POLITICA GENERALĂ PRIVIND PROTECȚIA DATELOR CU CARACTER PERSONAL

 

1. Introducere

1.1         Regulamentul general privind protecția datelor din 2016 („GDPR“) înlocuiește Directiva UE din 1995 privind protecția datelor înlocuind în același timp și legislația fiecărui Stat Membru care a fost elaborată în conformitate cu Directiva 95/46/CE privind protecția datelor. Scopul său este de a proteja drepturile și libertățile persoanelor fizice (persoanele fizice în viață) și de a se asigura că datele cu caracter personal nu sunt prelucrate fără știrea acestora și, ori de câte ori este necesar, că sunt prelucrate cu consimțământul informat și specific al acestora.

1.2        Definițiile utilizate de Arpeggio Club SRL (preluate din GDPR)

Domeniul de aplicare material (Articolul 2) - GDPR se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate (computer, laptop), precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal (înregistrări pe hârtie) care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor. Domeniul de aplicare teritorial (Articolul 3) GDPR se va aplica tuturor operatorilor care au sediul în UE (Uniunea Europeană) care prelucrează datele cu caracter personal ale persoanelor vizate, indiferent dacă prelucrarea are loc sau nu pe teritoriul UE. Se va aplica și operatorilor din afara UE care prelucrează date cu caracter personal pentru a oferi bunuri și servicii sau pentru a monitoriza comportamentul persoanelor vizate care au reședința în UE.

1.3        Articolul 4 Definiții

Sediu sediul principal al operatorului în UE va fi locul în care operatorul adoptă principalele decizii cu privire la scopul și mijloacele activităților sale de prelucrare a datelor. Sediul principal al unui operator în UE va locul unde se află administrația centrală. Dacă un operator are sediul în afara UE, va trebui să numească un reprezentant în jurisdicția în care operatorul își desfășoară activitatea pentru a acționa în numele operatorului și a se ocupa de relația cu autoritățile de supraveghere. Date cu caracter personal - orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. Categorii speciale de date cu caracter personal - date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice. Operator - persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern. Persoana vizată – orice persoană fizică în viață care face obiectul datelor cu caracter personal deținute de către o organizație. Prelucrare - orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea. Creare de profiluri - orice formă de prelucrare automată a datelor cu caracter personal destinată să evalueze anumite aspecte personale referitoare la o persoană fizică sau să analizeze ori să prevadă performanța la locul de muncă, situația economică, locația, sănătatea, preferințele personale, fiabilitatea sau comportamentul persoanei respective. Această definiție este legată de dreptul persoanei vizate de a se opune creării de profiluri și de dreptul de a fi informată cu privire la existența creării de profiluri, a măsurilor bazate pe crearea de profiluri și efectele preconizate ale creării de profiluri asupra individului. Încălcarea securității datelor cu caracter personal - o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea. Operatorul are obligația de a raporta autorităților de supraveghere încălcări ale securității datelor cu caracter personal și cazurile în care încălcarea ar putea afecta în mod negativ datele cu caracter personal sau viața privată a persoanei vizate. Consimțământul persoanei vizate - înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal să fie prelucrate. Copil GDPR definește un copil ca orice persoană sub vârsta de 16 ani, deși aceasta poate fi redusă la 13 de legislația internă a Statului Membru. Prelucrarea datelor cu caracter personal ale unui copil este legală numai dacă a fost obținut consimțământul părinților sau custozilor. Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul autorității părintești a acordat consimțământul. Parte terță - o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal. Sistem de evidență a datelor - orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice.


2.Declaratia de politica

2.1        Arpeggio Club prin intermediul membrilor conducerii sale, cu sediul în București, Str. Pictor Barbu Iscovescu Nr 40, Et. 1, Ap. 2, înregistrată la Registrul Comerțului sub nr. J40/12241/2015, având codul fiscal nr. 35097977,  se angajează să respecte toate legile relevante ale UE și ale Statelor membre cu privire la datele cu caracter personal și protecția drepturilor și libertăților persoanelor ale căror informații le colectează și prelucrează în conformitate cu GDPR.

2.2       Respectarea GDPR este descrisă de această politică și procedurile relevante, cum ar fi Procedura privind cererile persoanelor vizate, Procedura privind încălcarea securității datelor, împreună cu procesele și procedurile conexe.

