Accept the Privacy Policy:

1.   ABOUT THIS POLICY

SC RHEIN VISION SRL is obliged, as part of its social responsibility, to comply with international data protection law, Regulation (EU) 2016/679 on the protection of individuals with regard to the processing of personal data and on the free movement of such data and repealing Directive 95/46 / EC.This policy is based on current European legislation in force and the Romanian data protection directives. Protecting data protection is a basis for trusting relationships – both at the level of employees and for relationships with business partners.

This directive contains an overview of the most relevant data protection regulations to be complied with by management and employees of RHEIN VISION. The RHEIN VISION data protection procedure is also available to all employees for information and explanations on the subject of data protection.

2. TERMS AND DEFINITIONS

The regulations applicable to data protection legislation (hereinafter in short: the Data Protection Act) use their own terminology. This allows for brief explanations in the text and improves readability.

In this data protection policy, we use the following terms:

Personal data –any information relating to an identified or identifiable natural person (‘data subject’). An identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier, such as a name, an identification number, location data, an online identifier or one or more specific physical, genetic factors. , mental, economic, cultural or social of that natural person.

The Data Protection Act refers to the use of “personal data”, ie all information about a natural person whose identity is specified or can be determined. Such information can be name, date of birth, address, telephone number, IP address, etc. Details of a person’s general behavior or habits (eg value judgments), as well as photographs and images recorded by a surveillance camera are also personal data.

Therefore, whenever information can be attributed to an individual, the application of data protection law must be assumed.

• Target person –each natural person whose data are processed.

Data processing –The processing of personal data means any procedure, with or without the aid of automated processes, for the collection, storage, organization, modification, request, use, transmission, dissemination or combination and matching of data. It also includes deleting, deleting and blocking data and data operators.

• Processing – pprocessing, processing, storage, adaptation or modification, retrieval, consultation, use, processing, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, deletion or destruction.
• Restriction of processing – rthe restriction of processing is the marking of stored personal data in order to limit their processing in the future.
• Profiling – pProfiling means any form of automatic processing of personal data which consists in using personal data to assess certain personal aspects related to an individual, in particular to analyze or predict aspects of the performance of the individual at work, the economic situation , health, personal preferences, interests, reliability, behavior, location or movements.
• Pseudonymy –processing of personal data so that personal data can no longer be attributed to a particular data subject without the use of additional information, provided that such additional information is kept separate and subject to technical and organizational measures to ensure that the data personal data are not assigned to an identified or identifiable natural person.
• Controller or responsible for processing – the natural or legal person, public authority, agency or other body which, alone or jointly with others, sets out the purposes and means of the processing of personal data; Where the purpose and means of such processing are determined by Union or Member State law, the controller or specific criteria for its designation may be provided by Union or Member State law.
• Processor –natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller.
• Recipient –The beneficiary, a natural or legal person, a public authority, an agency or another body to whom personal data are disclosed, whether or not it is a third party. However, public authorities which may receive personal data in a specific investigation in accordance with Union or Member State law shall not be considered as recipients; the processing of such data by those public authorities must comply with the applicable data protection rules in accordance with the purposes of the processing.
• Third party –natural or legal person, a public authority, an agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorized to process personal data.
• Consent –any specific, informed and unambiguous indication of the data subject’s wishes by which he, by a statement or by a clear affirmative action, accepts the processing of personal data concerning him.

Consent is a statement written in clear and simple language. The data subject shall be informed that he has the right to withdraw his consent at any time. Withdrawal of consent shall not affect the lawfulness of the processing carried out on the basis of the consent before its withdrawal.

If the personal data of the minors of the data subjects are also processed, the consent of the minors over 16 years of age is required; in the case of others, the guardian is the one who gives consent.

• Cookie –text files that are stored in a computer system through an Internet browser.

Many websites and servers use cookies. Many cookies contain a cookie ID. A cookie ID is a unique cookie identifier. It consists of a string through which Internet pages and servers can be assigned to the Internet browser in which the cookie was stored.

This allows the websites and servers visited to differentiate the individual browser of the target person from other Internet browsers that contain other cookies. A specific Internet browser can be recognized and identified using a unique cookie ID.

By using cookies, we can offer users of this site several services that are easy to use, which would not be possible without prior setting.

Through a cookie, the information and offers on our site can be optimized depending on the user. Cookies allow us, as mentioned above, to recognize the users of our website. The purpose of this recognition is to facilitate the use of our website by users. The user of the website who uses cookies, e.g. you do not have to enter access data every time the site is accessed, because it is taken over by the website, and the cookie is thus stored in the user’s computer system.

The data subject may, at any time, prevent the setting of cookies through our website through a proper setting of the internet browser used and may thus refuse to set cookies permanently. In addition, cookies already set can be deleted at any time via an Internet browser or other software. This is possible in all popular Internet browsers. If the data subject disables the setting of cookies in the internet browser used, not all the functions of our site can be used in full.

Data protection incident –an event in which there is a reasonable suspicion that personal data has been discovered, collected, modified, copied, transmitted or used illegally. This may refer to actions taken by both third parties and employees.

3. PRINCIPLES FOR THE PROCESSING OF PERSONAL DATA

Fairness and legality

Personal data must be collected and processed legally.

Purpose

The processing of personal data may only pursue the purposes for which the data collection was established. Retrospective changes of purpose are only possible within limits and require justification.

Transparency

The data subject must be informed of the manipulation of his / her data. In principle, personal data must be collected from the data subject himself. When collecting data, the data subject must be at least aware of the following or be informed accordingly about:

• the identity of the responsible authority
• the purpose of the data processing
• specified storage periods
• third parties or categories of third parties to whom the data are transmitted

The operator shall provide the data subject with information on actions taken following a request without undue delay and in any case within one month of receipt of the request. This period may be extended by two months where necessary, taking into account the complexity and number of applications. The operator shall inform the data subject of any such extension within one month of receipt of the request, stating the reasons for the delay. Where the data subject submits an application in electronic format, the information shall be provided in electronic format where possible, unless the data subject requests another format.

If the data subject does not act on the data subject’s request, the controller shall inform the data subject, without delay and no later than one month after receipt of the request, of the reasons for not taking action and of the possibility to lodge a complaint with the data subject. a supervisory authority and to introduce a judicial remedy.

If the requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive nature, the controller may:

(a) either charge a reasonable fee taking into account the administrative costs of providing the information or communication or taking the measures requested;

(b) refuse to comply with the request.

In such cases, it is for the operator to demonstrate the manifestly unfounded or excessive nature of the application. The operator may request the provision of additional information necessary to confirm the identity of the data subject.

The information to be provided to data subjects may be provided in combination with standardized icons to provide in a easily visible, intelligible and clearly legible way a meaningful overview of the intended processing. If the icons are presented in electronic format, they must be readable automatically.

