Politica de confidențialitate

1.    Prevederi generale

1.1. Scop și sfera de aplicare

Prezenta politică privind Protecția și Securitatea Datelor cu Caracter Personal (denumită in continuare "Politica de Protecție a datelor cu caracter personal" sau "Politica") are drept scop principal stabilirea  politicii KMG International și filialelor sale ("Societatea") privind protecția datelor cu caracter personal pe care Societatea le prelucrează în cadrul activităților sale în relație cu salariații, clienții săi sau alte persoane vizate. Politica de Protecție a datelor cu caracter personal se aplică, urmând a fi respectată întocmai, de salariații și/sau colaboratorii/partenerii de afaceri ai Societății, ori de câte ori aceștia prelucrează date cu caracter personal în cursul și pe durata exercitării îndatoririlor lor profesionale. Societatea colectează, stochează și folosește în cadrul activității zilnice date cu caracter personal. Datele cu caracter personal se prelucrează astfel în scopuri legitime, cum ar fi, dar fără a se limita la, executarea contractelor individuale de muncă, sau a contractelor civile sau comerciale la care Societatea este parte contractantă, în scop de  marketing, precum și în alte scopuri, în conformitate cu cerințele legislației in vigoare.

În linie cu condițiile legale impuse de Legea privind protecția datelor precum și de întreaga legislație ulterioară aferentă acesteia, Societatea tratează protecția datelor cu caracter personal ale propriilor salariați, clienți și/sau colaboratori/parteneri contractuali ca fiind de o importanta semnificativă.

Aceasta Politică oferă o prezentare generală a cerințelor minime privind protecția datelor personale și se îndreaptă către instrucțiuni mai detaliate, după caz. De asemenea, această procedură stă la baza adoptării și implementării măsurilor tehnice și organizatorice necesare pentru păstrarea confidențialității și integrității datelor cu caracter personal.


1.2.     Aplicabilitate 
Prezenta politică se aplică și va fi comunicată tuturor societăților KMG International, indiferent de localizarea datelor sau de tipul de dispozitiv pe care sunt stocate. Prin urmare, regulile prevăzute in Politică trebuie utilizate și aplicate de toți angajații, antreprenorii, consultanții, alți membrii ai grupului KMG International și terțe părți care au acces la  informațiile deținute sau păstrate de societățile KMGI și/sau la sistemele informatice utilizate pentru a le stoca și prelucra. 


2. Definiții și Abrevieri

KMG International/ Societatea - KMG International N.V. și filialele sale 

KMG Rompetrol - KMG Rompetrol S.R.L. și toate celelalte societăți din grupul român 

Datele KMG International, Datele Societății: Datele cu caracter personal deținute, procesate sau colectate, înregistrate, structurate, stocate, primite, consultate, dezvăluite prin transmitere, șterse, etc. de către KMG International, fie primare sau secundare, indiferent de locația de stocare. Termenul se folosește interșanjabil cu termenul ‘informații’ sau 'date'. Acestea se raportează fără a se limita la orice informații privind o persoană fizică identificată sau identificabilă (persoana vizată), cum ar fi numele, prenumele, adresa de domiciliu, CNP, seria si număr carte de identitate/pașaport, starea civila, sex, date privind cariera profesională, date privind preferințele unei persoane, comportamentul acesteia, etc.

Contract: Un contract între KMG International și un Furnizor în conformitate cu care:
i)   Furnizorul prestează servicii pentru KMG International sau clienții KMG International, și/sau
ii)   Furnizorul primește acces la KMG International sau facilitățile clienților KMG International, rețeaua(rețelele), mediile și/sau informațiile confidențiale.

Active – Orice imobilizări corporale sau necorporale deținute de KMG International pentru care Furnizorul este responsabil. 

Disponibilitate – Orice sistem Informatic pentru îndeplinirea scopului său, trebuie să permită ca informațiile să fie disponibile atunci când sunt necesare. Astfel, sistemele Informațiilor utilizate pentru a stoca și procesa informațiile, controlul securității folosit pentru a le proteja, și canalele de comunicare folosite pentru a le accesa trebuie să funcționeze corect.

Sistem Informatic de Business – Un sistem informatic computerizat sau o aplicație pentru afaceri și financiară care oferă livrarea completă informațiilor. Datele fac parte integrantă din desfășurarea afacerii, inclusiv toate procesele computerizate și software-ul necesar pentru a îndeplini cerințele afacerii. Un sistem de business cuprinde procesele computerizate, controlul datelor, datele stocate ,rapoartele și alte formate.

Managerul de Cont Business (BAM) – O structură internă IT a Grupului responsabilă cu asigurarea faptului că sistemele de business ale grupului  răspund cerințelor KMG International și că strategiile și planurile sistemelor sunt comunicate în mod eficient. Aceasta structură colaborează cu funcții de business ai Societății și profesioniști din Divizia IT pentru planificarea, proiectarea, testarea, implementarea și menținerea sistemelor Informațiilor automate.

Proprietarul Sistemului Informatic de Business (PSIB) – denumit în cele ce urmează de asemenea Proprietarul Sistemului – este persoana responsabilă cu achiziția generală, dezvoltarea, integrarea, modificarea, operarea, mentenanța și retragerea unui sistem informatic. Proprietarul Sistemului este persoana cheie care contribuie la dezvoltarea specificațiilor de proiectare ale sistemului pentru a se asigura că securitatea și nevoile operaționale ale utilizatorului sunt documentate, testate și implementate.

Unitatea de Business /UA: Divizie, facilitate sau departament care aparține Societății organizat ca atare și înregistrat în Organigrama Societății (de ex. Marketing, RU, Contabilitate, Conformitate, IT, etc). 

Datele / informațiile Societății – Acestea includ, dar nu se limitează la datele / informațiile produse de Societate, datele / informațiile asupra cărora Societatea deține drepturile de proprietate intelectuală, datele/ informațiile pe care Societatea le deține în proprietate sau custodie, comunicările trimise către sau de la Societate, indiferent de suportul pe care se afla: sisteme atașate datelor corporative ale Societății și sau rețelele de telefonie, sistemele gestionate de Societate sau de terțe părți în numele Societății, dispozitivele mobile utilizate pentru a se conecta la rețelele Societății sau cele care dețin datele Societății, servicii cloud operate de terțe părți în numele Societății.

Computer – Orice desktop sau computer laptop, dispozitiv mobil (de ex., telefon celular, Smartphone, tabletă, etc.), server și/sau dispozitiv de stocare care:
i.    este implicat în realizarea serviciilor 
ii.    poate fi utilizat pentru a accesa o rețea sau un mediu, sau
iii.    poate accesa sau stoca informațiile confidențiale.

Informații confidențiale – Toate informațiile, indiferent de forma in care sunt prezentate (e.g. verbal, pe hârtie sau în orice altă formă necorporală), inclusiv, dar fără a se limita la date, informații personale, proprietatea intelectuală, parole, informații cu privire la clienții, furnizorii, partenerii și personalul Societății, informațiile care nu sunt încă publice cu privire la produsele Societății;

Confidențialitate – Pentru respectarea cerințelor privind Securitatea Informațiilor, acestea nu trebuie făcute publice și/sau transmise către persoane, societăți neautorizate sau accesate /transferate sau implicate in orice alt mod in procese neautorizate.
 
Mediu – Orice mediu informatic, inclusiv, dar fără a se limita la aplicația de dezvoltare, testare, etapizare, producție și/sau susținere și mediul informatic, la care Furnizorul are acces în conformitate cu un contract sau care este folosit pentru a presta servicii și conține informații confidențiale sau proprietare privind businessul.

ISO/IEC 27001:2013 – Aceasta este o specificație pentru Sistemul de Management al  Securității Informației (SMSI). Organizațiile care îndeplinesc standardul pot fi certificate conforme de către un organism de certificare independent și acreditat la finalizarea cu succes a unui audit formal al complianței.

Facilități – Orice birouri, centre de date și alte locații (deținute sau gestionate de Societate, un partener de afaceri al Societății, Furnizor sau o terță parte) de la care informațiile confidențiale, mediile sau rețelele Societății pot fi accesate sau (b) orice active de manipulare sau stocare permanentă sau nepermanentă ale Societății. Referințele din prezentul document la:
i.    “Facilitățile KMG International” se consideră a include facilități ale partenerilor de afaceri ai KMG International, și 
ii.    “Facilitățile Furnizorului” se consideră a include facilități ale terțelor părți utilizate de Furnizor.

