Protecția datelor personale este foarte importantă pentru AMDA PROPERTIES S.R.L.
AMDA PROPERTIES S.R.L. este o societate înregistrată în România conform legii, cu sediul în Strada Strada Nerva Traian, nr. 3, Biroul nr.36A, etaj 11, Bucuresti, înregistrat la Registrul Comerțului sub nr. J40/11852/2015, cod de identificare fiscală 35063389 (numită în continuare ”Operatorul”), reprezentată de Yellow Tree Services S.R.L. România, persoană juridică cu sediul în București, strada Nerva Traian nr. 3, Biroul 11, Etajul 11, înregistrat la Registrul Comerțului sub nr. J40/14412/29.10.2020, cod de identificare fiscală RO 432 588 70.
Dorim să fiți informat în mod corespunzător cu privire la modalitățile și scopurile în care Operatorul vă prelucrează datele personale.
- Scop
Scopul Politicii de protecție a datelor cu caracter personal (sau politica GDPR) este de a contura principiile în baza cărora Operatorul prelucrează date cu caracter personal și de a stabili măsurile tehnice și organizaționale adecvate precum și responsabilitățile angajaților Operatorului care sunt însărcinați cu procesarea datelor cu caracter personal și/sau, dacă este cazul, ale persoanelor împuternicite de Operatorului să îndeplinească obligațiile privind garantarea și protecția drepturilor fundamentale ale persoanelor vizate, în special dreptul la protecția datelor cu caracter personal pe durata prelucrării acestora. - Principiile procesării datelor cu caracter personal
2.1 Datele personale sunt colectate de Operator cu bună credință, corect, într-un mod transparent în raport cu persoana vizată și în conformitate cu prevederile legale în vigoare.
2.2 2.1 Datele personale sunt colectate de Operator pentru scopuri bine definite, explicite și legitime iar prelucrarea ulterioară nu va fi incompatibilă cu aceste scopuri.
2.3 Datele cu caracter personal sunt adecvate, relevante și neexcesive în raport cu scopul pentru care sunt colectate și prelucrate ulterior.
2.4 Datele cu caracter personal nu vor fi stocate de Operator pentru o perioadă de timp mai lungă decât este necesar pentru atingerea scopului pentru care datele au fost colectate.
2.5 Operatorul a luat măsurile tehnice și organizatorice adecvate pentru protejarea datele cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii, împotriva accesul neautorizat sau a oricărei alte forme de prelucrare ilegală, precum și pentru ștergerea sau rectificarea datelor inexacte sau incomplete în raport cu scopul pentru care sunt colectate și pentru care vor fi prelucrate în continuare. - Tipuri de date și scopul folosirii datelor cu caracter personal
3.1 Datele personale la care se face referire în această politică includ informații de identificare, cum ar fi numele, prenumele și prenumele reprezentanților legali, sexul, data și locul nașterii, vârsta, naționalitatea, telefon/fax, adresa de domiciliu/reședință, adresa de e-mail, codul numeric personal, serie și număr carte de identitate/pașaport, loc de muncă, profesie, formare – diplome – studii, date bancare și/sau date care pot conduce la identificarea unei persoanei fizice.
3.2 Operatorul va colecta, utiliza, procesa și furniza date cu caracter personal în baza prevederilor legale pentru scopuri cum ar fi contractarea serviciilor profesionale, în scopuri de afaceri, marketing, publicitate, statistici, organizare evenimente (incluzând dar fără a se limita la delegații, conferințe, târguri), în scopuri educaționale, pentru organizarea programelor de formare profesională, emiterea oricăror documente financiar contabile, încheierea contractelor sau orice alt documente necesare în activitatea Operatorului.
