Politica datelor personale

www.psychometricsystems.com

  1. Scop, Obiect și Utilizatori

Psychometric Systems SA, denumită în cele ce urmează și “Societatea”, are ca prioritate respectarea legilor aplicabile și regulamentelor în materie de protecție a Datelor cu Caracter Personal în țările în care își desfășoară activitatea. Prezenta Politică reglementează principiile esențiale care stau la baza procesării de către Societate a datelor cu caracter personal ale consumatorilor, clienților, furnizorilor, partenerii de afaceri, angajaților și altor persoane și stabilește responsabilitățile departamentelor interne și ale angajaților în legătura cu prelucrarea datelor cu caracter personal.

Prezenta Politică se aplică Societății și subsidiarelor acesteia, deținute parțial sau integral de către Societate, care dezvoltă afaceri în Spațiul Economic European (“SEE”) sau care procesează date cu caracter personal ale persoanelor vizate din SEE.

  1. Definiții

Prezenta Politică are la bază Regulamentul nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date (“Regulamentul”) precum și oricare și toate legile aplicabile privind protecția datelor cu caracter personal. Definițiile termenilor folosiți în prezenta Politică au înțelesul redat în art. 4 din Regulament, după cum urmează:

  1. Datele cu caracter personal se referă la orice informație care face posibilă identificarea unei persoane fizice (“Persoană Vizată”) care reprezintă o persoană fizică identificată sau identificabilă. O persoană fizică „identificabilă” este o persoană care poate fi identificată, direct sau indirect, inclusiv prin referire la un număr de identificare sau la unul sau mai mulți factori caracteristici identității sale fizice, fiziologice, mentale, economice, culturale sau sociale.
  2. Date cu caracter personal sensibile se referă la acele date care prin natura lor sunt deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale și care necesită o protecție specific, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor și libertăților fundamentale. Aceste date cu caracter personal ar trebui să includă datele cu caracter personal care dezvăluie originea rasială sau etnică, opinii politice, credințe religioase sau filozofice, date genetice, date biometrice cu scopul de a identifica o persoană, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală.
  3. Operator – este persoana fizică sau juridică, autoritate publică, agenție sau alt organ care, singur sau cu ajutorul unor terțe părți, determină scopurile sau mijloacele prelucrarii de date personale.
  4. Persoană împuternicită de Operator – înseamnă orice persoană fizică sau juridică, autoritate publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele Operatorului.
  5. Prelucrarea – reprezintă a efectua orice operațiune sau set de operațiuni asupra Datelor cu caracter personal, cu sau fără mijloace automate, precum colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, recuperarea, consultarea, utilizarea, dezvăluirea (prin transmitere, difuzare sau punere la dispoziție în alt mod), alinierea sau combinarea, blocarea, ștergerea sau distrugerea.
  6. Anonimizarea – date cu caracter personal prelucrate astfel încât persoana vizată nu este sau nu mai este identificabilă.
  7. Pseudonimizarea – este prelucrarea datelor personale într-o asemenea manieră încât datele personale nu mai pot fi atribuite unei persoane vizate fără utilizarea unor informații adiționale, cu condiția ca aceste informații adiționale să fie stocate separat și să fie supuse unor măsuri tehnice și organizaționale care să asigure faptul că datele personale nu sunt atribuite unei persoane fizice identificate sau identificabile.
  8. Prelucrare transfrontalieră – fie prelucrarea datelor cu caracter personal care are loc în contextual activităților sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul UE, daca operatorul sau persoana împuternicită de operator are sedii în cel puțin doua state membre; sau prelucrarea datelor cu caracter personal care are loc în contextul activităților unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul UE, dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane vizate din cel puțin două state membre.
  9. Autoritate de supraveghere – înseamnă o autoritate publică independentă instituită de un stat membru în temeiul art. 51 din Regulament.
  10. Restricția prelucrarii – se referă la marcarea datelor personale prelucrate cu scopul de a limita prelucrarea lor în viitor,
  11. Crearea de profiluri – se referă la orice formă autorizată de prelucrare a datelor personale consistând în folosirea datelor personale pentru a evalua anumite aspecte personale caracteristice pentru o persoană fizică, în particular pentru a analiza sau a prezice aspecte referitoare la performanța la muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, locația sau deplasările unei persoane fizice.
  12. Destinatarul – este o persoană fizica sau juridica, autoritate publică, agenție sau alt organ, către care datele personale sunt dezvăluite, fie el o terță parte sau nu. Cu toate acestea, autoritățile publice care ar putea să primească datele personale în cadrul unei anchete particulare în concordanță cu legislația Uniunii sau a Statelor Membre nu vor fi văzute ca destinatari; prelucrarea acelor date de către autoritățile publice va fi în conformitate cu regulile aplicabile protecției datelor în concordanță cu scopurile prelucrarii.
  13. Terță parte – este o persoană fizica sau juridica, autoritate publică, agenție sau alt organ în afara persoanei vizate, operator, prelucrător și persoane care, sub autoritatea directă a operatorului sau a prelucrătorului, aunt autorizate să prelucreze date personale.
  14. Consimțământ – consimțământul persoanei vizate este orice indicație dată în mod liber, specifică, informată și clară pe care persoana vizată o oferă printr-o declarație sau printr-o acțiune afirmativă clară, semnificând acordul pentru prelucrarea datelor sale personale.
  1. Principiile de bază privind Prelucrarea Datelor cu Caracter Personal.

