1. SOBRE ESTA POLÍTICA

SC RHEIN VISION SRL está obligada, como parte de su responsabilidad social, a cumplir con la legislación internacional de protección de datos, Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE. Esta política se basa en la legislación europea vigente y en las directivas rumanas de protección de datos. La protección de datos es fundamental para establecer relaciones de confianza, tanto a nivel de empleados como con socios comerciales.

Esta directiva contiene un resumen de las normas de protección de datos más relevantes que deben cumplir tanto la dirección como los empleados de RHEIN VISION. El procedimiento de protección de datos de RHEIN VISION también está a disposición de todos los empleados para obtener información y explicaciones sobre este tema.

2. TÉRMINOS Y DEFINICIONES

La normativa aplicable en materia de protección de datos (en adelante, Ley de Protección de Datos) utiliza su propia terminología. Esto permite ofrecer explicaciones concisas en el texto y facilita su lectura.

En esta política de protección de datos, utilizamos los siguientes términos:

Datos personales – Cualquier información relativa a una persona física identificada o identificable (el „interesado”). Una persona física identificable es aquella cuya identidad puede determinarse, directa o indirectamente, en particular mediante un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de su identidad física, genética, psíquica, económica, cultural o social.

La legislación sobre protección de datos se refiere al uso de "datos personales", es decir, toda información sobre una persona física cuya identidad se conoce o puede determinarse. Dicha información puede incluir nombre, fecha de nacimiento, dirección, número de teléfono, dirección IP, etc. Los detalles sobre el comportamiento o los hábitos generales de una persona (por ejemplo, juicios de valor), así como las fotografías e imágenes grabadas por cámaras de vigilancia, también se consideran datos personales.

Por lo tanto, siempre que la información pueda atribuirse a una persona física, debe presumirse la aplicación de la ley de protección de datos.

  • La persona en cuestión –cada persona física cuyos datos se procesan.

Tratamiento de datos: El tratamiento de datos personales comprende cualquier procedimiento, con o sin la ayuda de procesos automatizados, para la recogida, almacenamiento, organización, modificación, recuperación, uso, transmisión, difusión o combinación y cotejo de datos. Incluye también la eliminación, supresión y bloqueo de datos y de los responsables del tratamiento.

  • Procesamiento – pprocesamiento, procesamiento, almacenamiento, adaptación o alteración, recuperación, consulta, uso, procesamiento, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, borrado o destrucción.
  • Restricción del procesamiento – rLa restricción del tratamiento consiste en marcar los datos personales almacenados con el fin de limitar su tratamiento en el futuro.
  • Elaboración de perfiles – pLa elaboración de perfiles se refiere a cualquier forma de procesamiento automatizado de datos personales que consista en el uso de datos personales para evaluar ciertos aspectos personales relacionados con una persona física, en particular para analizar o predecir aspectos de su desempeño laboral, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos.
  • Seudónimo – Tratamiento de datos personales de forma que estos ya no puedan atribuirse a un interesado específico sin el uso de información adicional, siempre que dicha información adicional se conserve por separado y esté sujeta a medidas técnicas y organizativas para garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
  • Controlador o persona responsable del procesamiento – la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y los medios del tratamiento de datos personales; cuando los fines y los medios de dicho tratamiento estén determinados por el Derecho de la Unión o de los Estados miembros, el responsable del tratamiento o los criterios específicos para su designación podrán estar previstos en el Derecho de la Unión o de los Estados miembros.
  • Procesador – persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
  • Destinatario – Destinatario: persona física o jurídica, autoridad pública, agencia u otro organismo al que se comunican datos personales, sea o no un tercero. No obstante, las autoridades públicas que puedan recibir datos personales en el marco de una investigación específica, de conformidad con el Derecho de la Unión o de los Estados miembros, no se considerarán destinatarios; el tratamiento de dichos datos por parte de estas autoridades públicas deberá ajustarse a las normas de protección de datos aplicables, de acuerdo con las finalidades del tratamiento.
  • Tercero - persona física o jurídica, autoridad pública, agencia u organismo distinto del interesado, responsable del tratamiento, encargado del tratamiento y personas que, bajo la autoridad directa del responsable o del encargado del tratamiento, estén autorizadas a tratar datos personales.
  • Consentir - cualquier indicación específica, informada e inequívoca de los deseos del interesado mediante la cual este, mediante una declaración o una acción afirmativa clara, manifiesta su consentimiento al tratamiento de los datos personales que le conciernen.

