POLITICĂ PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL
ȘI CONFIDENȚIALITATEA ACESTORA
GENERALITATI
Fundația Special Olympics din România, organizație nongvernamentală, nonprofit, română, cu sediul în Str. Aeroportului, nr. 9, Cornetu, județ Ilfov, înregistrată în Registrul Asociațiilor și Fundațiilor sub nr. 39/2003, CIF 16001665, reprezentată legal prin Director Național, Cristian Ispas, își ia angajamentul de a lua toate măsurile necesare pentru protejarea datelor cu caracter personal ale beneficiarilor, voluntarilor și salariaților săi, cu respectarea tuturor reglementărilor în vigoare la nivel național și european. Prezentul document descrie cum vor fi implementate aceste măsuri.
Art. 1. SCOP, APLICABILITATE ȘI IMPLEMENTARE
Prezenta politică stabilește măsuri tehnice și organizatorice pentru îndeplinirea obligațiilor referitoare la securitatea și controlul sistemelor informatice, în vederea asigurării confidențialității datelor și informațiilor precum și pentru păstrarea în siguranță a acestora, în cadrul activității curente executate de angajații fundației. Prin cerințe minime de securitate este avut în vedere un complex de măsuri tehnice, informatice, organizatorice, logistice, proceduri și politici de securitate prin care să se asigure nivelul minim de securitate prevăzut în legislația națională și europeană.
Aceste reguli se aplică prelucrării datelor cu caracter personal prin sisteme electronice și prin mijloace de colectare pe suport fizic – hârtie.
Fundația poate aduce adăugiri regulilor stipulate în prezenta politică prin proceduri și notificări care vor fi în concordanță cu prevederile de față și legislația aplicabilă, dacă este cazul.
Prezenta politică intră în vigoare începând cu data de 14 Septembrie 2020 și regulile prevăzute în cadrul său sunt obligatorii pentru fundație, precum și pentru orice salariat sau prepus al acesteia. Prezenta politică va fi publicată pe site-ul web al fundației.
Prezenta politică abrogă și înlocuiește orice alte reguli, proceduri sau uzanțe anterioare, precum și orice documente folosite în scopul prelucrării datelor cu caracter personal, în măsura în care acestea din urmă prevăd drepturi limitate față de cele din prezenta politică.
În cazul în care există întrebări sau nelămuriri în ceea ce privește aplicabilitatea prezentei politici sau a oricărei părți din aceasta, precum și în cazul în care situații ivite în practică nu sunt suficient acoperite de regulile prevăzute în prezenta, oricare salariat sau prepus al fundației va solicita punctul de vedere al Responsabilului cu protecția datelor înainte de a proceda la prelucrarea datelor personale.
Art. 2. TEMEI PENTRU PRELUCRAREA DATELOR PERSONALE. TERMENE ȘI CONDIȚII DE PĂSTRARE ALE DATELOR
2.1. Datele cu caracter personal vor fi colectate, folosite, transferate și procesate pentru unul dintre următoarele motive, diferențiate în funcție de natura datelor personale prelucrate, respectiv de natura relației persoanei fizice ale cărei date sunt prelucrate cu fundația: o obligație legală ce incumbă fundației și/sau persoanei fizice ale cărei date personale sunt prelucrate; un interes legitim al fundației; executarea unui contract sau pregătirea executării unui contract în care persoana ale cărei date sunt prelucrate este, fie parte, fie beneficiar; consimțământul informat al persoanei vizate, exprimat în scris, anterior prelucrării.