Principiile relative protecției datelor cu caracter personal reflectă responsabilitățile de bază ale organizațiilor care prelucrează asemenea date. Potrivit art. 5 (2) din Regulament Operatorul este responsabil pentru și va trebui să poată demonstra conformitatea cu aceste principii.

  • Legalitate, Echitate și Transparență.

Datele cu Caracter Personal trebuie să fie prelucrate în mod legal, echitabil și transparent față de persoana vizată.

  • Reducerea la minimum a datelor

Datele cu caracter personal sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.

  • Exactitate

Datele cu caracter personal sunt exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere.

  • Limitări legate de stocare.

Datele cu caracter personal sunt păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele.

  • Integritate și confidențialitate.

Datele cu caracter personal sunt prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.

  • Responsabilitate

Operatorul este responsabil de respectarea principiilor sus menționate și poate demonstra această respectare.

  1. Protejarea Datelor cu Caracter Personal în cadrul derulării activităților de afaceri

În vederea demonstrării conformității cu principiile sus menționate, o organizație trebuie să asigure protecția datelor cu caracter personal în cadrul activităților de derulare a afacerilor.

  • Notificări către Persoanele Vizate.

(a se vedea secțiunea privind Prelucrarea Echitabilă a Datelor cu Caracter Personal)

  • Consimțământul Persoanei Vizate și dreptul acesteia de a alege.

(a se vedea secțiunea privind Prelucrarea Echitabilă a Datelor cu Caracter Personal)

  • Colectarea Datelor cu Caracter Personal.

Societatea va depune toate eforturile pentru a colecta cât mai puține date cu caracter personal. În situația în care datele cu caracter personal sunt colectate de la o parte terță, Responsabilul cu Protecția Datelor se va asigura asupra faptului că datele cu caracter personal sunt colectate în conformitate cu dispozițiile legale aplicabile privind protecția datelor cu caracter personal.

  • Utilizare, Retenție și Ștergere

Scopurile, metodele, limitele stocării și perioada de retenție a datelor cu caracter personal trebuie să fie în concordanță cu informațiile menționate în Notificarea de Prelucrare a Datelor cu Caracter Personal. Societatea va menține acuratețea, integritatea, confidențialitatea și relevanța datelor cu caracter personal în conformitate cu scopul procesării acestora. Societatea va asigura existența unor mecanisme de securitate adecvate pentru protejarea datelor cu caracter personal pentru a preveni furtul, utilizarea necorespunzătoare sau abuzul datelor cu caracter personal și prevenirea încălcării măsurilor de securitate privind datele cu caracter personal. Responsabilul cu Protecția Datelor se obligă să asigure conformitatea cu cerințele menționate în prezentul articol.

