Documente Academic
Documente Profesional
Documente Cultură
1. DEFINIȚII
„date cu caracter personal” - orice informații privind o persoană fizică identificată sau
identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi
identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un
nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai
multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice,
culturale sau sociale;
„prelucrare” - înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu
caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de
mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea,
adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere,
diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea,
ștergerea sau distrugerea;
„operator” - înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism
care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu
caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul
Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi
prevăzute în dreptul Uniunii sau în dreptul intern;
„destinatar” - înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt
organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu
o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter
personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern
nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective
respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile
prelucrării;
„parte terță” - înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism
altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub
directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să
prelucreze date cu caracter personal;
„reprezentant” - înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris
de către operator sau persoana împuternicită de operator, care reprezintă operatorul sau persoana
împuternicită în ceea ce privește obligațiile lor respective care le revin în temeiul GDPR;
„DPO” - responsabil cu protecția datelor (în limba engleză, data protection officer);
„DPIA” - evaluarea impactului asupra protecției datelor (în limba engleză, data-protection
impact assessment, DPIA);
2.1. SCOPUL
2.1.1. Prezenta politică stabilește modalitatea prin care [denumire societate] transferă date cu
caracter personal, în conformitate cu Regulamentul. Toate operațiunile de transfer ce se supun
prezentei proceduri, se fac cu respectarea drepturilor și principiilor prevăzute de legislația în
vigoare. De asemenea, toate operațiunile de transfer se vor realiza având la bază un temei legal,
în mod echitabil și transparent. Este interzis transferul care nu are la bază un temei de prelucrare.
2.1.2. Toate dispozițiile din prezenta politică se aplică pentru a se asigura că nivelul de protecție
a persoanelor fizice garantat prin prezentul regulament nu este subminat.
2.1.3. Pentru orice neclarități cu privire la interpretarea și aplicarea prezentei proceduri se va
sesiza DPO [a se completa], dacă a fost numit sau reprezentantul legal.
2.2.1. Prezenta politică se aplică transferului date în interiorul societății [denumire societate],
precum și către alți destinatari pentru un scop stabilit sau expres prevăzut într-o dispoziție legală,
precum și atunci când prelucrarea este necesară în scopul intereselor legitime urmărite de
operator, destinatar sau de partea terță.
2.2.2. Prezenta politică se aplică și transferului de date ocazional sau ad-hoc, efectuat în baza
unei decizii de transfer între aceiași destinatari pentru un scop stabilit sau expres prevăzut într-o
dispoziție legală, precum și atunci când prelucrarea este necesară în scopul intereselor legitime
urmărite de operator, destinatar sau de partea terță.
2.2.3. Este interzis transferul către un destinatar dacă un teritoriu al acelui destinatar ori unul sau
mai multe sectoare specificate din acea țară terță sau organizația internațională în cauză nu
asigură un nivel de protecție adecvat al datelor cu caracter personal. Transferul de date este
permis și se poate realiza atunci când Comisia a decis că destinatarul operă un nivel de protecție
adecvat.
2.2.4. Prezenta politică nu aduce atingere celorlalte politici și proceduri interne ale [denumire
societate], care se vor respecta ca atare.
2.2.5. În situația în care există riscul apariției unui incident de securitate, se vor opri toate
transferurile de date și se va acționa în conformitate cu procedura privind raportarea și tratarea
incidentelor de securitate.
3.1. Dacă datele cu caracter personal deținute de [denumire societate] nu au fost furnizate de
către persoana vizată, se va informa persoana vizată despre intenția de a transfera date către
destinatari, împreună cu datele de contact ale DPO, scopul și temeiul prelucrărilor de date ale
[denumire societate], destinatarii sau categoriile de destinatari ai datelor cu caracter personal.
3.2. Informarea despre transferul de date va conține și garanțiile adecvate sau corespunzătoare și
mijloacele de a obține o copie a acestora, în cazul în care transferul se realizează în baza unor
garanții adecvate în lipsa unei decizii a Comisiei.
3.3. Se va informa persoana vizată și în cazul în care transferul se realizează în baza unei decizii
a Comisiei privind caracterul adecvat, cu indicarea acesteia.
3.4. În vederea analizării solicitărilor primite din partea persoanei vizate, persoana responsabilă
[a se completa] va obține informații de la toate departamentele de unde este necesar să se obțină
informații, în conformitate cu procedura de răspuns a persoanelor vizate.
4.2.1. În situația în care nu există un temei legal, contractual sau un interes legitim al [denumire
societate], transferul nu se va realiza decât în baza consimțământului persoanei vizate, obținut în
conformitate cu procedura de obținere revocare consimțământ.
4.2.2. Dacă transferul este necesar pentru executarea unui contract între societatea [denumire
societate] și persoana vizată, transferul se va realiza numai în condițiile GDPR și a legislației
aplicabile. Situația este similară și atunci când transferul este necesar pentru aplicarea unor
măsuri precontractuale adoptate la cererea persoanei vizate.
4.2.3. Atunci când transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în
instanță, datele se vor transfera până la soluționarea definitivă a litigiului.
4.2.4. Toate transferurile de date cu caracter personal în afara societății [denumire societate] se
vor trece în registrul activităților de prelucrare. Dacă transferul se realizează în baza unor garanții
adecvate se va anexa documentația care dovedește existența acelor garanții.
4.2.5. Toate datele cu caracter personal care fac obiectul transferului sau sunt destinate să facă
obiectul transferului se vor primi și se vor stoca în conformitate cu procedura de primire și de
stocare a documentelor care conțin date cu caracter personal.
4.2.6. Toate operațiunile de prelucrare care sunt necesare pentru pregătirea sau realizarea
transferului se vor face în conformitate cu procedurile aplicabile prelucrărilor de date cu caracter
personal, care reglementează prelucrările interne.
5.1. Toate transferurile de date către operatori împuterniciți ai [denumire societate] se vor realiza
în conformitate cu clauzele contractuale aplicabile între societatea [denumire societate] și
persoana împuternicită de operator.
5.3. DPO va face demersuri de a afla dacă persoana împuternicită de operator/operatorul asociat
respectă și se conformează prevederilor Regulamentului General privind Protecția Datelor. De
asemenea, DPO ar trebui să se asigure că există drepturi opozabile și căi de atac eficiente pentru
persoanele vizate.