El consentimiento es una declaración escrita en lenguaje claro y sencillo. Se informa al interesado de que tiene derecho a revocar su consentimiento en cualquier momento. La revocación del consentimiento no afecta a la licitud del tratamiento de datos realizado con anterioridad a su revocación.

Si también se tratan datos personales de menores de edad de los interesados, se requiere el consentimiento de los menores mayores de 16 años; en el caso de los demás, el tutor es quien otorga el consentimiento.

  • Galletas –archivos de texto que se almacenan en un sistema informático a través de un navegador de Internet.

Muchos sitios web y servidores utilizan cookies. Muchas cookies contienen un identificador único (ID). Este ID es una cadena de caracteres que permite a los sitios web y servidores asociar la cookie con el navegador en el que se almacenó. Esto permite a los sitios web y servidores visitados diferenciar el navegador del usuario de otros navegadores que contienen otras cookies. Un navegador específico puede ser reconocido e identificado mediante su ID único.

Mediante el uso de cookies, podemos ofrecer a los usuarios de este sitio web servicios más fáciles de usar que no serían posibles sin la configuración previa.

Mediante las cookies, podemos optimizar la información y las ofertas de nuestro sitio web para cada usuario. Como ya se mencionó, las cookies nos permiten reconocer a los usuarios de nuestro sitio web. El objetivo de este reconocimiento es facilitarles la navegación. El usuario de un sitio web que utiliza cookies, por ejemplo, no tiene que introducir sus datos de acceso cada vez que accede al sitio, ya que este los guarda automáticamente y la cookie se almacena en su ordenador.

Incidente de protección de datos: un suceso en el que existe una sospecha razonable de que se han descubierto, recopilado, modificado, copiado, transmitido o utilizado datos personales de forma ilícita. Esto puede referirse a acciones realizadas tanto por terceros como por empleados.

3. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES

  • Equidad y legalidad

Los datos personales deben recopilarse y procesarse legalmente.

  • Alcance

El tratamiento de datos personales solo podrá tener como finalidad la obtención de dichos datos. Los cambios posteriores en la finalidad solo son posibles dentro de ciertos límites y requieren justificación.

  • Transparencia

El interesado debe ser informado sobre el tratamiento de sus datos. En principio, los datos personales deben ser recopilados directamente del interesado. Al recopilar los datos, el interesado debe, como mínimo, estar al tanto de lo siguiente o ser informado al respecto:

  • la identidad de la autoridad responsable
  • Finalidad del tratamiento de datos
  • períodos de almacenamiento especificados
  • terceros o categorías de terceros a quienes se transmiten los datos

El responsable del tratamiento informará al interesado sobre las medidas adoptadas en respuesta a su solicitud sin dilación indebida y, en cualquier caso, en un plazo máximo de un mes desde su recepción. Este plazo podrá prorrogarse dos meses si fuera necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable del tratamiento informará al interesado de dicha prórroga en el plazo de un mes desde la recepción de la solicitud, indicando los motivos de la demora. Si el interesado presenta la solicitud en formato electrónico, la información se facilitará en dicho formato siempre que sea posible, salvo que el interesado solicite otro formato.

Si el responsable del tratamiento no atiende la solicitud del interesado, deberá informarle, sin dilación indebida y en un plazo máximo de un mes desde la recepción de la solicitud, de los motivos por los que no ha atendido la solicitud y de la posibilidad de presentar una reclamación ante una autoridad de control y de interponer un recurso judicial.