2.2. Categoriile de date cu caracter personal ce vor fi prelucrate de fundație sunt, în funcție de natura relației persoanelor vizate:
a) date personale ale salariaților si voluntarilor: date de identificare precum nume, adresă, cod numeric personal și date de contact; date legate de starea de sănătate; date legate de localizare prin GPS, în cazul în care salariatul folosește un autoturism proprietatea fundației în interes de serviciu; date legate de contul bancar în care salariatul își încasează salariul; date biometrice, precum imagini foto/video; competențe profesionale.
b) date personale ale beneficiarilor: date de identificare precum nume, adresă, cod numeric personal; date legate de starea de sănătate; date biometrice, precum imagini foto/video; date de contact, precum număr de telefon, adresă de email; date socio-profesionale.
c) date personale ale reprezentanților legali ai partenerilor fundatiei, incluzând reprezentanți legali ai instituțiilor publice cu care fundația încheie contracte, parteneriate etc., in special, dar fără a se limita la: nume și funcția pe care o ocupă în cadrul parterului/instituției.
2.3. Datele cu caracter personal vor fi colectate având următoarele temeiuri juridice, în funcție de natura relației cu fundația a persoanei vizate și în funcție de tipul de date colectate:
Salariați și prepuși ai fundației:
I.1. Datele personale ale salariaților, cum ar fi numele, adresa, seria și numărul cărții de identitate, precum și codul numeric personal vor fi prelucrate în baza Legii nr. 53/2003 privind Codul Muncii și Hotărârii nr. 905/2017 privind registrul general de evidență a salariaților. De asemenea, în baza acelorași acte normative vor fi prelucrate și date privind competențele profesionale și datele legate de conturi bancare ale salariaților.
I.2. Datele personale ale salariaților privitoare la starea de sănătate vor fi prelucrate în baza art. 27 din Legea nr. 53/2003 privind Codul Muncii, precum și, în cazul concediilor medicale, indemnizațiilor pentru incapacitate temporară de muncă etc. în baza Ordonanței de Urgență nr. 158/2005 privind concediile și indemnizațiile de asigurări sociale de sănătate.
I.3. Datele personale ale persoanelor fizice care aplică pentru un loc de muncă în cadrul fundației (date din Curriculum vitae, inclusiv, dar fără a se limita la nume, adresă, date de contact, precum număr de telefon și adresă de email, experiență profesională, studii, dată de naștere etc.) fie din inițiativă proprie, fie la inițiativa fundației, exprimată printr-un anunț de angajare, vor fi prelucrate în vederea ocupării forței de muncă.
I.4. Datele legate de localizarea prin GPS vor fi prelucrate în baza interesului fundației de a se asigura că autoturismele proprietea sa, puse la dispoziție unor salariați pentru a-și putea îndeplini sarcinile de serviciu, precum și pentru a le ușura deplasarea la și de la locul de muncă nu sunt folosite în alte scopuri decât cele oficiale și că fundația nu va suferi prejudicii sau că activitatea sa nu va avea de suferit. În acest sens, toți salariații care vor avea folosința unui autoturism pus la dispoziție de fundație vor lua la cunoștință, în prealabil, despre existența monitorizării GPS.
I.5. Date biometrice, precum imaginile foto/video sau înregistrări audio vor putea fi folosite de fundație doar cu acordul salariaților în cauză exprimat anterior prelucrării și în scris. Aceste date vor putea fi folosite în campanii de publicitate, marketing sau pentru a populariza serviciile și produsele fundației în rândul beneficiarilor sau potențialilor beneficiari ai fundației. Refuzul unui salariat de a își da consimțământul pentru folosirea datelor sale biometrice în acest sens nu poate constitui motiv pentru sancționarea respectivului salariat. De asemenea, datele biometrice pot fi folosite pentru realizarea de legitimații necesare desfășurării activității profesionale ale salariatului respectiv. În acest din urmă caz, salariatul nu poate refuza folosirea imaginii sale fotografice.
I.6. Datele personale ale voluntarilor care participă la programele și acțiunile organizate de fundație, cum ar fi numele, adresa, seria și numărul cărții de identitate, codul numeric personal, precum și datele speciale privitoare la starea de sănătate (adeverințe și certificate care atestă starea de sănătate) vor fi prelucrate în baza Legii nr. 78/2014, precum și pentru verificarea stării de sănătate corespunzătoare pentru desfășurarea anumitor activități, unde este cazul.