2.3        GDPR și această politică se aplică tuturor operațiunilor de prelucrare a datelor cu caracter personal ale Arpeggio Club SRL, inclusiv cele efectuate asupra datelor cu caracter personal ale clienților, angajaților, partenerilor și oricăror alte date cu caracter personal pe care organizația le prelucrează de la orice sursă.

2.4        Membrii organelor de conducere ai Arpeggio Club SRL desemnează una sau mai multe persoane ca GDPR Compliance Officer. Acestea nu au atribuțiile unui DPO.

2.5        GDPR Compliance Officer participă la revizuirea registrului de evidență a prelucrărilor în lumina oricărei modificări aduse activităților Arpeggio Club SRL (determinată de modificările aduse registrului de inventariere a datelor și revizuirii de către conducere) precum și oricăror cerințe suplimentare identificate prin intermediul evaluărilor de impact privind protecția datelor. Acest registru trebuie să fie disponibil la cererea autorității de supraveghere.

2.6        Această politică se aplică tuturor angajaților Arpeggio Club SRL, precum și furnizorilor săi care prelucrează date cu caracter personal în calitate de împuterniciți ai Arpeggio Club SRL. Orice încălcare a GDPR sau a acestei politici va fi tratată în conformitate cu Regulamentul intern Arpeggio Club SRL, iar în condițiile prevăzute de GDPR, Arpeggio Club SRL va notifica ANSPDCP cu privire la încălcarea respectivă. În situația în care fapta care a determinat încălcarea poate constitui, de asemenea, o infracțiune, aceasta va fi adusă cât mai curând posibil la cunoștința autorităților competente.

2.7        Partenerii Arpeggio Club SRL, care prelucrează date cu caracter personal în calitate de împuterniciți ai Arpeggio Club SRL, trebuie să fi citit, înțeles și respectat această politică. Arpeggio Club SRL va comunica oricărui astfel de partener prezenta Politică. Nicio terță parte nu poate prelucra datele cu caracter personal deținute de Arpeggio Club SRL fără să fi încheiat un contract prin care părțile să reglementeze obligațiile cu privire la confidențialitatea datelor. Arpeggio Club SRL va impune părții terțe obligații cel puțin la fel de oneroase ca cele la care Arpeggio Club SRL se angajează.


3.Responsabili- tati si roluri in temeiul Regulamentului general privind protectia datelor

3.1         Arpeggio Club SRL este un operator de date cu caracter personal, putând îndeplini, ocazional și calitatea de persoană împuternicită în temeiul GDPR.

3.2        Membrii organelor de conducere ai Arpeggio Club SRL sunt responsabili pentru implementarea măsurilor necesare pentru a garanta respectarea legislației în domeniul protecției datelor cu caracter personal, organizarea modului de prelucrare a datelor cu caracter personal, managementul securității și a riscurilor în legătură cu acestea, dezvoltarea și încurajarea bunelor practici de gestionare a datelor cu caracter personal în cadrul Arpeggio Club SRL;

3.3        Membrii organelor de conducere ai Arpeggio Club SRL sunt responsabili pentru reevaluarea analizei privind îndeplinirea condițiilor prevăzute de art. 37 alin. (1) din GDPR în situația în care Arpeggio Club SRL va intenționa să inițieze prelucrări de date speciale sau care pot avea un risc ridicat cu privire la drepturile și libertățile persoanelor. De asemenea, o nouă analiză va fi efectuată în cazul în care prin legislația națională vor fi introduse obligații suplimentare cu privire la protecția datelor cu caracter personal față de cele prevăzute în GDPR.

3.4        Membrii organelor de conducere ai Arpeggio Club SRL vor putea delega atribuțiile lor în domeniul protecției datelor cu caracter personal către GDPR Compliance Officer.

3.5        GDPR Compliance Officer are rol consultativ în legătură cu procedurile precum Procedura privind cererile persoanelor vizate și este un punct de apel pentru angajații care solicită clarificări cu privire la aspecte ale respectării protecției datelor.

3.6        Respectarea legislației privind protecția datelor este responsabilitatea tuturor angajaților Arpeggio Club SRL care prelucrează date cu caracter personal.

3.7        Angajații Arpeggio Club SRL sunt responsabili pentru a asigura că orice date cu caracter personal despre ei și furnizate de ei către Arpeggio Club SRL sunt corecte și actualizate.