Cuando las solicitudes de un interesado sean manifiestamente infundadas o excesivas, en particular por su carácter repetitivo, el responsable del tratamiento podrá:

(a) cobrar una tarifa razonable teniendo en cuenta los costos administrativos de proporcionar la información o comunicación o de realizar la acción solicitada;

b) o negarse a cumplir con la solicitud.

En estos casos, el responsable del tratamiento tiene la carga de demostrar que la solicitud es manifiestamente infundada o excesiva. El responsable del tratamiento podrá solicitar información adicional necesaria para confirmar la identidad del interesado.

La información que se proporcione a los interesados podrá ir acompañada de pictogramas estandarizados para ofrecer una visión general clara y comprensible del tratamiento previsto, de forma fácilmente visible, inteligible y legible. Cuando los pictogramas se presenten en formato electrónico, deberán ser legibles por máquina.

  • Evitación de datos y economía de datos

Antes de procesar datos personales, debe verificarse si dicho procesamiento es necesario y en qué medida para alcanzar la finalidad prevista. Si es posible lograr dicha finalidad y la medida es apropiada en relación con la misma, se deben utilizar datos anonimizados o estadísticos. Los datos personales no podrán almacenarse para fines futuros, salvo que así lo exija o permita la legislación nacional.

  • Limitación de eliminación y almacenamiento

Los datos personales que ya no sean necesarios una vez transcurridos los plazos legales de conservación deberán eliminarse. Si, en casos particulares, existen motivos que justifiquen la protección de dichos datos, estos deberán conservarse hasta que se aclare legalmente dicho interés.

  • Exactitud del proceso de protección de datos

Los datos personales almacenados deben ser exactos, completos y, en la medida necesaria, mantenerse actualizados. Deben adoptarse las medidas adecuadas para garantizar que los datos irrelevantes, incompletos o desactualizados se eliminen, corrijan, completen o actualicen.

  • Privacidad y seguridad de los datos

La confidencialidad se aplica a los datos personales. Estos deben tratarse de forma confidencial y protegerse mediante medidas organizativas y técnicas adecuadas contra el acceso no autorizado, el tratamiento o la transmisión ilícitos, así como contra la pérdida, alteración o destrucción accidentales.

4. ADMISIBILIDAD DEL TRATAMIENTO DE DATOS / CIRCUNSTANCIAS DE ADMISIÓN

La recopilación, el procesamiento y el uso de datos personales solo están permitidos si se da alguna de las circunstancias de autorización que se mencionan a continuación. 

  • Tratamiento de datos para una relación contractual

Los datos personales del cliente, proveedor u otro socio comercial podrán ser tratados para la ejecución y cumplimiento de un contrato. En la denominada fase de iniciación del contrato (elaboración de una oferta, contacto con las partes interesadas utilizando los datos facilitados por ellas), también se permite el tratamiento de datos personales.

  • acuerdo de procesamiento de datos

El tratamiento de datos puede realizarse con el consentimiento del interesado. Antes de otorgar su consentimiento, el interesado debe ser informado de la normativa. La declaración de consentimiento debe realizarse por escrito o electrónicamente, a efectos probatorios. En determinadas circunstancias, por ejemplo, en una consulta telefónica, el consentimiento también puede otorgarse verbalmente. La emisión del consentimiento debe quedar documentada.

¡NOTA! La persona cuyos datos personales son objeto de tratamiento puede retirar su consentimiento en cualquier momento.

  • Tratamiento de datos basado en autorización legal

El tratamiento de datos personales también está permitido si la legislación nacional lo exige, requiere o autoriza. El tipo y el alcance del tratamiento de datos deben ser necesarios para el tratamiento lícito de los mismos y ajustarse a dicha normativa.

