7.

POLITICĂ PRIVIND SCHIMBUL DE DATE CU CARACTER

PERSONAL

1. DEFINIȚII

„GDPR”, „Regulamentul” - Regulamentul (UE) 2016/679 al Parlamentului Eurpean și al

Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei
95/46/CE (Regulamentul general privind protecția datelor, în limba engleză General Data
Protection Regulation);

„date cu caracter personal” - orice informații privind o persoană fizică identificată sau
identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi
identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un
nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai
multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice,
culturale sau sociale;

„prelucrare” - înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu
caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de
mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea,
adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere,
diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea,
ștergerea sau distrugerea;

„operator” - înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism
care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu
caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul
Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi
prevăzute în dreptul Uniunii sau în dreptul intern;

„persoană împuternicită de operator” - înseamnă persoana fizică sau juridică, autoritatea

publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele
operatorului;

„destinatar” - înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt
organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu
o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter
personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern
nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective
respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile
prelucrării;

„parte terță” - înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism
altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub
directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să
prelucreze date cu caracter personal;

„consimțământ” - al persoanei vizate înseamnă orice manifestare de voință liberă, specifică,

informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație
sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;

„încălcarea securității datelor cu caracter personal” - înseamnă o încălcare a securității care

duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea
neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau
la accesul neautorizat la acestea;

„reprezentant” - înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris
de către operator sau persoana împuternicită de operator, care reprezintă operatorul sau persoana
împuternicită în ceea ce privește obligațiile lor respective care le revin în temeiul GDPR;

„reguli corporatiste obligatorii” - înseamnă politicile în materie de protecție a datelor cu

caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de
operator stabilită pe teritoriul unui stat membru, în ceea ce privește transferurile sau seturile de
transferuri de date cu caracter personal către un operator sau o persoană împuternicită de
operator în una sau mai multe țări terțe în cadrul unui grup de întreprinderi sau al unui grup de
întreprinderi implicate într-o activitate economică comună;

„autoritate de supraveghere” - înseamnă o autoritate publică independentă instituită de un stat

membru;

„DPO” - responsabil cu protecția datelor (în limba engleză, data protection officer);

„DPIA” - evaluarea impactului asupra protecției datelor (în limba engleză, data-protection
impact assessment, DPIA);

„Comisia” - Comisia Europeană, organul executiv al Uniunii Europene.

2. SCOPUL ȘI DOMENIUL DE APLICARE

2.1. SCOPUL

2.1.1. Prezenta politică stabilește modalitatea prin care [denumire societate] transferă date cu
caracter personal, în conformitate cu Regulamentul. Toate operațiunile de transfer ce se supun
prezentei proceduri, se fac cu respectarea drepturilor și principiilor prevăzute de legislația în
vigoare. De asemenea, toate operațiunile de transfer se vor realiza având la bază un temei legal,
în mod echitabil și transparent. Este interzis transferul care nu are la bază un temei de prelucrare.

2.1.2. Toate dispozițiile din prezenta politică se aplică pentru a se asigura că nivelul de protecție
a persoanelor fizice garantat prin prezentul regulament nu este subminat.
2.1.3. Pentru orice neclarități cu privire la interpretarea și aplicarea prezentei proceduri se va
sesiza DPO [a se completa], dacă a fost numit sau reprezentantul legal.

2.2. DOMENIUL DE APLICARE

2.2.1. Prezenta politică se aplică transferului date în interiorul societății [denumire societate],
precum și către alți destinatari pentru un scop stabilit sau expres prevăzut într-o dispoziție legală,
precum și atunci când prelucrarea este necesară în scopul intereselor legitime urmărite de
operator, destinatar sau de partea terță.

2.2.2. Prezenta politică se aplică și transferului de date ocazional sau ad-hoc, efectuat în baza
unei decizii de transfer între aceiași destinatari pentru un scop stabilit sau expres prevăzut într-o
dispoziție legală, precum și atunci când prelucrarea este necesară în scopul intereselor legitime
urmărite de operator, destinatar sau de partea terță.

2.2.3. Este interzis transferul către un destinatar dacă un teritoriu al acelui destinatar ori unul sau
mai multe sectoare specificate din acea țară terță sau organizația internațională în cauză nu
asigură un nivel de protecție adecvat al datelor cu caracter personal. Transferul de date este
permis și se poate realiza atunci când Comisia a decis că destinatarul operă un nivel de protecție
adecvat.

2.2.4. Prezenta politică nu aduce atingere celorlalte politici și proceduri interne ale [denumire
societate], care se vor respecta ca atare.

2.2.5. În situația în care există riscul apariției unui incident de securitate, se vor opri toate
transferurile de date și se va acționa în conformitate cu procedura privind raportarea și tratarea
incidentelor de securitate.

