PROCEDURA OPERAȚIONALĂ GDPR
Oraşul Liteni – Primăria Oraşului Liteni din judeţul Suceava este înregistrată ca operator în Registrul general de evidenţă a prelucrărilor de date cu caracter personal şi prelucrează datele cu caracter personal, ale cetățenilor ca persoane fizice sau reprezentanţilor legali ai acestora, precum şi alte date cu caracter personal conform legii.
Primăria Oraşului Liteni, utilizează, prelucrează şi furnizează datele personale oferite, numai pentru realizarea scopurilor în care au fost colectate, respectiv soluţionarea solicitărilor, reclamaţiilor şi sesizărilor depuse de către cetățeni, respectiv contribuabili.
- SCOPUL PROCEDURII OPERAȚIONALE
Scopul acestei proceduri este de a garanta şi proteja drepturile şi libertăţile fundamentale ale persoanelor fizice, în special a dreptului la viaţa intimă, familială şi privată, cu privire la prelucrarea datelor cu caracter personal.
- DOMENIUL DE APLICARE
Activitatea procedurată reprezintă aplicarea GDPR = Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date. GDPR se aplică direct în România începand cu 25 mai 2018.
Prezenta procedură stabileşte măsuri tehnice şi organizatorice pentru îndeplinirea obligaţiilor referitoare la securitatea şi controlul sistemelor informatice, în vederea asigurării confidenţialitătii datelor şi informaţiilor precum şi pentru păstrarea în siguranţă a acestora, în cadrul activităţii curente executate de angajaţii Primariei Oraşului Liteni, dar şi pentru serviciile descentralizate al altor entităţi care au acces la date cu caracter personal al salariaţiilor, ccolaboratorilor si al studenţilor, în cazul practicii efectuate în cadrul instituţiei.
Prin cerinţe minime de securitate este avut în vedere un complex de măsuri tehnice, informatice, organizatorice, logistice, proceduri şi politici de securitate prin care să se asigure nivelul minim de securitate, în conformitate cu cerinţele minime de securitate a prelucrărilor de date cu caracter personal.
Aplică măsuri tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerilor accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat.
- DOCUMENTE DE REFERINȚĂ
Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (GDPR-Regulamentul general privind protecția datelor).
Legea nr. 129/2018 pentru modificarea şi completarea Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum şi pentru abrogarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
Codul administrativ adoptat prin OUG nr. 57/2019.
Legea 544/2001 privind liberul acces la informaţiile de interes public cu modificările şi completările ulterioare.
Legea nr. 52/2003 privind transparenţa decizională în administraţia publică.
Regulamente şi proceduri interne.
- TERMENI ŞI DEFINIŢII:
| Nr. crt. | Termenul | Definiţia si actul care defineşte termenul (dacă este cazul) |
| 1. | „Date cu caracter personal” | înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă. O persoana fizica identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
|
| 2. | „Prelucrare” | înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi:
– colectarea – strângerea, adunarea ori primirea datelor cu caracter personal prin orice mijloace legale şi din orice sursă; – înregistrarea – consemnarea datelor cu caracter personal într-un sistem de evidenţă automat ori neautomat, care poate fi registru, fişier automat, baza de date sau orice formă de evidenţă organizată, structurată ori ad-hoc sau într-un text, înşiruire de date ori document, indiferent de modalitatea în care se înscriu datele; – organizarea – ordonarea, structurarea sau sistematizarea datelor cu caracter personal, conform unor criterii prestabilite, potrivit atribuţiilor legale ale operatorului, în scopul eficientizării/optimizării activităţilor