1 octombrie 2024
FUNDAȚIA DACIA PENTRU ROMÂNIA, persoană juridică română fără scop lucrativ, cu sediul în București, Sector 6, Str. Preciziei Nr. 3G, Clădirea A, Et. 6, Cam. 6G6, identificată cu CÎF 38492032, înregistrată la Ministerul Justiției în Registrul Național ONG sub nr. 16779/B/2017, (numită în cele ce urmează FDPR) în calitate de operator de date cu caracter personal, efectuează diverse prelucrări de date cu caracter personal.
De asemenea, ca persoană juridică aflată în relații contractuale cu diverși finanțatori, furnizori și beneficiari, parteneri, clienți, FDPR prelucrează unele date cu caracter personal ale reprezentanților legali și ale persoanelor de contact ale acestor parteneri sau foști sau potențiali parteneri contractuali. În unele cazuri prelucrează, ca operator asociat sau ca împuternicit, date cu caracter personal furnizate de finanțatorii Fundației FDPR sau obținute în interesul acestora, în cadrul prestărilor de servicii specifice. Detalii despre aceste prelucrări sunt oferite pe site-ul de Internet al Fundației FDPR și sunt notificate persoanelor în cauză.
Având în vedere prevederile legislației privind protecția datelor cu caracter personal, în special Regulamentul General privind Protecția Datelor (Regulamentul UE 679 / 2016, cunoscut ca GDPR - acronimul de la General Data Protection Regulation) și normele emise în aplicarea acestuia de către entitățile abilitate,
A) Confirmăm că avem ca entitate, și au și personal toți salariații care activează în cadrul nostru, precum și orice altă persoană cu care colaborăm, o deosebită grijă pentru protecția datelor cu caracter personal legate de persoanele fizice.
B) Subliniem că aceste preocupări le-am avut și în lumina legislației anterioare GDPR și avem aceste obligații și în lumina GDPR, în mod automat, prin efectul legii, pe durată nelimitată, fără nevoia asumării unor obligații contractuale exprese sau alte persoane pe această temă, deși asemenea obligații sunt prezente ca și clauze și în contractele încheiate de noi cu alte entități.
C) Declarăm că, în acest sens, respectăm toate dispozițiile legale privitoare la protecția datelor cu caracter personal în calitate de operator de date cu caracter personal sau, uneori, în calitate de împuternicit al operatorului de date cu caracter personal sau de operator asociat, și punem în aplicare măsuri tehnice (ca de exemplu de securitate informatică, de securitate fizică a sediului angajatorului și a comunicațiilor), juridice (clauze specifice în contractele cu furnizorii și alte entități) și organizatorice (instruire și verificare persoane, limitarea drepturilor de acces la ceea ce e obiectiv necesar, reglementarea modului de lucru cu date cu caracter personal etc.) adecvate de protejare a tuturor operațiunilor privitoare în mod direct sau indirect la datele cu caracter personal, care previn prelucrările neautorizate sau ilegale, precum și pierderile sau distrugerile accidentale sau ilegale de date, indiferent de forma și mediul lor de stocare.
D) Confirmăm că prelucrarea de date cu caracter personal o facem cu respectarea principiilor prevăzute de art. 5 din GDPR, și anume: prelucrare caracterizată prin legalitate, echitate și transparență; cu colectare numai în scopuri determinate, explicite și legitime, și doar a datelor adecvate, relevante și limitate la ceea ce este necesar, exacte și actualizate; asignabile prompt persoanei vizate; prelucrare cu măsuri de ordin tehnic și organizatoric adecvate în vederea garantării drepturilor și libertăților persoanei vizate, asigurând integritate și confidențialitate și totul pe bază de responsabilitate.
2. Categorii de persoane vizate
Prelucrăm în mod curent date personale ale mai multor categorii de persoane fizice, iar prezenta notă de informare vizează persoanele care accesează site-ul fundatiadaciapentruromania.ro și care participă la evenimentele organizate de FDPR, denumite în continuare Evenimentul.