3.3 Datele personale sunt destinate utilizării de către Operator și sunt colectate de persoane desemnate.
3.4 Unele dintre aceste date ar putea fi transferate către parteneri contractuali ai Operatorului.
3.5 Colectarea și procesarea datelor cu caracter personal ale minorilor de către Operator se va realiza doar cu consimțământul explicit al părinților sau al reprezentanților legali. - Reguli generale
4.1 Politica GDPR stabilește măsurile tehnice și organizaționale implementate de Operator pentru a îndeplini obligațiile privind confidențialitatea și securitatea prelucrărilor de date cu caracter personal efectuate în cursul afacerilor sale.
4.2 Cerințele minime de securitate sunt considerate a fi un complex de măsuri și proceduri tehnice, informaționale, organizatorice și logistice care asigură un nivel minim de securitate a prelucrării, în conformitate cu întreg cadrul legislativ național și european în această privință.
4.3 Operatorul a adoptat măsuri tehnice și organizatorice adecvate pentru a proteja datele personale împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii, împotriva accesului neautorizat sau a oricărei alte forme de prelucrare ilegală. În acest sens, în numele Operatorului este desemnată o persoană responsabilă cu respectarea prevederilor Legii române nr. 190/2018, a prevederilor GDPR 679/2016 și a prevederilor din alte reglementări relevante.
4.4 Pentru a îndeplini prevederile legale și cerințele privind securitatea informațiilor, Operatorul a dezvoltat și a implementat măsuri tehnice și organizaționale concentrate pe anumite cursuri de acțiune:
o Identificare și autentificare utilizator;
o Tipul de acces;
o Colectarea datelor
o Executare copii de siguranță (backup);
o Computere și terminale de acces;
o Fișiere acces;
o Formarea personalului;
o Sisteme de telecomunicații;
o Utilizare computer; - Proceduri specifice
5.1 Identificare și autentificare utilizator
5.1.1 Prin utilizator se înțelege orice persoană ce acționează sub autoritatea Operatorului sau o persoană autorizată de Operator, cu drept de acces la datele cu caracter personal recunoscut.
5.1.2 Pentru a obține acces la datele cu caracter personal, utilizatorii trebuie să se identifice.
5.1.3 În cazul procesării automate de date, identificarea se realizează prin autentificare în sistemul IT al Operatorului. Autentificarea se realizează prin introducerea datelor unice de login care constau din nume utilizator (username ) și parolă (password).
5.1.4 Parolele sunt șiruri de securitate adecvate în ceea ce privește lungimea, compoziția
și comportamentul operațional, în conformitate cu procedurile de securitate în vigoare ale Operatorului.
5.1.5 Orice utilizator care primește acces la baza de date cu informații cu caracter personal este informat că el / ea trebuie să păstreze confidențialitatea datelor de autentificare și are o responsabilitate față de Operator în acest sens.
5.1.6 Accesul utilizatorilor la informațiile cu caracter personal ce sunt gestionate manual are loc strict în baza unei liste aprobate de management-ul Operatorului.
5.2 Tipul de acces
5.2.1 Utilizatorii pot accesa doar datele personale necesare pentru îndeplinirea sarcinilor atribuite de Operator.
5.2.2 Dezvoltatorii sistemelor de prelucrare a datelor cu caracter personal au acces la datele cu caracter personal în cadrul unui acord strict de confidențialitate semnat cu Operatorul, exclusiv unde este necesar, fiecare tranzacție fiind documentată.
5.2.3 Departamentul de suport tehnic poate avea acces la datele cu caracter personal pentru a rezolva incidentele și problemele întâlnite în utilizarea sistemelor IT.
5.2.4 Computerele și serverele care conțin baze de date cu informații personale sunt situate în încăperi cu acces controlat. Documente care conțin date cu caracter personal considerate a fi din categoria datelor speciale sunt păstrate în încăperi cu acces restricționat.
5.2.5 Operatorul a stabilit modalități stricte de distrugere a datelor cu caracter personal.
5.3 Colectarea datelor
5.3.1 Operatorul desemnează utilizatori autorizați pentru colectarea, introducerea și prelucrarea datelor cu caracter personal într-un sistem informatic sau manual.
