POLITICA DE PROTECȚIE

A DATELOR CU CARACTER PERSONAL

TIMES CONSULTING S.R.L. cunoaște importanța datelor dvs. și se angajează să protejeze confidențialitatea și securitatea acestora. De aceea, este important pentru noi să vă furnizăm informațiile legate de prelucrarea datelor dvs. cu caracter personal în calitate de persoane vizate (utilizatori ai website-ului www.timesconsulting.ro, clienți, potențiali clienți, angajați, potențiali angajați) în cadrul prezentei politici de prelucrare a datelor cu caracter personal, aplicabile pentru scopurile listate mai jos.

Această politică are aplicabilitate asupra tuturor dispozitivelor utilizate în scopul accesarii website-ului www.timesconsulting.ro.

În cazul în care nu sunteți de acord cu termenii și condițiile legate de utilizarea datelor cu caracter personal vă rugăm să nu utilizați site-ul www.timesconsulting.ro.

Prin continuarea utilizării site-ului ulterior parcurgerii acestei politici, rezultă că sunteți de acord cu această politică de prelucrare a datelor cu caracter personal.

Conform cerințelor Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date precum și a prevederilor stipulate în Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016, privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), TIMES CONSULTING S.R.L. administrează în condiții de siguranță și numai pentru scopurile specificate, datele cu caracter personal pe care ni le furnizați despre dumneavoastră, în contextul vizitării site-ului și achiziționării serviciilor oferite de TIMES CONSULTING S.R.L..

Orice informare sau solicitare privind aspecte în legătură cu responsabilitățile DPO, așa cum acestea sunt prevăzute în prezenta politică, se va efectua către DPO la adresa dpo@timesconsulting.ro.

CAPITOLUL I

SCOPUL POLITICII DE PROTECŢIE A DATELOR

Art. 1. Obiective generale

Obiectivul major al politicii de protecție a datelor cu caracter personal este de a asigura conformitatea cu legislația în domeniul protecției datelor cu caracter personal și de a minimiza riscurile prin prevenirea incidentelor de protecția datelor cu caracter personal și reducerea impactului lor potențial.

Politica de protecţie a datelor prevede condiţiile-cadru necesare asigurării nivelului adecvat de protecţie a datelor prevăzut de Regulamentului nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date.

TIMES CONSULTING S.R.L. se angajează să respecte legile naţionale si internationale privind protecţia datelor.

Această politică de protecţie a datelor se aplică în cadrul TIMES CONSULTING S.R.L. şi se bazează pe principii acceptate la nivel european şi global privind protecţia datelor.

Obiectivele generale privind protecția datelor cu caracter personal sunt:

• creșterea competitivității serviciilor prin utilizarea de tehnologii și echipamente
• performante pentru activitatea privind protecția datelor cu caracter personal;
• dezvoltarea competențelor profesionale ale angajaților privind protecția datelor cu caracter
• personal;
• identificarea, analizarea și evaluarea realistă a riscurilor privind datele cu caracter
• personal;
• reducerea impactului negativ al unor potențiale riscuri privind protecția datelor cu
• caracter personal asupra activității companiei;
• asigurarea demonstrării responsabilității societății privind protecția datelor cu caracter
• personal, in special in ceea ce privește implementarea masurilor tehnice si organizatorice adecvate pentru a demonstra conformitatea cu GDPR;
• îndeplinirea integrală a cerințelor privind protecția datelor cu caracter personal aplicabile
• solicitate de parteneri;
• creșterea gradului de conștientizare a importanței protecției datelor cu caracter personal în rândul angajaților;

• asigurarea de planuri și resurse pentru supraviețuirea și revenirea în cazul unor situații de urgență;
• asigurarea unor canale eficiente de notificare ANSPDCP si persoanele vizate privind incidente de securitate în domeniul protecției datelor.

Art. 2. Obiective specifice

Politica de protecție a datelor cu caracter personal are ca scop stabilirea cadrului  de reglementare internă care implică prelucrări de date cu caracter personal, precum și asigurarea conformității cu normele și regulamentele în vigoare aplicabile.

Acestea sunt obligatorii pentru toți angajații TIMES CONSULTING S.R.L.

În acest sens, în activitatea de prelucrare a datelor cu caracter personal ale persoanelor vizate, TIMES CONSULTING S.R.L. asigură:

• prelucrarea datelor cu caracter personal ale persoanelor vizate ale căror date sunt colectate de către societate și ale angajaților săi, în conformitate cu prevederile legale;
• respectarea principiilor de protecție a datelor în activitățile operaționale ale societății;
• transparența în legătură cu categoriile de date cu caracter personal prelucrate în cadrul societății, precum și în legătură cu scopurile prelucrărilor, destinatarii datelor cu caracter personal;
• drepturile persoanelor vizate – dreptul la informare, dreptul de acces, dreptul la rectificare,

dreptul la ștergerea datelor, dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul la opoziție, dreptul de a nu face obiectul unei decizii individuale bazate exclusiv pe prelucrare automată, dreptul de a depune plângere la autoritatea de supraveghere și dreptul de a se adresa justiției;

• implementarea unor măsuri tehnice și organizatorice adecvate pentru garantarea drepturilor și libertăților persoanelor fizice.

Persoana responsabilă din cadrul societății cu gestionarea guvernanței și exercitarea controlului asupra activității de prelucrare a datelor cu caracter personal este ofițerul pentru protecția datelor (DPO).

În acest sens, perimetrul de responsabilități al DPO este stabilit in Regulamentul de Organizare și Funcționare. 

Orice informare sau solicitare privind aspecte în legătură cu responsabilitățile DPO, așa cum acestea sunt prevăzute în prezenta politică, se va efectua către DPO la adresa dpo@timesconsulting.ro.

CAPITOLUL II

DOMENIUL DE APLICARE ŞI MODIFICAREA POLITICII

Prezenta politică de protecţie a datelor personale se aplică companiei TIMES CONSULTING S.R.L. şi angajatilor acesteia.

Politica privind protecţia datelor se extinde peste toate prelucrările de date cu caracter personal.

Datele anonimizate, acolo unde există, utilizate de ex. pentru evaluări statistice sau alte studii, nu sunt supuse acestei politici de protecţie a datelor.

Politica este revizuită anual, iar cea mai recentă versiune aprobată de directorul general va fi imediat disponibilă, atat angajaților cât și clienților și partenerilor de afaceri.

Respectarea prevederilor prezentei politici este obligatorie pentru întreg personalul TIMES CONSULTING S.R.L.