IT Grup – Tehnologia Informației Grupului oferă o gamă amplă de servicii tehnologice și suport pentru unități de business KMGI și personalul său. IT al Grupului este responsabil pentru oferirea unei infrastructuri KMGI cu infrastructura fiabilă, flexibilă și sigură și livrarea serviciilor de tehnologie a informației pentru susținerea excelenței în afaceri și servicii profesionale.

Incident de Securitate Informațiilor – Un incident este actul de încălcare a Politicii explicite sau tacite a Societății privind Securitatea Informațiilor: 
•    Încercările (fie eșuate sau de succes) de a dobândi acces neautorizat la un sistem sau datele sale;
•    Întreruperea nedorită sau respingerea serviciului;
•    Utilizarea neautorizată a unui sistem pentru procesarea sau stocarea datelor;
•    Modificări în caracteristicile hardware, firmware, sau software ale sistemului fără cunoștințele, instrucțiunile sau consimțământul proprietarului.

Incident de securitate cu impact asupra protecției datelor: "Încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea. Constatarea acestei stări de fapt, reprezintă in fapt constarea unui "Incident de securitate cu impact asupra protecției datelor".

Integritate – În Securitatea Informațiilor, integritatea datelor înseamnă menținerea și asigurarea acurateței și complexității datelor asupra întregului ciclu de viață (datele nu pot fi modificate în mod neautorizat sau nedetectat)

Personal – Toți angajații, contractorii, sub-contractorii și agenții Societății care au acces la facilități, rețele, mediile și /sau informațiile confidențiale sau proprietare.

Produs – Un produs finit, componentă hardware sau software sau produs asamblat fabricat pentru sau furnizat către KMG International.

Servicii – Lucrările specificate în acord, contract, sau planul activităților, încheiate între Societate și o terță parte.  

Furnizor - O societate (inclusiv personalul său) care
i.    Prestează servicii în conformitate cu un contract și/sau
ii.    Are acces la facilitățile, rețelele, mediile și sau informațiile confidențiale și /sau proprietare privind businessul ale KMG International.

Administrator/Manager Sistem: Grupul care gestionează operarea tehnică zilnică a sistemului de business: managementul bazei de date, distribuire și actualizare software, controlul versiunii, copii de rezervă și recuperare, protecție împotriva virușilor, și performanță și planificarea capacității. Departamentul de IT din cadrul Grupului realizează acest serviciu pentru KMG Rompetrol.

Utilizator: O persoană (de ex., angajat al oricărei Unități de Business a KMG Rompetrol) care interacționează cu calculatorul la nivelul aplicației. Programatorii, administratorii / managerii de sistem, și alt personal tehnic nu sunt considerați utilizatori când lucrează în capacitate profesională pe sistemul informatic. Utilizatorii de sistem trebuie să utilizeze aplicația în modul și în scopul afacerii pentru care a fost proiectată, și respectă toate cerințele de control și securitate specificate.

Date cu caracter personal: reprezintă orice informații referitoare la o persoană fizică identificată sau identificabilă. O persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulți factori specifici identității sale fizice, fiziologice, psihice, economice, culturale sau sociale.

Identificat – înseamnă în mod obișnuit identificat prin nume, însă identificarea nu se limitează la numele și prenumele persoanei, în noțiunea de date cu caracter personal incluzând-se toate elementele specifice identității persoanei vizate astfel cum au fost sus-menționate.

Care poate fi identificat – înseamnă că persoana este capabilă să fie identificată printr-o analiză a elementelor/datelor deja disponibile sau din alte surse. 

Persoana vizată – este persoana fizică ale carei date cu caracter personal sunt prelucrate de Societate (de ex: salariați, clienți, colaboratori sau parteneri de afaceri – persoane fizice). 

Prelucrarea datelor cu caracter personal – reprezintă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal, prin mijloace automate sua neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terți prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea.

Sistem de evidență a datelor cu caracter personal – orice structură organizată de date cu caracter personal, accesibilă potrivit unor criterii determinate, indiferent dacă această structură este organizată în mod centralizat ori descentralizat sau este repartizată după criterii funcționale ori geografice.

Reclamație – înseamnă plângere, cerere prin care persoana vizată își exercită drepturile privind protecția datelor cu caracter personal în conformitate cu legislația în vigoare. 

Datele pseudonimizate – prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații  suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;

Datele anonime – sunt acele informații care, datorita originii sau modalității specifice de prelucrare, nu pot fi asociate cu o persoana identificată sau identificabilă. Datele anonime nu reprezintă date cu caracter personal.

Operator de date – este persoana fizică sau juridică, de drept privat ori de drept public, inclusiv autoritățile publice, instituțiile și structurile teritoriale ale acestora, care stabilește scopul și mijloacele de prelucrare a datelor cu caracter personal. În acest caz, Societatea, KMG International N.V. precum si oricare dintre filiale sale este operator de date cu caracter personal pentru datele pe care le prelucrează în cadrul activității sale comerciale.

Persoana împuternicită/Împuternicit – este persoana fizică sau juridică, de drept privat ori de drept public, care prelucrează datele cu caracter personal în numele și pe seama Societății. Poate fi un furnizor al KMG International N.V. sau al filialelor sale care accesează datele persoanelor vizate , cum ar fi un furnizor de servicii de training, agenţie de publicitate sau o alta companie care prelucrează datele cu caracter personal în numele Societății.

Destinatar – Poate fi o autoritate publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă.


3. Obiectivele Societății 

Prin prezenta Politica Societatea urmărește:

-    Să se asigure că prelucrarea datelor cu caracter personal este realizată în conformitate cu scopurile legitime pentru care au fost colectate;
-    Să se asigure că toate datele cu caracter personal sunt protejate corespunzător împotriva atacurilor/amenințărilor, astfel încât să fie asigurată securitatea datelor cu caracter personal;
-    Să creeze o campanie de conștientizare cu privire la cerințele de protecție a datelor cu caracter personal, astfel încât să fie integrate în operațiunile zilnice pe care le desfășoară angajații, asigurându-se că toți angajații sunt informați cu privire la procedurile pe care trebuie sa le urmeze in vederea colectării, prelucrării legitime,  dezvăluirii, transferului, retenției, arhivarii și distrugerii datelor cu caracter personal;
-    Să se asigure că toți angajații Societății înțeleg importanța practicilor privind protecția datelor cu caracter personal, precum și responsabilitățile lor privind menținerea securității datelor cu caracter personal, fiind conștienți de implicațiile contractuale, statutare și reglementare pe care le-ar putea declanșa incidentele care ar putea afecta datele cu caracter personal, respectiv breșele de securitate a datelor cu caracter personal; 
-    Să se asigure că toți utilizatorii, salariații si partenerii de afaceri care colectează, stochează și procesează date cu caracter personal în numele și pe seama Societății îndeplinesc și aplică măsuri adecvate de protecție și securitate a datelor cu caracter personal. Datele personale nu vor fi divulgate niciunei persoane locale neautorizate sau unei terțe părți sub nicio formă, fie accidental sau altfel.

Legăturile către alte documente relevante, aplicabile în KMG International sunt prezentate la finalul acestei politici. Această listă nu este exhaustivă și toate documente relevante pot fi găsite pe pagina de Intranet a KMG International, la secțiunea desemnată în acest scop.

Orice încălcare sau nerespectare a prezentei Politici sau instrucțiunilor disponibile ale Societății, în special orice divulgare deliberată de date personale către o persoană neautorizată sau terță parte poate duce la acțiuni disciplinare sau alte acțiuni corespunzătoare. 

Societatea va continua să realizeze audituri periodice pentru a se asigura că se respectă prezenta Politică și legislația aplicabilă și pentru a se asigura că toate instrucțiunile și suportul asociat aplicării sunt păstrate la zi. 

Orice acces sau divulgare neautorizată a datelor personale sau altor cazuri care implică încălcarea securității datelor se raportează Departamentului Juridic al Societății, Departamentului de Conformitate al Societății sau Departamentului de Securitate a Informației din cadrul Societății de îndată ce este posibil. 