  • Divulgarea către terțe părți.

De fiecare dată când Societatea utilizează terțe părți în calitate de furnizori sau parteneri de afaceri care procesează datele cu caracter personal în numele Societății, Responsabilul cu Protecția Datelor trebuie să se asigure că procesorul, furnizor sau partener de afaceri, va oferi măsuri de securitate adecvate riscurilor aferente astfel încât să asigure protecția datelor cu caracter personal.

Societatea se va sigura prin contractele încheiate cu furnizorul sau partenerul de afaceri asupra faptului că aceștia oferă același nivel de securitate privind datele cu caracter personal. Furnizorul sau partenerul de afaceri va procesa doar datele cu caracter personal doar în scopul îndeplinirii obligațiilor contractuale în relația cu Societatea sau la instrucțiunile scrise ale Societății și se va abține să le prelucreze pentru alte scopuri. Atunci când Societatea procesează date cu caracter personal în asociere cu o altă terță persoană independentă, Societatea va specifica în mod explicit prin contract sau orice alt act încheiat, responsabilitățile sale precum și ale terței părți.

  • Prelucrarea Transfrontalieră.

Înainte de a opera transferuri de date cu caracter personal în afara SEE se va asigura existența unor măsuri de securitate adecvate incluzând semnarea unui Contract privind Transferul Datelor cu Caracter Personal, în conformitate cu dispozițiile EU și, dacă se impune se va obține autorizația necesară de la Autoritatea privind Protecția Datelor. Entitatea importatoare a datelor cu caracter personal trebuie să asigure conformitatea cu privind prelucrarea datelor cu caracter personal.

  • Dreptul de Acces al Persoanelor Vizate.

Atunci când acționează în calitate de Operator, Responsabilul privind Protecția Datelor va asigura Persoanelor Vizate un mecanism de acces rezonabil astfel încât să ofere acestora posibilitatea de acces a datelor cu caracter personal, și trebuie să le ofere posibilitatea de a modifica, rectifica, șterge sau transfera datele cu caracter personal, dacă este cazul sau dacă este există o obligație legală în acest sens.

  • Portabilitatea Datelor cu Caracter Personal.

Persoanele Vizate au dreptul să primească gratuit, la cerere, o copie într-un format structurat a datelor cu caracter personal pe care le-au oferit Societății precum și să transmită această copie unui alt operator. Responsabilul privind Protecția Datelor se asigură asupra faptului că aceste cereri sunt procesate în termen de o lună, nu sunt excesive și că nu afectează drepturile relative datelor cu caracter personal ale altor persoane.

  • Dreptul de a fi uitat.

La cerere, Persoana Vizată are dreptul sa obțină de la Societate ștergerea datelor cu caracter personal care le aparțin. Atunci când Societatea acționează în calitate de Operator, Responsabilul cu Protecția Datelor va lua măsuri necesare (inclusiv măsuri tehnice) pentru a informa terțele părți care procesează acele date cu caracter personal să asigure conformitatea cu aceste cereri.

 

  1. Echitatea procesării.

Datele cu Caracter Personal vor fi procesate doar la autorizarea expresă a Responsabilului cu Protecția Datelor.

Societatea va decide dacă este necesar să se efectueze o evaluare de impact a datelor cu caracter personal.

  • Informarea Persoanei Vizate.