  • Tratamiento de datos basado en un interés legítimo

El tratamiento de datos personales también podrá realizarse si es necesario para la consecución de un interés legítimo de la empresa. El tratamiento de datos personales basado en un interés legítimo no podrá llevarse a cabo si, en un caso particular, existen motivos que protegen los intereses del afectado y que superan el interés en el tratamiento. Dichos intereses deben verificarse y documentarse para cada tratamiento.

  • Tratamiento de categorías especiales de datos personales

El tratamiento de estos datos personales, en particular los datos sensibles, solo podrá realizarse si así lo exige la ley o si el interesado ha dado su consentimiento explícito. El tratamiento de estos datos también está permitido si es absolutamente necesario para la formulación, el ejercicio o la defensa de reclamaciones legales contra el interesado.

  • Decisiones individuales automatizadas

El tratamiento automatizado de datos personales, mediante el cual se evalúan las características individuales, no puede ser el único fundamento para decisiones con consecuencias jurídicas negativas o que perjudiquen significativamente al interesado. Este debe ser informado del hecho y del resultado de una decisión automatizada individual y tener la oportunidad de presentar alegaciones. Para evitar decisiones erróneas, debe garantizarse un control y una verificación de plausibilidad por parte de un empleado.

  • Datos de usuario e Internet

Si en los sitios web se recopilan, procesan y utilizan datos personales, los afectados son informados al respecto mediante declaraciones de protección de datos y, en su caso, avisos sobre cookies. Las declaraciones de protección de datos y, en su caso, los avisos sobre cookies deben estar integrados de forma que sean fácilmente reconocibles, accesibles y estén disponibles para el interesado en todo momento.

Si se recopilan perfiles de uso (seguimiento) para evaluar el comportamiento de los usuarios en sitios web y aplicaciones, las personas afectadas deben ser informadas en la política de privacidad. Si el seguimiento se realiza bajo un seudónimo, el interesado debe tener la posibilidad de oponerse (opt-out) en la política de privacidad.

  • Tratamiento de datos para la relación laboral

En lo que respecta a la relación laboral, se podrán tratar los datos personales necesarios para la celebración, ejecución y terminación del contrato de trabajo.

Durante el inicio de una relación laboral, se podrán tratar los datos personales de los solicitantes. En caso de rechazo del candidato, sus datos deberán eliminarse, respetando los periodos de prueba legales, salvo que el solicitante haya consentido su conservación para un proceso de selección posterior.

En la relación laboral existente, el tratamiento de datos siempre debe estar relacionado con la finalidad del contrato de trabajo, salvo que se dé alguna de las siguientes condiciones de autorización para el tratamiento de datos.

Al inicio de la relación laboral o durante la misma, si es necesario recabar información adicional sobre el solicitante a través de un tercero, se deberán tener en cuenta las normativas legales pertinentes. En caso de duda, se deberá solicitar el consentimiento del interesado.

  • Tratamiento de datos basado en autorización legal

El tratamiento de datos personales de los empleados también está permitido si las directivas legales nacionales lo exigen, requieren o autorizan. El tipo y el alcance del tratamiento de datos deben ser necesarios para el tratamiento lícito de los mismos y ajustarse a dichas normativas. En caso de existir libertad jurídica, deben tenerse en cuenta los intereses del empleado que merezcan protección.

(1) El tratamiento es lícito únicamente si y en la medida en que se cumpla al menos una de las siguientes condiciones:

(a) el interesado ha dado su consentimiento para el tratamiento de sus datos personales para uno o más fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para adoptar medidas a petición del interesado antes de la celebración de un contrato;

c) el tratamiento es necesario para el cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento;

d) el tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para los fines de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, salvo cuando los intereses o los derechos y libertades fundamentales del interesado prevalezcan sobre dichos intereses y requieran la protección de datos personales, en particular cuando el interesado sea un niño.