Departamentul de Securitate a Informațiilor din cadrul Societății împreună cu persoanele delegate ale Departamentului de Conformitate  trebuie să asigure că personalul Societății este informat cu privire la obligațiile sale în conformitate cu prezenta Politică și cu legislația aplicabilă, cu atribuțiile operaționale privind suportul și recomandările trimise către tot personalul.


4. Legislația aplicabilă 

-  Regulamentul nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal şi privind libera circulație a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul General UE privind protecția datelor /RGPD)

- Directiva 2002/58/EC a Parlamentului European si a Consiliului din 12.07.2002 privind prelucrarea datelor cu caracter personal si protecția vieții private in sectorul comunicațiilor electronice,

- Convenția privind protecția drepturilor omului si a libertarilor fundamentale, adoptata la Roma la 4 noiembrie 1950

- Convenția pentru protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal, adoptata la Strasbourg la 28 ianuarie 1981, ratificata prin Legea nr. 682/2001

-Instrucțiunile Autoritarii Europene de Protecție a Datelor Personale privind supravegherea video, publicate la data de 17 martie 2010 

Prevederile cuprinse in aceste acte sunt aplicabile atât în România, cât și in Bulgaria

-Legea 677/2001 privind Protecția persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulație a acestor date 
- Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecția vieții private în sectorul comunicațiilor electronice
- Ordinul Avocatului Poporului nr. 52/2002 privind aprobarea Cerințelor minime de securitate a prelucrărilor de date cu caracter personal  

Aceste prevederi stabilesc un cadru de drepturi și atribuții conceput pentru a proteja datele personale, cu aplicabilitate doar pentru România. 

Pentru alte societăți KMGI din țări non-EU, legislația locală va prevala, iar Politica curentă va funcționa ca o referință cadru. Cu toate acestea, in ceea ce privește prelucrarea datelor cu caracter personal a rezidenților UE, entitățile KMGI non-UE vor respecta prezenta politica si Regulamentul General privind protecția datelor pentru evitarea unor încălcări ale legislației aplicabile entităților KMGI din UE, respectiv pentru asigurarea protecției datelor persoanelor vizate.


5.  Datele cu caracter personal 

În cadrul activităților desfășurate de Societate sunt incluse diferite tipuri de informații cu privire la: date de identificare a persoanelor fizice, informații de afaceri și de dezvoltare a serviciilor/produselor, planuri de marketing și de afaceri, informații despre clienți, resurse umane, consultanță, parteneriate, contracte, fuziuni și achiziții.

Având în vedere varietatea datelor confidențiale pe care le gestionează Societatea, este important ca angajații să înțeleagă categoria/categoriile de date cu caracter personal pe care le prelucrează, astfel încât să poată determina ce reguli de protecție se aplică respectivelor date și metoda de management al riscului care se aplica. 

Prezenta politică definește datele cu caracter personal prelucrate de Societate în cadrul și în timpul activității sale de afaceri, aplicându-se acestei categorii calitatea de  informații confidențiale.

a)    Datele cu caracter personal includ orice informații care se referă astfel la o persoană fizică identificată sau identificabilă, cum ar fi, dar fără a se limita la:

-    Nume, prenume
-    Identitatea părinților și a membrilor familiei (soț/soție, copii, persoane aflate în grija persoanei vizate)
-    Adresa (domiciliul sau reședința)
-    Datele din actele de identitate, certificate de naștere, certificate de căsătorie, permisul de conducere, pașaport, permis de ședere, copiile documentelor menționate etc.
-    Cetățenia
-    Educația, Ocupația, CV, copii diplome, copii certificate de calificare
-    Date cu caracter personal privind situația financiara (e.g. date privind veniturile, cheltuielile lunare, bunuri aparținând persoanelor vizate, contracte de închiriere, beneficii, salariu, bonus, spor de performanta)
-    Email, numărul de telefon
-     Conturi de utilizator pentru aplicațiile Societății
-    Date bancare (contul pentru plata salariului)
-     Date privind serviciile si produse achiziționate sau care urmează a fi achiziționate (e.g. data privind consumul estimat, cheltuielile pe luna aferente carburantului, tipul carburantului folosit, stația de unde aleg sa isi ridice cardul clienții Operatorului, etc.)
-    Date de geolocalizare (e.g. stația de unde se alimentează, traseul de la domiciliu la locul de munca si invers, durata deplasării de la si către locul de muncă)
-    Date cu privire la locul de muncă, incluzând denumirea și datele de identificare ale angajatorului, număr de telefon de serviciu, email de serviciu, funcția, departamentul, numele managerului, marca angajatului, data angajării/data plecării din companie, nivelul job-ului
-    Datele despre starea salariatului (numărul și data contactului individual de muncă, poziția, locul de muncă, marcă, data începerii serviciului actual),
-    Numărul dosarului de pensionare, etc.

În categoria datelor cu caracter personal sunt incluse informații care se pot găsi sub orice formă, fie ea alfabetică, numerică, grafică, fotografică sau acustică, și pot fi găsite sub forma fizică (hârtie), sau electronică (memoria unui computer), sau chiar sub forma unor înregistrări video si audio. 

b)    Categoriile speciale de date cu caracter personal

„Categoriile speciale de date cu caracter personal” sunt legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice sau de natură similară, de apartenența sindicală, precum și a datelor cu caracter personal privind starea de sănătate sau viața sexuală, cât și a celor care sunt referitoare la săvârșirea de infracțiuni, masuri de siguranță sau sancțiuni administrative ori contravenționale. 

Totodată, datele biometrice, respectiv amprentele digitale,  structura facială, vocea, sau chiar unele caracteristici comportamentale (de exemplu semnătura de mână, un anumit mod de a merge sau de a vorbi, etc.), sunt considerate date cu caracter personal, fiind incluse în categoriile speciale de date cu caracter personal reglementate de legislația națională și europeană în materie.

Categoriile speciale de date cu caracter personal includ, astfel, fără a se limita la:
-    Codul Numeric Personal (CNP)
-    Numărul și seria cărții de identitate sau al pașaportului
-    Date referitoare la apartenenta politica și opiniile persoanelor vizate
-    Date referitoare la apartenenta în asociații și opiniile exprimate în cadrul activității acestora
-    Date referitoare la cazierele judiciare
-    Date genetice si biometrice 
-    Date privind evidențele medicale și orice date privind starea de sănătate a salariaților, colaboratorilor etc.


6. Principalele operațiuni de prelucrare a datelor cu caracter personal realizate in cadrul activităților desfășurate de Societate si scopul prelucrării

6.1.Principalele operațiuni/seturi de operațiuni de prelucrare pot consta în:

-    colectarea sau înregistrarea și organizarea datelor cu caracter personal
-    stocarea, respectiv păstrarea pe orice fel de suport a datelor cu caracter personal colectate
-    adaptarea ori modificarea sau utilizarea acestora
-    extragerea datelor cu caracter personal
-    consultarea datelor cu caracter personal
-    dezvăluirea către terți prin transmitere, diseminare sau in orice alt mod
-    alăturarea ori combinarea datelor cu caracter personal
-    blocarea, ștergerea sau distrugerea datelor cu caracter personal.

6.2. Scopul prelucrării datelor cu caracter personal

Datele cu caracter personal ale clienților/potențialilor clienți/reprezentanților legali ai clienților/potențialilor clienți pot fi colectate și utilizate în cadrul desfășurării unor activități și proiecte specifice, cum ar fi :

-     realizarea analizei de bonitate si evaluare a riscului de creditare pentru produsele specifice oferite de societate (e.g. Fill and Go credit), respectiv pentru recuperarea creanțelor datorate către Societate
-     protejarea interesului legitim al societăților din grupul KMG International concretizat în efectuarea analizei de cunoaștere a partenerului de afaceri (KYC) cu scopul de a desfășura relații comerciale în deplină concordanță cu prevederile legale aplicabile, precum și în scopul de a întări siguranța contractuală, a evita conflictele de interese şi de a proteja reputaţia societăților din grupul KMG International
-    încheierea si executarea contractelor inclusiv pentru prestarea serviciilor,  livrarea produselor, facturarea serviciilor si produselor achiziționare
-    îndeplinirea unei obligații legale, cum ar fi emiterea facturilor sau chitanțelor fiscale si dispozițiilor de plată /încasare
-    realizarea activităților de marketing, prin transmiterea de newsletter-uri sau alte comunicări comerciale prin email, sms sau poștă
-    realizarea profilului de client pentru a primi oferte personalizate
-     organizarea de evenimente interne si externe
-     prelucrările realizate agenții / partenerii externi ai Societății, cum ar fi agențiile de  publicitate
-    contractării clienților persoane fizice care completează formularele in vederea înrolării in programele de loializare, preluării formularelor completate si asistarea clienților in procesul de înrolare
-    gestionarii clienților persoane fizice utilizatori ai cardurilor Fill&Go 
-    încasării contravalorii aferente carburanților/altor produse/servicii achiziționate de clienți in stațiile de  distribuție carburanți
-    verificării limitei de credit disponibile/ acordării discount-urilor/punctelor/altor beneficii, după caz
-     crearea de conturi pentru accesarea sistemelor Societății