Data avoidance and data minimization

Before processing personal data, it must be verified whether and to what extent it is necessary to achieve the purpose associated with the processing. If it is possible to achieve the purpose and the measure is appropriately related to the intended purpose, anonymised or statistical data should be used. Personal data may not be stored for future purposes unless they are prescribed or permitted by national law.

Delete and limit storage

Personal data that are no longer needed after the expiry of the legal storage periods must be deleted. If, in individual cases, there are grounds for interests in such data worthy of protection, the data must remain stored until the interest worthy of protection is legally clarified.

Accuracy of the data protection process

The personal data stored must be correct, complete and – to the extent necessary – up to date. Appropriate measures must be taken to ensure that irrelevant, incomplete or outdated data is deleted, corrected, supplemented or updated.

Confidentiality and data security

Confidentiality applies to personal data. They must be treated confidentially and protected by appropriate organizational and technical measures against unauthorized access, unlawful processing or transmission, and accidental loss, alteration or destruction.

4. ADMISSIBILITY OF DATA PROCESSING / ADMISSION CIRCUMSTANCES

 The collection, processing and use of personal data are only permitted if one of the circumstances of the authorization mentioned below is given.

 Data processing for a contractual relationship

The personal data of the customer, supplier or other business partner may be processed for the purpose, execution and performance of a contract. In the so-called initial phase of the contract (elaboration of an offer, contact with interested parties using the data provided by them), the processing of personal data is also allowed.

Data processing agreement

Data processing may take place with the consent of the data subject. Before consenting, the data subject must be informed of the regulations. The statement of consent must be submitted in writing or electronically, for evidentiary reasons. In certain circumstances, for example, a telephone consultation, the agreement may also be provided in spoken form. The issue must be documented.

NOTE! An agreement may be withdrawn at any time by the person who is the subject of the processing of personal data

Data processing based on legal permission

The processing of personal data is also permitted if national legal regulations require, suppose or permit the processing of data. The type and extent of data processing must be necessary for the lawful processing of data and be oriented towards these regulations.

Data processing based on a justified interest

The processing of personal data may also take place if it is necessary to achieve a justified interest of the company. Justified interest is usually legal (for example, dealing with outstanding claims) or economic (for example, avoiding contractual obstacles). The processing of personal data on the basis of a justified interest cannot take place if, in an individual case, there are reasons for the interests of the data subject worthy of protection that go beyond the interest for processing. Protected interests must be verified and documented for each processing.

Processing of data from the special category of personal data

The processing of such personal data, in particular worthy of protection, may take place only if this is legally required or if the data subject has explicitly agreed. The processing of such data is also permitted if it is absolutely necessary to formulate, exercise or defend legal claims against the data subject.

Automated individual decisions

The automated processing of personal data, through which individual personal traits are assessed, cannot be the exclusive basis for decisions with negative legal consequences or significant compromises for the data subject. The data subject must be informed of the fact and outcome of an individual automated decision and be given the opportunity to make a statement. In order to avoid incorrect decisions, a check and plausibility check must be provided by an employee.

User and Internet data

If personal data is collected, processed and used on websites, those affected must be informed of this in their data protection statements and in cookie notifications, if any. Data protection and, where appropriate, cookie notifications must be integrated so that they are easily recognizable, accessible and permanently available to the data subject.

If usage profiles (tracking) are compiled to assess the usage behavior of sites and applications, those affected must, in any case, be informed in data protection statements. If the tracking is done under a pseudonym, the data subject must be able to object (waive) to data protection statements.

Data processing for the employment relationship

For the employment relationship, the personal data that are necessary for the conclusion, execution and termination of the employment contract can be processed.

During the initiation of an employment relationship, the personal data of the applicants may be processed. In case of rejection of the candidate, the applicant’s data must be deleted, taking into account the periods of legal probation, unless the applicant has consented to the additional storage for a subsequent selection process.

In the existing employment relationship, the processing of data must always refer to the purpose of the employment contract, insofar as one of the following conditions of authorization for the processing of data does not apply.

During the initiation of the employment relationship or in the existing employment relationship, if it is necessary to collect additional information about the applicant from a third party, those legal regulations must be taken into account. In case of doubt, the consent of the data subject must be sought.

Data processing based on legal permission

The processing of employees’ personal data is also permitted where national legal directives require, assume or permit the processing of data. The type and extent of data processing must be necessary for the lawful processing of data and be oriented towards these regulations. If there is legal freedom, the interests of the employee worthy of protection must be taken into account.

1. Processing shall be lawful only if and to the extent that at least one of the following conditions applies:

(a) the data subject has given his or her consent to the processing of his or her personal data for one or more specific purposes;

(b) the processing is necessary for the performance of a contract to which the data subject is a party or for making arrangements at the request of the data subject before concluding a contract;

(c) the processing is necessary for the fulfillment of a legal obligation incumbent on the controller;

(d) the processing is necessary to protect the vital interests of the data subject or of another natural person;

(e) the processing is necessary for the performance of a task which is in the public interest or which results from the exercise of official authority with which the operator is vested;

(f) processing is necessary for the legitimate interests pursued by the controller or a third party, unless the interests or fundamental rights and freedoms of the data subject prevail, which require the protection of personal data, in particular where the data subject is a child.

Collective regulations for data processing

If the processing exceeds the purpose of the performance of the contract, it is allowed if it is granted by a collective regulation. Collective regulations are collective wage agreements or agreements between employers and employees’ representatives in the context of the possibilities of the respective labor legislation. The regulations must extend to the specific purpose of the requested processing and can be established in relation to national data protection legislation.

Consent for data processing

The processing of employee data may take place with the consent of the data subject. Statements of consent must be issued voluntarily. Involuntary agreements are invalid. The statement of consent must be submitted in writing or electronically, for evidentiary reasons. If circumstances do not allow this as an exception, consent may be given in oral form. Consent must, in all cases, be properly documented. In the case of voluntary informed disclosure of data by the data subject, consent may be obtained unless national law provides for explicit consent. Prior to consent, the data subject must be informed in accordance with this data protection guide.

Data processing based on a justified interest

The processing of employees’ personal data may also take place if it is necessary to achieve a justified interest of the company. Justified interests are usually based on legal (eg, filing, exercising or defending legal claims) or commercial grounds.

The processing of personal data on the basis of a justified interest cannot take place if, in an individual case, there are reasons that state that the interests of the employee worthy of protection are higher than the interest for processing. The presence of protection interests must be verified for each processing.

Control measures that require the processing of employee data may only be carried out if there is a legal obligation or a just cause. Even in the case of a justified cause, the proportionality of the control measure must be verified. The company’s justified interests in carrying out the control measure (eg compliance with the company’s legal directives and internal regulations) must be weighed against a potentially dignified protective interest of the employee affected by the measure and can only be achieved if they are proportionate. The justified interest of the company and the possible protective interests of the employees must be established and documented before each measure. In addition, any other existing requirements in accordance with national law.