 

4.Principii privind protectia datelor

Orice prelucrare a datelor cu caracter personal trebuie să se efectueze în conformitate cu principiile protecției datelor așa cum sunt stabilite în Articolul 5 al GDPR. Politicile și procedurile Arpeggio Club SRL sunt concepute pentru a asigura conformitatea cu principiile.

4.1        Datele cu caracter personal trebuie să fie prelucrate în mod legal, corect și transparent

Legal – identificați o bază legală înainte de a putea prelucra date cu caracter personal. Acestea sunt adesea denumite „temeiurile de prelucrare“: obligație legală, contract, consimțământul, interes legitim al Arpeggio Club SRL, interes public sau interesele vitale ale persoanei vizate.

Corect – pentru ca prelucrarea să fie corectă, operatorul de date trebuie să informeze persoanele vizate înainte de începerea prelucrării sau cât mai curând posibil. Informarea este obligatorie indiferent dacă datele cu caracter personal au fost obținute direct de la persoanele vizate sau din alte surse. 

Transparent – Articolele 12, 13 și 14 din GDPR stabilesc regulile de informare a persoanelor vizate.  Prevederile sunt detaliate și specifice, punând accentul pe faptul că notificările privind confidențialitatea trebuie să fie ușor de înțeles și accesibile. Informațiile trebuie comunicate persoanei vizate într-o formă inteligibilă, folosind un limbaj clar și simplu.

Informațiile specifice care trebuie furnizate persoanei vizate trebuie să includă cel puțin:

4.1.1            identitatea și datele de contact ale Arpeggio Club SRL;

4.1.2           scopul prelucrării datelor cu caracter personal, precum și temeiul juridic al prelucrării;

4.1.3           perioada de stocare a datelor cu caracter personal;

4.1.4           existența drepturilor de a solicita accesul, rectificarea, ștergerea sau opoziția față de prelucrare și condițiile (sau lipsa acestora) de exercitare a acestor drepturi, cum ar fi afectarea legalității prelucrării anterioare;

4.1.5           categoriile de date cu caracter personal în cauză;

4.1.6           destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;

4.1.7            dacă este cazul, că Arpeggio Club SRL intenționează să transfere date cu caracter personal unui destinatar dintr-o țară terță și nivelul de protecție acordat datelor;

4.1.8           orice informații suplimentare necesare pentru a garanta o prelucrare corectă.

4.2        Datele personale pot fi colectate doar în scopuri specifice, explicite și legitime

Datele obținute în scopuri specifice nu trebuie utilizate într-un scop care diferă de cel inițial, așa cum a fost menționat în cadrul Registrului de evidență a prelucrărilor deținut de Arpeggio Club SRL.

4.3        Datele cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar pentru procesare

4.3.1           GDPR Compliance Officer poate fi consultat astfel încât Arpeggio Club SRL să se asigure că nu colectează informații care nu sunt strict necesare pentru atingerea scopul pentru care sunt obținute.

4.3.2          Toate formele de colectare a datelor (electronic sau pe suport de hârtie), inclusiv cerințele de colectare a datelor în noile sisteme informatice, trebuie să includă o declarație de prelucrare corectă sau link către Politica de confidențialitate.

4.3.3          GDPR Compliance Officer va putea fi consultat în cadrul auditului intern/extern anual pentru se stabili dacă datele colectate continuă să fie adecvate, relevante și proporționale scopului urmărit.

4.4        Datele cu caracter personal trebuie să fie exacte și, atunci când este necesar să fie actualizate prin ștergerea sau rectificarea fără întârziere

4.4.1           Datele stocate de operatorul de date trebuie să fie revizuite și actualizate, după caz. Nu trebuie păstrate date decât dacă se poate presupune în mod rezonabil că acestea sunt exacte.

4.4.2          GDPR Compliance Officer poate participa la ședințele organizate de Arpeggio Club SRL pentru a asigura că întreg personalul este instruit cu privire la importanța colectării datelor corecte și a menținerii acestora.

4.4.3          De asemenea, este și responsabilitatea persoanei vizate să se asigure că datele deținute de Arpeggio Club SRL sunt corecte și actualizate. Completarea unui formular de înregistrare sau a unei cereri de către o persoană vizată va include o declarație conform căreia datele conținute în acesta sunt corecte la data depunerii.