Datele cu caracter personal ale angajaților pot fi colectate si utilizate de Societate in vederea desfășurării unor activități si proiecte specifice, cum ar fi:

-    realizarea procesului de recrutare
-     încheierea şi executarea contractului individual de muncă plata salariilor și a beneficiilor, realizarea prezenței la locul de muncă, realizarea programelor de formare profesională gestionarea echipamentelor necesare îndeplinirii sarcinilor de serviciu,  realizarea deplasărilor în interes de serviciu, planificarea și realizarea concediilor de odihnă sau altor concedii
-     îndeplinirea unei obligații legale, precum efectuarea unui control medical anterior angajării şi efectuarea controlului periodic pentru asigurarea sănătăţii şi securităţii în muncă, completarea dosarelor de sănătate şi securitate în muncă, programe de formare și instruire profesională, completarea registrului Revisal, reținerea și virărea taxelor și impozitelor de stat, plata indemnizațiilor prevăzute de legislația aplicabilă
-    realizarea interesului legitim al operatorului de date, în cazul supravegherii video în vederea asigurării protecţiei bunurilor şi persoanelor, prevenirii pierderii datelor pentru garantarea securităţii sistemelor informatice, 
-    realizarea unor studii de specialitate, cum ar fi, pentru analiza nivelului salarial, evoluția și îmbunătățirea relațiilor de muncă, pentru dezvoltarea sistemelor de IT de prelucrare a datelor, inclusiv pentru calculul plății salariilor, gestionarea concediilor de odihnă
-    realizarea raportărilor către Societate sau către alte autorități și organisme competente, etc.
-    analizarea experienței și pregătirii profesionale, în vederea dezvoltării de programe de dezvoltare profesională pe baza testelor profesionale, tehnice
-    acordarea zilelor libere religioase
-     realizării sau plata beneficiilor aferente copiilor angajaților, sau altor membri de familie
-    recuperării oricăror prejudicii care derivă din raporturile de muncă sau oricăror daune înregistrate de către Societate, transmiterea de date cu caracter personal autorităților și organelor competențe, inclusiv dar fără a se limita la autorități și organisme competente în dreptul muncii, protecției sociale, instanțe, organe de cercetare penală, societăți sau entități specializate în recuperarea creanțelor
-    în scop statistic.


7. Folosirea datelor cu caracter personal

Indiferent de categoria datelor cu caracter personal, acestea trebuie folosite numai în scopul pentru care au fost colectate și pe perioada care servește fie scopului pentru care datele au fost obținute de la persoanele vizate (fie aceștia clienți, non-clienți, salariați sau colaboratori, parteneri ai Societății) și respectiv pe durata necesară respectării unei obligații legale sau a îndeplinirii unui interes legitim al Societății.

De exemplu, când o prelucrare de date cu caracter personal se realizează pe baza consimțământul expres și specific al clientului, cum ar fi situația în care un client este de acord ca Societatea să prelucreze datele cu caracter personal in scop de marketing, scopurile pentru care datele vor fi prelucrate vor fi descrise în acordul exprimat de persoana vizată.

În același demers de asigurare a legitimității prelucrărilor de date cu caracter personal realizate de Societate, în situația retragerii consimțământului persoanei vizate cu privire la prelucrarea datelor sale în scop de marketing sau în alt scop legitim pentru care este necesar consimțământul prealabil al persoanei vizate, Societatea asigura ștergerea datelor cu caracter personal în conformitate cu legislația în vigoare.


8. Responsabilul cu protecția datelor cu  caracter personal

Societatea desemnează un responsabil cu protecția datelor (“Responsabilul cu protecția datelor”) care va fi este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.

Responsabilul cu protecția datelor are cel puțin următoarele sarcini: 

(a)    informarea și consilierea Societății precum și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în ceea ce privește protecția datelor cu caracter personal

(b)    monitorizarea respectării dispozițiilor legale referitoare la protecția datelor și a politicilor Societății în ceea ce privește protecția datelor cu caracter personal si acordarea de consultanta si recomandări Societății si departamentelor interne ale acestuia pentru asigurarea respectării obligațiilor in domeniul protecției datelor (e.g. asigura consultanta în rezolvarea in termen legal al cererilor persoanelor vizate, depuse pentru exercitarea drepturilor lor in conformitate cu articolele 15-22 din RGPD, asigura consultanta in cazul incidentelor de securitate, asigurând suportul necesar pentru realizarea notificării autorității de supraveghere si a persoanelor vizate afectate)

(c)    asigurarea suportului în elaborarea politicilor si procedurilor interne care sunt necesare pentru reglementarea internă a operațiunilor de prelucrare a datelor cu caracter personal

(d)    furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia (acorda aviz in cazul operațiunilor de prelucrare de date cu caracter personal supuse evaluării impactului, cu privire la obligația Societății de a realiza aceasta analiza, metodologia ce urmează a fi utilizata, existenta resurselor necesare, masurile de securitate, tehnice si organizatorice ce urmează a fi aplicate pentru diminuarea riscurilor asupra drepturilor si libertăților persoanei vizate; emite opinii privind corectitudinea modalității in care s-a realizat analiza de impact si asupra concluziilor acesteia, dând aviz pozitiv sau negativ cu privire la realizarea operațiunii de prelucrare)

(e)    este persoana de contact a operatorului in domeniul protecției datelor cu caracter personal, fiind menționata in informarea persoanelor vizate ce se realizează potrivit art. 13 si 14 din RGPD

(f)    este persoana de contact a operatorului in relația cu ANSPDCP in cazul controalelor realizate de aceasta, precum si in cazul consultării prealabile a acesteia in conformitate cu art. 36 din RGPD

(g)     cooperarea cu autoritatea de supraveghere

(h)    asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare

(i)    participarea la programe de formare profesionala pentru cunoașterea legislației si practicii in domeniul protecției datelor

Societatea publică datele de contact ale responsabilului cu protecția datelor și le comunică autorității de supraveghere.

9. Principiile  privind protecția datelor cu caracter personal 

In multe dintre cazuri, colectarea datelor cu caracter personal și operațiunile de prelucrarea ulterioară a acestora de către Societate se realizează în temeiul consimțământului expres și neechivoc al persoanei vizate. Ori de câte ori este necesară obținerea consimțământului persoanei vizate, Societatea asigură informarea completă, prealabilă și întocmai a persoanei vizate, astfel încât consimțământul acesteia să îndeplinească condițiile unei manifestări de voință liberă, specifică, informată și lipsită de ambiguitate. Astfel, persoanele vizate, respectiv clienții/potențialii clienți/reprezentanții legali ai clienților/potențialilor clienți/angajații/ partenerii contractuali au posibilitatea să accepte prelucrarea datelor lor personale printr-un acord expres sau printr-o acțiune fără echivoc, cum ar fi bifarea unei căsuțe special dedicate prelucrării în cauză.

Exista și situații in care temeiul juridic al prelucrării este altul decât consimțământul, si anume:
-    când prelucrarea este necesară în vederea executării unui contract la care persoana vizată este parte, sau pentru a face demersuri, la cererea acesteia, înaintea încheierii unui contract
-    când prelucrarea este necesară în vederea îndeplinirii unei obligații legale a Societății
-    când prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane
-    când prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea prerogativelor de autoritate publică cu care este învestit operatorul
-    când prelucrarea este necesară în vederea realizării unui interes legitim al Societății sau al terțului căruia îi sunt dezvăluite datele, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate.