La momentul colectării sau inainte de colectarea datelor cu caracter personal pentru orice tip de procesare, incluzând dar fără a se limita la vînzarea de produse, servicii sau activități de marketing, Responsabilul cu Protecția Datelor se va asigura asupra faptului că persoanele vizate sunt informate corespunzător cu privire la: categoriile de date cu caracter personal colectate, scopurile procesării, metodele procesării, drepturile Persoanelor Vizate cu privire la datele lor cu caracter personal, perioada de retenție, posibilitatea tranferului international de date cu caracter personal, dacă datele cu caracter personal vor fi transmise și unor părți terțe precum și cu privire la  măsurile de securitate privind protecția datelor cu caracter personal ale Societății. Această informație este asigurată prin Notificarea de Prelucrare a Datelor cu Caracter Personal.

În situația în care datele cu caracter personal sunt transferate către o țară terță, Notificarea de Prelucrare a Datelor cu Caracter Personal trebuie să conțină această informație și trebuie să specifice în mod clar unde și către ce entitate sunt transmise datele cu caracter personal.

Acolo sunt colectate date cu caracter personal sensibile, Responsabilul cu Protecția Datelor se va asigura că Notificarea de Prelucrare a Datelor cu Caracter Personal stabilește în mod explicit scopul pentru care aceste date cu caracter personal sensibile sunt colectate.

  • Obținerea Consimțământului.

De fiecare data când procesarea datelor cu caracter personal este bazată pe consimțământul Persoanei Vizate, Responsabilul cu Protecția Datelor este obligat să mențină o evidență a acestor consimțăminte. Responsabilul cu Protecția Datelor este obligat să asigure Persoanei Vizate opțiuni privind acordarea consimțământului și trebuie să informeze și să se asigure că consimțământul acestora (ori de câte ori consimțământul este folosit ca temei legal pentru procesare) poate fi retras oricând.

Atunci când sunt primite cereri de corectare, amendare sau distrugere a datelor cu caracter personal, Responsabilul cu Protecția Datelor se va asigura că aceste cereri sunt prelucrate într-o perioadă rezonabilă de timp. Responsabilul cu Protecția Datelor va menține o evidență a acestor cereri înregistrate.

Datele cu Caracter Personal vor fi procesate doar în scopul pentru care au fost colectate initial. În cazul în care Societatea va dori să proceseze datele cu caracter personal colectate pentru alte scopuri, Societatea va solicita consimțământul Persoanelor Vizate, consimțământ care trebuie să fie explicit și scris. Orice astfel de consimțământ trebuie să conțină scopul initial pentru care datele cu caracter personal au fost colectate precum și noul scop sau scopurile adiționale. Solicitarea trebuie să conțină de asemenea rațiunea modificării scopului/scopurilor. Responsabilul cu Protecția Datelor este obligat să asigure conformitatea cu regulile prevăzute în acest paragraf.

Acum și în viitor, Responsabilul cu Protecția Datelor trebuie să se asigure că metodele de colectare a datelor cu caracter personal sunt conforme cu legislația aplicabilă, bunele practici și standardele industriei.

  1. Organizare și Responsabilități.

Responsabilitatea privind asigurarea unei prelucrări adecvate a datelor cu caracter personal este obligația oricărei persoane care lucrează pentru sau cu Societatea și care are acces la datele cu caracter personal prelucrate de Societate.

Domeniile cheie relative prelucrării datelor cu caracter personal dețin următoarele dețin în structură următoarele roluri:

Responsabilul cu Protecía Datelor este responsabil pentru administrarea programului privind protecția datelor cu caracter personal și este responsabil pentru dezvoltarea și promovarea politicilor relative protecției datelor cu caracter personal.

Consilierul Juridic / Avocatul împreună cu Responsabilul cu Protecția Datelor cu Caracter Personal, monitorizează și analizează legile relative protecției datelor cu caracter personal precum și orice modificări ale acestora, dezvoltă planuri de conformitate și asistă departamentele de afaceri în vederea atingerii obiectivelor privind datele cu caracter personal.