Processing of data worthy of protection

The company does not process personal data that reveals racial or ethnic origin, political opinions, philosophical beliefs or trade union membership and the processing of genetic data, data on the sexual life or sexual orientation of an individual.

Employee health data is processed by the health care provider; the company is informed of the apt / unfit quality of the person concerned to carry out an activity. Interpretation of health data is processed by the company, with the consent of the employee. Processing is required for purposes related to preventive or occupational medicine, the assessment of the employee’s work capacity

Equally, data on convictions (eg criminal record) can often be processed only under special conditions laid down by national law.

Processing must be permitted or explicitly prescribed under national law. In addition, processing may be permitted if necessary so that the responsible function can fulfill its rights and obligations in the field of labor law.

Automated decisions

To the extent that the employment relationship involves the automatic processing of data by which individual personality traits are assessed (for example, as part of staff selection or assessment of qualification profiles), such automatic processing cannot be the sole basis for decisions with negative or significant consequences.

In order to avoid incorrect decisions, it must be ensured in automated procedures that a natural person carries out an assessment of the factual content and that this assessment is the basis of the decision.

Telecommunications and the Internet

Telephone systems, e-mail addresses, Intranet and Internet, as well as internal social networks, are provided in the first instance by the company for the purpose of the company’s tasks. There are work supports and a company resource. They may be used in accordance with applicable legal regulations and the company’s internal guidelines.

There is a general monitoring of telephone and e-mail communication, as well as the use of the intranet and the internet. To prevent attacks on IT infrastructure or individual users, protection measures have been implemented at the company’s network interfaces, which block technically harmful content or analyze attack patterns. For security and traceability reasons, the use of telephone systems, e-mail addresses, the Intranet, the Internet and internal social networks is documented.

Personal evaluations of this data can only take place in the event of a concrete and justified suspicion of a breach of the company’s laws or guidelines. These controls can only take place in accordance with the principle of proportionality. National laws must be observed in conjunction with existing company regulations.

5. TRANSMISSION OF PERSONAL DATA

The transmission of personal data to recipients outside RHEIN VISION is subject to the conditions of authorization for the processing of personal data. The recipient of the data is obliged to use them only for the established purposes.

In the case of transmission of data to a recipient outside the group of companies in a third country, the recipient must ensure a level of data security equivalent to this data protection regulation. This does not apply if the transmission is due to a legal obligation.

In the case of transmission of data by third parties to the group of companies, it must be ensured that the data can be used for the intended purposes.

6. ALLOCATED PROCESSING (in case of assignment, transfer, merger, etc.)

The assigned processing is when a contractor is in charge of processing personal data without transferring responsibility for the associated business process. In these cases, a processing contract awarded to external contractors must be concluded.

The transferring company retains full responsibility for the correct processing of the data. The Contractor may only process personal data in connection with the Contractor’s instructions.

1. The contractor must be selected according to the appropriateness of ensuring the necessary technical and organizational protection measures.
2. The assignment must be issued in writing. The instructions for processing the data and the responsibilities of the contractor and the contractor must be documented.
3. The contractor must be convinced before starting to process the data on the fulfillment of the contractor’s obligations. Compliance with data security requirements may be demonstrated by a contractor, in particular by presenting an appropriate certification. Depending on the risk of data processing, the verification must be repeated regularly, if necessary during the contract period.
4. In the case of data processing for a cross-border assignment, those national requirements for the transmission of personal data abroad must be met. In particular, the processing of personal data from the European Economic Area in a third country may take place only if the contractor can prove a level of data security equivalent to this Data Protection Directive.

7. THE RIGHTS OF THE PERSON CONCERNED

Each affected person may exercise the following rights. Their claim is to be processed immediately by the responsible area and cannot lead to any disadvantage for the data subject.

1. The data subject may request information about what personal data from which source is stored for what purpose. If additional inspection rights to the employer’s documents (eg staff file) are considered in the employment relationship, they are not affected.
2. If personal data are transmitted to third parties, information on the identity of the recipient or the categories of recipients must also be provided.
3. If personal data are incorrect or incomplete, the data subject may request their correction or completion.
4. The data subject may refuse the processing of his personal data for advertising or market research and survey purposes. Data must be locked for these purposes.
5. The data subject is entitled to request the deletion of his or her data if the legal basis for the processing of the data is missing or no longer applicable. The same applies if the purpose of the data processing no longer applies due to the passage of time or other reasons. Existing, protection-worthy storage obligations and interests that are against deletion must be taken into account.
6. The data subject has the fundamental right to object to the processing of his / her data, which must be taken into account if his / her protected interest outweighs the interest for processing due to a special personal situation. 4

8. CONFIDENTIALITY OF PROCESSING

Personal data is subject to data confidentiality. Unauthorized collection, processing or use by employees is prohibited.

Any processing carried out by an employee without being duly appointed and entitled to perform the tasks is considered unauthorized. The principle of the need to know applies: employees may be granted access to personal data only if and to the extent necessary for their respective tasks. This requires the careful allocation and separation of roles and responsibilities, as well as their implementation and maintenance as part of the concepts of authorization.

Employees may not use personal data for private or commercial purposes, transmit it to unauthorized persons or otherwise make it accessible.

9. PROCESSING SAFETY

Personal data must be protected at all times against unauthorized access, unlawful processing or transmission, as well as against loss, falsification or destruction. This applies regardless of whether the data processing is electronic or on paper. Prior to the introduction of new data processing procedures, in particular new IT systems, technical and organizational measures for the protection of personal data must be established and implemented. These measures should be geared to current technology, processing risks and data protection requirements (established through the information classification process).

Given the current state of development, the costs of implementation and the nature, scope, context and purposes of the processing, as well as the risk with varying degrees of probability and severity for the rights and freedoms of natural persons, the operator and his authorized person shall implement appropriate technical and organizational measures to ensure a level of security appropriate to that risk, including, inter alia, as appropriate:

(a) pseudonymisation and encryption of personal data;

(b) the ability to ensure the confidentiality, integrity, availability and ongoing resilience of processing systems and services;

(c) the ability to restore the availability of and access to personal data in a timely manner in the event of a physical or technical incident;

(d) a process for periodic testing, evaluation and assessment of the effectiveness of technical and organizational measures to ensure the safety of processing.

Technical and organizational measures for the protection of personal data are part of the management of information security and data protection throughout the company and must be continuously adapted to technical developments and organizational changes.

10. DATA PROTECTION CONTROL

Compliance with data protection directives and applicable data protection laws is regularly verified through data protection audits and additional controls.

The results of the data protection checks must be notified to the management.