5.3.2 Orice modificare a datelor cu caracter personal poate fi făcută numai de către utilizatorii autorizați desemnați de către Operator.
5.3.3 Operatorul a întreprins măsuri pentru a se asigura că sistemul informațional înregistrează cine a făcut modificarea, data și ora modificării. Pentru un management mai bun, Operatorul a implementat măsuri pentru ca sistemul informațional să mențină date șterse sau modificate.
5.4 Copii de rezervă (backup)
5.4.1 Sistemul informatic realizează zilnic, în mod automat, backup-ul bazelor de date pentru o eventuală recuperare a datelor în caz de pierdere, distrugere sau defecțiune.
5.4.2 Operatorul stabilește intervalul de timp pentru copiile de rezervă ale bazelor de date cu informații cu caracter personal precum și programele utilizate pentru prelucrarea automată. Utilizatorii care execută aceste copii de rezervă sunt desemnați de către Operator într-un număr limitat. Copiile de rezervă (backup-urile) sunt stocate în locații cu acces restricționat, situate într-o cameră diferită de cea în care se face backup-ul.
5.5 Computere și terminale de acces
5.5.1 Computerele și alte terminale de acces sunt instalate în camere securizate cu acces restricționat. Dacă pentru o anumită perioadă de timp, setată de Operator, computerele rămân pornite fără nicio intrare din partea utilizatorului, sesiunea se închide automat.
5.5.2 Utilizatorii sunt instruiți astfel încât bazele de date cu informații cu caracter personal să fie închise atunci când persoane neautorizate sunt în apropiere.
5.5.3 Serverele care găzduiesc baze de date pot fi accesate doar într-o manieră controlată, în baza drepturilor de acces.
5.6 Fișiere acces
5.6.1 Operatorul ia măsuri pentru a se asigura că orice acces la bazele de date cu informații cu caracter personal este înregistrată într-un fișier de acces (numit jurnal (log) pentru prelucrarea automată) sau într-un registru în cazul prelucrării manuale a datelor cu caracter personal, prin grija Operatorului.
5.6.2 Pentru prelucrarea automată, aceste informații vor fi stocate într-un fișier de acces general sau în fișiere separate pentru fiecare utilizator.
5.6.3 Operatorul este obligat să păstreze fișierele de acces timp de cel puțin 2 ani pentru a fi utilizate ca probe pentru investigații. Dacă cercetările se prelungesc, aceste dosare vor fi păstrate până la finalizarea investigațiilor și a oricăror acțiuni legate de acestea.
5.6.4 Jurnalele de acces trebuie să ofere informații pentru a identifica persoanele care au accesat datele personale și operațiunile respective efectuate.
5.7 Sisteme de telecomunicați
5.7.1 Operatorul verifică periodic prin utilizatori autorizați, tipurile de autentificare și acces pentru a detecta defecțiunile în utilizarea sistemelor de telecomunicații. Doar datele cu caracter personal strict necesare vor fi transmise prin sistemele de telecomunicații.
5.8 Instruirea personalului
5.8.1 Utilizatorii care au acces la bazele de date cu informații personale sunt instruiți cu privire la prevederile legale naționale și europene, cu privire la prevederile politicii de securitate a informațiilor IT a Operatorului precum și în ceea ce privește importanța menținerii confidențialității și riscurile implicate în prelucrarea datelor cu caracter personal.
5.8.2 Utilizatorii care au acces la datele personale vor fi anunțați prin mesaje care vor apărea pe monitoare. Utilizatorii sunt forțați să-și închidă sesiunea de lucru atunci când părăsesc la locul de muncă.