I.7 Datele de contact ale voluntarilor, cum ar fi, număr de telefon, adresă de corespondență, adresă de email, vor fi prelucrate în vederea transmiterii informațiilor relevante asupra defășurării competițiilor/activităților pentru care s-au înscris sau a altor activități organizate de Fundație.
I.8. Datele biometrice ale voluntarilor, precum imaginile foto/video, ale beneficiarilor, vor putea fi folosite de Fundație pentru a fi postate în social media sau pe propria pagină web pentru a promova competițiile și activitățile filantropice desfășurate de aceasta și pentru a promova cauzele susținute, inclusiv voluntariatul. Aceste date vor fi colectate și prelucrate în baza consimțământului informat, exprimat anterior prelucrării.
Beneficiari ai fundației:
II.1. Datele personale ale beneficiarilor care primesc gratuit produse din partea fundatiei, care participă la programele și acțiunile organizate gratuit de fundație sau la care fundatia participa, cum ar fi numele, adresa, seria și numărul cărții de identitate, codul numeric personal vor fi prelucrate în vederea participării acestora la programe și acțiuni, cum ar fi Jocurile Naționale Special Olympics, Jocurile Mondiale Special Olympics, diferite alte competiții si/sau activitati sportive destinate persoanelor cu dizabilități intelectuale.
II.2 Datele speciale, precum cele privitoare la starea de sănătate, precum adeverințe și certificate care atestă starea de sănătate a beneficiarilor vor fi prelucrate în vederea asigurării că participarea la activități sportive nu va afecta negativ integritatea fizică a beneficiarilor în timpul desfășurării competițiilor și/sau a activităților sportive, precum și pentru a demonstra eligibilitatea pentru donatii, respectiv activitățile derulate de mișcarea Special Olympics (dizabilități care afectează intelectul astfel încât coeficientul de inteligență este mai mic de 70).
II.3. Datele de contact ale beneficiarilor, cum ar fi, număr de telefon, adresă de corespondență, adresă de email, vor fi prelucrate în vederea livrarii produselor si/sau transmiterii informațiilor relevante asupra defășurării competițiilor sau a altor activități organizate de Fundație.
II.4. Datele biometrice ale beneficiarilor, precum imaginile foto/video, vor putea fi folosite de Fundație pentru activitati de marketing/publicitate (inclusiv in social media sau pe propria pagină web), în printurile pe care le tipărește și distribuie, pentru a promova competițiile și activitățile filantropice desfășurate de aceasta, cauzele susținute, precum și pentru a atrage atenția asupra problematicii dizabilității și a integrării sociale a persoanelor cu dizabilități. Pentru participarea în cadrul proiectelor desfășurate de fundație în mediul online, cum ar fi, dar nelimitandu-se la, antrenamente și/sau competiții sportive organizate în mediul online, consimțământul dumneavoastră pentru prelucrarea imaginilor foto-video este obligatoriu. În acest caz, fundația va solicita în mod distinct consimțământul dumneavoastră pentru activitățile publicitare, respectiv pentru participarea la activitățile sus-menționate.
Toate aceste date vor fi prelucrate în baza consimțământului informat, acordat pentru fiecare tip de date în parte, exprimat anterior prelucrării.
În cazul în care consimțământul nu se acordă pentru datele prevăzute la punctele II.1, II.2 și II.3, II.4, ultimul paragr., după caz, respectivele persoane vizate nu pot participa la programele, competițiile sportive și activitățile organizate de Fundația Special Olympics din România.
2.4. Datele cu caracter personal prelucrate în conformitate cu articolele de mai sus vor fi păstrate atât timp cât este necesar pentru a îndeplini scopul în care au fost prelucrate, cu excepția situațiilor în care fundația este obligată printr-un act normativ să păstreze aceste date o perioadă mai lungă de timp.