11. DATA PROTECTION INCIDENT

Each employee should immediately inform the Data Protection Officer of breaches of this Data Protection Directive or other personal data protection regulations (data protection incidents). The notification can be sent by e-mail to dpo@rhein-vision.com in cases of:

• illegal transmission of personal data to third parties,
• illegal access by third parties to personal data or
• loss of personal data

Notifications within the company must be made without delay so that existing reporting obligations for data protection incidents can be met in accordance with national law.

 Notification to the supervisory authority in case of personal data breach

In the event of a breach of the security of personal data, the controller shall notify the competent supervisory authority pursuant to Article 55 without undue delay and, if possible, within a maximum of 72 hours from the date on which has become aware of this, unless it is likely to pose a risk to the rights and freedoms of individuals. If the notification does not take place within 72 hours, it shall be accompanied by a reasoned explanation from the supervisory authority if.

The data controller shall notify the controller without undue delay after becoming aware of a breach of the security of personal data.

The notification referred to in paragraph:

(a) describe the nature of the personal data breach, including, where possible, the categories and approximate number of data subjects concerned, as well as the categories and approximate number of records of personal data concerned;

(b) communicate the name and contact details of the Data Protection Officer or other contact point from which more information can be obtained;

(c) describe the likely consequences of the breach of personal data security;

(d) describe the measures taken or proposed to be taken by the controller to remedy the breach of the security of personal data, including, where appropriate, measures to mitigate any adverse effects.

(4) when and to the extent that it is not possible to provide the information at the same time, it may be provided in several stages, without undue delay.

The controller shall keep records of all cases of breach of security of personal data, including a description of the factual situation in which the breach of personal data breach took place, its effects and the remedial measures taken. This documentation shall enable the supervisory authority to verify compliance with this Article.

12. RESPONSIBILITIES AND SANCTIONS

The management is responsible for the processing of personal data in accordance with the directive.

It is therefore obliged to ensure that legal data protection requirements (eg national reporting obligations) are complied with.

In the case of data protection controls by the authorities, the Data Protection Officer must be informed immediately.

The management has appointed a data protection officer. The data protection officer may perform checks and shall familiarize employees with the content of the data protection directives. Management is obliged to support the data protection coordinator in their charge.

Management must ensure that employees are informed to the extent necessary about data protection. Improper processing of personal data or other breaches of data protection law has legal consequences in many states and can lead to claims. Violations for which individual employees are responsible can lead to disciplinary action.

13. DATA PROTECTION MANAGER

As a specialized internal entity, the data protection officer shall ensure compliance with data protection regulations. It is responsible for monitoring compliance with data protection regulations. The Data Protection Officer shall immediately inform the management of the data security risks.

Each affected person may contact the Data Protection Officer with suggestions, questions, requests for information or complaints regarding data protection issues or data security. Requests and complaints are treated confidentially upon request.

14. IMPLEMENTATION

This document must be accessible to all employees.

Accept the Privacy Policy:

To modify your data held by this website you have the following options:

1. DESPRE ACEASTA POLITICA

 SC RHEIN VISION SRL este obligată, ca parte a responsabilității sale sociale, să respecte legea internațională privind protecția datelor, Regulamentului (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulaţie a acestor date  și de abrogare a Directivei 95/46/CE. Această politică se bazează pe legislația europeană actuală valabilă și directivele romanesti privind protecția datelor. Protejarea protecției datelor este o bază pentru relațiile de încredere – atât la nivel de angajați, cât și pentru relațiile cu partenerii de afaceri.

Această directivă conține o prezentare a celor mai relevante reglementări privind protecția datelor care trebuie respectate de către conducere și angajați în cadrul RHEIN VISION. Procedura de protecție a datelor RHEIN VISION este de asemenea disponibilă pentru toți angajații pentru informații și explicații cu privire la subiectul protecției datelor.

2. TERMENI SI DEFINITII

Reglementările aplicabile pentru legislația privind protecția datelor (în continuare pe scurt: Legea privind protecția datelor) folosesc propria lor terminologie. Acest lucru permite explicații scurte în text și îmbunătățește lizibilitatea.

În această politica de protecție a datelor, folosim următorii termeni:

Date personale – orice informație referitoare la o persoană fizică identificată sau identificabilă („persoana vizată”). Persoana fizică identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire la un identificator, cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau unul sau mai mulți factori specifici fizic, genetic, mental, economic, cultural sau social al acelei persoane fizice.

Legea privind protecția datelor se referă la utilizarea „datelor cu caracter personal”, adica toate informațiile despre o persoană fizică a cărei identitate este specificată sau poate fi determinată. Astfel de informații pot fi numele, data nașterii, adresa, numărul de telefon, adresa IP etc. Detalii despre comportamentul general al unei persoane sau obiceiurile acesteia (de exemplu, judecăți de valoare), precum și fotografiile și imaginile înregistrate de o cameră de supraveghere sunt, de asemenea, date cu caracter personal.

Prin urmare, ori de câte ori o informație poate fi atribuită unei persoane fizice, trebuie asumată aplicarea legii privind protecția datelor.

• Persoana vizata –fiecare persoană fizică ale carei date sunt prelucrate.

Procesarea datelor – Prelucrarea datelor cu caracter personal semnifică orice procedură, cu sau fără ajutorul proceselor automatizate, pentru colectarea, stocarea, organizarea, modificarea, solicitarea, utilizarea, transmiterea, răspândirea sau combinarea și potrivirea datelor. Aceasta include, de asemenea, eliminarea, ștergerea și blocarea datelor și a operatorilor de date.

• Prelucrarea – procesarea, prelucrarea, stocarea, adaptarea sau modificarea, recuperarea, consultarea, utilizarea, prelucrarea, dezvăluirea prin transmitere, diseminare sau punerea la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.
• Restricționarea prelucrării – restricționarea procesării este marcarea datelor cu caracter personal stocate în scopul limitării procesării acestora în viitor.
• Profilarea – profilare înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale legate de o persoană fizică, în special pentru a analiza sau prezice aspectele performanței persoanei fizice la locul de muncă, situația economică, sănătatea, preferințele personale, interese, fiabilitate, comportament, locație sau mișcări.
• Pseudonimie – prelucrarea datelor cu caracter personal astfel încât datele personale nu mai pot fi atribuite unui anumit subiect de date fără utilizarea unor informații suplimentare, cu condiția ca astfel de informații suplimentare să fie păstrate separat și să facă obiectul măsurilor tehnice și organizatorice pentru a se asigura că datele personale nu sunt atribuite unei persoane fizice identificate sau identificabile.
• Controlor sau responsabil pentru prelucrare – persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau în comun cu alții, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; în cazul în care scopul și mijloacele unei astfel de prelucrări sunt determinate de legislația Uniunii sau a statului membru, operatorul sau criteriile specifice de numire a acestuia pot fi furnizate de legislația Uniunii sau de statul membru.
• Procesor – persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism care prelucrează date cu caracter personal în numele operatorului.
• Destinatar – Beneficiarul, persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism, căruia i se dezvăluie datele cu caracter personal, indiferent dacă este vorba despre un terț sau nu. Cu toate acestea, autoritățile publice care pot primi date cu caracter personal în cadrul unei anchete anume în conformitate cu legislația Uniunii sau a statelor membre nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective trebuie să fie în conformitate cu normele aplicabile privind protecția datelor în conformitate cu scopurile procesării.
• Terț – persoană fizică sau juridică, o autoritate publică, o agenție sau un organism altul decât persoana vizată, controlor, procesator și persoane care, sub directa autoritate a operatorului sau a prelucrătorului, sunt autorizate să proceseze date cu caracter personal.
• Consimțământ – orice indicație specifică, informată și lipsită de ambiguitate a dorințelor persoanei vizate prin care acesta, printr-o declarație sau printr-o acțiune clară afirmativă, acceptă prelucrarea datelor cu caracter personal care îi privesc.