CAPITOLUL III

DEFINIŢII

• Datele cu caracter personal(Date) – orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizată); o persoană fizică identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire la un identificator cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau unul sau mai mulți factori specifici fizic, fiziologic, genetic, mental, economic, cultural sau social al acelei persoane fizice. 
• Categorii speciale de date cu caracter personal – orice informație care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, date genetice, date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.
• Prelucrarea datelor cu caracter personal (Prelucrare) -orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.
• Sistem de evidență a datelor cu caracter personal – orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice.
• Datele sunt anonime dacă identitatea personală nu poate fi niciodată urmărită de nimeni sau dacă identitatea personală ar putea fi recreată doar cu un timp, cheltuieli şi muncă nerezonabile.
• Consimțământ – orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.
• Consimţământul este acordul voluntar, exprimat în mod expres şi neechivoc, obligatoriu din

punct de vedere juridic pentru prelucrarea datelor.

• Incidentele de protecţie a datelor sunt orice evenimente în care există suspiciuni justificate

că datele cu caracter personal sunt capturate, colectate, modificate, copiate, transmise sau utilizate ilegal. Aceasta se referă la acţiunile unor terţi sau angajaţi.

• Persoana vizată –o persoană fizică identificabilă care poate fi identificată, direct sau indirect,

în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. 

• Persoana vizată în cadrul acestei politici de protecţie a datelor este orice persoană fizică ale cărei date pot fi prelucrate.

În cadrul TIMES CONSULTING S.R.L. se pot prelucra următoarele categorii de date:

• Clienți/ potențiali clienți/ altele (foști clienți/ terți păgubiți etc.) – pentru datele prelucrate în scopul prestării serviciilor de contabilitate sau de gestionare a procesului de resurse umane;
• Angajați și colaboratori (inclusiv persoanele fizice care desfășoară activități în cadrul TIMES CONSULTING S.R.L. în temeiul Codului Muncii)/ membrii familiilor acestora – pentru datele prelucrate în scopuri de resurse umane;
• Vizitatori/angajați – pentru datele prelucrate în scopul monitorizării/ asigurării securității persoanelor, spațiilor și/ sau bunurilor publice/ private;
• Persoanele fizice, reprezentanți ai persoanelor juridice cu care TIMES CONSULTING S.R.L. intră în contact în calitate de Clienți.

• Ţările terţe în cadrul politicii de protecţie a datelor personale sunt toate naţiunile din afara Uniunii Europene /SEE. Aceasta nu include ţările cu un nivel de protecţie a datelor considerat suficient de Comisia Europeană.
• Parte Terță– o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.
• Transmiterea este o divulgare a datelor personale protejate de către entitatea responsabilă către terţi.
• Responsabilul cu protecția datelor personale (DPO) este proprietarul acestui document şi este desemnat pentru revizia acestei politici în conformitate cu cerinţele interne.

CAPITOLUL IV

DOCUMENTE DE REFERINŢĂ

Art. 1. Legislația principală

• Legea 53/2003 – Codul Muncii;
• Legea 31/ 1990 privind societățile comerciale;
• Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE;
• Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice;

Art. 2. Legislația secundară

• decizii ANSPDCP.

CAPITOLUL V

PRINCIPII PENTRU PRELUCRAREA DATELOR PERSONALE

Art. 1. Corectitudinea şi legalitatea

La prelucrarea datelor cu caracter personal, drepturile individuale ale persoanelor vizate trebuie protejate. Datele personale trebuie colectate şi prelucrate în mod legal şi corect.

Datele dvs. personale:

• vor fi procesate în mod legal, echitabil și corect față de dvs.;
• vor fi obținute numai în scopurile determinate, legitime, specificate și relevante pentru îndeplinirea necesităților operaționale și nu vor fi procesate în continuare de nicio manieră incompatibilă cu respectivul scop sau respectivele scopuri.

Art. 2. Restricţie la un anumit scop

Datele personale pot fi prelucrate numai în scopul definit înainte de colectarea datelor si comunicat persoanei vizate. Modificările ulterioare ale scopului sunt posibile doar într-o măsură limitată şi necesită o fundamentare solidă.

Art. 3. Transparenţa procesării datelor

Persoana vizată trebuie informată cu privire la modul în care sunt tratate datele sale. În general, datele cu caracter personal trebuie colectate direct de la persoana în cauză.

Atunci când datele sunt colectate, persoana vizată trebuie sau să ştie deja, sau să fie informată despre:

• identitatea controlorului de date (compania care colectează datele);
• scopul prelucrării datelor;
• terţe părţi sau categorii de părţi terţe cărora le-ar putea fi transmise datele.

Datele dvs. personale vor fi procesate într-o manieră transparentă.

Art. 4.  Reducerea datelor şi minimizarea datelor

Înainte de a procesa date personale, operatorul va determina dacă şi în ce măsură prelucrarea datelor cu caracter personal este necesară pentru atingerea scopului pentru care este efectuată.

Acolo unde scopul permite şi unde cheltuielile implicate sunt proporţionale cu obiectivul, trebuie folosite date anonime.

Datele personale nu pot fi colectate în avans şi stocate în scopuri potenţiale viitoare, cu excepţia cazului în care acest lucru este impus sau permis de legislaţia naţională.

Datele dvs. personale:

• vor fi corespunzătoare, relevante și nu vor fi procesate în exces raportat la scopul sau scopurile pentru care sunt procesate;
• nu vor fi păstrate mai mult decât este necesar în ceea ce privește respectivul scop sau respectivele scopuri;
• sunt relevante și strict limitate la ceea ce este absolut necesar pentru scopurile în care sunt prelucrate.

Art. 5. Limitarea stocării datelor – ștergerea

Datele personale care nu mai sunt necesare după expirarea procesului legal sau de afaceri trebuie şterse.

Pot exista situaţii în care interesele legale obligă la păstrarea acestor date pe termene predefinite. În acest caz, datele trebuie să rămână în dosare până la expirarea obligaţiilor legale.

Datele personale vor fi păstrate fix atata timp cat sunt necesare pentru prelucrarea asumată, iar perioadele mai lungi de stocare a datelor personale sunt excepții asociate cu prevederile legale, astfel:

Datele clienților, partenerilor de afaceri și ale reprezentanților/angajaților acestora:

• pentru scopul Monitorizare CCTV – 30 de zile de la data înregistrării;
• în scop financiar-contabil, în scopul desfășurării relațiilor contractuale – pe durata contractuală, pe o durată de 10 ani după înregistrarea în contabilitate;
• în scopul păstrării detaliilor de contact ale partenerilor contractuali ai societății pe durata contractuală, pe o durată de 3 ani de la data încetării contractelor.