Prelucrarea categoriilor speciale de date cu caracter personal este interzisă, cu excepția următoarelor situații:
-    când persoana vizată și-a dat în mod expres consimțământul pentru o astfel de prelucrare
-    când prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale Societății sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale
-    când prelucrarea este necesară pentru protecția vieții, integrității fizice sau a sănătăți intereselor vitale ale persoanei vizate ori a altei persoane, în cazul în care persoana vizată se află în incapacitate fizică sau juridică de a-și da consimțământul 
-   când prelucrarea se referă la date făcute publice în mod manifest de către persoana vizată
-   când prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în justiție
-   când prelucrarea este necesară în scopuri de medicină preventivă, de medicină a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical ori de gestionare a serviciilor de sănătate care acționează în interesul persoanei vizate, cu condiția ca prelucrarea datelor respective să fie efectuate de către ori sub supravegherea unui cadru medical supus secretului profesional, sau de către, ori sub supravegherea, unei alte persoane supuse unei obligații echivalente în ceea ce privește secretul
-   când prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice. 

Salariații/colaboratorii Societății sunt obligați să verifice încadrarea datelor personale în categoriile speciale sus-menționate și să aplice regulile prevăzute de legislația privind protecția datelor cu caracter personal. 

Ori de câte ori Societatea introduce un nou serviciu, produs sau proces operațional care implică procesarea datelor cu caracter personal, se va solicita punct de vedere cu privire la protecția datelor personale de la Responsabilul cu protecția datelor. 

Astfel, salariații Societății precum și persoanele împuternicite de aceasta au obligația de a respecta principiile legale de prelucrarea a datelor cu caracter personal prevăzute de legislația privind protecția datelor, după cum este detaliat mai jos.


a)    Principiul legitimității prelucrării datelor cu caracter personal

Acesta stabilește în sarcina Societății, a salariaților și colaboratorilor săi următoarele obligații:

-    Datele cu caracter personal vor fi prelucrate în mod corect și cu respectarea legii
-    Datele cu caracter personal vor fi prelucrate numai dacă persoana vizată și-a dat consimțământul în mod expres și neechivoc pentru acea prelucrare, sau în situația aplicabilității uneia dintre excepțiile sus-menționate
-    Datele cu caracter personal se vor obține numai pentru unul sau mai multe scopuri specifice și nu vor fi prelucrate într-un mod care nu este în concordanță cu respectivele scopuri. 

Prelucrarea în scopuri ulterior identificate este permisă numai în situațiile în care intră în categoria celor pentru care nu este necesar consimțământul, sub condiția realizării unei informări prealabile a persoanelor vizate.


b)    Principiul transparenței prelucrării datelor cu caracter personal

Persoană vizată va fi informată în prealabil cu privire la datele cu caracter personal care urmează a fi prelucrate, scopul prelucrării și temeiul juridic al acestuia, identitatea operatorului și a împuterniciților săi, interesul legitim urmărit de operator prin prelucrarea datelor cu caracter personal, dacă este cazul, destinatării sau categoriile de destinatări ai datelor, dacă este cazul, intenția Societății de a transfera date cu caracter personal către o țară terță sau o organizație internațională, dacă furnizarea tuturor datelor cerute este obligatorie și consecințele refuzului de a le furniza, perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă, existența unui proces decizional automatizat incluzând crearea de profiluri precum și, cel puțin în cazurile respective, informații privind logica utilizată, importanță și consecințele preconizate ale unei astfel de prelucrări pentru persoană vizată, drepturile persoanei vizate prevăzute de legislația din domeniul protecției datelor (enumerate mai jos în cadrul secțiunii 10) precum și condițiile în care pot fi exercitate, respectiv cu privire la orice alte informații specifice scopului de prelucrare propriu-zis.

Potrivit principiului transparenței, persoanele vizate – clienți/potențialii clienți/angajați/parteneri - vor fi informate într-un limbaj ușor accesibil si clar, având dreptul de a accesa informațiile cu privire la operațiunile de prelucrare a datelor sale cu caracter personal. 

Nota de informare adresată persoanei vizate/persoanelor vizate de prelucrarea datelor lor cu caracter personal va include punctele de contact unde aceasta/acestea pot adresa cereri, după cum urmează:

-    Cererile formulate de clienți/potențiali clienți/reprezentanții legali ai clienților/potențialilor clienți/parteneri de afaceri, angajați, colaboratori persoane fizice, pot fi transmise la sediul Societatii, prin poștă, în format electronic, la adresa de e-mail dataprotection@rompetrol.com . 

Ori de câte ori, persoana vizată, ale cărei date sunt prelucrate va solicita informații cu privire la prelucrarea datelor sale, departamentul care primește o asemenea solicitare va cere punct de vedere de la Responsabilul cu protecția datelor. 

Societatea are obligația de a răspunde cererilor mai sus menționate in cel mult 30 de zile din momentul primirii acestora, în conformitate cu prevederile legislației privind protecția datelor.

Reclamația/cererea persoanei vizate va fi tratată conform Procedurii specifice privind gestionarea cererilor primite de la persoanele vizate


c)    Principiul proporționalității prelucrării datelor cu caracter personal

Societatea prelucrează datele cu caracter personal în mod rezonabil, relevant față de scopul  procesării și neexcesiv, limitat la ceea ce este necesar în raport cu scopurile legitime în care datele sunt prelucrate.

Înainte de procesarea datelor cu caracter personal, Societatea, prin departamentele relevante (e.g. Departamentul Marketing), cu avizul Responsabilului cu protecția datelor, determină dacă și în ce măsură procesarea datelor cu caracter personal este necesară pentru atingerea scopului în vederea căruia au fost colectate. 


d)    Principiul ștergerii datelor după expirarea perioadei legale de deținere

În ceea ce privește perioada de arhivare a datelor cu caracter personal, acestea vor fi stocate în sistemele de Societății pentru îndeplinirea scopurilor legitime urmărite prin prelucrare, pentru o perioadă necesară scopului prelucrării sau pentru perioada prevăzută de legislația aplicabilă, pentru fiecare categorie de date cu caracter personal în parte. Durata de stocare in conformitate cu dispozițiile art. 5 lit. e) din RGPD, se este stabilită pentru fiecare operațiune identificată în Registrul privind evidența operațiunilor de prelucrare a datelor cu caracter personal, având în vedere dispozițiile legale obligatorii (e.g. Legea nr. 16/1996 privind arhivele naționale, Legea nr. 82/1991 privind contabilitatea).

De exemplu, în ceea ce privește captarea imaginii video a persoanelor vizate, prin supravegherea video a spatiilor Operatorului, datele care au fost obținute prin sistemul de supraveghere video vor fi stocate pentru o perioada proporționala cu scopul pentru care se prelucrează datele, dar care nu poate depăși 30 de zile, după care vor fi distruse prin ștergere. Cu titlu de excepție, in cazul situațiilor expres reglementate de lege sau a unor cazuri temeinic justificate (ex. existenta unui incident de securitate), durata menționata mai sus poate fi prelungita in funcție de durata necesară si permisă de lege, cu avizul Responsabilului cu protecția datelor. 

Societatea are obligația de a păstra dovada existenței consimțământului exprimat de clienți/ potențialii clienți/angajați/partenerii de afaceri, în cazul în care prelucrarea datelor lor personale este efectuată în baza consimțământului acestora.

Datele cu caracter personal nu vor fi păstrate mai mult decât este necesar sau impus de scopurile prelucrării datelor cu caracter personal. Extinderea perioadei de stocare a datelor se va realiza numai cu avizul Responsabilului cu protecția datelor.

După realizarea scopurilor legitime de prelucrare și stocare și după expirarea perioadei legale pentru arhivarea datelor/documentelor care conțin date cu caracter personal, dacă persoana vizată nu și-a dat consimțământul pentru o procesare viitoare si nu este aplicabila vreuna din excepțiile prevăzute de legislația privind protecția datelor, se va proceda după cum urmează:
-    datele cu caracter personal din sistemele de evidențe/aplicații IT vor fi șterse sau 
-    datele cu caracter personal din sistemele de evidente/aplicatii IT vor fi transformate în date anonime
-    datele existente în documente pe suport de hartie vor fi distruse cu tocatoare special destinate documentelor clasificate ca documente confidențiale/restricționate.


e)    Principiul exactității prelucrării datelor cu caracter personal

Datele cu caracter personal vor fi exacte și, dacă este necesar, actualizate. Societatea adoptă măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, sunt șterse sau rectificate fără întârziere în conformitate cu scopul legitim al prelucrării.


f)    Principiul confidențialității datelor cu caracter personal si principiul necesitații de cunoaștere a datelor („need to know”) 

Societatea adoptă măsurile tehnico-organizatorice necesare pentru asigurarea securității adecvate a datelor cu caracter personal, pentru a preveni accesul neautorizat, prelucrarea ilegală, dezvăluirea neautorizată inclusiv pierderea, distrugerea, sau deteriorarea accidentală a acestora. Detalii despre cerințele minime de securitate sunt menționate și în secțiunile următoare.