4.4.4          Angajații și reprezentanții partenerii Arpeggio Club SRL trebuie să notifice operatorul cu privire la orice modificări ale datelor personale pentru a permite ca înregistrarea datelor cu caracter personal să fie actualizată în mod corespunzător. Este responsabilitatea Arpeggio Club SRL se asigure că orice notificare cu privire la schimbarea situației este înregistrată și a fost luată în considerare.

4.4.5          Cel puțin anual, GDPR Compliance Officer va verifica termenele de ștergere ale tuturor prelucrărilor de date cu caracter personal realizate de către Arpeggio Club SRL, consemnate în Registrul prelucrărilor de date și va identifica orice prelucrări de date și/sau categorii de date care nu mai sunt necesare în contextul scopului înregistrat. Aceste date vor fi șterse / distruse în siguranță, numai ca urmare a deciziei Arpeggio Club SRL.

4.4.6          Arpeggio Club SRL are responsabilitatea de a răspunde solicitărilor de rectificare din partea persoanelor vizate în termen de 30 de zile (Procedura privind cererile persoanelor vizate). Termenul poate fi prelungit cu maxim două luni pentru cereri complexe. În cazul în care Arpeggio Club SRL decide să nu se conformeze cererii sau să prelungească termenul de răspuns, trebuie să informeze persoana vizată cu privire la motivele care au stat la baza acestei decizii, precum și cu privire la dreptul său de a depune o plângere la autorității de supraveghere.

4.5        Datele cu caracter personal trebuie păstrate într-o formă care să permită identificarea persoanei vizate numai atât timp cât este necesar pentru prelucrare.

4.5.1           În cazul în care datele cu caracter personal sunt păstrate dincolo de data prelucrării, acestea vor fi pseudonimizate pentru a proteja identitatea persoanei vizate în cazul unei încălcări a securității datelor.

4.5.2           Datele cu caracter personal vor fi păstrate pe toată durata prelucrării de fiecare Departament care le deține, iar Directorii de departament vor fi responsabili pentru ștergerea/distrugerea datelor cu caracter personal în cazul depășirii perioadei de păstrare.

4.5.3            GDPR Compliance Officer poate fi consultat cu privire la orice păstrare a datelor care depășește perioadele de păstrare definite, iar Arpeggio Club SRL trebuie să se asigure că justificarea este identificată în mod clar și conformă cu cerințele legislației privind protecția datelor.

4.6        Datele personale trebuie prelucrate într-un mod care să asigure securitatea corespunzătoare

GDPR Compliance Officer va fi consultat cu privire la evaluarea riscurilor ținând seama de toate circumstanțele operațiunilor de controlare sau prelucrare ale Arpeggio Club SRL.

Pentru a determina caracterul adecvat, poate fi consultat GDPR Compliance Officer  care ar trebui să ia în considerare, de asemenea, amploarea eventualelor daune sau pierderi care ar putea fi cauzate persoanelor fizice (de exemplu, personalului sau clienților) dacă apare o încălcare a securității, efectul oricărei încălcări a securității asupra Arpeggio Club SRL în sine, și orice daune reputaționale posibile, inclusiv pierderea posibilă a încrederii clienților.

La evaluarea măsurilor tehnice adecvate, Arpeggio Club SRL va lua în considerare următoarele:

·     Protecție cu parolă cu grad minim de complexitate de 5  caractere alfanumerice;

·     Blocarea automată a terminalelor inerte după 3  min;

·     Eliminarea sau monitorizarea drepturilor de acces pentru USB și alte suporturi de memorie;

·     Software antivirus și firewall;

·     Drepturile de acces bazate pe atribuțiile de serviciu, inclusiv cele atribuite personalului temporar;

·     Criptarea dispozitivelor care părăsesc sediile organizației, cum ar fi laptopurile;

·     Securitatea rețelelor la nivel de LAN (Local Area Network) și WAN (Wide Area Network);

·     Tehnologii de îmbunătățire a confidențialității, cum ar fi pseudonimizarea și anonimizarea;

La evaluarea măsurilor organizatorice adecvate, Arpeggio Club SRL  va lua în considerare următoarele:

·     Nivelurile adecvate de instruire pentru toți angajații ;