Datele angajaților:

• pentru scopul de Resurse Umane în scopul de ținere a REVISAL pe o perioadă de 75 de ani și în scopul derulării contractului pe durata angajării și pe o perioadă de maxim 5 ani după încetarea relațiilor de muncă;
• pentru scopul de Resurse Umane privind monitorizarea angajaților în vederea păstrării evidenței orelor de muncă pe o perioadă de maxim 2 ani în mediul electronic, ulterior se păstrează ca pontaje scrise pe durata angajării și pe o perioadă ulterioară de 50 de ani;
• pentru scopul de Resurse Umane si Financiar, pe durata angajării și pe o perioadă de 10 ani, în cazul ștatelor de plată pe durata angajării și pe o perioadă ulterioară de 50 de ani în cazul evaluărilor performanței pe durata contractuală.
• Resurse Umane – pe durata angajării și pe o perioadă de maxim 5 ani după încetarea relațiilor de muncă;
• Resurse Umane în vederea de achiziții de servicii în legătură cu prestarea muncii de către angajați și obtinerea de vize pentru angajați – pe durata angajării;
• Resurse Umane în legătură cu prestarea de către Operator de servicii către clienți – pe durata contractului;
• IT – back-up de server, arhivarea email-urilor la plecarea unui angajat – 5 ani după plecarea angajatului;
• derularea relațiilor contractuale de afaceri – pe durata contractului de muncă/colaborare/mandatului de reprezentare;
• datele candidatilor – 5 ani în cazul candidaților aflați în procesul de recrutare și selecție;
• datele aparținătorilor angajaților – pe durata contractului de muncă al angajatului;
• datele vizitatorilor: 30 de zile de la data înregistrării;
• datele minorilor – pentru asigurarea unui mediu sănătos pentru şi pentru managementul riscurilor pentru sănătatea colectivităţii – pentru o perioadă de timp conform cerințelor legale sau 1 an.

Art. 6. Exactitatea si actualitatea datelor

Datele personale colectate trebuie să fie corecte, complete şi, dacă este necesar, să fie actualizate.

Operatorul va lua măsuri permanent pentru a se asigura că datele inexacte sau incomplete sunt şterse, corectate, suplimentate sau actualizate.

Art. 7. Integritatea, confidenţialitatea şi securitatea datelor

În cadrul TIMES CONSULTING S.R.L. datele personale sunt considerate informaţii confidenţiale şi sunt protejate prin măsuri organizatorice şi tehnice adecvate pentru a preveni accesul neautorizat, prelucrarea sau distribuirea ilegală, precum şi pierderea accidentală, modificarea sau distrugerea lor.

TIMES CONSULTING S.R.L. se va asigura că Politica privind Măsurile De Securitate referitoare la Procesarea Datelor Personale va fi implementată la nivelul organizației.

CAPITOLUL VI

FIABILITATEA PROCESĂRII DATELOR

Colectarea, prelucrarea şi utilizarea datelor cu caracter personal este permisă în baza următoarelor temeiuri juridice necesare, de asemenea, în cazul în care scopul colectării, prelucrării şi utilizării datelor cu caracter personal trebuie să fie modificat fata de scopul iniţial.

Art. 1. Date personale ale clienţilor, partenerilor de afaceri și ale reprezentanților/angajaților acestora

Datele personale ale potenţialilor clienţi, clienţi existenți, partenerilor de afaceri și ale reprezentanților/angajaților acestora pot fi procesate/colectate în următoarele scopuri:

• pentru scopul Monitorizare CCTV;
• în scop financiar-contabil, în scopul desfășurării relațiilor contractuale;
• în scopul păstrării detaliilor de contact ale partenerilor contractuali ai societății.

Pentru scopurile menționate mai sus, TIMES CONSULTING S.R.L. colectează și/sau procesează următoarele categorii de date cu privire la clienții, partenerilor de afaceri si ale reprezentanților/angajatilor acestora:

• imagine, voce pentru scopul Monitorizare CCTV (monitorizarea securității persoanelor, spațiilor și bunurilor private) în temeiul Art. 6 (1) (f) al GDPR, respectiv prelucrarea este necesară în scopul intereselor legitime ale operatorului;
• numele, prenume, telefon, fax, adresă de e-mail, adresă, semnătură, pentru scopul Financiar-contabil, în scopul desfășurării relațiilor contractuale în temeiul Art. 6 (1) (c) din GDPR – prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului (păstrarea evidențelor contabile), și Art. 6 (1) (f) – prelucrarea este necesară în scopul intereselor legitime urmărite de operator;
• nume, prenume, telefon, fax, e-mail, adresă, semnătură în scopul de păstrare a detaliilor de contact ale partenerilor contractuali ai societății, în temeiul Art. 6 (1) (f) – prelucrarea este necesară în scopul intereselor legitime urmărite de operator;

De regulă, datele dvs. personale vor fi furnizate direct de dvs. sau de reprezentanții persoanei juridice cu care dvs. aveți relații de muncă/colaborare.

În cazul în care furnizați datele cu caracter personal ale angajaților/reprezentanților dvs. către TIMES CONSULTING S.R.L., asigurați-vă că îi informați corespunzător cu privire la această Politică.

Art. 1.1 Prelucrarea datelor pentru o relaţie contractuală

Datele personale ale potenţialilor clienţi, clienţi existenți şi parteneri pot fi procesate în scopul de a încheia, de a executa şi de a finaliza un contract. Aceasta include, de asemenea, servicii de consultanţă pentru partener în cazul în care acest lucru are legătură cu scopul contractual.

Anterior unui contract, în timpul fazei de iniţiere a acestuia – datele cu caracter personal pot fi procesate pentru a pregăti oferte sau alte documente care să îndeplinească diferite solicitări ale perspectivei legate de încheierea contractului. Persoanele pot fi contactate în timpul procesului de pregătire a contractului folosind informaţiile personale pe care acestea le-au furnizat. Orice restricţii solicitate de potenţialii clienti trebuie să fie respectate.

Art. 1.2 Prelucrarea datelor în scop publicitar

Dacă persoana vizată contactează TIMES CONSULTING S.R.L. pentru a solicita informaţii (de ex. să primească materiale informative despre un serviciu sau produs), prelucrarea datelor pentru a răspunde acestei solicitări este permisă.

Acţiunile de publicitate fac obiectul unor cerinţe legale suplimentare. Datele personale pot fi prelucrate în scopuri publicitare, de cercetare a pieţei şi a opiniei publice, cu condiţia ca această prelucrare să se realizeze în concordanţă cu scopul pentru care datele au fost colectate iniţial.