  • Reglamento colectivo para el tratamiento de datos

Si el tratamiento de datos excede la finalidad del contrato, se permite si está amparado por un convenio colectivo. Los convenios colectivos son acuerdos salariales colectivos o convenios entre empleadores y representantes de los trabajadores, en el marco de la legislación laboral vigente. Dichos convenios deben abarcar la finalidad específica del tratamiento solicitado y pueden estar sujetos a la legislación nacional de protección de datos.

  • Consentimiento para el tratamiento de datos

El tratamiento de los datos de los empleados puede realizarse con el consentimiento de la persona afectada. Las declaraciones de consentimiento deben ser voluntarias. Los consentimientos involuntarios no son válidos. La declaración de consentimiento debe realizarse por escrito o electrónicamente, por razones probatorias. Si las circunstancias no lo permiten, el consentimiento puede otorgarse verbalmente. El consentimiento debe, en todos los casos, estar debidamente documentado. En caso de declaración voluntaria e informada de datos por parte del interesado, se puede presumir el consentimiento si la legislación nacional no prevé el consentimiento explícito. Antes de otorgar el consentimiento, el interesado debe ser informado de conformidad con esta directriz de protección de datos.

  • Tratamiento de datos basado en un interés legítimo

El tratamiento de los datos personales de los empleados también podrá realizarse si resulta necesario para la consecución de un interés legítimo de la empresa. Los intereses legítimos suelen basarse en motivos legales (por ejemplo, el establecimiento, el ejercicio o la defensa de reclamaciones legales) o comerciales.

El tratamiento de datos personales basado en un interés legítimo no podrá llevarse a cabo si, en un caso particular, existen motivos para creer que los intereses del empleado que merecen protección superan el interés en el tratamiento. La existencia de intereses legítimos deberá verificarse para cada tratamiento.

Las medidas de control que requieren el tratamiento de datos de los empleados solo podrán llevarse a cabo si existe una obligación legal o una razón justificada. Incluso en caso de existir una razón justificada, deberá verificarse la proporcionalidad de la medida de control. Los intereses legítimos de la empresa en la aplicación de la medida de control (por ejemplo, el cumplimiento de directivas legales y reglamentos internos de la empresa) deberán sopesarse frente a un posible interés legítimo del empleado afectado por la medida y solo podrán llevarse a cabo si son proporcionales. El interés legítimo de la empresa y los posibles intereses legítimos de los empleados deberán establecerse y documentarse antes de cada medida. Además, se deberán cumplir todos los demás requisitos establecidos en la legislación nacional.

  • Tratamiento de datos dignos de protección

Compañía no procesa datos personales que revelan origen racial o étnicoopiniones políticascreencias filosóficas o afiliación sindical y procesamiento de datos genéticos, datos sobre vida sexual o orientación sexual de una persona natural.

Los datos de salud del empleado son procesados por el proveedor de atención médica; la empresa es informada sobre la aptitud o incapacidad del titular de los datos para realizar una actividad. La interpretación de los datos de salud es procesada por la empresa, con el consentimiento del empleado. El procesamiento es necesario para fines relacionados con la medicina preventiva u ocupacional, para evaluar la capacidad laboral del empleado.

Del mismo modo, los datos sobre condenas (por ejemplo, antecedentes penales) a menudo solo pueden procesarse bajo condiciones especiales establecidas en la legislación nacional.

El tratamiento de datos debe estar expresamente permitido o previsto en la legislación nacional. Asimismo, podrá autorizarse si es necesario para que la función responsable pueda cumplir con sus derechos y obligaciones en materia laboral.

  • Decisiones automatizadas

En la medida en que la relación laboral implique el procesamiento automatizado de datos mediante los cuales se evalúan los rasgos de personalidad individuales (por ejemplo, como parte de la selección de personal o la evaluación de perfiles de cualificación), dicho procesamiento automatizado no puede ser la base exclusiva para decisiones con consecuencias negativas o significativas.