Accesul angajaților/partenerilor de afaceri ai Societății la datele cu caracter personal prelucrate de către Societate, respectiv stocate în sistemele informatice ale Societății se acordă numai pe baza criteriului „necesitații de a cunoaște”. Trebuie să existe un proces de autorizare și aprobare documentată pentru a acorda, menține și înlătura accesul la informațiile care sunt date cu caracter personal. Astfel, pentru acordarea drepturilor de acces al unui salariati se va transmite de catre Departamentul de Resurse Umane o solicitare Departamentului IT, la angajarea unui nou salalariat, pe baza fisei de post a salariatului. Accesul se va acorda pe baza aprobarii de catre seful ierarhic al salariatului.

În cazul unui salariat existent, solicitarea acestuia de acces la sisteme/aplicații IT se va face de către șeful ierarhic superior pe baza fișei de post, iar accesul se va acorda de către Departamentul IT.
Prevederile Politicii de gestionare a accesului IT se aplică în mod corespunzător.


g)    Principiul responsabilității în realizarea prelucrării datelor cu caracter personal

Societatea asigură respectarea principiilor legale de protecție a datelor cu caracter personal atât pentru prelucrările de date realizate în mod direct, cât și pentru cele realizate prin persoane împuternicite, asigurând includerea clauzelor contractuale prevăzute de legislația privind protecția datelor în contractele încheiate cu contractorii săi.

Toate măsurile tehnice și organizatorice vor fi aplicate pentru a împiedica accesul neautorizat, prelucrarea neautorizată și nelegală a datelor cu caracter personal, dezvăluirea neautorizată și distrugerea, alterarea, sau pierderea accidentală a datelor cu caracter personal.
 
Datele cu caracter personal pot fi transferate într-o țară sau teritoriu situat în afara Spațiului Economic European („SEE”), conform legislației privind protecția datelor, urmărindu-se fie obținerea prealabilă a consimțământului valid al persoanelor vizate, fie încadrarea prelucrării de date cu caracter personal într-una din excepțiile prevăzute de legislația în vigoare. În cazul unei asemenea prelucrări, transferul datelor este posibil, de principiu, cu condiția ca țara de destinație să garanteze un nivel adecvat de protecție a drepturilor și libertăților persoanelor ale căror date sunt transferate.

O asemenea prelucrare va fi avizată de către Responsabilului cu protecția datelor.


10. Drepturile persoanelor vizate de prelucrare

Societatea prelucrează date cu caracter personal ale persoanelor fizice, precum  angajații, clienții/potențialii clienți, reprezentanții legali ai clienților/potențialilor clienți, colaboratori, antreprenorii, terțele părți, parteneri de afaceri și ale altor  alte persoane ( persoane vizate).

Drepturile persoanelor vizate includ, printre altele, următoarele:
a)    Dreptul de a fi informat cu privire la prelucrarea propriilor date cu caracter personal, la scopul prelucrării și temeiul juridic al acestuia, perioada prelucrării, operatorul, împuterniciții acestuia, interesul legitim urmărit de operatorul prin prelucrarea datelor cu caracter personal, dacă este cazul, daca furnizarea datelor cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, daca persoana vizata are obligația sa furnizeze datele cu caracter personal precum si eventualele consecințe ale nerespectării acestei obligații, perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă
b)    Dreptul de a cunoaște destinatarii sau categoriile de destinatari ai datelor
c)    Dreptul de a fi informat cu privire la existența  unui proces decizional automatizat incluzând crearea de profiluri precum și, cel puțin în cazurile respective, informații privind logica utilizată, importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

Persoana vizată ar trebui să aibă dreptul de a nu face obiectul profilării (orice formă de prelucrare automată a datelor prin evaluarea aspectelor personale referitoare la o persoană fizică, în special în vederea analizării sau preconizării anumitor aspecte privind randamentul la locul de muncă al persoanei vizate, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările), atunci când aceasta produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă. 

Prin excepție, profilarea permisă în cazul în care este autorizată în mod expres în dreptul Uniunii sau în dreptul intern
- în cazul în care este necesară pentru încheierea sau executarea unui contract între persoana vizată şi Societate  sau
- în cazul în care persoana vizată şi-a dat în mod explicit consimțământul.
 În orice caz, profilarea  face obiectul unor garanții corespunzătoare (informare specifică a persoanei vizate şi dreptul acesteia de a obține intervenție umană, de a-şi exprima punctul de vedere, de a primi o explicație privind decizia luată în urma unei astfel de evaluări, precum şi dreptul de a contesta decizia). 

Profilarea nu ar trebui să se refere la un copil.

Societatea în cazul în care intenționează să aplice profilarea ar trebui să implementeze măsuri tehnice şi organizatorice adecvate pentru a asigura în special faptul că factorii care duc la inexactități ale datelor cu caracter personal sunt corectați şi că riscul de erori este redus la minimum, să securizeze datele cu caracter personal într-un mod care să țină seama de pericolele potențiale la adresa intereselor şi drepturilor persoanei vizate, precum și să procedeze la efectuarea unei analize de impact.
d)    Dreptul de a avea acces la datele lor personale
e)    Dreptul de a interveni ori de câte ori este necesar asupra datelor cu caracter personal, respectiv dreptul de a determina corectarea, rectificarea, suprimarea, ștergerea, distrugerea sau restricționarea prelucrării datelor cu caracter personal, la simpla lor cerere
f)    Dreptul de obiecție cu privire la prelucrarea datelor sale 
g)    Dreptul la portabilitatea datelor (de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent şi care poate fi citit automat şi de a transmite aceste date altui operator), în cazul în care prelucrarea se bazează pe consimţământul persoanei sau  pe un contract şi prelucrarea este efectuată prin mijloace automate. Transmiterea datelor cu caracter personal in acest caz trebuie securizata si protejata prin implementarea de măsuri tehnice menite sa asigure transferul in mod corespunzător si in condiții de siguranță, precum si confidențialitatea si integritatea datelor. Exercitarea dreptului de portabilitate nu afectează alte drepturi ale persoanei vizate, (e.g. dreptul de acces)
       Acolo unde este posibil din punct de vedere tehnic, persoana vizata are dreptul ca datele cu caracter personal care o privesc sa fie transmise direct de la Societate către un alt Operator de date cu caracter personal.
       Exercitarea dreptului la portabilitate de către persoana vizata nu implică obligația Societății de a șterge  datele cu caracter personal ale persoanei vizate chiar daca, de exemplu, persoana vizată nu mai este client al Societății. In acest caz, perioada de stocare a datelor este stabilita luând in considerare alte temeiuri juridice specifice. 
h)    Dreptul de a depune o plângere la ANSPDCP în cazul în care consideră că prelucrarea datelor cu caracter personal de către Societate, direct sau prin împuterniciții săi, încalcă prevederile legislației române și europene;
i)    Dreptul de a exercita o cale de atac judiciară împotriva Societății în cazul în care consideră că drepturile de care beneficiază au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal;
j)    Dreptul de a primi de la Societate, în urma întocmirii unei cereri în formă scrisă, datată și semnată, în termen de 30 de zile de la data cererii, informațiile solicitate cu privire la datele sale cu caracter personal care sunt prelucrate de Societate, precum și de a obține în același termen rezoluția Societății cu privire la solicitările prin care s-au exercitat celelalte drepturi legale sus-menționate. 
k)    Dreptul de a retrage in orice moment consimțământul, în situația în care prelucrarea datelor personale se realizează pe baza consimțământului persoanei vizate ori în situația existenței unei prevederi legale în acest sens. Societatea se va asigura ca într-o asemenea situație, retragerea consimțământului se poate realiza la fel de ușor după cum s-a și obținut, respectiv prin metode similare cu cele aplicate la colectarea consimțământului persoanei vizate. 