5.9 Utilizarea computerelor: pentru menținerea securității procesării datelor cu caracter personal (în special împotriva virușilor) următoarele măsuri sunt obligatorii:
5.9.1 Utilizarea software-ului provenit din surse nesigure a fost interzisă;
5.9.2 Utilizatorii nu au privilegii administrative pe computere;
5.9.3 Este utilizat doar software cu licență;
5.9.4 Calculatoarele sunt protejate prin software antivirus;
5.9.5 Activitatea utilizatorului poate fi monitorizată în cazuri limitate, atunci când este justificată de un interes legitim al Operatorului conform prevederilor acestei politici.
5.10 Tipărirea (printarea) datelor cu caracter personal
5.10.1 Datele personale vor fi tipărite numai de către utilizatorii desemnați și numai pentru scopurile specificate în prezentul document;
5.10.2 Accesul utilizatorilor la imprimante este restricționat;
5.11 Drepturile persoanelor ale căror date cu caracter personal sunt colectate și/sau prelucrate
5.11.1 Dreptul la informare: orice persoană fizică are dreptul de a obține de la Operator cel puțin următoarele informații:
a) Identitatea Operatorului și a reprezentanților săi;
b) Scopul procesării datelor cu caracter personal;
c) Informații suplimentare, cum ar fi: destinatari sau categorii de destinatari ai datelor cu caracter personal; dacă furnizarea tuturor datelor solicitate este obligatorie și care sunt consecințele refuzului de a le furniza;
d) Orice alte informații a căror divulgare este cerută de autorități.
5.11.2 Dreptul de acces la datele cu caracter personal: persoanele fizice au dreptul de a obține de la Operator, conform legii, la cerere, o confirmare că se prelucrează sau nu date cu caracter personal care le privesc și, în caz afirmativ, au dreptul să primească, fără a plăti, o copie a datelor cu caracter personal în curs de prelucrare precum și acces la următoarele informații:
a) scopul prelucrării;
b) categoriile de date cu caracter personal vizate;
c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale precum și o descriere a măsurilor de siguranță adecvate implementate;
d) perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau criteriile utilizate pentru a stabili această perioadă, după cum este posibil;
e) dreptul de a cere de la Operator rectificarea, ștergerea, restricționarea procesării datelor cu caracter personal sau de a ridica obiecții cu privire la procesare;
e) dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP);
f) orice informație disponibilă cu privire la sursa datelor cu caracter personal în cazul în care acestea nu au fost colectate de la persoana vizată.
Pentru orice alte copii solicitate de persoana vizată, Operatorul poate percepe o taxă pentru a acoperi costurile administrative.
5.11.3 Dreptul la rectificare: persoanele fizice au dreptul de a obține de la Operator rectificarea datelor cu caracter personal inexacte care o privesc.
5.11.4 Dreptul la ștergere: persoanele fizice au dreptul de a obține de la Operator ștergerea datelor cu caracter personal care o privesc în oricare dintre următoarele cazuri:
a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea și nu există niciun alt temei juridic pentru prelucrare;
c) persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea;
d) datele cu caracter personal au fost prelucrate ilegal;
e) datele personale trebuie șterse pentru îndeplinirea unei obligații legale a Operatorului conform legislației din România sau UE.
5.11.5 Dreptul la restricționarea prelucrării: persoanele fizice au dreptul de a obține din partea Operatorului restricționarea prelucrării în cazul în care una dintre următoarele se aplica:
a) acuratețea datelor cu caracter personal este contestată de persoană fizică, pentru o perioadă care permite Operatorului să verifice acuratețea datelor cu caracter personal;
b) prelucrarea este ilegală iar persoana fizică se opune ștergerii datele personale solicitând în schimb restricționarea utilizării acestora;
c) Operatorului nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță;
d) persoana vizată s-a opus prelucrării, pentru intervalul de timp în care se verifică dacă drepturile legitime ale Operatorului prevalează asupra celor ale persoanei vizate;
Atunci când unul dintre cazurile de restricție de prelucrare este aplicabil, exceptând stocarea, datele cu caracter personal vor fi prelucrate numai cu acordul persoanei sau pentru scopuri limitate enumerate de GDPR.