Consimtamantul este declaratie scrisa in limbaj clar si simplu. Persoana vizata este informata ca are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia.

Daca sunt prelucrate si date personale ale minorilor persoanelor vizate, este necesar consimtamant al minorilor peste 16 ani; in cazul celorlalti, tutorele este cel care acorda consimtamant.

• Cookie –fișiere text care sunt stocate într-un sistem informatic prin intermediul unui browser de Internet.

Multe site-uri Internet și servere utilizează cookie-uri. Multe module cookie conțin un ID cookie. Un ID cookie este un identificator unic al cookie-ului. Se compune dintr-un șir de caractere prin care paginile și serverele Internet pot fi atribuite browserului de Internet în care a fost stocat cookie-ul. Aceasta permite site-urilor Internet și serverelor vizitate să diferențieze browserul individual al persoanei vizate de alte browsere de Internet care conțin alte cookie-uri. Un anumit browser de Internet poate fi recunoscut și identificat utilizând unicul ID cookie.

Prin utilizarea cookie-urilor, putem oferi utilizatorilor acestui site mai multe servicii ușor de utilizat, care nu ar fi posibile fără setarea prealabila.

Prin intermediul unui cookie, informațiile și ofertele de pe site-ul nostru pot fi optimizate în funcție de utilizator. Cookie-urile ne permit, după cum am menționat anterior, să recunoaștem utilizatorii site-ului nostru web. Scopul acestei recunoașteri este de a ușura utilizarea de către utilizatori a site-ului nostru web. Utilizatorul site-ului web care utilizează module cookie, de ex. nu trebuie să introducă date de acces de fiecare dată când site-ul este accesat, deoarece acesta este preluat de site-ul web, iar cookie-ul este astfel stocat în sistemul informatic al utilizatorului.

Incident de protecție a datelor – un eveniment în care există o suspiciune justificată că datele cu caracter personal au fost descoperite, colectate, modificate, copiate, transmise sau utilizate ilegal. Acest lucru se poate referi la acțiuni efectuate atât de terți, cât și de angajați.

3.   PRINCIPII PENTRU PRELUCRAREA DATELOR PERSONALE

• Corectitudine și legalitate

Datele cu caracter personal trebuie colectate și prelucrate în mod legal.

• Scop

Prelucrarea datelor cu caracter personal poate urmări doar scopurile pentru care a fost stabilită colectarea datelor. Modificările retrospective ale scopurilor sunt posibile numai în limite și necesită justificare.

• Transparenţă

Persoana vizata trebuie să fie informată cu privire la manipularea datelor sale. În principiu, datele personale trebuie colectate chiar de la Persoana vizata. La colectarea datelor, Persoana vizata trebuie să fie cel puțin conștientă de următoarele sau să fie informată în consecință cu privire la:

• identitatea autorității responsabile
• scopul prelucrării datelor
• perioadele de depozitare specificate
• terți sau categorii de terți cărora le sunt transmise datele

Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cereri fără întârzieri nejustificate și în orice caz în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ținându-se seama de complexitatea și numărul cererilor. Operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând și motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic acolo unde este posibil, cu excepția cazului în care persoana vizată solicită un alt format.

Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana vizată, fără întârziere și în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri și la posibilitatea de a depune o plângere în fața unei autorități de supraveghere și de a introduce o cale de atac judiciară.

În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate:

(a)    fie să perceapă o taxă rezonabilă ținând cont de costurile administrative pentru furnizarea informațiilor sau a comunicării sau pentru luarea măsurilor solicitate;

(b)    fie să refuze să dea curs cererii.

În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii. Operatorul poate solicita furnizarea de informații suplimentare necesare pentru a confirma identitatea persoanei vizate.

Informațiile care urmează să fie furnizate persoanelor vizate pot fi furnizate în combinație cu pictograme standardizate pentru a oferi într-un mod ușor vizibil, inteligibil și clar lizibil o imagine de ansamblu semnificativă asupra prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea trebuie să poată fi citite automat.

• Evitarea datelor și economia datelor

Înainte de prelucrarea datelor cu caracter personal, trebuie verificat dacă și în ce măsură este necesar pentru a atinge scopul asociat prelucrării. Dacă este posibil pentru atingerea scopului și măsura este în raport adecvat cu scopul intenționat, ar trebui utilizate date anonimizate sau statistice. Datele cu caracter personal nu pot fi stocate în scopuri viitoare, cu excepția cazului în care acestea sunt prescrise sau permise de legislația națională.

• Ștergerea și limitarea stocării

Datele cu caracter personal care nu mai sunt necesare după expirarea perioadelor legale de stocare trebuie șterse. Dacă, în cazuri individuale, există motive pentru interese în aceste date demne de protecție, datele trebuie să rămână stocate până când interesul demn de protecție este clarificat legal.

• Acuratețea procesului de protectie date

Datele personale stocate trebuie să fie corecte, complete și – în măsura în care este necesar – actualizate. Trebuie luate măsuri adecvate pentru a se asigura că datele irelevante, incomplete sau învechite sunt șterse, corectate, completate sau actualizate.

• Confidențialitate și securitate a datelor

Confidențialitatea se aplică datelor cu caracter personal. Acestea trebuie tratate în mod confidențial și protejate prin măsuri organizatorice și tehnice adecvate împotriva accesului neautorizat, prelucrării sau transmiterii ilegale, precum și pierderii, modificării sau distrugerii accidentale.

4.   ADMISIBILITATEA PRELUCRĂRII DATELOR / CIRCUMSTANȚELOR DE ADMISIE

Colectarea, prelucrarea și utilizarea datelor cu caracter personal sunt permise numai dacă este dată una dintre circumstanțele de autorizare mentionate mai jos. 