3.1 Date de identificare și contact, incluzând unele sau toate din următoarele categorii, aplicabile când donați sau participați la evenimentele organizate de FDPR:
3.2 Date suplimentare cu caracter personal, incluzând toate sau unele dintre următoarele categorii:
3.3 Imagini generale foto sau video surprinse în timpul Evenimentului.
3.4 Imagini specifice foto sau video surprinse în timpul Evenimentului, care pot fi postate pe site-ul sau paginile de social media ale FDPR sau ale finanțatorilor, pe baza consimțământului persoanei vizate.
3.4 Categorii speciale de date cu caracter personal, ce pot să fie prelucrate în mod excepțional, după caz, incluzând de exemplu:
- preferințe alimentare
- date privind încălcări ale unor norme și privind măsuri de siguranță, interdicții, restricții etc. în contextul sau în legătură cu Evenimentul;
Scopurile imediate ale prelucrării pot fi, după caz:
4.1 ținerea evidențelor interne și punerea la dispoziție / comunicarea de documente și raportări către sponsori, autoritățile publice, organe de control și audit, dacă e cazul;
4.2 comunicarea cu persoana vizată;
4.3 aducerea la cunoștința publicului și promovarea activității FDPR;
5.1 Datele cu caracter personal vor fi prelucrate de FDPR numai pe perioada pentru care se justifică tipul de prelucrări în cauză, conform prevederilor GDPR, durată care este specifică fiecărei categorii de date cu caracter personal și depinde de scopul și temeiul prelucrării.
5.2 Durata concretă este stabilită conform cerințelor legale și regulamentare privind ținerea evidențelor specifice. Această durată include durata colaborării propriu-zise, dar și cea ce o precede, începând de la comunicarea / contactele preliminarii, și continuând după finalizarea colaborării cel puțin cu durata termenului de prescripție pentru eventuale sancțiuni, executări de sancțiuni sau formularea de pretenții derivând din acte sau fapte juridice civile sau norme legale, pe care le-ar putea ridica una dintre părți, terții implicați sau organele fiscale.
5.3 Perioada de prelucrare va include sau coincide cu duratele de păstrare expres impuse de lege pentru documente ce pot conține date personale, cum este cea de 5 ani pentru dispoziții de încasare sau plată, extrase de cont sau facturi sau chitanțe, registre contabile, 10 ani pentru situațiile financiare anuale în care este menționat sau pentru documentele justificative financiar-contabile ce pot reflecta comiterea unei infracțiuni.
5.4 Perioada de prelucrare a imaginilor foto sau video poate fi pe întreaga durată a existenței FDPR pentru a putea ilustra activitatea acesteia din punct de vedere istoric.
6.1 Revizuim periodic datele colectate, analizând în ce măsură păstrarea lor este în continuare necesară scopurilor anterior menționate și intereselor Dvs. încetând prelucrarea pentru datele pentru care nu se mai impune păstrarea.
6.2 La finalul duratei de prelucrare, informația, respectiv documentul în cauză ce încorporează datele cu caracter personal, se restituie persoanei vizate sau entității care a transmis datele respective, sau Arhivelor Naționale sau altei autorități sau instituții abilitate de lege, sau se distruge sau anonimizează, după caz.
7.1 Temeiul prelucrărilor de date cu caracter personal pe care le efectuăm este de regulă cel al încheierii și executării unui contract (art. 6 al. 1 lit. b) din GDPR), al îndeplinirii unei obligații legale (art. 6 al. 1 lit. c) din GDPR), în scopul intereselor legitime urmărite de FDPR (art. 6 al. 1 lit. f) din GDPR), cum ar fi cazul imaginilor generale. Mai rar, efectuăm prelucrări de date cu caracter personal în temeiul consimțământului acordat nouă de persoana vizată, (art. 6 al. 1 lit. a) din GDPR) cum ar fi cazul imaginilor specifice.
7.2 O prelucrare pe temeiul interesului legitim (art. 6 al. 1 lit. f) din GDPR) se face în cazul înregistrării și păstrării temporare, securizate, destinate exclusiv depistării sau documentării unei eventuale efracții sau altei ilegalități sau stări de pericol, a imaginii video a accesului în sedii ale FDPR, această prelucrare fiind semnalizată vizual, cu oferirea informațiilor esențiale privind respectiva supraveghere, înainte de intrarea în câmpul camerei video în cauză, acces la imagini putând avea doar personalul cu atribuții în acest sens sau, dacă e cazul, autoritățile polițienești și judiciare, strict în scopul anterior menționat.