5.11.6 Dreptul la portabilitatea datelor: persoanele fizice au dreptul de a primi datele cu caracter personal care le privesc și pe care le-au furnizat Operatorului, într-un format structurat, utilizat în mod obișnuit și care poate fi citit în mod automat și au dreptul de a transmite aceste date altui operator, fără a întâmpina obstacole din partea Operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:
a) prelucrarea se bazează pe consimțământul dat de persoană pentru unul sau mai multe scopuri specifice sau prelucrarea este necesară pentru realizarea unui contract în care persoana este parte sau pentru a întreprinde demersuri la cererea persoanei înainte de încheierea unui contract; și
b) procesarea este efectuată prin mijloace automate.
Acolo unde este fezabil din punct de vedere tehnic, la cererea persoanei fizice, Operatorul va transmite datele cu caracter personal direct altui operator.
5.11.7 Dreptul la opoziție: persoanele fizice au dreptul de a se opune în orice moment la prelucrarea de către Operator a datelor cu caracter personal care le privesc și care sunt necesare în scopul intereselor legitime urmărite de Operator. În acest caz Operatorul nu va mai procesa datele cu caracter personal excepție făcând cazul în care Operatorul demonstrează că prelucrarea se face în baza unor motive legitime convingătoare, care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau care persoană fizică sau pentru constatarea, exercitarea sau apărarea unor drepturi în instanță.
5.11.8 Dreptul la opoziție atunci când prelucrarea datelor cu caracter personal are drept scop marketingul: persoana vizată are dreptul de a se opune în orice moment prelucrării datelor cu caracter personal care o privesc în scop de marketing, inclusiv creării de profiluri, în măsura în care profilarea este legată de marketingul direct. Dacă persoana vizată se opune prelucrării, Operatorul trebuie să nu mai prelucreze datele cu caracter personal în aceste scopuri.
5.11.9 Dreptul de a nu face obiectul unei decizii individuale: persoanele fizice au dreptul de a solicita și de a obține retragerea/anularea/reevaluarea oricărei decizii având efect juridic asupra acestora, adoptate exclusiv în baza unei procesări prin mijloace automate a datelor cu caracter personal, destinate producerii unor efecte juridice care privesc persoana vizată sau care o afectează în mod similar și semnificativ (de exemplu evaluarea unor aspecte ale personalității lor, cum ar fi competența profesională, credibilitatea, comportamentul sau alte asemenea aspecte).
5.11.10 Dreptul de a se adresa justiției: persoanele fizice au dreptul de a se adresa justiției pentru apărarea oricăror drepturi garantate de lege.
5.11.11 Pentru exercitarea acestor drepturi, persoanele fizice se pot adresa Operatorului cu o cerere scrisă, datată și semnată care este transmisă folosind datele de contact publice ale organizației.
5.12 Operatorul, prin utilizatorii săi desemnați pentru colectarea datelor, se asigură că toate persoanele vizate sunt informate în scris cu privire la prelucrarea datelor lor cu caracter personal precum și în ceea ce privește alte informații relevante.