• Prelucrarea datelor pentru o relație contractuală

Datele personale ale clientului, furnizorului sau altui partener de afaceri pot fi prelucrate în scopul, executarea și îndeplinirea unui contract. În așa-numita fază de inițiere a contractului (elaborarea unei oferte, contactul cu părțile interesate folosind datele furnizate de acestea), este permisă și prelucrarea datelor cu caracter personal.

• Acord privind prelucrarea datelor

Prelucrarea datelor poate avea loc după acordul persoanei afectate. Înainte de a consimți, Persoana vizata trebuie să fie informată cu privire la reglementări. Declarația de consimțământ trebuie prezentată în scris sau electronic, din motive de probă. În anumite circumstanțe, de exemplu, o consultație telefonică, acordul poate fi furnizat și în formă vorbită. Emiterea trebuie documentată.

NOTĂ! Un acord poate fi retras oricând de către persoana ce face obiectului unei prelucrari de date cu caracter personal

• Prelucrarea datelor pe baza permisiunii legale

Prelucrarea datelor cu caracter personal este, de asemenea, permisă dacă reglementările legale naționale impun, presupun sau permit prelucrarea datelor. Tipul și amploarea prelucrării datelor trebuie să fie necesare pentru prelucrarea legală a datelor și să fie orientate către aceste reglementări.

• Prelucrarea datelor bazată pe un interes justificat

Prelucrarea datelor cu caracter personal poate avea loc, de asemenea, dacă este necesară pentru realizarea unui interes justificat al companiei. Prelucrarea datelor cu caracter personal pe baza unui interes justificat nu poate avea loc dacă, într-un caz individual, există motive pentru interesele persoanei afectate demne de protecție care depășesc interesul pentru prelucrare. Interesele demne de protecție trebuie verificate și documentate pentru fiecare procesare.

• Prelucrarea datelor din categoria specială de date cu caracter personal

Prelucrarea acestor date cu caracter personal, în special demnă de protecție, poate avea loc numai dacă acest lucru este cerut din punct de vedere legal sau dacă Persoana vizata a fost de acord în mod explicit. Prelucrarea acestor date este permisă și în cazul în care este absolut necesar să se formuleze, să se exercite sau să se apere pretenții legale față de Persoana vizata.

• Decizii individuale automatizate

Prelucrarea automatizată a datelor cu caracter personal, prin care sunt evaluate trăsăturile personale individuale nu poate fi baza exclusivă pentru deciziile cu consecințe juridice negative sau compromisuri semnificative pentru Persoana vizata. Persoana vizata trebuie să fie informată cu privire la fapt și la rezultatul unei decizii individuale automatizate și să i se ofere posibilitatea de a face o declarație. Pentru a evita deciziile incorecte, trebuie asigurat un control și o verificare a plauzibilității de către un angajat.

• Date utilizator și Internet

Dacă datele personale sunt colectate, prelucrate și utilizate pe site-uri web, cei afectați sunt informați cu privire la acest lucru în declarațiile de protecție a datelor și în notificările privind cookie-urile, dacă este cazul. Protecția datelor și, dacă este cazul, notificările cookie-urilor trebuie să fie integrate astfel încât să fie ușor de recunoscut, accesibile și disponibile în permanență pentru Persoana vizata.

Dacă profilurile de utilizare (urmărire) sunt compilate pentru a evalua comportamentul de utilizare al site-urilor și al aplicațiilor, persoanele afectate trebuie, în orice caz, să fie informate în declarațiile privind protecția datelor. Dacă urmărirea se face sub pseudonim, Persoana vizata trebuie să aibă posibilitatea de a obiecta (renunța) la declarațiile privind protecția datelor.

• Prelucrarea datelor pentru relația de muncă

Pentru relația de muncă, pot fi prelucrate datele personale care sunt necesare pentru incheierea, executarea și rezilierea contractului de muncă.

În timpul inițierii unei relații de muncă, datele personale ale solicitanților pot fi prelucrate. In cazul unei respingeri a candidatului, datele solicitantului trebuie șterse, având în vedere perioadele de probă legală, cu excepția cazului în care solicitantul a consimțit la stocarea suplimentară pentru un proces ulterior de selecție.

În relația de muncă existentă, prelucrarea datelor trebuie să se refere întotdeauna la scopul contractului de muncă, în măsura în care nu se aplică una dintre următoarele condiții de autorizare pentru prelucrarea datelor.

În timpul inițierii relației de muncă sau în relația de muncă existentă, dacă este necesară colectarea de informații suplimentare despre solicitant de la un terț, trebuie luate în considerare reglementările legale respective. În caz de îndoială, consimțământul trebuie solicitat persoanei vizate.

• Prelucrarea datelor pe baza permisiunii legale

Prelucrarea datelor cu caracter personal ale angajaților este permisă și în cazul în care directivele legale naționale impun, presupun sau permit prelucrarea datelor. Tipul și amploarea prelucrării datelor trebuie să fie necesare pentru prelucrarea legală a datelor și să fie orientate către aceste reglementări. Dacă există libertate legală, trebuie luate în considerare interesele angajatului demne de protecție.

(1)  Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(a)  persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(b)    prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

(c)    prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

(d)    prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

(e)    prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

(f)    prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

• Reglementări colective pentru prelucrarea datelor

Dacă prelucrarea depășește scopul îndeplinirii contractului, este permis dacă este acordată printr-un regulament colectiv. Reglementările colective sunt contracte salariale colective sau acorduri între angajatori și reprezentanții angajaților în contextul posibilităților legislației respective a muncii. Reglementările trebuie să se extindă la scopul concret al prelucrării solicitate și pot fi stabilite în raport cu legislația națională privind protecția datelor.

• Consimțământul pentru prelucrarea datelor

Prelucrarea datelor angajaților poate avea loc după acordul persoanei afectate. Declarațiile de consimțământ trebuie emise în mod voluntar. Acordurile involuntare sunt nevalide. Declarația de consimțământ trebuie prezentată în scris sau electronic, din motive de probă. Dacă circumstanțele nu permit acest lucru ca o excepție, consimțământul poate fi emis în formă vorbită. Consimțământul trebuie, în toate cazurile, să fie documentat corespunzător. În cazul declarării voluntare informate a datelor de către Persoana vizata, consimțământul poate fi asumat dacă o lege națională nu prevede consimțământul explicit. Înainte de consimțământ, Persoana vizata trebuie informată în conformitate cu acest ghid privind protecția datelor.

• Prelucrarea datelor pe baza unui interes justificat

Prelucrarea datelor personale ale angajaților poate avea loc, de asemenea, dacă este necesară pentru realizarea unui interes justificat al companiei. Interesele justificate sunt, de regulă, întemeiate pe motive juridice (de exemplu, depunerea, exercitarea sau apărarea revendicărilor legale) sau comerciale.