Para evitar decisiones erróneas, en los procedimientos automatizados debe garantizarse que una persona física realice una evaluación de los hechos y que dicha evaluación sirva de base para la decisión. El empleado afectado deberá ser informado del hecho y del resultado de la decisión individual automatizada y tendrá la oportunidad de presentar alegaciones.

  • Telecomunicaciones e Internet

Los sistemas telefónicos, las direcciones de correo electrónico, la intranet e internet, así como las redes sociales internas, son proporcionados inicialmente por la empresa para el desarrollo de sus actividades. Constituyen herramientas de apoyo al trabajo y un recurso de la empresa. Su uso está sujeto a la normativa legal vigente y a las directrices internas de la compañía.

Se realiza un seguimiento general de las comunicaciones telefónicas y por correo electrónico, así como del uso de la intranet e internet. Para prevenir ataques a la infraestructura informática o a usuarios individuales, se han implementado medidas de protección en las interfaces de red de la empresa, que bloquean el contenido técnicamente dañino o analizan los patrones de ataque. Por motivos de seguridad y trazabilidad, se documenta el uso de los sistemas telefónicos, las direcciones de correo electrónico, la intranet, internet y las redes sociales internas.

Las evaluaciones personales de estos datos solo podrán realizarse ante la sospecha fundada y justificada de una infracción de las leyes o las normas de la empresa. Dichas comprobaciones se llevarán a cabo únicamente conforme al principio de proporcionalidad. La legislación nacional deberá respetarse conjuntamente con la normativa vigente de la empresa.

5. TRANSMISIÓN DE DATOS PERSONALES

La transmisión de datos personales a destinatarios ajenos a RHEIN VISION está sujeta a las condiciones de autorización para el tratamiento de datos personales. El destinatario de los datos está obligado a utilizarlos únicamente para los fines indicados.

En caso de transferencia de datos a un destinatario ajeno al grupo de empresas en un tercer país, dicho destinatario deberá garantizar un nivel de seguridad de datos equivalente al de esta normativa de protección de datos. Esto no se aplica si la transferencia se debe a una obligación legal.

En caso de transmisión de datos por parte de terceros al grupo empresarial, debe garantizarse que los datos puedan utilizarse para los fines previstos.

6. PROCESAMIENTO ASIGNADO (en caso de asignación, transferencia, fusión, etc.)

El procesamiento subcontratado se produce cuando se confía a un contratista el procesamiento de datos personales sin transferirle la responsabilidad del proceso empresarial asociado. En estos casos, debe formalizarse un acuerdo de procesamiento subcontratado con los contratistas externos.

La empresa contratante conserva la plena responsabilidad del correcto procesamiento de datos. El contratista solo podrá procesar datos personales siguiendo sus instrucciones.

  1. El contratista deberá ser seleccionado en función de su idoneidad para proporcionar las medidas de protección técnicas y organizativas necesarias.
  2. La asignación debe realizarse por escrito. Las instrucciones para el procesamiento de datos y las responsabilidades del contratista deben estar documentadas.
  3. Antes de iniciar el procesamiento de datos, el contratista debe asegurarse de que se han cumplido todas sus obligaciones. El cumplimiento de los requisitos de seguridad de datos puede demostrarse mediante la presentación de la certificación correspondiente. En función del riesgo del procesamiento de datos, la verificación deberá repetirse periódicamente, si fuera necesario durante la vigencia del contrato.
  4. En el caso del tratamiento de datos para una asignación transfronteriza, deben cumplirse los requisitos nacionales correspondientes para la transmisión de datos personales al extranjero. En particular, el tratamiento de datos personales procedentes del Espacio Económico Europeo en un tercer país solo podrá realizarse si el proveedor de servicios puede demostrar un nivel de seguridad de datos equivalente al de la presente Directiva de Protección de Datos.

7. DERECHOS DEL TITULAR DE LOS DATOS

Cada persona afectada podrá ejercer los siguientes derechos. Su reclamación será tramitada de inmediato por el área responsable y no podrá ocasionar ningún perjuicio al interesado.