5.13 La momentul colectării de date cu caracter personal de la o persoană vizată, Operatorul va pune la dispoziția persoanei vizate următoarele informații:
5.13.1 Identitatea și datele de contact ale Operatorului și ale reprezentantului acestuia;
5.13.2 Scopurile prelucrării precum și temeiul legal sau interesul legitim urmărite de Operator pentru prelucrare;
5.13.3 Destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
5.13.4 Intenția de a transfera datele cu caracter personal într-o țară terță sau către o organizație internațională, după caz;
5.13.5 Perioada de păstrare sau, dacă perioada nu poate fi stabilită, criteriile utilizate pentru a determina perioada respectivă;
5.13.6 Dreptul persoanei vizate de a solicita din partea Operatorului acces la datele cu caracter personal ce o privesc, rectificarea și ștergerea acestora, restricționarea prelucrării în ceea ce privește persoana vizată, dreptul de a se opune prelucrării precum și dreptul la portabilitatea datelor; dreptul de a se opune prelucrării trebuie să fie clar prezentat și separat de orice alte informații;
5.13.7 Dreptul persoanei vizate de a-și retrage consimțământul în orice moment atunci când prelucrarea are loc în baza consimțământului persoanei vizate; retragerea consimțământului nu va afecta legalitatea prelucrării bazată pe consimțământ efectuată înainte de retragerea acestuia;
5.13.8 Dreptul de a înainta o plângere către ANSPDCP;
5.13.9 Dacă furnizarea datelor cu caracter personal este o cerință prevăzută prin lege sau în baza unui contract, dacă este o cerință necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze datele cu caracter personal și eventualele consecințe ale insuccesului în furnizarea acestor date.
5.14 Ori de câte ori datele cu caracter personal nu sunt colectate direct de la persoana vizată, cel mai târziu în termen 30 de zile de la colectare sau cel mai târziu la momentul primei comunicări către persoana vizată sau atunci când datele cu caracter personal sunt pentru prima oară dezvăluite unui alt destinatar, Operatorul va furniza persoanei vizate următoarele informații:
5.14.1 Identitatea și datele de contact ale Operatorului și ale reprezentantului acestuia;
5.14.2 Scopurile prelucrării precum și temeiul legal sau interesul legitim urmărite de Operator pentru prelucrare;
5.14.3 Categoriile de date cu caracter personal implicate;
5.14.4 Destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
5.14.5 Intenția de a transfera datele cu caracter personal către o țară terță sau către o organizație internațională, după caz;
5.14.6 Dreptul persoanei vizate de a solicita din partea Operatorului acces la datele cu caracter personal ce o privesc, rectificarea și ștergerea acestora, restricționarea prelucrării în ceea ce privește persoana vizată, dreptul de a se opune prelucrării precum și dreptul la portabilitatea datelor; dreptul de a se opune prelucrării trebuie să fie clar prezentat și separat de orice alte informații;
5.14.7 Dreptul de a înainta o plângere către ANSPDCP;
5.14.8 Sursa de proveniență a datelor cu caracter personal și, dacă este cazul, dacă datele au venit din surse disponibile public.
5.15 Operatorul va furniza persoanei vizate informațiile relevante în scris, fie în formă tipărită, fie prin mijloace electronice, folosind modelele de notificare anexate la ”Politica de confidențialitate și securitate pentru prelucrarea datelor cu caracter personal” a Operatorului.
5.16 Ori de câte ori Operatorul intenționează să prelucreze în continuare datele cu caracter personal, pentru alt scop decât cel pentru care acestea au fost colectate inițial, Operatorul va pune la dispoziția persoanei vizate, înainte de această prelucrare ulterioară, informații privind acel alt scop de prelucrare precum și orice alte informații relevante și, dacă este necesar, va obține consimțământul persoanei vizate.
5.17 Dezvăluirea datelor cu caracter personal către terți
5.17.1 Datele colectate sunt dezvăluite terților numai dacă Operatorul are o obligație legală de a face acest lucru.
5.17.2 În toate celelalte cazuri, orice dezvăluire către terți a datelor cu caracter personal se va face numai cu acordul expres și prealabil al proprietarului datelor cu caracter personal respective. - Contact
Pentru întrebări sau alte nelămuriri, vă rugăm să contactați Operatorul folosind datele de contact furnizate pe website-ul Operatorului. - Dispoziții finale
Acest document este completat cu întregul set de proceduri de securitate pentru prelucrarea datelor cu caracter personal aprobat de conducerea Operatorului, inclusiv ”Politică de securitate a informațiilor” a Operatorului.