Managerul IT este responsabil pentru:

  • asigurarea faptului că toate sistemele, serviciile și echipamentele folosite pentru stocarea datelor cu caracter personal sunt conforme cu standarde adecvate aferente.
  • efectuează verificări și scanări periodice pentru a se asigura că securitatea hardware-ului și software-ului funcționează corect.

Directorul General este responsabil pentru:

  • aprobarea oricărei declarații privind protecția datelor cu caracter personal atașată comunicărilor de timp e-mail sau scrisori,
  • abordarea oricărei cereri privind protecția datelor cu caracter personal primite de la jurnaliști / ziariști,
  • acolo unde este cazul, colaborează cu Responsabilul cu Protecția Datelor pentru a se asigura că inițiativele de marketing respectă principiile privind protecția datelor cu caracter personal,
  • îmbunătățirea gradului de conștientizare a importanței datelor cu caracter personal ale Persoanelor Vizate,
  • organizarea de traininguri privind protecția datelor cu caracter personal pentru toți angajații care lucrează cu date cu caracter personal,
  • asigurarea protecției datelor cu caracter personal ale angajaților. Se va asigura asupra faptului că datele cu caracter personal ale angajaților sunt prelucrate în conformitate cu necesitatățile și interesele legitime rezultate din raporturile contractuale dintre părți.
  • transmiterea responsabilităților privind protecția datelor cu caracter personal către furnizori și îmbunătățirea gradului de conștientizare al aecstora precum și transmiterea cerințelor relative protecției datelor cu caracter personal către orice terță parte contractată de furnizor.

Ofițerul de Cercetare este responsabil pentru:

  • se asigură că mecanismele de confidențialitate prestabilite sunt utilizate în dezvoltarea soluțiilor,
  • se asigură că regulile de confidențialitate necesare și potrivite sunt funcționabile atunci când rezultatele scanărilor sunt stocate în cloud,
  • se asigură că sunt implementate măsuri de siguranță puternice în vederea evitării încălcării securității.
  1. Aspecte privind stabilirea Autorității de Supraveghere competente
    • Sediul principal al Societății este stabilit în București, România. În consecinta, fie că acționează în calitate de Operator sau în calitate de Împuternicit, Autoritatea de Supraveghere competentă este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Datele de contact sunt:

Autoritatea Națională de  Supraveghere a Prelucrării Datelor cu Caracter Personal

B-dul G-ral. Gheorghe Magheru 28-30
Sector 1, cod postal 010336
Bucuresti, Romania

anspdcp@dataprotection.ro

  1. Răspunsul pentru Incidentele de Securitate privind Protecția Datelor cu Caracter Personal

Atunci când Societatea află despre o încălcare a securității datelor cu caracter personal sau are suspiciuni rezonabile în privința unei asemenea încălcări, Responsabilul cu Protecția Datelor va efectua o investigație internă și va întreprinde măsuri de remediere adecvate în timp util. Atunci când există riscuri cu privire la drepturile și libertățile Persoanelor Vizate, Societatea va notifica autoritatea de supraveghere competentă fără întârziere și, atunci când este posibil, în termen de maximum 72 de ore.

  1. Audit și Responsabilitate

Responsabilul cu Protecția Datelor cu Caracter Personal  este obligat să auditeze gradul și modul de implementare a prezentei Politici. Orice angajat care încalcă această Politică va fi supus unor măsuri disciplinare precum și va putea fi responsabil pentru orice prejudicii de natură civilă sau penală dacă din conduita acestuia rezultă încălcarea legilor relative protecției datelor cu caracter personal sau Regulamentului.

  1. Conflictul de legi

Această Politică este destinată să fie conformă cu legile în materie de protecția datelor cu caracter personal de la locul unde Societatea are sediul său social precum și legile din acele țări unde Societatea își îndeplinește activitățile. În caz de orice conflict apărut între prevederile prezentei Politici și legislația în materie de protecție a datelor cu caracter personal vor prevala dispozițiile legislației privind protecția datelor cu caracter personal.