de prelucrare a acestora; – stocarea – păstrarea pe orice fel de suport a datelor cu caracter personal culese, inclusiv prin efectuarea copiilor de siguranţă; – adaptarea – transformarea datelor cu caracter personal colectate iniţial, conform criteriilor prestabilite şi scopurilor pentru care au fost colectate; – modificarea – actualizarea, completarea, schimbarea, corectarea ori refacerea datelor cu caracter personal, în scopul menţinerii caracteristicilor de exactitate, realitate, actualitate; – extragerea – scoaterea unei părţi din categoria specifică de date cu caracter personal, în scopul utilizării acesteia, separat şi distinct de prelucrarea iniţială; – consultarea – examinarea, vizualizarea, interogarea ori cercetarea datelor cu caracter personal, fără a fi limitate la acestea, în scopul efectuării unei operaţiuni sau set de operaţiuni de prelucrare ulterioară; – utilizarea – folosirea datelor cu caracter personal, în tot sau în parte, de către şi în interiorul operatorului, împuterniciţilor operatorului ori destinatarului, după caz, inclusiv prin tipărire, copiere, multiplicare, scanare sau orice alte procedee similare; – dezvăluirea/divulgarea – a face disponibile date cu caracter personal către terţi prin comunicare, transmitere, diseminare sau punerea la dispoziţie în orice alt mod; – alăturarea – adăugarea, alipirea sau anexarea unor date cu caracter personal la cele deja existente, pe care nu le modifică; – combinarea/alinierea – îmbinarea, unirea sau asamblarea unor date cu caracter personal separate iniţial, într-o formă nouă, pe baza unor criterii prestabilite, pentru scopuri anume determinate; – blocarea – întreruperea prelucrării datelor cu caracter personal; – restricţionarea – marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora; – ştergerea – eliminarea sau înlăturarea, în tot sau în parte, a datelor cu caracter personal din evidenţe sau înregistrări, prin împlinirea termenului de păstrare, la atingerea scopului pentru care au fost introduse, caducitatea, inexistenţa, inexactitatea; – transformarea – operaţiunea efectuată asupra datelor cu caracter personal având ca scop anonimizarea ori utilizarea acestora în scopuri exclusiv statistice; – distrugerea – aducerea la stare de neîntrebuinţare, în condiţiile legii, definitivă şi irecuperabilă, prin mijloace mecanice sau termice, a suportului fizic pe care au fost prelucrate date cu caracter personal.
|
| 3. | „Creare de profiluri” | înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizică, în special pentru a analiza sau prevedea aspecte privind performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul în care se afla persoana fizică respectivă sau deplasările acesteia; |
| 4. | „Pseudonimizare/date anonime” | înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informaţii suplimentare, cu condiţia ca aceste informaţii suplimentare să fie stocate separat şi să facă obiectul unor masuri tehnice şi organizatorice care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile; |
| 5. | „Sistem de evidenta a datelor” | înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice;
|
| 6. | „Operator” | înseamnă persoana fizică sau juridică, autoritatea publica, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; dacă scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizică sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin acel act normativ sau în baza acelui act normativ. În sensul prezentului regulament au calitatea de Operator, UAT Oraşul/ Primăria Liteni, cu toate entităţile funcţionale/structurile organizatorice – direcţii, departamente, servicii, birouri, compartimente, comisii, comitete, etc., dacă stabilesc scopul şi mijloacele de prelucrare a datelor cu caracter personal.