Subiectul (persoana vizată) deţinător al datelor trebuie informat cu privire la utilizarea datelor sale în scopuri publicitare. Dacă datele sunt colectate numai în scopuri publicitare, divulgarea de la persoana vizată este voluntară. Persoana vizată trebuie informată că furnizarea datelor personale pentru prelucrarea în scopuri publicitare este voluntară şi că trebuie să se obţină un consimţământ din partea persoanei vizate pentru a procesa datele respective în scopuri publicitare.

Atunci când se acordă consimţământul, persoana vizată ar trebui să aibă posibilitatea de a alege între formele disponibile, cum ar fi formulare predefinite tipărite, transmiterea consimţământului prin e-mail şi prin telefon (Consimţământul, vezi capitolul IV Art. 1.3).

Dacă persoana vizată refuză utilizarea datelor sale în scopuri publicitare, datele acesteia nu mai pot fi utilizate în aceste scopuri şi trebuie să fie blocate pentru utilizarea în aceste scopuri.

Art. 1.3 Consimţământul pentru prelucrarea datelor

Datele pot fi procesate conform consimţământului persoanei vizate. Înainte de a-şi da consimţământul, persoana vizată trebuie să fie informată despre această politică de protecţie a datelor.

Declaraţia de aprobare – consimţământul trebuie obţinut în scris sau în format electronic şi păstrat în scopul documentării.

În anumite circumstanţe, cum ar fi conversaţiile telefonice, consimţământul poate fi dat verbal. Acordarea consimţământului trebuie să fie documentată.

Dacă persoanele vizate au acordat consimțământul pentru prelucrarea datelor personale, acestea au dreptul de a retrage acest consimțământ în orice moment, ceea ce nu va afecta legalitatea prelucrării înainte de retragere.

Art. 1.4 Prelucrarea datelor în baza unui interes legitim

Datele personale pot fi, de asemenea, prelucrate în baza unui interes legitim al companiei. Interesele legitime sunt, în general, de natură juridică (de exemplu, colectarea creanţelor neachitate) sau de natură comercială (de exemplu, evitarea încălcărilor contractului).

Datele personale nu pot fi procesate în scopul unui interes legitim dacă, în cazuri individuale, există dovezi că interesele persoanei vizate necesită protecţie şi că aceasta are prioritate. Înainte de procesarea datelor, este necesar să se determine dacă există o astfel de situaţie.

Art. 1.5 Prelucrarea datelor sensibile

Datele cu caracter personal foarte sensibile pot fi procesate numai dacă legea impune acest lucru sau persoana vizată şi-a dat acordul expres.

Aceste date pot fi, de asemenea, prelucrate numai dacă este obligatoriu pentru îndeplinirea, exercitarea sau apărarea revendicărilor legale referitoare la persoana vizată.

Dacă există intenţia de a procesa datele sensibile, responsabilul pentru protecţia datelor cu caracter personal trebuie informat în prealabil.

Art. 1.6 Decizii individuale automate

Prelucrarea automată a datelor cu caracter personal, care este utilizată pentru a evalua anumite aspecte, nu poate fi singura bază pentru deciziile care au consecinţe juridice negative sau care ar putea afecta în mod semnificativ persoana vizată.

Persoana vizată trebuie informată cu privire la faptele şi rezultatele deciziilor individuale automatizate şi are posibilitatea de a răspunde. Pentru a evita deciziile eronate, un test şi o verificare a plauzibilităţii trebuie făcute de către un angajat.

Art. 1.7 Date utilizator şi internet

Dacă datele cu caracter personal sunt colectate, prelucrate şi utilizate pe site-uri web sau în aplicaţii, persoanele vizate trebuie să fie informate despre acest lucru într-o Notă de informare şi, dacă este cazul, informaţii despre cookie-uri.

Nota de informare şi orice informaţii despre cookies trebuie integrate astfel încât să fie uşor de identificat, direct accesibile şi disponibile în mod constant pentru persoanele vizate.

Dacă sunt create profiluri de utilizare (urmărire) pentru a evalua utilizarea site-urilor web şi a aplicaţiilor, persoanele vizate trebuie să fie întotdeauna informate în mod corespunzător în nota de informare.

În cazul în care site-urile sau aplicaţiile pot accesa date cu caracter personal într-o zonă limitată la utilizatorii înregistraţi, identificarea şi autentificarea persoanei vizate trebuie să ofere protecţie suficientă în timpul accesului.

Art. 2. Datele angajatului

Datele personale ale potențialilor angajați, precum și ale angajaților pot fi procesate/colectate în următoarele scopuri:

• Resurse Umane;
• Resurse Umane și Financiar.

Pentru scopurile menționate mai sus, TIMES CONSULTING S.R.L. colectează și/sau procesează următoarele categorii de date cu privire la angajații săi și/sau cu privire la angajații clienților săi:

• nume, prenume, CNP, copie carte de identitate, copie pașaport, date din actele de stare civilă, adresă, semnătură, cetățenie, țara de proveniență, profesie, funcție ocupată, data încheierii contractului individual de muncă și data începerii activității, durata contractului de muncă, durata timpului, salariu de bază, indemnizații, sporuri, informații privind detașarea angajatului, acte de studii/certificate de calificare, date privind sancțiunile disciplinare pentru scopul Resurse Umane în temeiul Art. 6 (1) (c) din GDPR – prelucrarea este necesară în vederea îndeplinirii unei obligații legale ce îi revine Operatorului, în baza Hotărârii 905 din 2017 privind Registrul General de evidență a salariaților și Art. 6 (1) (b) – prelucrarea este necesară pentru executarea unui contract, respectiv contractul de muncă;
• imaginea, sexul, data și locul nașterii, date din permisul de conducere, nr. dosarului de pensie, telefon, fax, adresă, e-mail, situație familială, detalii privind membrii familiei, date privind sancțiunile contravenționale, date privind cazierul judiciar doar în cazurile expres prevăzute de lege, datele din CV, date privind experiența anterioară în muncă, numerele de înmatriculare ale mașinilor angajaților, numărul interiorului angajatului pentru scopul Resurse Umane în temeiul Art. 6 (1) (b) din GDPR – prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte și Art.6 (1) (f) – în scopul intereselor legitime urmărite de operator;
• nume și prenume, număr marcă (contract) informații privind intervalul orar în care s-a efectuat accesul în și ieșirea din clădirea în care Operatorul își are sediul și în care angajații își desfășoară activitatea, pentru scopul Resurse Umane privind monitorizarea angajaților în vederea păstrării evidenței orelor de muncă, în temeiul Art. 6 (1) (c) din GDPR – prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
• nume si prenume, CNP, date bancare, ștate de plată, pontaje, date din evaluările performanței pentru scopul Resurse Umane și Financiar, în temeiul Art. 6 (1) (b) din GDPR – prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte, respectiv pentru efectuarea plăților salariilor;
• date privind starea de sănătate, concedii medicale, fișe de aptitudini, control de medicina muncii, test psihologic, control anual, pentru scopul Resurse Umane în temeiul Art. 9 (2) (b) din GDPR – prelucrarea este necesară în scopul îndeplinirii obligațiilor operatorului și al exercitării unor drepturi ale persoanei vizate în domeniul securității sociale și protecției sociale și Art. 9 (2) (h) – prelucrarea este necesară în scopuri legate de medicina muncii, evaluarea capacității de muncă a angajatului;
• nume si prenume, CNP, serie și număr CI, serie și număr pașaport, permis de conducere, adresă, e-mail, telefon, date privind studiile,  pentru scopul de Resurse Umane în vederea de achiziții de servicii în legătură cu prestarea muncii de către angajați și obținerea de vize pentru angajați, în temeiul Art. 6 (1) (b) din GDPR – prelucrarea este necesară pentru executarea unui contract, respectiv contractul de muncă;
• Cv-urile angajaților pregătite într-un format agreat de managementul operatorului, nume, prenume, date privind studiile, poză, date privind experiența în muncă pentru scopul de Resurse Umane în legătură cu prestarea de către Operator de servicii către clienți, în temeiul Art. 6 (1) (b) din GDPR – prelucrarea este necesară pentru executarea unui contract, respectiv contractul de muncă;
• informații stocate pe serverul și pe calculatoarele societății pentru scopul IT (back-up de server, arhivarea email-urilor la plecarea unui angajat) în temeiul Art.6 (1) (f) din GDPR – în scopul intereselor legitime urmărite de operator;
• nume, prenume, telefon, poziție, fax, e-mail, adresă, semnătură, username intern, pentru derularea relațiilor contractuale de afaceri, în temeiul Art. 6 (1) (f) din GDPR – prelucrarea este necesară în scopul intereselor legitime ale operatorului.
• nume si prenume, sex, data și locul nașterii, cetățenie, datele din CV, telefon, fax, email, adresă de domiciliu sau reședință, profesie cu privire la candidați în temeiul Art. 6 (1) (b) din GDPR, respectiv prelucrarea este necesară pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract.

Pentru scopurile menționate mai sus, TIMES CONSULTING S.R.L. colectează și/sau procesează următoarele categorii de date cu privire la aparținătorii sau membrii de familie ai angajaților:

• nume si prenume, CNP, copie CI sau certificat de naștere, în temeiul Art. 6 (1) (b) din GDPR – prelucrarea este necesară pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract.

Pentru scopurile menționate mai sus, TIMES CONSULTING S.R.L. colectează și/sau procesează următoarele categorii de date cu privire la vizitatori:

• nume, prenume, data vizitei, ora de sosire și ora de plecare din clădire, în temeiul Art. 6 (1) (f) din GDPR – prelucrarea este necesară în scopul intereselor legitime ale operatorului.

Pentru scopurile menționate mai sus, TIMES CONSULTING S.R.L. colectează și/sau procesează următoarele categorii de date cu privire la copiii minori ai angajaților:

• nume, prenume, date privind sănătatea înscrise în avizul/certificatul emis de medicul de familie/medic specialist, precum și nume, prenume, semnătură, profesie și loc de muncă părinți în temeiul Art. 6 (1) (a) si Art. 9 (2) (c) din GDPR.

Art. 2.1 Prelucrarea datelor pentru relaţia de muncă

În relaţiile de muncă, datele personale pot fi procesate dacă este necesar pentru a iniţia, efectua şi a închide contractul de muncă.

La iniţierea unei relaţii de muncă, datele personale ale solicitanţilor pot fi procesate.

Atunci când candidatul este respins, datele sale trebuie să fie şterse (în conformitate cu perioada de păstrare necesară), cu excepţia cazului în care solicitantul a fost de acord ca datele sale să rămână în dosar pentru un viitor proces de selecţie.

De asemenea, este necesar să se acorde consimţământul pentru a utiliza datele atunci când se doreşte continuarea proceselor de aplicare sau înainte de partajarea datelor cu alte companii.

În raportul de muncă existent, scopul prelucrării datelor trebuie să se coreleze întotdeauna cu scopul contractului de muncă dacă nu există niciuna dintre următoarele circumstanţe pentru prelucrarea datelor autorizate.

Dacă în timpul procedurii de aplicare este necesară colectarea informaţiilor despre un solicitant de la o terţă parte, trebuie de asemenea respectate cerinţele legale corespunzătoare.

Art. 2.2 Prelucrarea datelor în baza unui interes legitim

Datele personale pot fi, de asemenea, prelucrate în cazul în care este necesar să se susţină un interes legitim al TIMES CONSULTING S.R.L. Interesele legitime sunt, în general, de natură juridică (de exemplu, depunerea, aplicarea sau apărarea împotriva plângerilor juridice, recuperarea creanţelor etc.).

Măsurile de control care necesită prelucrarea datelor angajatului pot fi luate numai dacă există o obligaţie legală de a face acest lucru sau există un motiv legitim. Chiar dacă există un motiv legitim, trebuie examinată întotdeauna proporţionalitatea măsurii de control.

Interesele justificate ale companiei în aplicarea măsurilor de control (de exemplu, respectarea dispoziţiilor legale şi a normelor si regulamentelor interne ale companiei) trebuie să fie cântărite faţă de orice interese ale angajatului care trebuie să fie protejate astfel încât măsurile de control sa fie adecvate.

Art. 2.3 Prelucrarea datelor sensibile

Datele cu caracter personal sensibile pot fi procesate numai în anumite condiţii.

Acestea sunt date despre originea rasială şi etnică, convingerile politice, credinţele religioase sau filosofice, precum şi despre sănătatea şi orientarea sexuală a persoanei vizate sau datele care se referă la cazierul juridic.

Astfel de date pot fi prelucrate când există obligaţii legale sau când avem consimţământul expres al persoanei vizate.

