământul (art. 6 alin. (1) lit. (a) din Regulament)
Cu excepția cazului în care consimțământul nu este necesar potrivit GDPR, Federația va obține întotdeauna acordul explicit din partea unei persoane vizate pentru colectarea și prelucrarea datelor. În cazul copiilor sub vârsta de 16 ani va fi obținut consimțământul părinților pentru orice prelucrare de date cu caracter personal.
Informații transmise despre prelucrarea datelor cu caracter personal vor fi furnizate persoanelor vizate în momentul obținerii consimțământului, când li se vor explica drepturilor acestora cu privire la datele lor, cum ar fi dreptul de retragere a consimțământului. În cazul în care datele cu caracter personal nu sunt obținute direct de la persoana vizată, aceste informații vor fi furnizate persoanei vizate într-o perioadă rezonabilă de timp după obținerea datelor.
Conform dispozitiilor art. 9 din Legea nr. 190/2018, prelucrarea datelor cu caracter personal și special este permisă federațiilor, în vederea realizării obiectivelor acestora, fără consimțământul expres al persoanei vizate, dar cu condiția instituirii unor garanții corespunzătoare: informarea persoanei vizate despre prelucrarea datelor cu caracter personal; garantarea transparenței informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate; garantarea dreptului de rectificare și ștergere. Dacă alegem să nu solicităm consimțământul dumneavoastră în baza dispozițiilor art. 9, vă vom informa cu privire la prelucrarea datelor cu caracter personal, garantându-vă în acest sens dreptul de rectificare și ștergere.
Încheierea sau executarea unui contract (art. 6 alin. (1) lit. (b) din Regulament)
În cazul în care datele cu caracter personal colectate și prelucrate sunt necesare pentru a încheia sau executa un contract cu persoana vizată, nu este necesar consimțământul explicit. Acesta va fi cazul în care contractul nu poate fi încheiat fără datele personale în cauză, de exemplu o livrare nu poate fi efectuată fără o adresă la care să se poată livra, o donație nu poate fi efectuată fără datele donatorului.
Obligația legală (art. 6 alin. (1) lit. (c) din Regulament)
În cazul în care datele cu caracter personal trebuie să fie colectate și prelucrate pentru a ne conforma unei obligații legale impuse de legislația românească sau europeană, nu este necesar consimțământul explicit.
Interesele vitale ale subiectului datelor (art. 6 alin. (1) lit. (d) din Regulament)
În cazul în care datele cu caracter personal sunt necesare pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice, atunci acesta poate fi utilizat ca temei legal al prelucrării. Federația va păstra dovezi rezonabile, documentate că prelucrarea este necesară, ori de câte ori acest motiv este utilizat ca bază legală pentru prelucrarea datelor cu caracter personal.
Activitatea desfășurată în interes public (art. 6 alin. (1) lit. (e) din Regulament)
În cazul în care Federația trebuie să îndeplinească o sarcină pe care o consideră a fi în interesul public sau ca parte a unei obligații oficiale, atunci nu va fi solicitat consimțământul persoanei vizate.
Interesul legitim (art. 6 alin. (1) lit. (f) din Regulament)
Dacă prelucrarea datelor cu caracter personal specific este în interesul legitim al Federației și este considerată că nu afectează în mod semnificativ drepturile și libertățile persoanei vizate, atunci aceasta poate fi definită ca fiind motivul legal al prelucrării. Din nou, raționamentul din spatele acestui punct de vedere va fi documentat.
Federația poate să se bazeze pe interesul legitim pentru a justifica prelucrarea datelor cu caracter personal în vederea determinării strategiei sale operaționale care să-i permită să hotărască asupra potențialilor beneficiari de servicii.
Scopurile în baza cărora procesăm/colectăm datele dvs. personale
Federația poate procesa/colecta datele personale ale partenerilor, donatorilor, beneficiarilor, angajaților Federației, membrilor Federației, voluntarilor, datele persoanelor înscrise la newslettere, datele participanților la evenimentele Federației, datele finanțatorilor instituționali sau asociativi sau reprezentanților celor menționați anteriori, reprezentanților fundațiilor comunitare sau a altor organizații non-guvernamentale etc., în următoarele scopuri:
- în scop financiar-contabil, în scopul desfăşurării relațiilor contractuale;
- în scopul păstrării detaliilor de contact ale partenerilor contractuali ai federației;
- în scopul desfășurării activității Federației, a atragerii de fonduri, de potențiali donatori/beneficiari;
- în scopul promovării activității Federației;
- în scopul atragerii derulării contractelor Federației etc.
Modul în care procesăm/colectăm datele dumneavoastră cu caracter personal
Federația colectează datele cu caracter personal ale persoanelor vizate din momentul intrării în incinta sediului, respectiv din momentul începerii relațiilor contractuale cu potențiali donatori/beneficiari sau cu reprezentanți ai fundațiilor sau altor organizații non-guvernamentale.
Tipurile de date cu caracter personal pe care le-am putea eventual colecta/procesa
Colectăm datele cu caracter personal ale partenerilor, donatorilor, beneficiarilor, angajaților Federației, membrilor Federației, voluntarilor, datele persoanelor înscrise la newslettere, datele participanților la evenimentele Federației, datele finanțatorilor instituționali sau asociativi sau reprezentanților celor menționați anteriori, reprezentanți ai fundațiilor comunitare sau ai altor organizații non-guvernamentale și persoanelor de contact de la nivelul acestora, datele de contact ale persoanelor cu care interacționăm și ale celor care acționează conform instrucțiunilor partenerilor noștri, și ale persoanelor care ne contactează în mod intempestiv, precum și ale persoanelor relevante care își fac publice datele cu caracter personal în mod manifest.