·     Semnarea de către angajați a unui angajament cu privire la protecția datelor cu caracter personal. Includerea acestor obligații în Regulamentul de ordine interioară;

·     Identificarea măsurilor de sancțiune disciplinară pentru încălcarea securității datelor;

·     Monitorizarea personalului privind obligațiile de securitate stabilite;

·     Controalele privind accesul fizic la înregistrările electronice și pe hârtie (spre exemplu drepturile de acces în aplicații);

·     Stocarea datelor pe suport de hârtie în dulapuri securizate (cel puțin sistem de închidere cu cheie);

·     Restricționarea utilizării dispozitivelor electronice portabile în afara locului de muncă sau definirea de reguli clare cu privire la folosirea acestora;

·     Restricționarea folosirii dispozitivelor personale ale angajatului la locul de muncă;

·     Adoptarea de reguli clare cu privire la parole.

4.7        Operatorul trebuie să poată demonstra conformitatea cu celelalte principii ale GDPR (responsabilitate)

În conformitate din art. 5 alin. (2) din GDPR, Arpeggio Club SRL respectă principiile de protecției a datelor prin implementarea politicilor de protecție a datelor, punerea în aplicare a măsurilor tehnice și organizatorice, precum și adoptarea unor tehnici precum protecția datelor prin proiectare (privacy by design), analiză de impact, proceduri de notificare a încălcărilor și planuri de răspuns la incidente.

 

5.1        Persoanele vizate au următoarele drepturi privind prelucrarea datelor:

5.1.1                Dreptul de acces - prin intermediul căruia se poate obține din partea Arpeggio Club SRL o confirmare a faptului că datele sale personale sunt sau nu prelucrate.

5.1.2               Dreptul la rectificare - acesta presupune posibilitatea de a solicita Arpeggio Club SRL să rectifice datele inexacte care le privesc;

5.1.3               Dreptul de a fi uitat – prin intermediul căruia poate obține ștergerea datelor sale de către Arpeggio Club SRL, în anumite condiții prevăzute în GDPR;

5.1.4               Dreptul la restricționarea prelucrării - apare în situația unei prelucrări inexacte, ilegale sau a exercitării dreptului la opoziție de către persoana vizată;

5.1.5               Dreptul la portabilitatea datelor - dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat Arpeggio Club SRL într-un format structurat, utilizat în mod curent și care poate fi citit automat și care include și dreptul de a transmite aceste date altui operator;

5.1.6               Dreptul la opoziție – presupune inclusiv dreptul de a se opune creării de profiluri.

5.1.7               Dreptul la informare – presupune informarea de o manieră concisă, transparentă și ușor accesibilă a persoanelor vizate cu privire la datele prelucrate.

5.1.8               Dreptul de a se adresa cu o plângere Autorității de Supraveghere.

5.2        Arpeggio Club SRL se asigură că persoanele vizate pot să își exercite aceste drepturi:

5.2.1            Persoanele vizate pot face cereri de acces la date așa cum se descrie în Procedura privind cererile persoanelor vizate.

5.2.2          Persoanele vizate au dreptul de a adresa plângeri către Arpeggio Club SRL legate de prelucrarea datelor lor cu caracter personal.

5. Drepturile persoanelor vizate

 

6.1        Arpeggio Club SRL înțelege „consimțământul" ca fiind acordat printr-o acțiune neechivocă care constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal. Persoana vizată își poate retrage consimțământul în orice moment.

6.2        Consimțământul obținut sub presiune sau pe baza unor informații înșelătoare nu va constitui o bază valabilă pentru prelucrare.

6.3        Trebuie să existe dovadă a comunicării dintre părți pentru a demonstra consimțământul exprimat de persoanele vizate. Consimțământul nu poate fi dedus din lipsa de răspuns la o comunicare. Operatorul trebuie să poată demonstra că a fost obținut consimțământul pentru operațiunea de prelucrare.

6.4        Pentru prelucrarea de date sensibile, trebuie obținut consimțământul scris explicit (Procedura de acordare a consimțământului) al persoanelor vizate, cu excepția cazului în care există un alt temei legal de prelucrare.

6.5        În cazul în care consimțământul de a prelucra date personale și sensibile este temeiul legal al prelucrării, acesta va fi dobândit de Arpeggio Club SRL utilizând Procedura de obținere a consimțământului.