Art. 2.4 Decizii automate

Dacă, la un moment dat, datele personale sunt prelucrate automat ca parte a raporturilor de muncă şi anumite date personale specifice sunt evaluate automat (de exemplu, în cadrul selecţiei personalului sau al evaluării profilurilor de competenţe) această prelucrare automată nu poate constitui singura bază pentru deciziile care ar putea avea un impact negativ asupra angajatului respectiv.

Pentru a evita deciziile eronate, procesul automatizat trebuie să fie asistat de o persoană fizică ce evaluează conţinutul situaţiei şi această evaluare este baza deciziei.

Persoana vizată trebuie, de asemenea, să fie informată despre faptele şi rezultatele deciziilor individuale automatizate şi despre posibilitatea de a răspunde.

Art. 2.5 Telecomunicaţii şi internet

Echipamentele telefonice, adresele de e-mail, intranetul şi internetul împreună cu aplicaţiile interne sunt furnizate de companie în primul rând pentru sarcini legate de muncă, fiind un instrument şi o resursă a companiei.

Acestea pot fi utilizate în cadrul reglementărilor legale aplicabile şi al politicilor interne ale companiei.

În cazul utilizării autorizate în scopuri personale, se va ţine cont de prevederile regulamentului şi procedurilor interne si de legislaţia specifică privind telecomunicaţiile.

Nu va exista o monitorizare generală a comunicaţiilor telefonice şi de e-mail sau a utilizării intranetului / internetului.

Pentru a ne apăra împotriva atacurilor asupra infrastructurii IT sau a utilizatorilor individuali, pot fi implementate măsuri de protecţie pentru conexiunile la reţeaua TIMES CONSULTING S.R.L. care blochează conţinutul dăunător din punct de vedere tehnic sau care analizează modelele de atac.

Din motive de securitate, pot fi monitorizate utilizarea echipamentelor telefonice, a adreselor de e-mail, a intranetului / internetului şi a aplicatiilor interne pentru o perioadă temporară.  Evaluările acestor date referitoare la o anumită persoană pot fi făcute doar într-un caz concret, justificat de suspiciunea de încălcare a legilor sau a politicilor şi procedurilor TIMES CONSULTING S.R.L. Evaluările pot fi efectuate numai de către comisia de investigare, asigurându-se, în acelaşi timp, respectarea principiului proporţionalităţii.

Legislaţia naţională relevantă trebuie respectată în acelaşi mod ca şi regulamentele societății.

CAPITOLUL VII

TRANSMITEREA DATELOR CU CARACTER PERSONAL

Transmiterea datelor cu caracter personal către destinatarii din afara sau din interiorul TIMES CONSULTING S.R.L. este supusă cerinţelor de autorizare pentru prelucrarea datelor cu caracter personal în conformitate cu prezenta politică.

Beneficiarul datelor trebuie să utilizeze datele numai în scopurile definite.

Art. 1. Dezvăluirea datelor personale unor terți situați pe teritoriul României sau în afara României

În România, TIMES CONSULTING S.R.L. va dezvălui datele personale ale persoanelor vizate către următorii destinatari:

Art. 1.1 În cazul salariaților pentru scopul general de resurse umane, datele personale ale acestora se vor dezvălui către Operator, persoana vizată, Bănci, AJOFM, Casa de Sănătate, Casa de Pensii, societăți din același grup, Banca Transilvania S.A., autorități publice și centrale, birouri de credit, agenții de colectare a creanțelor, societăți de asigurare, reasigurare, organizații profesionale, agenți de selecție și plasare a forței de muncă, consultanți externi/furnizori de servicii (ex: avocați, contabili și auditori, furnizori de servicii de călătorie).

Art. 1.2 În cazul salariaților/vizitatorilor/clienților/potențialilor clienți pentru scopul de monitorizare CCTV sau monitorizare prin ținerea Registrului de Vizitatori – împuternicitul operatorului, autorități relevante pentru exercitarea unor drepturi, autoritățile publice în cazul săvârșirii unei infracțiuni.

Art. 1.3 În cazul candidaților în procesul de recrutare – persoana vizata, consultanți externi/furnizori de servicii (ex: avocați, contabili și auditori).

Art. 1.4 În cazul partenerilor contractuali/reprezentanților partenerilor contractuali ai TIMES CONSULTING S.R.L. – persoanele vizate, parteneri contractuali, societăți din grup.

Art. 1.5 În cazul aparținătorilor angajaților – împuternicitului instituțiilor în cauză.

Art. 1.6 În cazul în care datele sunt transmise unui destinatar dintr-o ţară terţă, această ţară trebuie să fie de acord să menţină un nivel de protecţie a datelor personale echivalent cu această politică de protecţie a datelor şi în concordnaţă cu prevederile EU GDPR 679/2016.

Art. 1.7 Dacă datele sunt transmise de o terţă parte către TIMES CONSULTING S.R.L., ne vom asigura că datele sunt utilizate numai în scopul propus.

CAPITOLUL VIII

PRELUCRAREA DATELOR PRIVIND CONTRACTELE

Prelucrarea datelor printr-un prestator de servicii care este angajat să proceseze date cu caracter personal înseamnă că acesta va respecta Regulamentul 679/2016 şi această Politică fără a-şi asuma responsabilitatea pentru procesele de afaceri conexe. În aceste cazuri, trebuie încheiat un acord privind prelucrarea datelor cu caracter personal.

Prestatorul poate procesa date personale numai conform instrucţiunilor clientului.

     La încheierea acordului, trebuie îndeplinite următoarele cerinţe iar departamentul care plasează comanda trebuie să se asigure că acestea sunt îndeplinite:

• prestatorul trebuie ales pe baza capacităţii sale de a asigura măsurile tehnice şi organizatorice de protecţie necesare;
• ordinul de prelucrare trebuie trimis în scris – instrucţiunile privind prelucrarea datelor şi responsabilităţile clientului şi prestatorului trebuie să fie documentate;
• trebuie luate în considerare standardele contractuale pentru protecţia datelor personale furnizate de responsabilul cu protecţia datelor personale din companie;
• înainte de începerea prelucrării datelor, clientul trebuie să aibă încredere că prestatorul îşi va respecta obligaţiile. Un prestator poate documenta conformitatea cu cerinţele de securitate a datelor, în special prin prezentarea unei certificări adecvate. În funcţie de riscul de prelucrare a datelor, revizuirile certificărilor trebuie repetate în mod regulat pe durata contractului.

     În cazul procesării transfrontaliere a datelor din contracte, trebuie îndeplinite cerinţele Regulamentului 679/2016 şi a legislaţiei naţionale relevante privind divulgarea datelor cu caracter personal în străinătate. În special, datele cu caracter personal din Spaţiul Economic European (EEA) pot fi procesate într-o ţară terţă din afara EEA numai dacă prestatorul poate dovedi că dispune de un standard de protecţie a datelor echivalent cu această politică de protecţie a datelor.