2.5. În vederea îndeplinirii prevederilor art. 5, lit. e) din Regulamentul nr. 679/2016 al Parlamentului European și al Consiliului Uniunii Europene (denumit în continuare Regulamentul), datele cu caracter personal vor fi păstrate pentru următoarele durate de timp, în funcție de categoria persoanelor vizate:
I. Datele cu caracter personal ale salariatilor, voluntarilor, datele personale ale beneficiarilor și ale reprezentaților acestora (nume, adresă, CNP, date cuprinse în cartea de identitate/pașaport, precum și datele privitoare la starea de sănătate, după caz), cuprinse în documente justificative (în înțelesul art. 25 din Legea contabilității nr. 82/1991), se vor păstra timp de 10 ani, începând cu data încheierii exercițiului financiar în care au fost colectate (în cazul în care voluntarilor sau beneficiarilor li se colectează date în vederea decontării unor cheltuieli de transport și/sau cazare și/sau masă). Fac excepție de la această regulă statele de salarii, care vor fi păstrate în evidențele fundației timp de 50 de ani.
II. Datele biometrice (imagini foto/video) ale salariaților și/sau ale beneficiarilor vor fi șterse din evidențele fundației în termen de cel mult 30 de zile de la data încheierii relațiilor contractuale sau de la data retragerii consimțământului.
III.Datele de contact ale beneficiarilor (adresă de email, adresă, număr de telefon) vor fi șterse în termen de maximum 30 de zile de la data la care relațiile contractuale s-au încheiat sau de la data retragerii consimțământului.
Datele personale colectate și prelucrate în vederea angajării unei persoane fizice de către fundație vor fi păstrate pentru un termen de maximum 30 de zile de la data la care postul a fost ocupat.
2.6. Datele personale vor fi păstrate în format electronic, iar în subsidiar în format hârtie. Fundația, va depune toate eforturile pentru a limita cantitatea de date pe suport hârtie și transformarea acestora în date în format electronic.
2.7. Fundația va limita prelucrarea datelor cu caracter personal doar la acele date care sunt în mod rezonabil necesare pentru îndeplinirea scopului pentru care se face prelucrarea sau pentru îndeplinirea oricăror obligații legale ale fundației sau ale persoanei vizate.
2.8. Toți salariații fundației se vor angaja, prin acorduri de confidențialitate să păstreze secretul datelor cu caracter personal pe care le prelucrează, pentru îndeplinirea atribuțiilor de serviciu. Este strict interzisă transmiterea oricăror date cu caracter personal către părți terțe, cu excepția acelor situații care apar ca urmare a unor dispoziții legale imperative. În acest sens, este strict interzis personalului fundației, ca, în cazul în care relațiile de muncă încetează, să folosească, să copieze sau să distribuie către terțe părți baze de date sau documente conținând date cu caracter personal ale beneficiarilor sau salariaților fundației. Încălcarea acestei prevederi poate atrage răspunderea administrativă, civilă sau penală, după caz.
2.9. Datele păstrate pe serverele fundației vor fi criptate. Serverele vor fi păstrate în condiții de siguranță, în camere cu această destinație specifică, care nu vor fi accesibile decât personalului din departamentul IT. Camerele cu această destinație vor fi închise permanent, cu excepția intervențiilor necesare și mentenanței.
2.10. Accesul la modificarea, copierea, listarea și/sau ștergerea documentelor care conțin date personale, în format electronic, va fi strict resticționat către persoane din departamentul IT, către Responsabilul cu protecția datelor și către alte persoane numite prin decizie scrisă care nu și-ar putea desfășura activitățile profesionale fără a avea acces la date.
2.11. Este strict interzis angajaților fundației să păstreze copii de pe documentele ce conțin date cu caracter personal în calculatoarele care le-au fost atribuite spre a-și desfășura activitatea.