Societatea implementează standarde adecvate pentru a se asigura că drepturile mai sus menționate sunt respectate.

Salariații si colaboratorii Societății trebuie să depună toate eforturile pentru a nu colecta și prelucra datele cu caracter personal decât dacă este absolut necesar pentru un scop legitim aprobat.

Persoanele vizate pot să-și exercite aceste drepturi prin depunerea unei cereri conform secțiunii relevante din prezenta Politică (secțiunea 9 lit. b), cererile urmând a fi soluționate cu avizul Responsabilului cu protecția datelor, în conformitate cu Politica privind exercitarea drepturilor persoanelor vizate 

11. Masuri tehnice si organizatorice implementate de Societate pentru a asigura protecția datelor din momentul conceperii si in mod implicit (privacy by design și privacy by default)

Societatea se angajează să protejeze datele cu caracter personal ale persoanelor vizate care au fost prelucrate urmare a interacțiunilor acestea, precum și cu orice alte persoane fizice.

Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de drepturile și libertățile persoanelor fizice vizate, Societatea implementează măsuri tehnice și organizatorice adecvate” pentru a garanta și a fi în măsură să demonstreze că prelucrarea datelor cu caracter personal se efectuează în conformitate cu legislația în vigoare, atât națională cât și europeană. Aceste măsuri se revizuiesc periodic de către Responsabilul cu protecția datelor, Directia IT, Internal Control Forensics si Securitate, Conformitate și Proprietarul Sistemului Informatic de Business și se actualizează in conformitate cu cerințele legale aplicabile.

In funcție de impactul pe care îl poate avea o astfel de operațiune de prelucrare a datelor cu caracter personal, Societatea adopta măsuri specifice de protecție și de securitate a datelor, salariații/colaboratorii Societății având obligația în cadrul activității lor profesionale de a asigura eficacitatea aplicării cerințelor de securitate. Aceste măsuri de protecție vor fi verificate periodic de către cei cu atribuții în acest sens (e.g. Information Security) , iar eficacitatea lor monitorizată și auditată. 

Astfel, având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor vizate, salariații Societății responsabili pentru aria de prelucrare a datelor cu caracter personal conform atribuțiunilor lor, vor efectua, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. O evaluare unică poate aborda un set de operațiuni de prelucrare similare care prezintă riscuri ridicate similare. În aceste situații, este recomandabil să se solicite punct de vedere de la Responsabilul cu protecția datelor.

Salariații Societății vor asigura implementarea recomandărilor primite din partea Responsabilului cu protecția datelor în cadrul operațiunilor de prelucrare a datelor pe care le realizează în numele Societății.

Totodată, se va avea în vedere că pentru operațiunile de procesare a datelor care implică un risc ridicat cu privire la drepturile și libertățile fundamentale ale persoanelor vizate, Societatea, prin responsabilul de proces, va identifica aceste riscuri si  le va evalua realizând o analiza de impact asupra protecției datelor cu caracter personal care să estimeze, în special, originea, natura, specificitatea și gravitatea acestui risc (conform Articolului 35 din RGPD). In urma consultarii Responsabilului cu protecția datelor, Rezultatul evaluării va fi luat în considerare de catre responsabilul de proces la stabilirea măsurilor adecvate care trebuie luate pentru a demonstra că prelucrarea datelor cu caracter personal respectă prevederile legale.

Daca vor exista situații, în cazul în care, chiar și după implementarea măsurilor tehnice și organizatorice, riscul rezidual rămâne ridicat, Societatea se va consulta în prealabil cu ANSPDCP.

Pentru respectarea acestor obligații, departamentul/departamentele implicat /implicate sau care sunt impactate de prelucrare va/vor desemna o persoană responsabilă cu realizarea analizei de impact asupra protecției datelor și se va/vor asigura că aceasta este instruită pentru a cunoaște procesul de realizarea a unei asemenea analize, urmărind regulile interne, precum si legislația aplicabilă.

În cadrul măsurilor tehnico–organizatorice, salariații Societății cu atribuții în ceea ce privește protecția și securitatea datelor personale și a echipamentelor IT vor avea întotdeauna în vedere impunerea unor controale adecvate protecției datelor cu caracter personal, inclusiv, dar fără a se limita la, accesul securizat și controlat al angajaților/colaboratorilor la datele cu caracter personal, respectiv la bazele de date, sistemele sau aplicațiile IT ale Societății.

În plus, toate dezvoltările si actualizările vizând sistemele si echipamentele implicate in prelucrarea datelor cu caracter personal se vor face cu respectarea principiilor "data protection by design" și "data protection by default", respectiv respectarea dreptului la protecţiei datelor începând cu momentul conceperii şi în mod implicit, astfel cum sunt definite de către Articolul 25 din RGPD.  

a.    Aspecte privind autorizarea accesului la date

Datele cu caracter personal trebuie să fie stocate într-un mediu securizat, iar accesul trebuie să fie limitat doar la angajații și colaboratorii săi care au drepturi de acces la sistemele și aplicațiile Societății.

Doar personalul care are nevoie să acceseze datele cu caracter personal pentru realizarea atribuțiilor sale de serviciu urmează a fi autorizat pentru a avea acces la bazele de date, sistemele si aplicațiile Societății (principiul „need to know basis”).
   
Salariații și colaboratorii Societății care au primit autorizarea de acces la baze de date sau care au drepturi de administrare a acestora, respectiv a sistemelor și aplicațiilor IT care le stochează, vor participa în mod regulat la programe de instruire privind protecția și securitatea datelor cu caracter personal.
Prevederile Politicii de Gestionare a Sistemelor Informatice de Business si a Politicii de gestionare a accesului IT se aplica in mod corespunzator

b.    Autentificarea personalului autorizat la bazele de date cu caracter personal

Accesul la sistemele și aplicațiile care conțin/stochează date cu caracter personal poate fi acordat numai după ce persoana autorizată a fost identificată și autentificată în baza unui nume de utilizator și a unei parole de acces. În cazul în care parola nu a fost introdusă cu succes, respectiv nu există o autorizare a accesului, accesul în sistemele de evidență conținând date cu caracter personal trebuie refuzat.

Salariații/colaboratorii Societății au obligația de a nu dezvălui numele de utilizator si parola nici unei alte persoane. În cazul în care suspectează că o altă persoană a aflat parola sa de accesare a sistemelor de evidență, atunci trebuie să procedeze imediat și fără întârziere la schimbarea acesteia. Într-o asemenea situație, salariatul trebuie să-l informeze și să se consulte cu Responsabilului cu protecția datelor.

Parolele de identificare în sistemele și aplicațiile Societății trebuie modificate periodic de către utilizator, imediat cum acesta primește anunțul automat de informare a expirării parolei utilizate.

c.    Actualizarea listei utilizatorilor autorizați

Lista cu personalul autorizat să acceseze bazele de date trebuie actualizata periodic asigurând menținerea acestei liste la un minim necesar, conform principiului necesitații de a cunoaște (principiul „need to know basis”).

Salariaților/colaboratorilor care părăsesc Societatea sau care sunt transferați la un alt departament din cadrul Societatii le vor fi revocate drepturile de acces la sistemele de evidențe/aplicațiile IT în situația în care acestea nu mai sunt necesare pentru aducerea la îndeplinire a atribuțiunilor lor de serviciu.

d.    Transmiterea datelor cu caracter personal

Datele cu caracter personal se vor transmite numai în condiții de siguranță, orice transmitere de date cu caracter personal în afara Societății, care nu se încadrează în procedurile avizate de Responsabilul cu protecțía datelor va fi efectuată numai cu avizul prealabil al acestuia. 
Compania va implementa masuri de securitate a datelor in cazul transferului datelor cu caracter personal, inclusiv prin aplicaţii si solutii tehnice de prevenire a pierderii datelor si respectarea de către Societate a obligației de păstrare a integrității si confidențialității datelor conform GDPR.

e.    Stocarea în siguranță a datelor cu caracter personal
Datele cu caracter personal vor fi stocate în medii securizate ce includ atât securitate logică (autorizare, autentificare, criptare și parolă de acces), cât și fizică (acces restricționat la server și la echipamentul de stocare a datelor). De asemenea, o atenție similară este acordată și securității fizice a imobilelor în care Societatea desfășoară activități, cât și a documentelor pe suport hârtie care conțin date cu caracter personal.

f.      Execuţia copiilor de siguranţă

Copiile de siguranţă se efectuează zilnic pe disc, cu o politica de retenție de 21 zile. Restaurarea bazelor de date/aplicaţiilor care conţin date cu caracter personal se realizează în prezenţa Responsabilului cu Protecţia Datelor (principiul celor 4 ochi) și se documentează.