8.1 Prelucrările specifice de date cu caracter personal includ obținerea de asemenea date de la persoanele vizate în mod direct, consemnarea în scris pe suport de hârtie și / sau electronic a celor comunicate verbal respectiv înregistrare digitală pe suport magnetic a acestora, inclusiv de către subcontractori specializați.
8.2 Prelucrările includ de asemenea cele nespecifice și implicite precum efectuare de copii de siguranță, stocare în sisteme proprii sau puse la dispoziție de furnizori specializați inclusiv din afara UE/SEE cu respectarea condițiilor GDPR, traduceri, rectificare în caz de depistare erori, ștergere sau distrugere la finalul duratei de păstrare sau în alte cazuri prevăzute de lege etc.
8.3 Stocarea electronică curentă sau copiile de siguranță (backup) a datelor din categoria nume, afiliere, funcție, date de contact precum și stocarea temporară în scopuri de procesare sau validare, stocarea ca pagină de Internet sau social media ce cuprinde date cu caracter personal pot implica sau implică cu siguranță sau mare probabilitate transfer de date cu caracter personal în afara UE/SEE, dar se realizează numai în state cu privire la care Comisia Europeană a emis decizii de ”recunoaștere a caracterului adecvat al nivelului de protecție” oferită de legislația lor pentru prelucrările de date cu caracter personal, sau pe baza ”garanțiilor adecvate” prevăzute de GDPR de tipul ”clauze contractuale standard” (SCC) sau ”reguli corporatiste obligatorii” (BCR) sau instrumente speciale bilaterale pe relația cu anumite state (SUA) aprobate de entitățile competente.
8.4 FDPR aplică măsuri tehnice și organizatorice adecvate de protejare a tuturor operațiunilor privitoare în mod direct sau indirect la datele cu caracter personal, care previn prelucrările neautorizate sau ilegale, precum și pierderile sau distrugerile accidentale sau ilegale.
8.5 FDPR NU prelucrează datele personale printr-un proces decizional automatizat și NU creează profiluri pe baza lor.
8.6 Date cu caracter personal nu sunt transmise terților în alte scopuri diferite de acela pentru care au fost colectate.
9.1 Datele personale deținute de noi le dezvăluim direct sau indirect altor persoane decât cele vizate, dar în interesul persoanelor vizate, în interesul legitim al FDPR sau, în cazurile expres prevăzute de lege, cum sunt cele de raportări la anumite autorități, finanțatori sau prestatorii care ajung implicit în posesia lor dar au obligații de confidențialitate (prestatorii de servicii juridice, IT, contabile, protecție etc.).
9.2 Astfel, date cu caracter personal ajung sau pot ajunge la cunoștința furnizorilor noștri de servicii juridice, de HR contabile sau informatice și de comunicații (ITC) cum sunt furnizorii de servicii de administrare rețea și service IT, cei de conexiune Internet și de servicii de telefonie fixă și mobilă și operatorii de platforme informatice utilizate de FDPR online sau offline.
9.3 Asemenea servicii și platforme digitale pot fi LinkedIn, Whatsapp, Facebook, Instagram, WordPress, MailChimp, Zoom, Skype, Google Workspace, Microsoft Office, Vodafone, Orange - cu titularii lor - companiile Meta Platforms Inc, Alphabet Inc / Google Inc, Microsoft Corporation și alte asemenea, inclusiv subsidiarele lor prin care dețin diversele servicii online anterior menționate.