6.Consimtamant

 

 

7.1         Toți angajații trebuie să se asigure că orice date cu caracter personal pe care Arpeggio Club SRL le deține și pentru care sunt responsabili, sunt păstrate în siguranță și nu sunt în niciun fel dezvăluite niciunei terțe părți, cu excepția cazului în care această terță parte a fost autorizată în mod expres de către Arpeggio Club SRL să primească aceste informații.

7.2        Toate datele cu caracter personal ar trebui să fie accesibile numai celor care au nevoie să le utilizeze în conformitate cu drepturile de acces. Toate datele cu caracter personal trebuie gestionate în cea mai mare siguranță și trebuie păstrate:

·      într-o cameră cu închisă cu acces controlat; și / sau

·      într-un sertar sau într-un dulap încuiat; și / sau

·      dacă sunt computerizate, protejate prin parolă în conformitate cu nivelul de securitate stabilit de Arpeggio Club SRL; și / sau

·      stocate pe un suport media (detașabil) care este criptat.

7.3        Angajații Arpeggio Club SRL se vor asigura că ecranele dispozitivelor pe care utilizează nu sunt vizibile pentru nici un terț neautorizat. Toți angajații trebuie să încheie un Angajament privind acordul de utilizator.

7.4        Documentele fizice, precum și orice copii ale acestora nu trebuie lăsate în locuri accesibile personalului neautorizat și nu pot fi folosite în afara sediului central sau punctului de lucru în care sunt stocate fără autorizare explicită. Orice copie trebuie distrusă de îndată ce scopul pentru care a fost efectuată a fost îndeplinit.

7.5        Documentele fizice pentru care s-a împlinit termenul de ștergere stabilit  trebuie să fie casate și distruse ca „deșeuri confidențiale".

7.6        Anterior scoaterii din uz a dispozitivelor electronice mediile de stocare ale acestora trebuie să fie readuse la setările din fabrică sau distruse.

7.7        Prelucrarea datelor cu caracter personal în afara Arpeggio Club SRL prezintă un risc potențial mai mare de pierdere, furt sau deteriorare a datelor cu caracter personal. Angajații trebuie să fie autorizați în mod special pentru prelucrarea datelor în afara amplasamentului.

7. securitatea datelor

 

8.1         Arpeggio Club SRL trebuie să se asigure că datele cu caracter personal nu sunt divulgate terților neautorizați. Angajații conștientizează faptul că în categoria terților  neautorizați sunt incluși și membri ai familiei și/sau prieteni.

8.divulgarea datelor

 

9.1        Arpeggio Club SRL nu va păstra datele cu caracter personal într-o formă care să permită identificarea persoanelor vizate pentru o perioadă mai lungă decât este necesar, în raport cu scopul (scopurile) pentru care au fost colectate datele inițial.

9.2        Arpeggio Club SRL poate stoca date pentru perioade mai lungi în cazul în care datele cu caracter personal vor fi prelucrate exclusiv în scopul arhivării în interes public, de cercetare științifică sau istorică sau în scopuri statistice, sub rezerva punerii în aplicare a măsurilor tehnice și organizatorice adecvate pentru protejarea drepturilor și libertăților persoanei vizate.

9.3        Datele cu caracter personal trebuie să fie eliminate în siguranță, în conformitate cu al șaselea principiu al GDPR - prelucrate într-o manieră adecvată pentru a menține securitatea, protejând astfel „drepturile și libertățile" persoanelor vizate.

9. pastrarea si eliminarea datelor

 

10.1        Transferul datelor cu caracter personal în afara SEE este interzis, cu excepția cazului în care se aplică una sau mai multe garanții sau excepții specificate:

10.1.1            O decizie de adecvare

Comisia Europeană poate și va evalua țările terțe, un teritoriu și / sau anumite sectoare din țările terțe pentru a evalua dacă există un nivel corespunzător de protecție a drepturilor și libertăților persoanelor fizice. În aceste cazuri nu este necesară nicio autorizație.

Țările care sunt membre ale Spațiului Economic European (SEE), dar nu și ale UE, sunt acceptate ca îndeplinind condițiile unei decizii de adecvare.

O listă a țărilor care îndeplinesc în prezent cerințele de adecvare ale Comisiei este publicată în Jurnalul Oficial al Uniunii Europene.  http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

10.1.2           Scutul de confidențialitate – Privacy Shield

Dacă Arpeggio Club SRL dorește să transfere date cu caracter personal din UE unei organizații din Statele Unite, ar trebui să verifice dacă organizația este înscrisă în cadrul Scutului de confidențialitatea la Departamentul de Comerț din SUA. US DOC este responsabil de gestionarea și administrarea sistemului de protecție a datelor și de asigurarea respectării angajamentelor de către companii. Pentru a putea certifica, companiile trebuie să aibă o politică de confidențialitate în conformitate cu principiile de confidențialitate, de ex. utilizarea, stocarea și transferul de date cu caracter personal în conformitate cu un set puternic de reguli și garanții de protecție a datelor. Protecția acordată datelor cu caracter personal se aplică indiferent dacă datele cu caracter personal au legătură cu un rezident al UE sau nu. Organizațiile trebuie să-și reînnoiască „statutul de membru" la Scutul de confidențialitate în fiecare an. Dacă nu, ele nu mai pot primi și utiliza datele cu caracter personal din UE în baza acestui cadru.

Evaluarea adecvării de către operatorul de date

La evaluarea adecvării, operatorul exportator trebuie să țină seama de următorii factori:

·     natura informațiilor transferate;

·     țara sau teritoriul de origine și destinația finală a informațiilor;

·     modul în care informațiile vor fi utilizate și pentru cât timp;

·     legile și practicile țării unde se transferă, inclusiv codurile de practică relevante și obligațiile internaționale; și

·     măsurile de securitate care urmează să fie luate în ceea ce privește datele din locația din străinătate.

10.1.3           Reguli corporatiste obligatorii

Arpeggio Club SRL poate adopta norme proprii pentru transferul de date în afara UE. Acestea necesită aprobarea prealabilă a Autorității de supraveghere competente.

10.1.4           Excepții

În lipsa unei decizii de adecvare, a statutului de membru al Scutului de confidențialitate, a regulilor corporatiste obligatorii, transferul datelor cu caracter personal într-o țară terță sau într-o organizație internațională are loc numai în următoarele condiții:

·     persoana vizată și-a dat acordul în mod explicit cu privire la transferul propus, după ce a fost informată cu privire la riscurile posibile ale acestor transferuri pentru persoana vizată, din cauza lipsei unei decizii de adecvare și a măsurilor de siguranță adecvate;

·     transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru executarea unor dispoziții precontractuale adoptate la cererea persoanei vizate;

·     transferul este necesar pentru încheierea sau executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică;

·     transferul este necesar din motive importante de interes public;

·     transferul este necesar pentru stabilirea, exercitarea sau apărarea revendicărilor legale; și/sau

·     transferul este necesar pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul.

10.transferuri de date

 

11.1        Arpeggio Club SRL a realizat un inventar de date și un Registru de evidență a prelucrărilor, ca parte a Proiectului său de conformitate cu GDPR.

11.2        Arpeggio Club SRL este conștientă de orice riscuri asociate cu prelucrarea anumitor tipuri de date cu caracter personal.

11.2.1           Arpeggio Club SRL evaluează nivelul de risc asociat prelucrării datelor cu caracter personal pentru persoanele vizate. Evaluările impactului asupra protecției datelor se efectuează în legătură cu prelucrarea datelor cu caracter personal de către Arpeggio Club SRL, și în legătură cu prelucrarea efectuată de alte organizații în numele Arpeggio Club SRL.

11.2.2          Arpeggio Club SRL gestionează orice riscuri identificate prin analizele efectuate, pentru a reduce probabilitatea încălcării dispozițiilor cu privire la protecția datelor cu caracter personal.

11.2.3          Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, Arpeggio Club SRL efectuează, înaintea prelucrării, o analiză a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. O singură analiză poate aborda un set de operații de prelucrare similare care prezintă riscuri la fel de mari.

11.2.4          În cazul în care, rezultatul unei DPIA indică faptul că respectiva prelucrare a datelor cu caracter personal care ar putea cauza daune persoanelor vizate, Arpeggio Club SRL va urma procedura de consultare prealabilă menționată la articolul 36 din GDPR.

11. registru de evidenta al prelucrarilor de date cu caracter personal