  1. El interesado puede solicitar información sobre qué datos personales, de qué fuente, se almacenan y con qué finalidad. Si en la relación laboral se prevén derechos adicionales de acceso a los documentos del empleador (por ejemplo, el expediente personal), estos no se verán afectados.
  2. Si se transmiten datos personales a terceros, también se debe proporcionar información sobre la identidad del destinatario o las categorías de destinatarios.
  3. Si los datos personales son incorrectos o incompletos, el interesado podrá solicitar su corrección o que se completen.
  4. El interesado podrá oponerse al tratamiento de sus datos personales con fines publicitarios, de investigación de mercado o de encuestas. Dichos datos deberán bloquearse para estos fines.
  5. El interesado tiene derecho a solicitar la supresión de sus datos si la base jurídica para su tratamiento es inexistente o ya no es aplicable. Lo mismo se aplica si la finalidad del tratamiento deja de ser pertinente por el transcurso del tiempo o por otros motivos. Deben tenerse en cuenta las obligaciones de conservación existentes y los intereses legítimos que prevalezcan sobre la supresión.
  6. El interesado tiene el derecho fundamental a oponerse al tratamiento de sus datos, derecho que debe tenerse en cuenta si su interés legítimo en la protección supera el interés en el tratamiento debido a una situación personal particular. Esto no se aplica si una normativa legal exige que se lleve a cabo el tratamiento.

8. CONFIDENCIALIDAD DEL TRATAMIENTO

Los datos personales están sujetos a confidencialidad. Queda prohibida la recopilación, el procesamiento o el uso no autorizados por parte de los empleados.

Cualquier procesamiento de datos que un empleado realice sin estar debidamente autorizado para ello en el desempeño de sus funciones se considera no autorizado. Se aplica el principio de necesidad de saber: los empleados solo podrán acceder a los datos personales si y en la medida necesaria para el cumplimiento de sus tareas. Esto exige una cuidadosa asignación y separación de roles y responsabilidades, así como su implementación y mantenimiento como parte de los protocolos de autorización.

Los empleados no podrán utilizar datos personales con fines privados o comerciales, transmitirlos a personas no autorizadas ni hacerlos accesibles de ninguna otra manera.

9. SEGURIDAD DEL PROCESAMIENTO

Los datos personales deben protegerse en todo momento contra el acceso no autorizado, el tratamiento o la transmisión ilícitos, así como contra la pérdida, la falsificación o la destrucción. Esto se aplica independientemente de si el tratamiento de datos se realiza de forma electrónica o en papel. Antes de introducir nuevos procedimientos de tratamiento de datos, en particular nuevos sistemas informáticos, deben establecerse e implementarse medidas técnicas y organizativas para la protección de datos personales. Estas medidas deben adaptarse a la tecnología actual, a los riesgos asociados al tratamiento y a los requisitos de protección de datos (determinados por el proceso de clasificación de la información).

Teniendo en cuenta el estado actual de desarrollo, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo, con distintos grados de probabilidad y gravedad, para los derechos y libertades de las personas físicas, el responsable del tratamiento y el encargado del tratamiento aplicarán medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado a dicho riesgo, incluyendo, entre otras, cuando proceda:

(a) la pseudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia continuas de los sistemas y servicios de procesamiento;

c) la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico;

d) un proceso para probar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.

Las medidas técnicas y organizativas para proteger los datos personales forman parte de la gestión de la seguridad de la información y la protección de datos en toda la empresa y deben adaptarse continuamente a los avances técnicos y a los cambios organizativos.

10. CONTROL DE PROTECCIÓN DE DATOS

El cumplimiento de las directivas de protección de datos y las leyes de protección de datos aplicables se verifica periódicamente mediante auditorías de protección de datos y controles adicionales.

Los resultados de las auditorías de protección de datos deben comunicarse a la dirección.