2.12. Este strict interzis personalului fundației să transmită documente care conțin date cu caracter personal către sau de pe adrese de email personal, ci doar de pe cele ale organizației. Este de asemenea, strict interzisă folosirea altor aplicații sau programe, cum ar fi, dar fără a se limita la: Whatsapp, Skype, Facebook, We Transfer etc.
2.13. Este strict interzis personalului fundației să păstreze documente care conțin date cu caracter personal pe dispozitive mobile primite de la fundație în vederea îndeplinirii atribuțiilor de serviciu, precum și folosirea acestora pentru transmiterea unor astfel de documente.
2.14. Toate PC-urile distribuite către personalul fundației vor fi securizate prin setarea de parole complexe. De asemenea, conturile de email vor fi securizate într-un mod asemănător. Nicio altă persoană nu va cunoaște parola unui alt salariat, cu excepția șefului departamentului IT care va avea o listă cu toate parolele celorlalți salariați, pentru a o folosi în caz de necesitate. Lista parolelor va fi stocată pe un suport securizat, care nu va fi accesibil decât șefului departamentului IT.
2.15. Realizarea de backup-uri ale informațiilor din PC-urile personalului vor fi realizate exclusiv de membrii departamentului IT, pe dispozitive criptate ale fundației. Aceste dispozitive vor fi păstrate în locații securizate la care nu vor avea acces decât departamentul IT și conducerea fundației.
2.16. În cazul transferului de date prin dispozitive de tip USB, se vor folosi numai dispozitive ale fundației, care vor fi criptate, iar în urma transferului toate datele vor fi șerse de pe dispozitiv. Aceste dispozitive vor fi puse la dispoziția personalului doar de membrii departamentului IT.
2.17. Departamentul IT, împreună cu Responsabilul de protecția datelor vor putea verifica gradul de conformare al personalului fundației la regulile expuse mai sus. Verificările vor putea fi inopinate, iar neregulile ce ar putea apărea vor fi corectate pe loc, iar abaterile vor putea fi sancționate în conformitate cu prevederile Regulamentului de Ordine Interioară.
Art. 3. DECIZII AUTOMATE ȘI CREAREA DE PROFILURI
3.1. Fundația solicita prin intermediul site-ului web propriu, prin fisiere de tip cookies, date personale exclusiv necesare pentru buna functionare a site-ului, precum monitorizarea activitatii realizate pe site, incarcare mai rapida a contentului, s.a. Cookie-urile noastre nu rețin date cu caracter personal cum ar fi numele dumneavoastra, adresa de e-mail, si/sau altele asemenea. Fundatia nu utilizeaza fisiere de tip log, clear GIFs, etc. Modul de operare al fisierelor de tip cookies este detaliat in politica fundatiei privind fisierele cookies.
3.2. Fundația nu va folosi niciun fel de program, cod sau algoritm care să producă decizii automate referitoare la persoanele vizate sau la vizitatorii propriului site web, sau să creeze profiluri.
Art. 4. TRANSFERUL DATELOR CU CARACTER PERSONAL CĂTRE TERȚE PĂRȚI
4.1. Datele personale ale beneficiarilor, pot fi transmise de fundație către finanțatorii proiectelor sau activităților organizate de aceasta, către organizatorii evenimentelor sau competițiilor la care fundația participă, precum și către Special Olympics International, organizație neguvernamentală, non-profit, cu sediul în Statele Unite ale Americii, în baza Scutului de Confidențialitate UE-SUA. Datele astfel transmise nu vor putea fi folosite sub nicio formă în scopuri comerciale, sau de marketing.
4.2. Datele cu caracter personal ale salariatilor, voluntarilor și beneficiarilor, colectate și prelucrate de fundație pot fi transmise către terțe părți dacă această obligație incumbă fundației printr-un act normativ, ca urmare a solicitării persoanei vizate sau la solicitarea unui entități publice, în vederea îndeplinirii atribuțiilor specifice care îi revin prin lege.