Prelucrarea datelor cu caracter personal pe baza unui interes justificat nu poate avea loc dacă, într-un caz individual, există motive care afirmă că interesele angajatului demne de protecție sunt mai mari decât interesul pentru prelucrare. Trebuie verificată prezența unor interese demne de protecție pentru fiecare procesare.

Măsurile de control care necesită prelucrarea datelor angajaților pot fi efectuate numai dacă există o obligație legală sau o cauză justificată. Chiar și în cazul unei cauze justificate, trebuie verificată proporționalitatea măsurii de control. Interesele justificate ale societății în realizarea măsurii de control (de exemplu, respectarea directivelor legale și a reglementărilor interne ale companiei) trebuie puse în balanță cu un posibil interes demn de protecție al angajatului afectat de măsură și pot fi realizate numai dacă sunt proporționale. Interesul justificat al companiei și posibilele interese demne de protecție ale angajaților trebuie stabilite și documentate înainte de fiecare măsură. În plus, orice alte cerințe existente în conformitate cu legislația națională.

• Prelucrarea datelor demne de protecție

Compania nu prelucreaza date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

Datele privind sanatatea angajatilor sunt prelucrate de catre furnizor de servicii medicale; compania este informata de calitatea de apt / inapt a persoanei vizate de a desfasura o activitate. Interpretarea datelor referitoare la sanatate sunt prelucrate de companie, cu consimtamantul salariatului. Prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului

În mod egal, datele despre condamnări (de exemplu cazierul judiciar) pot fi deseori prelucrate numai în condiții speciale stabilite de legislația națională.

Prelucrarea trebuie permisă sau prescrisă în mod explicit în baza legislației naționale. În plus, prelucrarea poate fi permisă dacă este necesar, astfel încât funcția responsabilă să își poată îndeplini drepturile și obligațiile în domeniul dreptului muncii.

• Decizii automatizate

În măsura în care relația de lucru implică prelucrarea automată a datelor prin care sunt evaluate trăsăturile individuale ale personalității (de exemplu, ca parte a selecției personalului sau a evaluării profilurilor de calificare), o astfel de prelucrare automată nu poate fi baza exclusivă pentru deciziile cu consecințe negative sau semnificative.

Pentru a evita deciziile incorecte, trebuie să se asigure în proceduri automatizate că o persoană fizică efectuează o evaluare a conținutului de fapt și că această evaluare este baza deciziei. Angajatul afectat va fi informat cu privire la fapt și la rezultatul unei decizii individuale automatizate și să i se ofere posibilitatea de a face o declarație.

• Telecomunicații și Internet

Sistemele telefonice, adresele de e-mail, Intranet și Internet, precum și rețelele sociale interne, sunt furnizate în primă instanță de companie în scopul sarcinilor companiei. Sunt suporturi de lucru și o resursă a companiei. Acestea pot fi utilizate în conformitate cu reglementările legale aplicabile și cu liniile directoare interne ale companiei.

Există o monitorizare generală a comunicării prin telefon și e-mail, precum și utilizarea intranetului și a internetului. Pentru a preveni atacurile asupra infrastructurii IT sau asupra utilizatorilor individuali, au fost implementate măsuri de protecție la interfețele rețelei companiei, care blochează conținutul dăunător din punct de vedere tehnic sau analizează tiparele atacurilor. Din motive de securitate și trasabilitate, este documentată utilizarea sistemelor telefonice, a adreselor de e-mail, a Intranetului, a internetului și a rețelelor sociale interne.

Evaluările personale ale acestor date pot avea loc numai în cazul unei suspiciuni concrete și justificate de încălcare a legilor sau a orientărilor companiei. Aceste controale pot avea loc numai în conformitate cu principiul proporționalității. Legile naționale trebuie respectate împreună cu reglementările existente ale companiei.

5. TRANSMITEREA DE DATE PERSONALE

Transmiterea datelor cu caracter personal către destinatari din afara RHEIN VISION este supusă condițiilor de autorizare pentru prelucrarea datelor cu caracter personal. Destinatarul datelor este obligat să le utilizeze numai în scopurile stabilite.

În cazul transmiterii datelor către un destinatar din afara grupului de companii dintr-o țară terță, destinatarul trebuie să asigure un nivel de securitate a datelor echivalent cu prezentul regulament de protecție a datelor. Acest lucru nu se aplică dacă transmiterea se datorează unei obligații legale.

În cazul transmiterii datelor de către terți către grupul companiei, trebuie să se asigure că datele pot fi utilizate în scopurile prevăzute.

6. PRELUCRAREA ALOCATĂ (in caz de cesiune, transfer, fuziune, etc)

Prelucrarea atribuită este în cazul în care un contractant este însărcinat cu prelucrarea datelor cu caracter personal fără transferul responsabilității pentru procesul comercial asociat. În aceste cazuri, trebuie încheiat un contract de prelucrare atribuit cu contractanții externi.

Compania cedentă își păstrează întreaga responsabilitate pentru efectuarea corectă a prelucrării datelor. Contractantul poate prelucra date cu caracter personal numai în legătură cu instrucțiunile contractantului.

1. Antreprenorul trebuie să fie selectat în funcție de caracterul adecvat pentru asigurarea măsurilor de protecție tehnice și organizaționale necesare.
2. Cesiunea trebuie emisă în scris. Instrucțiunile pentru prelucrarea datelor și responsabilitățile contractantului și ale contractantului trebuie să fie documentate.
3. Contractantul trebuie să fie convins înainte de a începe prelucrarea datelor cu privire la îndeplinirea obligațiilor. Conformitatea cu cerințele de securitate a datelor poate fi dovedită de un contractant, în special prin prezentarea unei certificări adecvate. În funcție de riscul prelucrării datelor, verificarea trebuie repetată în mod regulat, dacă este necesar în perioada contractului.
4. În cazul prelucrării datelor pentru o atribuire transfrontalieră, trebuie îndeplinite cerințele naționale respective pentru transmiterea datelor cu caracter personal în străinătate. În special, prelucrarea datelor cu caracter personal din Spațiul Economic European într-o țară terță poate avea loc numai dacă contractantul poate dovedi un nivel de securitate a datelor echivalent cu prezenta directivă privind protecția datelor.

7. DREPTURILE PERSOANEI VIZATE

Fiecare persoană afectată poate exercita următoarele drepturi. Afirmația lor urmează a fi procesată imediat de către zona responsabilă și nu poate duce la niciun dezavantaj pentru Persoana vizata.