9.4 Cu acești furnizori menționați la art. 9.2 și 9.3, FDPR fie are clauze contractuale adecvate de confidențialitate, negociate, fie prelucrările de date cu caracter personal se fac de către respectivii mari furnizori în conformitate cu politica lor internă publicată pe site-urile proprii ale acestora care au rol de contract de adeziune ce respectă cerințele GDPR pentru că fie mențin datele persoanelor care sunt rezidente în Uniunea Europeană numai pe servere din UE sau din țări pentru care Comisia Europeană a emis decizii de recunoaștere a asigurării unui nivel echivalent de protecție, fie acele companii, majoritatea cu sediul central în afara UE, și-au asigurat, formal cel puțin, complianța cu cerințele GDPR, prin aderarea la ”clauze contractuale standard” sau ”reguli corporatiste obligatorii” aprobate de către Comisia Europeană, respectiv de către Comitetul European pentru Protecția Datelor (EDPB).
9.5 Precizăm că datele cu caracter personal probabil colectate de aceste platforme nu sunt însă accesibile pentru FDPR sau entităților autorizate de FDPR ca date cu caracter personal, ci doar eventual în format agregat și anonimizat, FDPR neutilizând softuri intruzive de analiză a conectărilor la site-urile sale.
10.1 Dreptul de informare - dreptul de a ști dacă procesăm date personale ale persoanelor vizate.
10.2 Dreptul de acces la datele cu caracter personal - puteți solicita informații privind activitățile de prelucrare a datelor dumneavoastră personale.
10.3 Dreptul la rectificare - puteți rectifica datele personale inexacte sau le puteți completa.
10.4 Dreptul la ștergerea datelor - puteți solicita ștergerea datelor cu caracter personal care vă privesc, în cazul în care prelucrarea acestora nu a fost sau nu mai este legitimă (de exemplu, nu ați participat dar din eroare datele Dvs. au ajuns pe lista de participanți) sau în alte cazuri prevăzute de lege.
10.5 Dreptul de a vă retrage consimțământul – deși, nu este cazul pentru că prelucrările de date cu caracter personal ale salariaților nu au, în principiu, ca temei consimțământul.
10.6 Dreptul la restricționarea prelucrării – puteți solicita și obține restricționarea prelucrării datelor cu caracter personal care vă privesc în cazul în care contestați exactitatea datelor, legitimitatea deținerii lor sau în alte cazuri prevăzute de lege.
10.7 Dreptul la portabilitatea datelor - puteți primi, în condițiile legale, datele personale pe care ni le-ați furnizat, într-un format care poate fi citit automat și puteți solicita ca respectivele date să fie transmise altui operator - de exemplu primirea în format electronic.
10.8 Dreptul la opoziție – puteți să vă opuneți, în special, prelucrărilor de date care se întemeiază pe interesul nostru legitim.
10.9 Dreptul de a depune o plângere la FDPR / sau la autoritatea competentă privind protecția datelor (ANSPDCP).
10.10 Dreptul de a vă adresa justiției.
Referitor la website-ul FDPR – voluntarii / salariații nu au în principiu motive profesionale obiective de a utiliza pagina de Internet sau paginile de social media ale FDPR dar, desigur, pot, din motive practice, să le acceseze și atunci se poate ajunge implicit la anumite prelucrări de date cu caracter personal conform politicii de confidențialitate afișată pe site.
12.1 Pentru exercitarea drepturilor menționate la pct. 10, precum și pentru orice întrebări suplimentare cu privire la această Notă de informare sau în legătură cu deținerea sau utilizarea în orice mod de către FDPR a datelor dumneavoastră cu caracter personal, vă rugam să contactați responsabilul FDPR cu protecția datelor personale, prin e-mail la adresa office [at] dro.ro, sau prin document trimis pe suport de hârtie la sediul FDPR indicat mai sus.
12.2 Dacă doriți să vă exercitați dreptul de a formula plângere la autoritatea de stat competentă, aceasta este Autoritatea Națională de Supravegherea a Prelucrării Datelor cu Caracter Personal (ANSPDCP) care are dreptul să investigheze pe cale administrativă situația sesizată și să dispună măsuri pentru rezolvarea adecvată a nemulțumirilor dumneavoastră putând inclusiv să formuleze o acțiune în instanță în numele dumneavoastră în cazul în care s-ar impune sesizarea justiției și dumneavoastră nu o faceți în mod direct (conform prevederilor Legii 129/2018).
Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal
B-dul G-ral. Gheorghe Magheru 28-30, Sct. 1, 010336 București, România
anspdcp [at] dataprotection.ro
– FINAL –