Deopotrivă, colectăm și păstrăm datele cu caracter personal ca parte a procedurilor de contractare a partenerilor noștri și de executare a contractelor. Este posibil ca, pentru anumite servicii sau activități, să colectăm și categorii speciale de date cu caracter personal, atunci când obținem consimțământul, în scris, prin mijloace informatice sau când el este făcut public în mod manifest, precum și atunci când legea ne obligă.
Datele colectate diferă de la caz la caz. Cel mult colectăm numele și prenumele persoanei vizate, funcția, numărul de telefon, fax, adresa de e-mail, adresa poștală și alte eventuale detalii de contact, care să ne ajute să ținem minte contextul interacțiunii cu noi, semnătura dacă este cazul, în vederea executării unui contract sau în vederea îndeplinirii unei obligații legale. Nu dorim să colectăm codul numeric personal, astfel încât facem acest lucru doar dacă legea ne obligă și întotdeauna cu măsuri de securitate adecvate. Dacă în mod incidental astfel de date ajung la cunoștința noastră, le ștergem imediat.
Stocarea datelor cu caracter personal
Datele personale sunt stocate intern, nu sunt folosite pentru a se lua vreo decizie automată în baza lor și vor fi păstrate atât timp cat sunt necesare pentru prelucrarea asumată, iar perioadele mai lungi de stocare a datelor personale sunt excepții asociate cu prevederile legale.
Păstrarea detaliilor de contact ale partenerilor contractuali ai Federației are loc pe durata contractuala si pe o durata de 7 ani de la data încetării contractelor.
Datele personale vor fi supuse masurilor adecvate tehnice si organizaționale necesare in mod rezonabil pentru protecția acestora împotriva distrugerii, pierderii, modificării, accesului sau altei procesări neautorizate sau accidentale.
Federația va întreprinde măsurile referitoare la siguranța procesării datelor și, în consecință, va stabili propria sa politică internă pentru siguranța procesării datelor cu caracter personal.
Dezvăluirea datelor cu caracter personal
În ceea ce privește dezvăluirea datelor personale ale partenerilor contractuali/reprezentanților partenerilor contractuali ai Federației, aceasta poate dezvălui datele personale ale persoanelor vizate către fundațiile comunitare din cadrul Federației.
În ceea ce privește pagina de Facebook a Federației, interacțiunea Federație-vizitatori pe platforma Facebook se supune termenilor și condițiilor Facebook.
Dreptul Dvs. ca persoana vizată de a face cereri și de a depune plângere
Dacă aveți o plângere cu privire la utilizarea de către dvs. a informațiilor dvs., am prefera să ne contactați mai întâi pe noi, pentru a putea remedia în mod amiabil cererea. În acest scop, pentru orice probleme, întrebări sau nemulțumiri referitoare la modul în care vă prelucrăm datele cu caracter personal ne puteți trimite un e-mail la adresa office@ffcr.ro.
Puteți de asemenea, să contactați Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru Informații prin intermediul site-ului lor la http://www.dataprotection.ro/ sau să le scrieți la adresa: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, cod poștal 010336, București, România
Cererile vor fi scutite de vreo taxă. Federația va da un răspuns în maxim o lună, iar în anumite cazuri excepționale în cel mult două luni de la primirea cererii.
Federația va verifica întotdeauna identitatea oricărei persoane. În vederea răspunderii la cereri și permiterea exercitării drepturilor, departamentul juridic sau consultanții juridici externi vor avea un cuvânt de spus cu privire la temeinicia cererii.
Federația respectă următoarele termene pentru răspunsul la cererile persoanelor vizate:
Solicitarea din partea persoanei vizate | Grafic de timp pentru răspuns din partea Federației |
Dreptul de a fi informat | Atunci când se colectează date (dacă acestea sunt furnizate de persoana vizată) sau în termen de o lună (dacă nu sunt furnizate de persoana vizată) |
Dreptul de acces | O lună |
Dreptul la rectificare | O lună |
Dreptul de ștergere | Fără întârzieri nejustificate |
Dreptul de a restricționa procesarea | Fără întârzieri nejustificate |
Dreptul la portabilitatea datelor | O lună |
Dreptul de a se opune prelucrării | La primirea obiecției |
Drepturi legate de procesul de luare a deciziilor și profilaxie automată. | Nespecificat |
Federația va răspunde petentului la cererea adresată conform termenelor indicate mai sus, calculate de la data înregistrării cererii. Acest termen poate fi prelungit motivat de către Federație, cu cel mult 15 zile calendaristice dacă Federația are de rezolvat mai multe cereri și/sau solicitarea este complexă.
Federația va transmite persoanei vizate răspunsul la cererea de mai sus prin scrisoare cu confirmare de primire la adresa indicată de persoana vizată sau prin e-mail.
Diverse
Federația verifică periodic dacă aceasta Politică este corectă, completă în ceea ce privește informația care trebuie acoperită, implementată complet și accesibil, în conformitate cu cerințele legislației aplicabile și cu principiile sale.
Vă încurajăm să formulați orice întrebări, comentarii cu privire la prezenta Politică și la procesarea datelor dvs. personale, inclusiv referitor la legea aplicabilă sau transferurile internaționale, contactând departamentul nostru local de Resurse Umane.