Accesul la copiile de siguranţă este un proces monitorizat, fiind supus procesului de auditare internă.  

g.    Persoanele împuternicite

În situația prelucrărilor de date cu caracter personal realizate de Societate prin intermediul persoanelor împuternicite in sensul art. 4 (8) din RGPD, Societatea se va asigura că și acestea  implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător al datelor, incluzând in contractele încheiate cu aceștia clauze privind cerințele minime de securitate a datelor cu privire la masurile tehnice si organizatorice adecvate identificate.

Aceste măsuri vor putea include, fără a se limita la:
a) Măsuri privind minimizarea cantității datelor cu caracter personal prin filtrare si eliminare, reducerea senzitivității prin conversie, reducerea acumulării de date, restricționarea accesului, reducerea capacitații de identificare a naturii datelor, conform instrucțiunilor Societății.
b) Măsuri privind trasabilitatea - existența unei politici de trasabilitate si management al log-urilor, cu păstrarea acestora pe toata durata operațiunilor de prelucrare a datelor, dar minim 2 ani. 
c) Măsuri privind relațiile Persoanelor împuternicite cu subcontractorii  - existenta unei politici si a unor procese de reducere a riscurilor de acces neautorizat la date.
d) Măsuri în vederea ștergerii, anonimizării și/sau returnării datelor cu caracter personal de către persona împuternicită după finalizarea prelucrării în numele operatorului, exceptând situațiile in care există  o cerință legală de stocare a datelor cu caracter personal și după finalizarea prelucrării.


12. Securitatea prelucrării. Incidente de protecție si securitate a datelor 

Societatea va implementa măsuri tehnice și organizatorice specifice afacerii sale, incluzând printre altele, după caz:
-    capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă ale sistemelor de evidenta si aplicațiilor  IT ce conțin sau stochează date cu caracter personal; 
-    capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică; 
-    pseudonimizarea, și criptarea și anonimizarea datelor cu caracter personal;
-    un proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării datelor cu caracter personal.
-     accesarea sistemelor/aplicațiilor IT ale Societatii numai de utilizatori autorizați care dețin un cont cu o parolă valabilă.

Incidentele sistemelor IT care afectează datele cu caracter personal ale clienților Societății sau ale altor persoane vizate sunt considerate incidente cu risc ridicat.

În situația unui incident de securitate a datelor cu caracter personal, se vor avea în vedere și prevederile Politicii de securitate a informațiilor adoptate de Societate (inclusiv anexele relevante).  

Efectele incidentelor de securitate a datelor personale pentru persoana vizată (client/subiect/angajat) pot consta in: prejudicii de natură fizică, materială și morală, discriminare, furt sau fraudă a identității, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional, sau orice alt dezavantaj semnificativ de natură economică și socială, inclusiv dar fără a se limita la privarea de drepturile sale sau imposibilitatea exercitării controlului asupra datelor sale personale.

Exemple de incidente de securitate a datelor cu caracter personal: 

-    furtul sau pierderea unui laptop sau memorii externe care conține date personale ale clienților; 
-    datele personale ale clienților care au utilizat serviciul de  înrolare prin aplicație mobilă/website  sunt accesate prin exploatarea unei vulnerabilități a aplicației;
-    un e-mail cu informații sensibile transmis către un destinatar diferit de cel către care se intenționa transmiterea, etc.
-     accesarea neautorizata a retelei interne a Societatii;
-     transmiterea datelor cu caracter personal pe adrese personale de email


În situația în care un incident de securitate IT afectează date cu caracter personal, Direcția IT sau angajatul Societății care a luat act de un asemenea incident, va informa deîndată Reposnabilul pentru protectia datelor  pentru analizarea masurilor imediate ce urmează a fi luate de către Societate cum ar fi notificarea ANSPDCP cu privire la incident in termen de 72 ore de la data la care angajatul Societății a luat cunoștința de acesta și/sau notificarea persoanelor vizate in cazul existentei unui risc ridicat cu privire la drepturile si libertățile fundamentale ale acesteia.

Notificarea transmisa ANSPDC de catre Reposnabilul pentru protectia datelor în cazul apariției unui astfel de incident: 

- descrie caracterul încălcării securităţii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi numărul aproximativ al persoanelor vizate în cauză, precum şi categoriile şi numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
  - comunică numele şi datele de contact ale responsabilului cu protecţia datelor sau un alt punct de contact de unde se pot obţine mai multe informaţii
   -  descrie consecinţele probabile ale încălcării securităţii datelor cu caracter personal
    - descrie măsurile luate sau propuse spre a fi luate de Societate pentru a remedia problema încălcării securităţii datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

De asemenea, orice alt tip de incident care ar putea sa afecteze date cu caracter personal prelucrate de către Societate, va fi adus la cunoștința Responsabilul cu protecția datelor pentru analiza in conformitate cu legislația privind protecția datelor cu caracter personal. 

În cazul în care are loc un incident de securitate susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, Societatea va informa persoana afectată fără întârzieri nejustificate cu privire la acest incident. 


13. Instruirea privind protecția si securitatea datelor cu caracter personal

Salariații sunt instruiți de ctare Conformitate, Reposnabilul pentru protectia datelor, Information Security prin programe de pregătire profesionale – training – în domeniul protecției și securității datelor cu caracter personal prin personal specializat intern/extern, periodic şi ori de câte ori este necesar. 
Angajaţilor le este interzisă prelucrarea, divulgarea, transmiterea către terţi, permiterea accesului la, sau folosirea neautorizată a datelor cu caracter personal in alt scop decât acela al îndeplinirii legale a sarcinilor de serviciu.

 
14. Aspecte specifice privind  CCTV și Controlul Accesului 

Sistemele de control al accesului sunt utilizate la Societate în scopul securizării, administrării sistemelor IT și ale clădirilor de birouri și pentru asigurarea siguranței publice. Sistemul de CCTV al Companiei va fi utilizat în conformitate cu Codul de Conduită al Societății si prevederile sale legate de CCTV.

Cererile emise de către politie în conformitate cu excepțiile relevante din legislația aplicabilă pentru informații din sistemul CCTV și sistemele de control al accesului ale Companiei vor fi gestionate de către departamentul de Control Intern, Investigații și Securitate din cadrul Grupului și contrasemnate de reprezentantul departamentului Juridic al Grupului.

Cererile emise de orice alte persoane sau organizații pentru informații din sistemul CCTV și sistemele de control al accesului vor fi gestionate de reprezentanții departamentului de Control Intern, Investigații și Securitate din cadrul Grupului.

15. Conformitate,  proceduri disciplinare 

Pierderea sau încălcarea confidențialității datelor personale reprezintă o încălcare gravă și poate duce la acțiuni legale împotriva KMG International. Prin urmare, toți utilizatorii de date personale din sistemele informatice ale Societății trebuie să respecte prezenta Politică și documentele date in aplicarea acesteia,  cât și Politica privind Securitatea Informațiilor a Grupului.

Toți angajații, contractorii, consultanții Societății trebuie să fie informați cu privire la existența acestei Politici și a politicilor suport, codurilor de practică și a liniilor directoare. 

Orice încălcare a prezentei politici va fi gestionată în conformitate cu toate politicile relevante ale Societății, incluzând Standardul privind Condițiile de Utilizare ale Resurselor Informatice din KMG International și cu procedurile disciplinare aplicabile ale departamentului de Resurse Umane.

Orice persoană care știe sau suspectează o încălcare a acestei politici trebuie să raporteze faptele imediat Responsabilului cu protecția datelor și/sau la dataprotection@rompetrol.com .

16. Prevederi finale 
Lista regulamentelor interne conexe

-    KMGI - Standardul privind Clasificarea Informațiilor 
-    Standardul privind Condițiile de Utilizare ale Resurselor Informatice din KMGI
-    KMGI – Information Security Policy
-    Politica de gestionare a sistemelor informatice de business.
-    Politicii de gestionare a accesului IT