|
| 7. | „Persoana împuternicită de operator/procesator” | înseamnă persoana fizică sau juridică, autoritatea publica, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului; |
| 8. | „Destinatar” | înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării; |
| 9. | „Parte terţă” | înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
|
| 10. | „Consimţământ” | al persoanei vizate înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate; |
| 11. | „Încălcarea securităţii datelor cu caracter personal” | înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea; |
| 12. | „Date genetice” | înseamnă datele cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care oferă informaţii unice privind fiziologia sau sănătatea persoanei respective şi care rezulta în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză; |
| 13. | „Date biometrice” | înseamnă date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirma identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice; |
| 14. | „Date privind sănătatea” | înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia; |
| 15. | „Întreprindere” | înseamnă o persoana fizică sau juridică ce desfăşoară o activitate economică, indiferent de forma juridică a acesteia, inclusiv parteneriate sau asociaţii care desfăşoară în mod regulat o activitate economică; |
| 16. | „Grup de întreprinderi” | înseamnă o întreprindere care exercită controlul şi întreprinderile controlate de aceasta;
|
| 17. | „Reguli corporatiste obligatorii” | înseamnă politicile în materie de protecţie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce priveşte transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoana împuternicită de operator în una sau mai multe ţări terţe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună; |
| 18. | „Autoritate de supraveghere/ANSPDCP” | înseamnă Autoritatea Naţională de Supraveghere a Datelor cu Caracter Personal; |
| 19. | „Codul numeric personal (CNP)” | înseamnă un număr semnificativ care individualizează în mod unic o persoana fizică, constituind un instrument de verificare a stării civile a acesteia şi de identificare în anumite sisteme informatice de către persoanele autorizate; |
| 20. | „Date cu caracter personal cu funcţie de identificare de aplicabilitate generală (date cu caracter special)” | înseamnă numere prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care au aplicabilitate generală, cum ar fi: codul numeric personal, seria şi numărul actului de identitate, numărul paşaportului, al permisului de conducere, numărul de asigurare sociala sau de sănătate; |
| 21. | „Utilizator” | înseamnă orice persoană care acţionează sub autoritatea operatorului, a persoanei împuternicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal; are calitatea de utilizator al datelor cu caracter personal, personalul Operatorului – CCICJ sau al împuternicitului acestuia ale cărei atribuţii de serviciu presupun operaţiuni de prelucrare a datelor cu caracter personal. |
| 22. | Încălcarea securității datelor cu caracter personal
|
O încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea. |
| 23. | Reguli speciale privind prelucrarea datelor cu caracter personal | Prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală ale unei persoane fizice. |
| 24. | GDPR (General Data Protection Regulation)
|
”Regulamentul General privind Protecția Datelor”. Regulamentul UE nr. 679/2016, vizează datele cu caracter personal, adică orice informație referitoare la o persoană și care poate duce la identificarea sa directă sau indirectă, indiferent dacă introducerea datelor are loc manual sau printr-un mijloc automatizat, de tip formular online. |
| 25. | DPO(Data Protection Officer) | Responsabil privind protecţia datelor. |
| 26. | „Persoana vizată” | O persoana fizica identificabilă, a cărei date sunt prelucrate de un operator. |
- DESCRIEREA PROCESULUI
- Procedura are ca scop:
1) Identificarea şi modul de colectarea a datelor care sunt necesare pentru operare la fiecare compartiment şi a riscurilor prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
2) Stabilirea unor măsuri tehnice şi organizatorice pentru îndeplinirea obligaţiilor referitoare la securitatea şi controlul sistemelor informatice, în vederea asigurării confidenţialitătii datelor şi informaţiilor precum şi pentru păstrarea în siguranţă a acestora, în cadrul activităţii curente executate de angajaţii Primariei Liteni;
3) Stabilirea măsurii tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerilor accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat.
4) Instruirea personalului, Operatorul face informarea personalului cu privire la prevederile GDPR şi a legilor privind protecţia şi transparenţa pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, la cerinţele minime de securitate a prelucrărilor de date cu caracter personal, precum şi cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal, în funcţie de specificul activităţii.
- Precondiţii pentru iniţierea procedurii:
– Primăria oraşuluiLiteni, judeţul Suceava, a luat măsuri de stocare în siguranţă a informaţiilor, astfel încât sa fie asigurat un nivel adecvat de protecţie şi securitate, în sensul Legii 677/2001;
– Pentru îndeplinirea prevederilor legale aferente şi în vederea satisfacerii cerinţelor păstrării în siguranţă a datelor şi informaţiilor, instituţia a elaborat şi implementat măsuri organizatorice şi tehnice orientate pe anumite direcţii de acţiune: – Identificarea şi autentificarea utilizatorului – Tipul de acces – Colectarea datelor – Execuţia copiilor de siguranţă – Computerele şi terminalele de acces – Fişierele de acces – Instruirea personalului;
– La nivelul instituției, în calitate de Operator de date cu caracter personal, masurile tehnice IT şi organizatorice menţionate în legislaţia specifică, necesare asigurării unui nivel adecvat de protecţie sunt implementate(reţea executată de personal autorizat, server propriu, conturi parolate pe calculatoare, softuri cu licenţe, program antivirus, e-mailuri şi telefoane de serviciu);
– Datele sunt prelucrate în mod legal, echitabil și transparent faţă de persoana vizată;
– Limitare la scop, datele sunt colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri, reducerea la minimum a datelor solicitate, datele sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;
– Persoanele vizate vor fi informate despre procedura de implementare şi drepturile pe care le au conform GDPR = Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului, prin intermediul sie-tului primăriei oraşuluiLiteni (https://primaria-liteni.ro/) în secţiunea numită GDPR, unde vor găsi adresa de e-mail litenisv@yahoo.com, precum şi numărul de telefon 0230/538262prin care vor putea contacta direct persoana DPO a primăriei oraşuluiLiteni;
– Prelucrarea datelor cu caracter personal prin mijloace de supraveghere video.
Primăria oraşuluiLiteni, prin intermediul sistemelor de supraveghere video, prelucrează datele cu caracter personal, respectiv imaginea şi alte informaţii ce permit identificarea persoanelor vizate.
Imaginile referitoare la persoane identificate sau identificabile, prelucrate prin mijloace de supraveghere video, constituie date cu caracter personal:
- a) chiar dacă nu sunt asociate cu datele de identificare ale persoanei sau
- b) chiar daca nu conţin imaginea persoanei filmate, ci alte informaţii de natură să conducă la identificarea acesteia (ex: numărul de înmatriculare al vehiculului)
Scopul prelucrării datelor personale constă în: monitorizarea/securitatea persoanelor, spaţiilor şi/sau bunurilor private, prevenirea şi combaterea infracţiunilor, îndeplinirea obligaţiilor legale şi realizarea intereselor legitime.
Prelucrarea datelor cu caracter personal prin mijloace de supraveghere video se realizează numai de către persoane autorizate de Primăria oraşuluiLiteni.
Informaţiile înregistrate sunt destinate utilizării de către instituție şi pot fi comunicate numai următorilor destinatari: persoana vizată, reprezentanţii legali/împuterniciţii persoanei vizate, organele de urmărire/cercetare penală, instanţe judecătoreşti, în conformitate cu prevederile legislaţiei interne şi comunitare aplicabile activităţii desfăşurate de instituție.
În comună va fi afişată inscripţia de: ,Zone supravegheate video”.
- Compartimentul Protecţia datelor cu caracter personal/ Responsabil cu protecţia datelor cu caracter personal, efectuează următoarele:
- participă la procesul de tranziţie către conformitatea cu Regulamentul privind Protecţia Datelor cu Caracter Personal (GDPR);
- informează şi consiliază reprezentanții sau persoane împuternicite de instituție, precum şi angajaţii organizaţiei care se ocupă de prelucrare datelor cu caracter personal privind obligaţiile (naţionale şi europene) referitoare la prelucrarea datelor cu caracter personal, precum şi cu privire la orice aspect legat de protecţia datelor cu caracter personal;
- acordă consiliere şi se implica în mod direct în efectuarea evaluărilor de impact asupra protecţiei datelor, monitorizează funcţionarea acestora, inclusiv privind consultarea prealabilă a autorităţii de supraveghere, dacă este cazul;
- monitorizează respectarea prevederilor legale (naţionale şi europene) şi ale reglementărilor interne referitoare la protecţia datelor personale la nivelul Primăriei oraşuluiLiteni;
- monitorizează alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente;
- participă la instruirea angajaţilor implicaţi în operaţiunile de prelucrare a datelor personale;
- participă la activitatea de actualizare a evidenţei operaţiunilor de prelucrare a datelor personale şi monitorizează corectitudinea acesteia;
- asigură asistenţa privind gestionarea prelucrării de date cu caracter personal, menţinerea registrului de prelucrări a datelor personale precum şi registrul privind incidentele de securitate şi efectuează notificările privind încălcarea securităţii datelor personale;
– sa se asigure ca a fost furnizata o declaratie de consimtamant formulata in prealabil de catre operator, intr-o forma inteligibila si usor accesibila, utilizand un limbaj clar si simplu, fara clauze abusive, pe care persoana a semnat-o si operatorul poate demonstra aceasta
- cooperează cu autoritatea de supraveghere (ANSPDCP) si acţionează ca punct de contact în relaţia cu autoritatea de supraveghere, persoanele vizate, precum şi în cadrul Primăriei, în legătură cu aspecte de prelucrare.