Instrumentele adecvate pot fi:

• acordul privind clauzele contractuale standard ale UE pentru prelucrarea datelor din contracte în ţările terţe cu prestatorul şi cu orice subcontractanţi.
• participarea prestatorului la un sistem de certificare acreditat de UE pentru asigurarea unui nivel suficient de protecţie a datelor.
• recunoaşterea regulilor corporative obligatorii ale prestatorului, pentru a crea un nivel adecvat de protecţie a datelor, de către autorităţile de supraveghere responsabile pentru protecţia datelor.

CAPITOLUL IX

DREPTURILE PERSOANEI VIZATE

În conformitate cu prevederile GDPR, fiecare persoană vizată are drepturile de mai jos, iar afirmarea lor trebuie să fie tratată imediat de către responsabilul cu protecţia datelor personale şi nu poate constitui un dezavantaj pentru persoana vizată.

Art.1. Persoana vizată poate solicita informaţii cu privire la:

• ce date cu caracter personal care o privesc au fost stocate, cum au fost colectate datele şi în ce scop;
• dacă există drepturi suplimentare pentru a vizualiza documentele angajatorului (de exemplu, dosarul de personal) în cazul unor relaţii de muncă în conformitate cu legile relevante privind ocuparea forţei de muncă, acestea nu vor fi afectate;
• dacă datele cu caracter personal sunt transmise terţilor, trebuie furnizate informaţii despre identitatea destinatarului sau a categoriilor de destinatari.

Art. 2. Dacă datele cu caracter personal sunt incorecte sau incomplete, persoana vizată poate solicita corectarea acestora, actualizarea sau completarea lor.

Art. 3. Persoana vizată poate obiecta privind prelucrarea datelor sale în scopuri de publicitate sau de cercetare de piaţă sau de opinie. Datele trebuie să fie blocate pentru aceste tipuri de utilizare.

Art. 4. Persoana vizată poate solicita ştergerea datelor sale dacă prelucrarea acestor date nu are un temei juridic sau dacă temeiul juridic a încetat să se aplice. Acelaşi lucru este valabil şi în cazul în care scopul prelucrării datelor a expirat sau a încetat să mai fie aplicabil din alte motive. Se va acorda atenţie perioadelor de păstrare şi posibilelor conflicte de interes.

Art. 5. Persoana vizată are dreptul de a se opune prelucrării datelor sale şi acest lucru trebuie luat în considerare dacă protejarea intereselor sale are prioritate faţă de interesul operatorului de date în urma unei situaţii personale specifice. Acest lucru nu se aplică dacă există o dispoziţie legală ce impune ca datele să fie procesate.

Art. 6. Persoanele vizate au, de asemenea, dreptul să depună o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal dacă consideră că nu s-au respectat prevederile GDPR cu privire la datele cu caracter personal.

Art. 7. Datele de contact ale Operatorului

TIMES CONSULTING S.R.L. este Operatorul de date, iar in cazul în care aveți solicitări cu privire la modul în care datele dvs. sunt prelucrate, ne puteți contacta la dpo@timesconsulting.ro.

Art. 8. Procedura de soluţionare a cererilor persoanelor vizate

Art. 8.1 Operatorul are obligaţia să comunice petentului, răspunsul la cererea adresata conform prevederilor de mai sus, în termen de 30 zile calendaristice de la data înregistrării cererii. Acest termen poate fi prelungit motivat de către Operator, cu cel mult 15 zile calendaristice dacă Operatorul are de rezolvat mai multe cereri și/sau solicitarea este complexă.

Art. 8.2 Operatorul va transmite persoanei vizate răspunsul la cererea de mai sus prin scrisoare cu confirmare de primire la adresa indicată de persoana vizată sau prin e-mail sub forma unui pdf criptat.

Art. 9. Notificarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal în cazul încălcării securității datelor cu caracter personal

Art. 9.1  În cazul în care are loc o încălcare a securității datelor cu caracter personal, Operatorul notifică acest lucru Autorității, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta.

Art. 9.2 Notificarea:

• va descrie caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
• va comunica numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;
• va descrie consecințele probabile ale încălcării securității datelor cu caracter personal;
• va descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

Art. 9.3 Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație permite Autorității sa verifice conformitatea cu prevederile GDPR.

Art. 10.  Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal

Art. 10.1 În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, Operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.

Art. 10.2 În informarea transmisă persoanei vizate se include o descriere într-un limbaj clar și simplu a caracterului încălcării securității datelor cu caracter personal.

Art. 10.3 Informarea persoanei vizate nu este necesară în cazul în care oricare dintre următoarele condiții este îndeplinită:

• operatorul a implementat măsuri de protecție tehnice și organizatorice adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securității datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
• operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile și libertățile persoanelor vizate nu mai este susceptibil să se materializeze;
• informarea ar necesita un efort disproporționat din partea Operatorului. În această situație, se efectuează o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.

Art. 10.4 În cazul în care Operatorul nu a comunicat deja încălcarea securității datelor cu caracter personal către persoana vizată, Autoritatea după ce a luat în considerare probabilitatea ca încălcarea securității datelor cu caracter personal să genereze un risc ridicat, poate să îi solicite acestuia să facă acest lucru sau poate decide că oricare dintre condițiile menționate la Art. 10.3 sunt îndeplinite.

CAPITOLUL X

CONFIDENŢIALITATEA PROCESĂRII

Orice colectare, prelucrare sau utilizare neautorizată a acestor date de către angajaţi este interzisă.

Orice procesare de date efectuată de un angajat care nu a fost autorizat să o îndeplinească, ca parte a îndatoririlor sale legitime, este neautorizată.

Se aplică principiul „necesitaţii de a cunoaşte – need to know„.

Angajaţii pot avea acces la date personale numai după cum este adecvat pentru tipul şi scopul sarcinii de serviciu în cauză. Acest lucru necesită o defalcare atentă şi separarea, precum şi punerea în aplicare a rolurilor şi responsabilităţilor.

Angajaţilor li se interzice să utilizeze date cu caracter personal în scopuri private sau comerciale, să le dezvăluie persoanelor neautorizate sau să le pună la dispoziţie în orice alt mod.