2.3. DOCUMENTE DE REFERINȚĂ

- GDPR
- Regulament intern [a se completa]
- Proceduri interne [a se completa]
- Politici interne [a se completa]

3. DREPTURILE PERSOANELOR VIZATE

3.1. Dacă datele cu caracter personal deținute de [denumire societate] nu au fost furnizate de
către persoana vizată, se va informa persoana vizată despre intenția de a transfera date către
destinatari, împreună cu datele de contact ale DPO, scopul și temeiul prelucrărilor de date ale
[denumire societate], destinatarii sau categoriile de destinatari ai datelor cu caracter personal.

3.2. Informarea despre transferul de date va conține și garanțiile adecvate sau corespunzătoare și
mijloacele de a obține o copie a acestora, în cazul în care transferul se realizează în baza unor
garanții adecvate în lipsa unei decizii a Comisiei.
3.3. Se va informa persoana vizată și în cazul în care transferul se realizează în baza unei decizii
a Comisiei privind caracterul adecvat, cu indicarea acesteia.

3.4. În vederea analizării solicitărilor primite din partea persoanei vizate, persoana responsabilă
[a se completa] va obține informații de la toate departamentele de unde este necesar să se obțină
informații, în conformitate cu procedura de răspuns a persoanelor vizate.

3.5. Toate documentele întocmite de [a se completa] cu privire la drepturile persoanelor vizate

pentru a fi transmise în exteriorul societății [a se completa] vor fi semnate de către [a se
completa].

4. REGULI PRIVIND TRANSFERUL DE DATE CU CARACTER PERSONAL

4.1. Transferul de date în interiorul organizației

În cadrul societății [denumire societate] nu se vor transmite pe suport informatic și nici pe un

altfel de suport date cu caracter personal către sisteme informatice care nu se află sub controlul
operatorului sau care sunt accesibile în afara operatorului, inclusiv, stick-uri USB, HDD, discuri
rigide, căsuțe de e-mail, foldere accesibile via FTP sau orice alt mijloc tehnic.

Transferul de date cu nerespectarea atribuțiilor de serviciu cu privire la utilizarea acestor date

este interzisă. Transferul se referă, dar nu exclusiv, la orice operațiune sau set de operațiuni
efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu
sau fără utilizarea de mijloace automatizate.

4.2. Transferul de date în afara organizației

4.2.1. În situația în care nu există un temei legal, contractual sau un interes legitim al [denumire
societate], transferul nu se va realiza decât în baza consimțământului persoanei vizate, obținut în
conformitate cu procedura de obținere revocare consimțământ.

4.2.2. Dacă transferul este necesar pentru executarea unui contract între societatea [denumire
societate] și persoana vizată, transferul se va realiza numai în condițiile GDPR și a legislației
aplicabile. Situația este similară și atunci când transferul este necesar pentru aplicarea unor
măsuri precontractuale adoptate la cererea persoanei vizate.

4.2.3. Atunci când transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în
instanță, datele se vor transfera până la soluționarea definitivă a litigiului.

4.2.4. Toate transferurile de date cu caracter personal în afara societății [denumire societate] se
vor trece în registrul activităților de prelucrare. Dacă transferul se realizează în baza unor garanții
adecvate se va anexa documentația care dovedește existența acelor garanții.

4.2.5. Toate datele cu caracter personal care fac obiectul transferului sau sunt destinate să facă
obiectul transferului se vor primi și se vor stoca în conformitate cu procedura de primire și de
stocare a documentelor care conțin date cu caracter personal.
4.2.6. Toate operațiunile de prelucrare care sunt necesare pentru pregătirea sau realizarea
transferului se vor face în conformitate cu procedurile aplicabile prelucrărilor de date cu caracter
personal, care reglementează prelucrările interne.

5. TRANSFERUL DE DATE CĂTRE PERSOANE ÎMPUTERNICITE SAU OPERATORI

ASOCIAȚI

5.1. Toate transferurile de date către operatori împuterniciți ai [denumire societate] se vor realiza
în conformitate cu clauzele contractuale aplicabile între societatea [denumire societate] și
persoana împuternicită de operator.

5.2. Persoana împuternicită de [denumire societate] nu va subcontracta cu o altă persoană, decât

cu acordul scris al [denumire societate]. Transferul de date cu caracter personal dintre persoana
împuternicită a [denumire societate] și un destinatar sau stat terț, se va realiza în conformitate cu
Regulamentul, dreptul intern și procedura transferului de date ale persoanei împuternicite.

5.3. DPO va face demersuri de a afla dacă persoana împuternicită de operator/operatorul asociat
respectă și se conformează prevederilor Regulamentului General privind Protecția Datelor. De
asemenea, DPO ar trebui să se asigure că există drepturi opozabile și căi de atac eficiente pentru
persoanele vizate.

5.4. În cazul unui incident de securitate al persoanei împuternicite, aceasta va sesiza [a se

completa], care va lua de îndată și cât mai repede cu putință măsuri în conformitate cu procedura
prind raportarea și tratarea incidentelor de securitate.