- Notificarea Autorităţii de Supraveghere în cazul încălcării securităţii datelor cu caracter personal:
În cazul în care are loc o încălcare a securităţii datelor cu caracter personal, instituția, prin Responsabilul de protecţia datelor, notifică acest lucru Autorităţii de supraveghere competente, fără întârzieri nejustificate şi, daca este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta, cu excepţia cazului în care este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor fizice. În cazul în care notificarea Autorităţii nu are loc în termen de 72 de ore, aceasta va fi însoţită de o explicaţie motivată a întârzierii în cauză.
Persoana împuternicită de operator înştiinţează operatorul (informează Responsabilul cu protecţia datelor al operatorului) fără întârzieri nejustificate după ce ia la cunoştinţă de o încălcare a securităţii datelor cu caracter personal.
Notificarea adresată Autorităţii cu privire la încălcarea securităţii datelor personale, conţine cel puţin, următoarele elemente:
- descrierea caracterului încălcării securităţii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi numărul aproximativ al persoanelor vizate în cauză, precum şi categoriile şi numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
- numele şi datele de contact ale responsabilului cu protecţia datelor sau un alt punct de contact de unde se pot obţine mai multe informaţii;
- descrierea consecinţelor probabile ale încălcării securităţii datelor cu caracter personal;
- descrierea masurilor luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securităţii datelor cu caracter personal, inclusiv, după caz, masurile pentru atenuarea eventualelor sale efecte negative.
Atunci când şi în măsura în care nu este posibil să se furnizeze informaţiile în acelaşi timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.
Operatorul, prin Responsabilul de protecţia datelor, păstrează documente referitoare la toate cazurile de încălcare a securităţii datelor cu caracter personal, care cuprind o descriere a situaţiei de fapt în care a avut loc încălcarea securităţii datelor cu caracter personal, a efectelor acesteia şi a măsurilor de remediere întreprinse. Aceasta documentaţie permite autorităţii de supraveghere să verifice conformitatea cu legislaţia specifică.
Angajaţii au obligaţia de a informa de îndată seful ierarhic şi Responsabilul cu protecţia datelor (Ex: se va utiliza adresa de e-mail oficială a instituției) în cazul identificării unei situaţii de încălcare a securităţii datelor cu caracter personal.
Responsabilul cu protecţia datelor analizează informaţiile comunicate, iar dacă este cazul, solicită entităţilor funcţionale date şi informaţii suplimentare.
În cazul în care situaţia de încălcare a securităţi datelor cu caracter personal este fundamentată rezonabil, Responsabilul cu protecţia datelor întocmeşte Notificarea şi solicită avizul avizul Directorului General sau Secretarului General şi acordul Preşedintelui pentru a fi transmisa la Autoritatea de Supraveghere.
Notificarea se transmite către Autoritatea de Supraveghere pe suport de hârtie sau în format electronic, conform cerinţelor stabilite de Autoritate.
- Responsabilităţile instituției faţă de Responsabilul de protecţia datelor
- Conducerea instituției şi conducătorii entităţilor funcţionale din cadrul Organizaţiei vor acorda întregul sprijin Responsabilului de date personale, asigurându-i resursele necesare pentru executarea atribuţiilor sale, precum şi pentru accesarea datelor cu caracter personal şi a operaţiunilor de prelucrare şi pentru menţinerea cunoştinţelor sale de specialitate;
- Responsabilul cu protecţia datelor îşi desfăşoară activitatea în cadrul instituției. În desfăşurarea activităţii, Responsabilul de protecţia datelor nu va primi niciun fel de instrucţiuni în ceea ce privește îndeplinirea atribuţiilor sale în legătură cu GDPR.