Şefii de departamente şi departamentul Resurse Umane trebuie să-şi informeze angajaţii la începutul relaţiei de muncă cu privire la obligaţia de a proteja confidenţialitatea datelor personale si a informaţiilor. Această obligaţie rămâne în vigoare chiar şi după încheierea perioadei de angajare.

CAPITOLUL XI

SECURITATEA PRELUCRĂRII

Datele personale trebuie să fie protejate împotriva accesului neautorizat şi a prelucrării sau dezvăluirii ilegale, precum şi a pierderii, modificării sau distrugerii accidentale.

Acest lucru se aplică indiferent dacă datele sunt prelucrate electronic sau pe suport de hârtie.

Înainte de introducerea noilor metode de prelucrare a datelor, în special a noilor sisteme informatice, trebuie definite şi implementate măsuri tehnice şi organizatorice de protecţie a datelor cu caracter personal.

Aceste măsuri trebuie să se bazeze pe stadiul tehnicii, pe riscurile procesării şi pe necesitatea de a proteja datele (determinate în procesul de clasificare a informaţiilor).

În cazuri particulare, departamentul responsabil se poate consulta cu responsabilul cu securitatea informaţiilor.

Măsurile tehnice şi organizatorice pentru protecţia datelor cu caracter personal fac parte din managementul securităţii informaţiilor companiei şi trebuie adaptate în mod continuu la evoluţiile tehnice şi schimbările organizaţionale.

CAPITOLUL XII

CONTROLUL PROTECŢIEI DATELOR

Respectarea politicii de protecţie a datelor personale şi a legilor aplicabile privind protecţia datelor este verificată în mod regulat prin intermediul auditurilor de protecţie a datelor şi al altor controale.

Efectuarea acestor controale revine Responsabilului cu Protecţia Datelor Personale şi altor entităţi ale societăţii cu drepturi de audit sau auditori externi angajaţi. Rezultatele controalelor privind protecţia datelor trebuie raportate directorului general al TIMES CONSULTING S.R.L.

La cerere, rezultatele controalelor privind protecţia datelor vor fi puse la dispoziţia autorităţii de supraveghere responsabilă de protecţia datelor. Autoritatea responsabilă cu protecţia datelor poate efectua propriile controale, conform legislaţiei naţionale.

CAPITOLUL XIII

INCIDENTE DE PROTECŢIE A DATELOR

Toţi angajaţii trebuie să informeze imediat şeful de departament sau responsabilul cu protecţia datelor cu privire la cazurile de încălcare a acestei Politici de protecţie a datelor sau altor reglementări privind protecţia datelor cu caracter personal (incidente de protecţie a datelor).

În cazurile de transmitere necorespunzătoare a datelor cu caracter personal către terţe părţi, accesul neadecvat al terţilor la datele cu caracter personal sau pierdere a datelor cu caracter personal, rapoartele impuse de companie prin procedurile de raportare şi management al incidentelor de securitate a informaţiilor trebuie făcute imediat, astfel încât să poată fi respectate toate obligaţiile de raportare în conformitate cu legislaţia naţională.

CAPITOLUL XIV

RESPONSABILITĂŢI SI SANCŢIUNI

Funcţiile executive (şefii de departamente) din companie sunt responsabile pentru prelucrarea datelor în zona lor de responsabilitate.

Prin urmare, ei sunt obligaţi să se asigure că cerinţele legale pentru protecţia datelor şi cele conţinute în politica de protecţie a datelor personale, sunt îndeplinite.

Personalul de conducere este responsabil pentru asigurarea măsurilor organizatorice, tehnice şi a celor care ţin de resursele umane pentru ca orice prelucrare a datelor să se efectueze în conformitate cu protecţia datelor.

Conformitatea cu aceste cerinţe este responsabilitatea fiecărui angajat relevant.

Dacă Autoritatea de supraveghere efectuează un control de protecţie a datelor, trebuie informat imediat Responsabilul cu protecţia datelor personale.

Responsabilul cu protecţia datelor personale este persoana de contact afişată pe site pentru relaţii privind protecţia datelor. Acesta poate efectua verificări şi trebuie să-i familiarizeze pe angajaţi cu conţinutul politicilor de protecţie a datelor. Este necesar un management relevant pentru a susţine Responsabilul cu protecţia datelor personale în efortul său.

Departamentele responsabile cu procesele şi proiectele de afaceri trebuie să informeze Responsabilul cu protecţia datelor personale în timp util cu privire la o nouă prelucrare a datelor cu caracter personal.

Pentru prelucrarea datelor care pot prezenta riscuri speciale pentru drepturile individuale ale persoanelor vizate, Responsabilul cu protecţia datelor personale trebuie să fie informat înainte de începerea procesării. Acest lucru este valabil în special la date personale extrem de sensibile.

Prelucrarea necorespunzătoare a datelor cu caracter personal sau alte încălcări ale legilor privind protecţia datelor conduce la suportarea sancţiunilor prevăzute de reglementările interne, de Regulamentul UE nr.679/2016 şi de legislaţi a în vigoare.

CAPITOLUL XV

RESPONSABILUL CU PROTECŢIA DATELOR PERSONALE

Responsabilul cu protecţia datelor personale, fiind independent intern de subordonarea profesională, activează în vederea respectării reglementărilor naţionale şi internaţionale privind protecţia datelor. El este responsabil pentru politica de protecţie a datelor şi supraveghează respectarea acesteia. Responsabilul cu protecţia datelor personale este desemnat de conducerea TIMES CONSULTING S.R.L.

Şefii de departamente au obligaţia să informeze cu promptitudine Responsabilul cu protecţia datelor cu caracter personal despre apariţia oricăror riscuri de protecţie a datelor personale.

Orice persoană vizată poate să se adreseze Responsabilului cu protecţia datelor personale, în orice moment, pentru a pune întrebări, a solicita informaţii sau să depună plângeri legate de protecţia datelor sau de problemele de securitatea datelor personale. Dacă există solicitări, plângerile vor fi tratate în mod confidenţial.

Dacă Responsabilul cu protecţia datelor personale în cauză nu poate rezolva o plângere sau remedia o încălcare a politicii pentru protecţia datelor, se va solicita consultanţă la Autoritatea de supraveghere.

Deciziile luate de Responsabilul cu protecţia datelor personale pentru a remedia încălcările privind protecţia datelor trebuie să fie susţinute de conducerea societăţii. Anchetele si controalele efectuate de Autoritatea de supraveghere trebuie să fie întotdeauna raportate către conducerea companiei.

Versiunea curentă a acestui document este disponibilă tuturor angajaţilor, clienților, potențialilor clienți și parteneri de afaceri ai TIMES CONSULTING S.R.L.