11. INCIDENTE DE PROTECCIÓN DE DATOS

Cada empleado debe informar inmediatamente al Responsable de Protección de Datos sobre cualquier infracción de esta Directiva de Protección de Datos u otras normativas para la protección de datos personales (incidentes de protección de datos). La notificación puede enviarse por correo electrónico a dpo@rhein-vision.com en casos de:

  • transmisión ilegal de datos personales a terceros,
  • acceso ilegal por parte de terceros a datos personales o
  • pérdida de datos personales

Las notificaciones internas de la empresa deben realizarse sin demora para que se puedan cumplir las obligaciones de notificación existentes en materia de incidentes de protección de datos, de conformidad con la legislación nacional.

Notificación a la autoridad de control en caso de una violación de datos personales.

Cuando se produzca una violación de datos personales, el responsable del tratamiento deberá notificarla a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, cuando sea factible, a más tardar 72 horas después de haber tenido conocimiento de ella, a menos que sea probable que suponga un riesgo para los derechos y libertades de las personas físicas. Si la notificación no se realiza en un plazo de 72 horas, deberá ir acompañada de una explicación motivada de la autoridad de control.

El encargado del tratamiento deberá notificar al responsable del tratamiento sin dilación indebida una vez que tenga conocimiento de una violación de datos personales.

La notificación a la que se refiere el párrafo:

(a) describir la naturaleza de la violación de datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados, así como las categorías y el número aproximado de registros de datos personales afectados;

b) comunicar el nombre y los datos de contacto del responsable de protección de datos u otro punto de contacto donde se pueda obtener más información;

c) describe las posibles consecuencias de la violación de datos personales;

d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para subsanar la violación de datos personales, incluidas, cuando proceda, las medidas para mitigar sus posibles efectos adversos.

(4) cuando y en la medida en que no sea posible proporcionar la información al mismo tiempo, podrá proporcionarse en varias etapas, sin demora indebida.

(5) El responsable del tratamiento deberá conservar registros de todas las violaciones de datos personales, incluyendo una descripción de las circunstancias en que se produjo la violación, sus efectos y las medidas correctivas adoptadas. Esta documentación permitirá a la autoridad de control verificar el cumplimiento del presente artículo.

12. RESPONSABILIDADES Y SANCIONES

La dirección es responsable del tratamiento de los datos personales de conformidad con la directiva.

Por lo tanto, está obligada a garantizar que se cumplan los requisitos legales de protección de datos (por ejemplo, las obligaciones nacionales de presentación de informes).

En caso de que las autoridades realicen controles de protección de datos, se deberá informar inmediatamente al Responsable de Protección de Datos.

La dirección ha designado un responsable de protección de datos. Este responsable podrá realizar comprobaciones y deberá familiarizar a los empleados con el contenido de las directrices de protección de datos. La dirección está obligada a prestar apoyo al responsable de protección de datos en su labor.

La dirección debe garantizar que los empleados estén debidamente informados sobre la protección de datos. El tratamiento indebido de datos personales u otras infracciones de la legislación de protección de datos tienen consecuencias legales en muchos países y pueden dar lugar a reclamaciones por daños y perjuicios. Las infracciones de las que sean responsables los empleados individualmente pueden conllevar medidas disciplinarias.

13. RESPONSABLE DE PROTECCIÓN DE DATOS

Como entidad interna especializada, el responsable de protección de datos garantiza el cumplimiento de la normativa de protección de datos. Es responsable de supervisar dicho cumplimiento e informa inmediatamente a la dirección sobre cualquier riesgo para la seguridad de los datos.

Cualquier persona afectada puede ponerse en contacto con el responsable de protección de datos para realizar sugerencias, preguntas, solicitar información o presentar quejas relacionadas con la protección o la seguridad de los datos. Las solicitudes y quejas se tratan de forma confidencial.

14. IMPLEMENTACIÓNARE

Este documento debe ser accesible a todas las personas interesadas.