4.3. De asemenea, în vederea desfășurării în bune condiții a competițiilor și/sau a activităților organizate de fundație sau la care fundația participă, aceasta poate transmite datele de contact ale salariatilor/voluntarilor și/sau beneficiarilor către unități hoteliere sau agenții de turism sau de operatori de transport naționali/internaționali, pentru a rezerva locuri de cazare sau bilete de transport ale căror costuri vor fi suportate de fundație în numele beneficiarilor sau salariatilor/voluntarilor respectivi.
4.4. Orice alt transfer al datelor cu caracter personal va putea fi efectuat de fundație doar în condițiile obținerii consimțământului expres, prealabil și în scris al persoanei vizate.
Art. 5. EXERCITAREA DREPTURILOR PERSOANELOR VIZATE
5.1. În vederea respectării drepturilor persoanelor vizate, fundația va publica pe site-ul propriu informări cu privire la aceste drepturi, astfel cum sunt acestea definite în Regulament, precum și informațiile prevăzute în art. 13 și, respectiv, art. 14 din Regulament.
5.2. Drepturile persoanelor vizate sunt:
– dreptul de a solicita fundației accesul la propriile date, rectificarea sau ștergerea acestora, precum și restricționarea prelucrării sau dreptul de a se opune prelucrării, precum și dreptul la portabilitatea datelor
– dreptul de a-și retrage oricând consimțământul, în ceea ce privește datele prelucrate pe baza consimțământului, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia
– dreptul de a depune o plângere în fața Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.
5.3. În vederea respectării drepturilor persoanelor vizate, solicitările legate de informații, de accesul la date, de rectificare sau ștergere a datelor vor putea fi exercitate prin una din următoarele variante: o adresă scrisă, înaintată către fundație, trimisă la adresa sediului social sau o cerere trimisă prin email către responsabilul de proces. Suplimentar, informații pot fi obținute de persoanele vizate și prin telefon de la responsabilul de proces, în timpul programului normal de lucru al fundației.
5.4. Furnizarea datelor cu caracter personal menționate în articolele de mai sus este obligatorie pentru participarea la activitățile și/sau competițiile organizate de fundație sau la care fundatia participa. În cazul în care o persoană vizată refuză să îi fie prelucrate aceste date, nu va putea lua parte la respectiva competiție sau activitate.
5.5. Fundația va răspunde în termenul cel mai scurt, dar nu mai mult de 30 de zile, oricărei solicitări venite din partea unei persoane vizate.
5.6. Pentru orice nelămurire, solicitare sau reclamație referitoare la colectarea și folosirea datelor cu caracter personal, orice beneficiar, reprezentant legal al unui beneficiar ori voluntar se poate adresa persoanei care îndeplinește atribuțiile de Responsabil cu protecția datelor, printr-un email, la adresa dpo@specialolympics.ro.
Art. 6. DISPOZIȚII FINALE
6.1. Prezenta politică se va publica pe site-ul Fundației spre a fi consultat de orice persoană interesată.
6.2. Prezenta politică va fi adusă la cunoștința tuturor salariatilor, beneficiarilor, a reprezentanților legali ai beneficiarilor, precum și a oricăror voluntari, înainte de înscrierea la sau de începere a oricărei activități sau competiții organizate de fundație. Orice persoană vizată va parcurge prezenta politică și va alege dacă dorește sau nu participarea în activitatea respectivă. În cazul în care va alege să participe, persoana vizată își va exprima acordul în scris, anterior prelucrării datelor. În cazul în care o persoană vizată are nelămuriri în ceea ce privește prezenta politică, aceasta va cere sprijinul persoanei care îndeplinește atribuțiile de Responsabil cu prelucrarea datelor.
Adoptata, 14.05.2018 Director Național,
Revizuita azi, 14.09.2020 Cristian Ispas