- Persoanele vizate pot contacta şi solicită asistenţa de specialitate din partea Responsabilului cu protecţia datelor cu privire la toate aspectele legate de prelucrarea datelor si de exercitarea drepturilor lor.
- Etapele procedurii pentru Protecţia datelor cu caracter personal:
Procedurile de Protecţia datelor cu caracter personal: Colectarea datelor, obţinerea acordului/informarea persoanelor vizate, securizarea şi păstrarea datelor la compartimente până la soluţionare şi predarea lor la Arhivă conform Nomenclatorului Arhivistic al oraşuluiLiteni.
- A. Colectarea datelor:
Colectarea datelor se face selectiv de către fiecare compartiment în parte, specific domeniului de lucru, fiind solicitate numai datele de care este nevoie.
Datele speciale, care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală ale unei persoane fizice, vor fi colectate numai în cazul în care aceste sunt strict necesare, conform legislației.
- Obţinerea acordului persoanelor vizate/informarea acestora referitor la legalitatea prelucrării datelor cu caracter personal:
Consimţământul/informarea persoanei vizate este făcut într-o formă inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Persoana vizată va semna.
În cazul primăriei, prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului, prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă.
Nota: „Interesele legitime ale unui operator”, inclusiv cele ale unui operator căruia îi pot fi divulgate datele cu caracter personal sau ale unei terţe părţi, pot constitui un temei juridic pentru prelucrare, cu condiţia să nu prevaleze interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, luând în considerare aşteptările rezonabile ale persoanelor vizate bazate pe relaţia acestora cu operatorul.
Prelucrarea datelor unui copil este legală daca acesta are cel puţin vârsta de 16 ani. Daca copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă şi în măsura în care consimţământul respectiv este acordat sau autorizat de titularul răspunderii părinteşti asupra copilului.
În toate celelalte cazuri în care Primăria oraşuluiLiteni prelucrează date, acestea sunt colectate, procesate, stocate, transmise ca urmare a unor ingerințe legale, motiv pentru care acordul /consimțământul persoanei vizate nu este necesar. În schimb, în toate cazurile, persoana vizată trebuie să fie informată cu privire la drepturile sale, conform regulamentului GDPR.
- Securizarea şi păstrarea datelor la compartimente până la soluţionare şi predarea lor la Arhivă conform Nomenclatorului Arhivistic al oraşuluiLiteni:
Fiecare compartiment colectează şi securizează datele păstrândule în dosare, registre stocate în dulapuri închise, cele electronice în calculatoare cu conturi prsonale parolate, accesul la ele făcându-se numai de către personalul angajat la compartimentul respectiv. După soluţionarea solicitărilor documentele sunt predate la compartimentul de Arhivă pe termene de păstrare conform Nomenclatorului Arhivisti al oraşuluiLiteni.
Operatorul furnizează persoanei vizate informaţii privind acţiunile întreprinse în urma unei cereri prin care îşi exercită drepturile de care beneficiază în baza legii, fără întârzieri nejustificate şi în orice caz în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ţinându-se seama de complexitatea şi numărul cererilor. Operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând şi motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informaţiile sunt furnizate în format electronic acolo unde este posibil, cu excepţia cazului în care persoana vizată solicită un alt format.
Informaţiile furnizate în temeiul legislaţiei specifice şi orice comunicare şi orice măsuri luate în baza exercitării drepturilor de care beneficiază, potrivit legii, persoana vizată, sunt oferite gratuit. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate:
– fie să perceapă o taxa rezonabilă ţinând cont de costurile administrative pentru furnizarea informaţiilor sau a comunicării sau pentru luarea măsurilor solicitate;
– fie să refuze să dea curs cererii.
În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.
În cazul în care are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea prin intermediul căreia îşi exercită drepturile de care beneficiază, potrivit legii, persoana vizată, operatorul poate solicita furnizarea de informaţii suplimentare necesare pentru a confirma identitatea persoanei vizate. Dacă sunt acte care conţin date cu caracter personal al altor persoane acestea vor fi pseudonimizate şi criptate încât să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.