1. Persoana vizata poate solicita informații despre ce date personale din ce sursă sunt stocate în ce scop. Dacă în relația de muncă sunt avute în vedere drepturi suplimentare de inspecție asupra documentelor angajatorului (de exemplu, dosarul personalului), acestea nu sunt afectate.
2. În cazul în care datele cu caracter personal sunt transmise unor terți, trebuie furnizate și informații despre identitatea destinatarului sau despre categoriile de destinatari.
3. În cazul în care datele cu caracter personal sunt incorecte sau incomplete, Persoana vizata poate solicita corectarea sau completarea acestora.
4. Persoana vizata poate refuza prelucrarea datelor sale personale în scopuri de publicitate sau de cercetare de piață și sondaj. Datele trebuie blocate în aceste scopuri.
5. Persoana vizata este îndreptățită să ceară ștergerea datelor sale în cazul în care temeiul legal pentru prelucrarea datelor lipsește sau nu mai este aplicabil. Același lucru se aplică în cazul în care scopul prelucrării datelor nu se mai aplică din cauza trecerii timpului sau din alte motive. Trebuie luate în considerare obligațiile și interesele de stocare existente, demne de protecție, care sunt împotriva ștergerii.
6. Persoana vizata are dreptul fundamental de a obiecta la prelucrarea datelor sale, care trebuie să fie luate în considerare în cazul în care interesul său demn de protecție depășește interesul pentru prelucrare din cauza unei situații personale speciale. Acest lucru nu se aplică dacă o reglementare legală necesită efectuarea prelucrării.

8. CONFIDENȚIALITATEA PRELUCRĂRII

Datele cu caracter personal sunt supuse confidențialității datelor. Colectarea, prelucrarea sau utilizarea neautorizată de către angajați sunt interzise.

Orice prelucrare pe care o desfășoară un angajat fără a fi desemnată în mod corespunzător și îndreptățită să o facă în cadrul îndeplinirii sarcinilor este considerată neautorizată. Se aplică principiul necesității de a ști: angajaților li se poate acorda acces la datele cu caracter personal numai dacă și în măsura în care este necesar pentru sarcinile lor respective. Acest lucru necesită alocarea și separarea atentă a rolurilor și responsabilităților, precum și implementarea și menținerea acestora ca parte a conceptelor de autorizare.

Angajații nu pot utiliza datele cu caracter personal în scopuri private sau comerciale, nu le pot transmite unor persoane neautorizate sau le pot face accesibile într-un alt mod.

9. SECURITATEA PRELUCRĂRII

Datele cu caracter personal trebuie protejate în permanență împotriva accesului neautorizat, prelucrării sau transmiterii ilegale, precum și împotriva pierderii, falsificării sau distrugerii. Acest lucru se aplică independent de faptul dacă prelucrarea datelor este electronică sau pe suport de hârtie. Înainte de introducerea noilor proceduri de prelucrare a datelor, în special a noilor sisteme IT, trebuie stabilite și implementate măsuri tehnice și organizatorice pentru protecția datelor cu caracter personal. Aceste măsuri trebuie orientate către tehnologia actuală, riscurile asociate prelucrării și cerințele de protecție a datelor (stabilite prin procesul de clasificare a informațiilor).

Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

(a)    pseudonimizarea și criptarea datelor cu caracter personal;

(b)    capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;

(c)    capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

(d)    un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

Măsurile tehnice și organizaționale pentru protejarea datelor cu caracter personal fac parte din managementul securității informațiilor și protecției datelor la nivelul întregii companii și trebuie adaptate continuu la evoluțiile tehnice și la modificările organizaționale.

10. CONTROLUL PROTECȚIEI DATELOR

Conformitatea cu directivele privind protecția datelor și cu legile aplicabile privind protecția datelor este verificată în mod regulat prin audituri privind protecția datelor și controale suplimentare.

Rezultatele controalelor de protecție a datelor trebuie notificate conducerii.

11. INCIDENT DE PROTECȚIE A DATELOR

Fiecare angajat ar trebui să informeze imediat Responsabilul pentru protecția datelor cu privire la cazurile de încălcare a prezentei directive privind protecția datelor sau a altor reglementări pentru protecția datelor cu caracter personal (incidente de protecție a datelor). Notificarea poate fi adresata pe e-mail, la adresa dpo@rhein-vision.com in cazurile de:

• transmiterea ilegală de date cu caracter personal către terți,
• accesul ilegal de către terți la datele cu caracter personal sau
• pierderea datelor cu caracter personal

Notificările în cadrul companiei trebuie efectuate fără întârziere, astfel încât obligațiile de raportare existente pentru incidentele de protecție a datelor să poată fi îndeplinite în conformitate cu legislația națională.

Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal

În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată din partea autorității de supraveghere în cazul în care.

Persoana împuternicită de operator înștiințează operatorul fără întârzieri nejustificate după ce ia cunoștință de o încălcare a securității datelor cu caracter personal.

Notificarea menționată la alineatul:

(a)    descrie caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;

(b)    comunică numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;

(c)    descrie consecințele probabile ale încălcării securității datelor cu caracter personal;

(d)    descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

(4)   atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.

(5)   operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație permite autorității de supraveghere să verifice conformitatea cu prezentul articol.

12. RESPONSABILITĂȚI ȘI SANCȚIUNI

Conducerea este responsabilă pentru prelucrarea datelor cu caracter personal conformă cu directiva.

Prin urmare, este obligat să se asigure că sunt respectate cerințele legale privind protecția datelor (de exemplu, obligațiile naționale de raportare).

În cazul controalelor de protecție a datelor de către autorități, Responsabilul pentru protecția datelor trebuie informat imediat.

Conducerea a numit un responsabil pentru protecția datelor. Responsabilul pentru protecția datelor poate efectua verificări și trebuie să familiarizeze angajații cu conținutul directivelor privind protecția datelor. Conducerea este obligată să sprijine coordonatorul pentru protecția datelor în sarcina lor.

Conducerea trebuie să se asigure că angajații sunt informați în măsura necesară cu privire la protecția datelor. Prelucrarea necorespunzătoare a datelor cu caracter personal sau alte încălcări ale legislației privind protecția datelor au consecințe juridice în multe state și pot atrage cereri de despăgubire. Încălcările pentru care sunt responsabili angajații individuali pot duce la acțiuni disciplinare.

13. RESPONSABILUL DE PROTECȚIE A DATELOR

În calitate de entitate internă specializată, responsabilul pentru protecția datelor asigură respectarea reglementărilor privind protecția datelor. Acesta este responsabil pentru monitorizarea respectării reglementărilor privind protecția datelor. Responsabilul pentru protecția datelor informează imediat conducerea cu privire la riscurile de securitate a datelor.

Fiecare persoană afectată poate contacta responsabilul pentru protecția datelor cu sugestii, întrebări, cereri de informații sau reclamații în legătură cu probleme de protecție a datelor sau securitatea datelor. Cererile și reclamațiile sunt tratate confidențial la cerere.

14. IMPLEMENTARE

Acest document trebuie să fie accesibil tuturor persoanelor vizate.

Sunt de acord cu Politica de protectie a datelor si a altor date confidentiale:

Pentru a modifica datele personale retinute de acest website aveti urmatoarele optiuni: