Conținutul acestei pagini poate fi citit în continuare sau descărcat sub forma unui document folosind următorul link:

– Procedura protectia datelor Uzina Termoelectrică Production Giurgiu Download

Editia 1, versiunea 1

Aprob,

DIRECTOR GENERAL

Ing. Cepraga Cornel Sorin

PROCEDURĂ

pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date

la Uzina Termoelectrica Production Giurgiu SA

Ce este GDPR?

1.2. GDPR (General Data Protection Regulation) este Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) și este aplicabil începând cu data de 25 mai 2018.

1.3. Astfel, GDPR este un regulament general privind protecția persoanelor fizice în legatură cu prelucrarea datelor cu caracter personal prin care se stabilește un set unic de reguli care se va aplica în toate statele membre ale Uniunii Europene.

1.4. GDPR nu se aplică oricărei prelucrări de date, ci doar prelucrărilor efectuate total sau parţial prin mijloace automatizate, precum şi prelucrărilor prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţă a datelor sau care sunt destinate să facă parte dintr-un sistem de evidenţă a datelor.

1.5. Drept exemple de sisteme de evidenţă enumerăm registrul de evidenţă al angajaţilor sau numerelor telefoanelor corporative ale angajaţilor, registrul de evidenţă al vizitatorilor, registrul de evidenţă a petiţiilor, registrul dosarelor debitorilor creditaţi, precum şi imaginile foto/video colectate prin intermediul sistemelor de supraveghere video, indiferent că ele sunt în format electronic sau nu.

2. Scopul si domeniul de aplicare

2.1. Scopul procedurii

Scopul prezentei Proceduri este acela de a proteja și garanta drepturile și libertățile fundamentale ale persoanelor fizice în conformitate cu reglementările prevăzute în cadrul Regulamentului 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor);

Procedura urmărește trei scopuri fundamentale:

a) să constituie un instrument de clarificare și interpretare a prevederilor Regulamentului;

b) să garanteze și să protejeze drepturile și libertățile fundamentale ale persoanelor fizice cu privire la prelucrarea datelor cu caracter personal;

c) să asigure continuitatea activităţii, inclusiv în condiţii de fluctuaţie a personalului.

2.2. Prezenta Procedură se aplică în mod unitar în toate structurile din Uzina Termoelectrica Production Giurgiu SA , colectării și prelucrării datelor cu caracter personal, efectuate, în totalitate sau în parte, prin mijloace automate precum și colectării și prelucrării prin alte mijloace decât cele automate a datelor cu caracter personal care fac parte dintr-un sistem de evidență și care sunt destinate să fie incluse într-un asemenea sistem.

3. Documente de referință

3.1. Reglementări internaționale

(1) Regulamentul nr.679 din 25 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general pentru protecția datelor);

(2) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016, privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului.

3.2. Legislație primară

(1) Legea nr. 102/2005, privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal;

(2) Legea nr. 129 din 15 iunie 2018, pentru modificarea și completarea Legii nr. 102/2005, privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru abrogarea Legii nr. 677/2001, pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date;

(3) Legea nr.190/2018 privind măsuri de punere în aplicare a Regulamentului UR 2016/679 al Parlamentului European și al Consiliului din 27 aplrilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor);

(4) Legea nr. 31/1990 a societatilor.

3.3. Legislație secundară

(1) Ghid orientativ privind dispozițiile Regulamentului UE 2016/679, (GDPR.

3.4. Alte documente, inclusiv reglementări interne societății

(1) Politica de prelucrare a datelor cu caracter personal;

(2) Acul constitutiv și statutul societății;

(3) Regulament de Ordine Interna.

4. Definiții și abrevieri

Definitii

4.1.1. Date cu caracter personal – înseamnă orice informații privind o persoanăfizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

A. „Orice Informații”

Din punctul de vedere al naturii Informațiilor, conceptul de date cu caracter personal cuprinde orice afirmație referitoare la o persoană. Acesta acoperă Informațiile „obiective”, precum prezența unei anumite substanțe în sângele unei persoane. De asemenea, conceptul se poate referi la Informații „subiective”, sub forma opiniilor sau evaluărilor.

Din punctul de vedere al conținutului Informațiilor, conceptul de date cu caracter personal cuprinde datele care furnizează orice fel de Informații, datele personale putând fi împărțite în:

a. date cu caracter personal generale, precum nume și prenume, data și locul nașterii, adresa, numărul de telefon, adresa de e-mail; date referitoare la contul bancar.

b. date cu caracter personal cu caracter special: acele date care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice;

c. date cu caracter personal referitoare la condamnări penale și infracțiuni.

Din punct de vedere al suportului sau formatului pe care sunt stocate Informațiile, datele cu caracter personal cuprind Informațiile disponibile în orice formă, indiferent că aceasta este, de exemplu, alfabetică, numerică, grafică, fotografică sau acustică. Datele personale cuprind Informațiile scrise pe hârtie, precum și Informațiile stocate în memoria unui calculator cu ajutorul unui cod binar sau stocate, de exemplu, pe o casetă video.

B. „Privind” [o persoană fizică]

Informațiile pot fi considerate că „privesc” o persoană atunci când acestea sunt despre persoana respectivă. Informațiile se referă la o persoană atunci când acestea au în vedere identitatea, caracteristicile sau comportamentul unei persoane sau atunci când asemenea Informații sunt utilizate pentru a determina sau influența modul în care persoana respectivă este tratată sau evaluată.

C. [Persoana fizică] „identificată sau identificabilă”

O persoană fizică poate fi considerată ca fiind „identificată” atunci când, în cadrul unui grup de persoane, aceasta se distinge de ceilalți membri ai grupului. În consecință, persoana fizică este „identificabilă” atunci când, cu toate că persoana nu a fost încă identificată, este posibil să se realizeze acest lucru.

O nouă clarificare este cuprinsă în definiția datelor cu caracter personal din cuprinsul Regulamentului, în sensul că „o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sausociale”.

În ceea ce privește persoanele „identificate direct”, numele persoanei reprezintă identificatorul cel mai obișnuit, iar, în principiu, noțiunea de „persoană identificată” implică, cel mai adesea, o referire la numele persoanei. Pentru a stabili această identitate, numele persoanei trebuie, uneori, coroborat cu alte Informații (data nașterii, numele părinților, adresa sau fotografia cu fața persoanei) pentru a preveni confuzia dintre persoana respectivă și posibili omonimi.

În ceea ce privește persoanele „identificate indirect”, această categorie de persoane are legatură cu fenomenul „combinațiilor unice”, indiferent că acestea sunt mari sau mici. Un exemplu de astfel de caracteristici care pot determina identificarea fără dificultate a persoanei în cauza îl constituie elementele specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale (de exemplu „actualul prim ministru al …….”).

Gradul în care anumite informații sunt suficiente pentru a realiza identificarea depinde de contextul situației specifice. Un nume de familie foarte obișnuit nu este suficient pentru a identifica o persoană – cu alte cuvinte, pentru a individualiza pe cineva – din ansamblul populației unei țări. În schimb, este posibil să se realizeze identificarea unui copil într-o clasă de elevi.

C. „[Orice Informații privind] o persoană fizică”

Datele cu caracter personal sunt date referitoare la persoanele în viață identificate sau identificabile.

Informațiile privind persoanele decedate nu trebuie considerate drept date cu caracter personalîn temeiul Regulamentului.

IMPORTANT: Conceptul de date cu caracter personal include identificatorii online furnizaţi de dispozitivele, aplicaţiile, instrumentele şi protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alţi identificatori precum etichetele de identificare prin frecvenţe radio şi datele despre locaţie.

Regulamentul introduce termenul de “date pseudonime”, adică acele date personale care au fost supuse unor modalităţi de prelucrare a datelor astfel încât să nu mai poată identifica direct o persoană fără a utiliza informaţii suplimentare. Datele pseudonime sunt considerate date cu caracter personal şi, prin urmare, se supun cerinţelor GDPR.

4.1.2.Prelucrarea de date cu caracter personal – înseamnă orice operațiune care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate în cadrul unor operațiuni ori seturi de operațiuni, fără a fi limitate la acestea, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Colectarea presupune acțiunea de a strânge, a aduna, a primi date cu caracter personal de la persoanele vizate prin intermediul structurilor socității;

Înregistrare presupune consemnarea datelor cu caracter personal într-un sistem de evidențiere automată ori neautomată, care poate fi registru, fișier automat, bază de date sau orice altă formă de evidență organizată, structurată ori ad-hoc sau într-un text, înșiruire de date ori document, indiferent de modalitatea în care se înscriu datele;

Organizarea presupune ordonarea, structurarea sau sistematizarea datelor cu caracter personal, conform unor criterii prestabilite, potrivit atribuțiilor legale ale operatorului, în scopul eficientizării/optimizării activităților de prelucrare a acestora;

Stocarea presupune păstrarea pe orice fel de suport a datelor cu caracter personal culese, inclusiv prin efectuarea unor copii de siguranță;

Adaptarea presupune transformarea datelor cu caracter personal colectate inițial, conform criteriilor prestabilite și scopurilor pentru care au fost colectate;

Modificarea presupune actualizarea, completarea, schimbarea, corectarea ori refacerea datelor cu caracter personal, în scopul menținerii caracteristicilor de exactitate, realitate și actualitate;

Extragerea presupune scoaterea unei părți din categoria specifică de date cu caracter personal, în scopul utilizării acesteia, separat și distinct de prelucrarea inițială;

Consultarea presupune examinarea, vizualizarea, interogarea ori cercetarea datelor cu caracter personal fără a fi limitate la acestea, în scopul efectuării unei operațiuni sau set de operațiuni de prelucrare ulterioară;

Utilizarea presupune folosirea datelor cu caracter personal, în totalitate sau în parte, de către și în interiorul operatorului, împuterniciților operatorului sau destinatarului, după caz, inclusiv prin tipărire, copiere, multiplicare, scanare sau alte procedee similare;

Dezvăluirea presupune acțiunea de a face disponibile datele cu caracter personal către terți prin comunicare, transmitere, diseminare sau în orice alt mod;

Alăturarea presupune acțiunea de adăugare, alipire sau anexare a unor date cu caracter personal la cele deja existente, pe care nu le modifică;

Combinarea presupune îmbinarea, unirea sau asamblarea unor date cu caracter personal separate inițial, într-o formă nouă, pe baza unor criterii prestabilite, pentru scopuri anume determinate;

Restricționarea presupune limitarea accesului la datele cu caracter personal pentru o perioadă determinată, pentru scopuri anume determinate;

Ștergerea presupune eliminarea sau înlăturarea, în totalitate sau în parte, a datelor cu caracter personal din evidențe sau înregistrări, prin împlinirea termenului de păstrare, la atingerea scopului pentru care au fost introduse, caducitatea, inexistența ori inexactitatea acestora;

Transformarea presupune operațiunea efectuată asupra datelor cu caracter personal având ca scop anonimizarea ori utilizarea în scopuri exclusiv statistice;

Distrugerea presupune aducerea la stare de neîntrebuințare, în condițiile legii, definitivă și irecuperabilă, prin mijloace mecanice sau termice, a suportului fizic pe care au fost prelucrate date cu caracter personal.

4.1.3. Operator și Persoana împuternicită de operator

Operatorul este persoana care decide cum și pentru ce sunt prelucrate datele cu caracter personal, adică determină scopul și mijloacele prelucrării datelor.

Nu este considerată operator de date, persoana care prelucrează date cu caracter personal în numele și pe seama unui operator și care nu determină individual care este scopul și modul de prelucrare a datelor obținute, ci este considerată persoana împuternicită de operator.

Persoana împuternicită de operator este persoana fizică sau juridică de drept privat ori de drept public, inclusiv autoritățile publice, instituțiile şi structurile teritoriale ale acestora care prelucrează date cu caracter personal pe seama operatorului.

4.1.4. Persoana vizatăînseamnă orice persoană ale cărei date sunt prelucrate, devenind astfel persoană fizică identificată sau identificabilă, acestea fiind precizate în concret la art. 5.1 din prezenta Procedură.

4.1.5. Destinatarînseamnă persoană fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării.

În categoria destinatarilor pot intra autoritățile publice față de care societatea face raportari și situații, respectiv Agenția Națională pentru Ocuparea Fortei de Munca , ITM, Agenția Națională de Administrare Fiscală, Direcția Judeșeana de Statistică, etc.

4.1.6. Parte terțăînseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.

4.1.7. Consimțământ al persoanei vizateînseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

4.1.8. Încălcarea securității datelor cu caracter personalînseamnă o încalcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod sau la accesul neautorizat la acestea.

Distrugerea se referă la situația în care datele nu mai există ori nu mai există într-o formă care să le facă utilizabile de către operatori;
Pierderea are în vedere situația în care datele pot să existe, însă operatorul a pierdut controlul sau accesul la date;
Modificarea desemnează situația în care datele sunt corupte sau modificate în alt mod, astfel încât ele nu mai sunt complete;
Divulgarea neautorizată are în vedere situația în care datele au fost transmise către ori accesate de către persoane neautorizate să primească sau să acceseze datele personale.

4.1.9. Reprezentantînseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana împuternicită de operator în temeiul articolului 27 din GPDR, care reprezintă operatorul sau persoana împuternicită în ceea ce privește obligațiile lor respective care le revin în temeiul GDPR.

4.1.10. Reguli corporatiste obligatoriiînseamnă politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce privește transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe țări terțe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună.

4.2. Abrevieri

GDPO – este Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (General Data Protection Regulation)ș

ANSPDCP – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal;

UE – Uniunea Europeană;

CE – Consiliul Europei;

JO – Jurnal Oficial;

DPO – data protection officer – responsabil cu protecția datelor personale.

5. Descrierea procedurii

5.1. Generalități

5.1.1. Principii legate de prelucrarea datelor cu caracter personal

Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (“carta”) şi articolul 16 alineatul (1) din Tratatul privind funcţionarea Uniunii Europene (TFUE) prevăd dreptul oricărei persoane la protecţia datelor cu caracter personal care o privesc.

Principiile și normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal trebuie să nu țină cont de cetățenie sau locul de reședință, să respecte drepturile și libertățile fundamentale ale acestora.

Dreptul la protecția datelor cu caracter personal nu este un drept absolut, acesta trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat, cu alte drepturi fundamentale, în conformitate cu principiul proporționalității, respectând celelalte principii, cum ar fi: viața privată și de familie, reședința, comunicațiile, libertatea de gândire, de conștiință, de religie, de exprimare și informare, de desfășurare de activități comerciale, dreptul la o cale de atac eficientă și la un proces echitabil, diversitate culturală, religioasă și lingvistică, etc.

Regulamentul nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor):

”Principii

Art. 5: Principii legate de prelucrarea datelor cu caracter personal

Datele cu caracter personal sunt:

Legalitate, echitate și transparență	Datele cu caracter personal vor fi prelucrate în mod legal, echitabil și transparent față de persoana vizată
Limitări legate de scop	Datele cu caracter personal vor fi colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri
Reducerea la minimum a datelor	Datele cu caracter personal vor fi adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate
Exactitate	Datele cu caracter personal vor fi exacte și, în cazul în care este necesar, actualizate
Limitări legate de stocare	Datele cu caracter personal vor fi păstrate într- o formă care permite identificarea persoanei vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele
Integritate și confidențialitate	Datele cu caracter personal vor fi prelucrate într-un mod care asigura securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare
Responsabilitate	Operatorul este responsabil și va trebui să demonstreze conformitatatea cu reglementările europene privind protecția datelor cu caracter personal

5.1.2.Categorii de persoanevizate

Uzina Termoelectrica Production Giurgiu SA are calitate de operator de date cu caracter personal care colectează și prelucrează datele cu caracter personal următoarelor categorii de persoane fizice, în funcție de scopul prevăzut în prezenta procedură, respectiv:

angajații săi;
persoanele care aplică in vederea ocupării unui post vacant în firmă;
clienți şi potențiali clienți;
furnizori şi potențiali furnizori;
reprezentanții persoanelor juridice cu care contractează;
reprezentanții autorităților şi organisme publice şi a altor organizații care prelucrează date cu caracter personal

Orice referire în prezenta Procedură la categoriile de persoane vizate indicate mai sus se va face prin folosirea sintagmei “persoanăvizată”.

5.2. Scopul și motivația colectării prelucrării datelor cu caracter personal

Uzina Termoelectrica Production Giurgiu SA are obligația de a administra în condiții de siguranță și numai pentru scopurile specificate, datele cu caracter personal ale categoriilor de persoane prevăzute la punctul 5.1.2.

. Scopul colectării dateloreste:

Pentru persoanele prevăzute la 5.1.2. lit.a):

încheierea si executarea contractului, incluzând completarea contractului, efectuarea înregistrărilor in Revisal, plata salariilor ;
protecția muncii, asigurări sociale, transmiterea către autoritățile fiscale, medicina muncii, evaluarea capacității de muncă a salariatului;
editarea tichetelor de masa;
sănătatea și siguranța la locul de muncă;
îndeplinirea proceselor administrative și de suport legate de management, planificarea, organizarea muncii, precum și de încetarea contractului din orice motiv;
revizuirea salariilor și a beneficiilor, efectuarea reținerilor salariale potrivit prevederilor legale, evaluarea personalului; formarea și dezvoltarea profesională a salariaților;
organizarea activității interne, trasarea sarcinilor de serviciu, stabilirea persoanelor de contact din cadrul SC Uzina Termoelectrica Production Giurgiu SA în relația cu partenerii contractuali sau cu autoritățile;
conformitatea cu oricare reguli, legi, reglementări care stabilesc obligații în sarcina SC Uzina Termoelectrica Production Giurgiu SA.
informațiile colectate de către Uzina Termoelectrica Production Giurgiu SA sunt folosite pentru analize și prelucrări statistice necesare pentru fundamentarea deciziilor manageriale.
executarea mentenantei bazei de date a SC Uzina Termoelectrica Production Giurgiu SA;
alte scopuri care țin de gestionarea resurselor umane;
pastrarea si arhivarea documentelor.

Pentru persoanele prevăzute la 5.1.2. lit.b):

prelucrarea cererilor si a documentelor necesare executarii contractului individual de munca;
pastrarea si arhivarea documentelor.

Pentru persoanele prevăzute la 5.1.2. lit.c):

in vederea indeplinirii contractului incheiat: încheierea si executarea contractului de furnizare energie termica, intocmirea de procese verbale de intrerupere\reluare a furnizarii energiei termice, de predare primire a contorului de energie termica,de interventie la contorul de energie termica,de predare primire a cutiei de protectie a contorului de energie termica, de citire a contorului de energie termica, de constatare, de inventariere, executarea mentenantei bazei de date a Uzina Termoelectrica Production Giurgiu SA, printarea facturilor de energie termica,penalitati notificari,raportari, recuperari debite(tinerea evidentei clientilor cu litigii si a dosarelor aflate pe rolul instantelor) ,executari silite( executarea silita sumelor precum si administrarea popririlor si sechestrelor conform Codului de Procedura Civila,Penala si Fiscala), raportari catre autoritati, pastrarea si arhivarea documentelor .

in vederea indeplinirii obligatiilor legale: realizarea raportarilor, transmiterea declaratiilor, indeplinirea activitatilor aferente controalelorautoritatilor/institutiilor autorizate, cum ar fi ANRE, ANAF, ANPC, ANSPDCP, Consiliul Concurentei, ITM, AJOFM, auditarea situatiilor financiare ale S.C. Uzina Termoelectrica Production Giurgiu SA, administrarea registrelor interne, asigurarea securitatii fizice realizarea de copii pentru siguranta informatiilor, informarea si consilierea operatorului si acordarea suportului operational privind protectia datelor (DPO-RPD).

in indeplinirea obligatiilor legitime ale SC Uzina Termoelectrica Production Giurgiu SA:efectuarea de analize interne (incluzand analize statistice)/studii de piata, cu privire la servicii/portofoliul de clienti, pentru imbunatatirea serviciilor si proceselor interne, reclama, marketing si publicitate, planificarea unei dezvoltari strategice, realizarea previziunilor privind dinamicile de portofoliu, realizarea previziunilor de business pe indicatori de performanta, asigurarea unui nivel ridicat de securitate atat la nivelul sistemelor informatice cat in cadrul locatiilor fizice actiuni prin intermediul canalelor oficiale de comunicare (email,website)cu scopul de a imbunatati calitatea serviciilor dar si pentru a furniza dovada cererii/acordului/ optiunii cu privire la constatarea/exercitarea sau apararea in instanta a unor drepturi ale SC Uzina Termoelectrica Production Giurgiu SA, recuperarea prejudiciilor precum si constituirea de probe si realizarea de monitorizari in acest sens.

in baza consimtamantului dumneavoastra:

precum acela de a-ti furniza produsele si serviciile noastre sau pentru a-ti oferi asistenta cu privire diverse probleme/cazuri/situatii, de a te identifica prin intermediul mijloacelor de comunicare sau in locatiile noastre, in scop de marketing, pentru imbunatatirea si dezvoltarea produselor si serviciilor pe care ti le oferim, etc.

Pentru persoanele prevăzute la 5.1.2. lit.d-e):

asigurarea gestiuni economico-financiară și tehnico-administrativă;
asigurarea serviciilor de comunicații electronice, dacă este cazul;
asigurarea serviciilor de mentenanta;

Motivația colectării prelucrării datelor cu caracterpersonal

(1)Motivația pentru care Uzina Termoelectrica Production Giurgiu SA colectează date cu caracter personal ține de prelucrări ale informațiilor pe baza cărora să se poată lua decizii coerente și corecte în managementul societății.

(2) Pentru persoanele de la 5.1. 2. lit. a) si b) este necesară furnizarea de către persoanele a unor date obligatorii, acestea fiind necesare în vederea derulării/inițierii de raporturi juridice cu Uzina Termoelectrica Production Giurgiu SA, cu respectarea prevederilor. În situația refuzului de a furniza aceste date, Uzina Termoelectrica Production Giurgiu SA poate refuza inițierea de raporturi juridice, întrucât poate fi pusă în imposibilitatea de a respecta cerințele reglementărilor speciale în domeniul raporturilor de munca, in vederea respaectarii a prevederilor dreptului muncii și a dreptului fiscal.

(3) În situațiile prevazute la 5.1.2 lit. c),d) si e) datele cu caracter personal se colectează și prelucrează pentru a respecta prevederile legale referitoare la înregistrarea operațiunilor financiar-contabile. Furnizarea datelor de către persoanele din această categorie este obligatorie, refuzul de a le furniza duce la imposibilitatea de a demara relații juridice între Uzina Termoelectrica Production Giurgiu SA și respectivele persoane.

Temeiul prelucrării datelor cu caracter personal

”Art. 6: Legalitatea prelucrării

(1) Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii:

a) persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

c) prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;

d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

e) prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;

f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.”

(1) Uzina Termoelectrica Production Giurgiu SA poate prelucra date cu caracter personal atunci când se află în cel puțin unul dintre următoarele cazuri:

a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal

Consimțământul persoanei vizate este:

Oferit în modliber

Elementul „liber” implică o alegere reală și un control real din partea persoanelor vizate. Ca regulă generală, în situația în care persoana vizată nu beneficiază de o alegere reală, se simte obligată sau va suferi consecințe negative dacă nu exprimă consimțământul, consimțământul acesteia nu va fi unul valabil exprimat. În situația în care consimțământul este încadrat ca o parte ce nu poate fi negociată în cadrul unor termeni și condiții, se prezumă că acesta nu este exprimat în mod liber. Astfel, consimțământul nu va fi considerat ca fiind în mod liber exprimat dacă persoana vizată se află în imposibilitatea de a refuza sau a-l retrage fără a suferi un prejudiciu.

Specific

Acordarea consimțământului de către persoana vizată trebuie să fie facută în raport cu ,,unul sau mai multe scopuri specifice”. Pentru a respecta elementul ,,specific”, trebuie să aplice:

(i) specificarea scopului ca garanție împotriva denaturării funcției;

(ii) separarea clară a informațiilor legate de obținerea consimțământului pentru prelucrarea datelor față de informațiile referitoare la alte aspecte.

Consimțământul trebuie solicitat (i) în mod separat de termeni și condiții ori alte documente de informare și prezentare și (ii) în mod specific pentru fiecare scop pentru care se face prelucrare pe acest temei juridic.

În cunoștință decauză

Furnizarea de informații persoanei vizate înainte de obținerea consimțământului este esențială pentru a-i permite să ia decizii în cunoștință de cauză, să înțeleagă cu ce este de acord şi, de exemplu, să își exercite dreptul de a-și retrage consimțământul. Dacă operatorul/persoana împuternicită nu furnizează informații accesibile, controlul pe care îl are persoana vizată devine iluzoriu, iar consimțământul va fi un temei nevalabil pentru prelucrare.

Exprimare lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fieprelucrate

Consimțământul neechivoc al persoanei vizate necesită o declarație din partea acestei sau un act afirmativ clar ceea ce înseamnă că trebuie să fie dat întotdeauna printr-o manifestare activă de voință sau printr-o declarație. Trebuie să fie evident că persoana vizată și-a dat consimțământul pentru o anumită prelucrare. Un „act afirmativ clar” înseamnă că persoana vizată trebuie să fi luat o acțiune deliberată pentru consimțirea la acea prelucrare specifică. Consimțământul poate fi obținut printr-o declarație scrisă sau o declarație orală (înregistrată), inclusiv prin mijloace electronice. Prin urmare, absența unui răspuns, absența unei acțiuni sau simpla continuare a utilizării unui serviciu nu constituie consimțământ.

b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

Elementul cheie care justifica utilizarea acestui temei juridic este necesitatea incheierii sau executarii unui contract. In acest context, prelucrarea este legala dacă:

există un contract valabil, pentru a cărui executare este necesară prelucrarea de date cu caracter personal;

sau

b.2) În fază precontractuală, la solicitarea persoanei vizate, este nevoie de prelucrarea anumitor date cu caracter personal în vederea încheierii contractului

Exemplul 1: Uzina Termoelectrica Production Giurgiu SA urmeaza sa presteze serviciului de exploatare a repartitoarelor de costuri (CONTOARELOR DE APARTAMENT) si repartizarea consumurilor de energie termica intre consumatori. In aceasta situatie operatorul se află în faza precontractuală, situație în care se pot prelucra numele și prenumele, datele de identificare și celelalte date cu caracter personal furnizate de persoana vizata.

Exemplul 2: În cadrul contractelor individuale de muncă, angajatul trebuie să prezinte datele cu caracter personal pentru a se efectua formalitățile de angajare.

b.3) În mod contrar, prelucrarea nu se poate baza pe temeiul încheierii / executării contractului dacă:

-Cerința necesității prelucrării pentru încheierea sau executarea unui contract nu înseamnă întotdeauna ca prelucrarea este esențială în acest scop, totuși aceasta trebuie să fie limitată la, și proporțională cu, scopul urmărit.

Exemplu: Prelucrarea de către Uzina Termoelectrica Production Giurgiu SA a datelor de contact ale unui nou angajat este necesară pentru încheierea contractului de muncă. Spre diferență, prelucrarea datelor privind parcursul profesional/performanța angajatului (e.g. evaluări periodice) nu va avea ca temei juridic executarea contractului (nu este necesară derulării acestuia), ci eventual, un alt temei, interesul legitim.

c) prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;

Prelucrarea datelor cu caracter personal pe temeiul necesității conformării unei obligații legale presupune existența unei norme legale imperative aplicabile operatorului. De asemenea, prelucrarea impusă printr-o decizie administrativă / hotărâre judecatorească (ele însele, luate în temeiul unei abilitări legale) poate fi justificată tot prin necesitatea conformării unei obligații legale.

Exemplul 1: În vederea respectării dispozițiilor legale în materie de securitate socială, operatorul poate furniza autorității relevante date cu caracter personal privind angajații săi.

Exemplul 2: Pentru ca personalul să acceadă la funcții de conducere, este necesară prelucrarea datelor cu caracter personal pentru prezentarea la concurs și apoi pentru efectuarea tuturor formalităților pentru a se încheia actul adițional în care se consemnează noua funcție.

prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

Exemplu: Un spital tratează un pacient după un accident rutier grav; spitalul nu are nevoie de consimțământul acestuia pentru a-i căuta actul de identitate și a verifica dacă persoana respectivă se află în baza sa de date, pentru a-i găsi fișa medicală sau a-i contacta rudele cele mai apropiate.

e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este investit operatorul

Exemplu: Situația în care în cadrul societatii se întâmplă un incident care necesită intervenția poliției ori a serviciului de urgență.

f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță

Conceptul de “interes legitim” este strans legat, dar diferit de “scop”.„Scopul” este motivul specific pentru care datele sunt prelucrate: scopul sau intenția prelucrării datelor. Spre deosebire de acesta, un interes este cauza mai amplă pe care un operator o poate avea pentru prelucrare sau avantajul pe care operatorul îl obține – sau pe care societatea l-ar putea obține – în urma prelucrării.

Exemplu- Uzina Termoelectrica Production Giurgiu SA poate avea un interes în asigurarea sănătății și securității personalului său care lucrează la centrala/punctul termica/termic. În acest sens, Uzina Termoelectrica Production Giurgiu SA poate avea ca scop punerea în aplicare a unor proceduri specifice de control al accesului care justifică prelucrarea anumitor date cu caracter personal specificate, în scopul de a garanta sănătatea și securitatea personalului.

Pentru a fi relevant un “interes legitim” trebuie:

să fie legal (și anume, în conformitate cu dreptul UE și legislația națională aplicabilă);
să fie suficient de clar articulat pentru a permite efectuarea testului comparativ în raport cu interesul și drepturile fundamentale ale persoanei vizate (și anume, suficient de specific);
să reprezinte un interes real și actual (și anume, să nu fie speculativ).

Interesul legitim este cel mai flexibil temei juridic de prelucrare a datelor cu caracter personal și, de aceea, utilizarea sa trebuie calibrată în mod adecvat. În mod tipic, poate fi folosit doar în cazurile în care prelucrarea are un impact minimal asupra persoanelor vizate. Pentru o judicioasă întemeiere pe interesul legitim, prelucrarea datelor cu caracter personal trebuie să îndeplinească trei caracteristici:

Legitimitate. Operatorul trebuie să urmărească un interes legitim al său ori al unui terț. Interesul legitim poate fi un interes comercial, profesional sau un scop mai larg, de exemplu un interes social.
Necesitate. Prelucrarea trebuie să fie proporțională și limitată pentru atingerea interesului legitim urmărit. Dacă respectivul interes poate fi atins printr-o prelucrare mai puțin intruzivă / cuprinzătoare, nu poate fi utilizat acest temei.
Raportării la interesele persoanei vizate. Ca principiu, prelucrarea trebuie să fie previzibilă pentru persoană vizată și să nu creeze un prejudiciu / inconvenient nenecesar persoanei vizate.

Important: nu întotdeauna interesele persoanei vizate trebuie aliniate cucele ale operatorului. Pot exista situații în care interesele operatorului pot prevala asupra celor alepersoanei vizate în cadrul unei prelucrări legitime.

5.4. Părțile care au acces la datele cu caracter personal

(1) Datele cu caracter personal colectate sunt destinate utilizării de către structurile SC Uzina Termoelectrica Production Giurgiu SA, în calitate de operator, și sunt comunicate numai următorilor destinatari: persoana vizată, reprezentanții legali ai persoanei vizate, angajați cu drept de acces ai operatorului, împuternicitul operatorului (dacă există), alte persoane fizice / juridice care prelucrează datele personale în numele operatorului, autorități publice, poliţia, organe de cercetare și urmărire penală și alte instituţii abilitate de lege să solicite informații și să primească date cu caracter personal.

(2) Are calitatea de utilizator al datelor cu caracter personal, personalul operatorului sau al împuternicitului acestuia ale cărui atribuții de serviciu presupun operațiuni de prelucrare a datelor cu caracter personal.

(3) Uzina Termoelectrica Production Giurgiu SA , în calitate de operator, are în principal următoarele responsabilitățti:

a) să asigure informarea persoanei vizate și să respecte drepturile acestora;

b) să se asigure că prelucrarea este legală şi că drepturile persoanei sunt onorate;

c) să efectueze evaluări de impact, când este cazul;

d) să se asigure că sunt respectate principiile prelucrării;

e) să ia măsurile necesare pentru a asigura securitatea și confidențialitatea prelucrării datelor cu caracter personal;

f) să respecte prezenta procedură privind măsurile de protecție a persoanelor cu privire la prelucrarea datelor cu caracter personal.

5.5. Drepturile persoanei vizate

5.5.1. Informarea persoanei vizate

În virtutea respectării principiului legalității, echității și transparenței, Uzina Termoelectrica Production Giurgiu SA are obligația de a furniza persoanei vizate o serie de informațiile menționate la articolele 13 şi 14 şi orice comunicări in temeiul articolelor 15-22 şi 34 referitoare la prelucrare, într-o formă, concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu.

Furnizarea informațiilor în momentul obținerii datelor

În cazul datelor cu caracter personal care sunt obținute direct de la persoana vizată, Uzina Termoelectrica Production Giurgiu SA furnizează acesteia toate informațiile referitoare la prelucrare in conformitate cu prevederile articolului 13 din Regulament, in momentul obținerii acestor date.

Furnizarea informațiilor pentru datele care nu au fost obținute direct

În cazul datelor personale care nu sunt obținute direct de la persoana vizată, Uzina Termoelectrica Production Giurgiu SA furnizază acesteia toate informațiile referitoare la prelucrare in conformìtate cu prevederile articolului 14 din Regulament, după cum urmează:

a) într-un termen rezonabil după obținerea date lor cu caracter personal, dar nu mai mare de 30 de zile;

b) dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu in momentul primei comunicări către persoana vizatá respectivă;

c) dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară;

b) în cazul în care este necesară prelucrarea ulterioară a datelor cu caracter personal într-un alt scop decât cel pentru care acestea au fost obținute, inform area persoanei vizate va fi făcută înainte de această prelucrare ulterioară.

(2) Alineatul (1) nu se aplică dacă şi in măsura în care:

a) persoana vizată deține deja informațiile;

b) furnizarea informațiilor se dovedeşte a fi imposibilă sau ar implica eforturi disproporționate ori in măsura în care informarea este susceptibilă să facă imposibilá sau să afecteze in mod grav realízarea obiectivelor prelucrării respective;

c) obţinerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidenţa căruia intră operatorul şi care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate;

d) în cazul în care datele cu caracter personal trebuie să rămână confidenţiale în temeiul unei obligaţii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligaţii legale de a păstra secretul.

Furnizarea informațiilor cu privire la încălcarea securității datelor personale

În cazul în care intervine o încălcare a securității datelor cu caracter personal susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoane lor vizate, Uzina Termoelectrica Production Giurgiu SA va informa Autoritatea Națională de Supraveghere a Datelor cu Caracter Personal, precum și persoanele vizate în cauză fără întârzieri nejustificate cu privire la această încălcare, în conformitate cu prevederile articolului 34 din Regulament.
Informarea persoanei vizate menționată la alineatul (1) nu este necesară în cazul în care oricare dintre următoarele condiții este îndeplinită:
- măsurile tehnice și organizatorice implementate de regie, care au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securității datelor, asigură că datele cu caracter personal;
- devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea; măsurile ulterioare luate de regie asigură că riscul ridicat pentru drepturile și libertațile persoanelor vizate nu mai este susceptibil să se materializaze;
- ar necesita un efort disproporționat. Într-o astfel de situație, se va efectua o informare publică sau se va lua o măsură similară prin care persoanele vizate în cauză să fie informate într-un mod la fel de eficace.

Informatiile care trebuie furnizate persoanei vizate

Tip de informație	Date obținute de la persoană vizată	Date obținute din alte surse
identitatea şi datele de contact ale operatorului și, după caz, ale reprezentantului acestuia;	x	x
datele de contact ale responsabilului cu protecția datelor, după caz;	x	x
scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;	x	x
în cazul în care prelucrarea se face în baza temeiului legitim, interesele legitime urmărite;	x	x
categoriile de date cu caracter personal vizate;	x	x
destinatarii sau categoriile de destinatari ai datelor cu caracter personal;	x	x
dacă este cazul, intenția operatorului de a transfera date cu caracter personal către o țară terță sau o organizație internațională si existenţa sau absența unei decizii a Comisiei privind caracterul adecvat;	x	x
perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;	x	x
existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoană vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării sau a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor;	x	x
atunci când prelucrarea se bazează pe consimțământul persoanei vizate, existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;	x	x
dreptul de a depune o plângere în fața unei autorități de supraveghere;	x	x
dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații;
existența unui proces decizional automatizat incluzând crearea de profiluri, precum și, cel puțin în cazurile prevăzute în Regulament, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată;	x	x
sursa din care provin datele cu caracter personal și, dacă este cazul, dacă acestea provin din surse disponibile public.	x	x

Când se face informarea

În cazul datelor cu caracter personal colectate direct de la persoana vizată, informarea se face în momentul obținerii datelor.
În cazul datelor cu caracter personal colectate din alte surse, informarea se face:

într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai mare de o lună, ținându-se seama de circumstanțele specifice în care sunt prelucrate datele cu caracter personal;
dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoanavizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; sau
dacă se intenţionează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

Termenele prevăzute la alineatul (2) pot fi prelungite cu 60 de zile atunci când este necesar, ținându-se seama de complexitatea şi numărul cererilor. Într-o astfel de situație, persoana vizată va fi informată cu privire la orice astfel de prelungire, in termen de 30 de zile de la data primirii cererii, prezentánd motivele întârzierii.

5.5.2. Dreptul de acces

(1) Persoana vizată are dreptul de a obţine din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc şi, în caz afirmativ, acces la datele respective şi la următoarele informaţii:

scopurile prelucrării;
categoriile de date cu caracter personal vizate;
destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din ţări terţe sau organizaţii internaţionale;
acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
existenţa dreptului de a solicita operatorului rectificarea sau ştergerea datelor cu caracter personal ori restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;
în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informaţii disponibile privind sursa acestora.

(2)In cazul in care persoana vizata solicita o copie a datelor care fac obiectul prelucrării aceasta se poate elibera. Pentru orice alte copii solicitate de persoana vizată, se poate percepe o taxa rezonabilă, bazată pe costurile administrative, dacă este cazul.

(3) Termenul de rasuns la solicitare este de de 30 de zile de la primirea cererii.

5.5.3. Dreptul la rectificare

(1) Persoana vizată are dreptul de a obţine de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ţinându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obţine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare.

(2) Termenul de rasuns: fáră întârzíeri nejustificate, într un termen care nu va fi nu mai mare de 30 de zile de la data primirii cererii.

5.5.4.Dreptul la ştergerea datelor (“dreptul de a fi uitat”)

(1) În situațiile expres reglementate de lege, persoana vizată are dreptul de a obține de la operator ștergerea datelor cu caracter personal care o privesc, în special, în cazul în care aceasta își retrage consimțămantul sau în cazul în care constată că datele sale au fost prelucrate ilegal;

(2) Când se poate solicita ștergerea datelor:

a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;

b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea și nu există alt temei juridic pentru prelucrare;

c) persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce priveşte prelucrarea sau persoana vizată se opune prelucrării, atunci când prelucrarea datelor are drept scop marketingul direct;

d) datele cu caracter personal au fost prelucrate ilegal;

e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află operatorul a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.

(3) Ștergerea datelor nu este obligatorie în cazul în care prelucrarea este necesară:

a) pentru exercitarea dreptului la liberă exprimare şi la informare;

b) pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul;

c) din motive de interes public în domeniul sănătăţii publice, în conformitate cu articolul 9 alineatul (2) literele (h) şi (i) şi cu articolul 9 alineatul (3);

d) în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în măsura în care dreptul menţionat la alineatul (1) este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective;

e) pentru constatarea, exercitarea sau apărarea unui drept în instanţă.

(3) În cazul în care persoana vizată solicită ștergerea datelor cu caracter personal care o privesc, se va transmite acesteia o declarație în care să se menționeze că toate datele au fost șterse (inclusiv copii sau reproduceri).

(4) În cazul în care Uzina Termoelectrica Production Giurgiu SA a făcut publice datele cu caracter personal și este obligat să le șteargă, ținând seama de tehnologia disponibilă și de costul implementării, Uzina Termoelectrica Production Giurgiu SA ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ștergerea de către acești operatori.

(5) Termenul de rasuns: fáră întârzíeri nejustificate, într un termen care nu va fi nu mai mare de 30 de zile de la data primirii cererii.

(6) Termenul prevăzute la alineatul (2) pote fi prelungit cu 60 de zile atunci când este necesar, ținându-se seama de complexitatea şi numărul cererilor. Într-o astfel de situație, persoana vizată va fi informată cu privire la orice astfel de prelungire, in termen de 30 de zile de la data primirii cererii, prezentánd motivele întârzierii.

5.5.5.Dreptul la restricționarea prelucrării

(1) Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării datelor în anumite situații expres reglementate de lege, în special, în cazul în care contestă exactitatea datelor sau în cazul în care prelucrarea este ilegală, dar aceasta se opune ștergerii datelor. În aceste situații, cu excepția stocării, datele nu vor mai fi prelucrate;

(2) În cazul în care se solicită restricționarea prelucrării datelor cu caracter personal, trebuie avut în vedere că persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării în cazul în care se aplică unul din următoarele cazuri:

a) persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;

b) prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor;

c) operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanţă; sau

d) persoana vizată s-a opus prelucrării , pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.

(3) În cazul în care prelucrarea a fost restricţionată în temeiul alineatului (1), astfel de date cu caracter personal pot, cu excepţia stocării, să fie prelucrate numai cu consimţământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanţă sau pentru protecţia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.

O persoană vizată care a obţinut restricţionarea prelucrării în temeiul alineatului (1) este informată de către operator înainte de ridicarea restricţiei de prelucrare.dreptul de retragere a consimțământului – persoana vizată are dreptul să își retragă, în orice moment, consimțămantul dat pentru prelucrarea datelor sale personale în scopuri specifice.

Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia.

5.5.6. Dreptul la portabilitatea datelor

Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, care poate fi citit automat și de a solicita ca datele sale să fie transmite altui operator;

Dreptul la portabilitatea datelor implică obligația SC Uzina Termoelectrica Production Giurgiu SA, atunci când acționează ca operator, de a asigura furnizarea datelor primite de la persoană vizată într-un format accesibil la cererea acesteia și transmiterea unor astfel de date către alți operatori la cererea persoanei vizate, incidentă când următoarele condiții cumulative sunt îndeplinite:

privește datele furnizate de persoana vizată;
prelucrarea se bazează pe consimțământ sau este necesară pentru executarea unui contract (inclusiv faza precontractuală);
este efectuată prin mijloace automate.

Exercitarea dreptului menţionat la alineatul (1) din prezentul articol nu aduce atingere dreptului de stregere. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul.

5.5.7. Dreptul la opoziție (de a se opune prelucrării)

(1) Persoana vizată are dreptul de a se opune la prelucrarea bazată pe interesul legitim sau îndeplinirea unei sarcină de interes public/exercitarea autorității publice, pe decizii automatizate, inclusiv profilarea, marketing direct, precum și celor efectuate în scopul cercetării stiințifice/istorice și al statisticilor;

(2) Uzina Termoelectrica Production Giurgiu SA nu mai poate prelucra datele cu caracter personal în cazul opunerii, cu excepția cazului în care demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul prelucrării este constatarea, exercitarea sau apărarea unui drept în instanță.

Exemplu: prelucrarea datelor cu caracter personal pentru eliberarea adeverințelor solicitate de autorități pentru calculul pensiei, al vechimii în muncă și al stagiului de cotizare. În atare situație, scopul este unul legitim, întrucât vizează constatarea unor drepturi în instanță ori în fața Casei Județene de Pensii Publice și Agenției Județene pentru Ocuparea Forței de Muncă.

5.5.8. Dreptul de a nu fi supus unei decizii automatizate, inclusiv profilarea

(1) Persoana vizată are dreptul de a nu fi supusă unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care o privesc sau o afectează în mod similar într-o măsură semnificativă;

(2)În general, persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

(3)Prelucrarea datelor pentru luarea de decizii automatizate este permisă când:

este necesară pentru încheierea sau executarea unui contract între persoana vizată și operatorul de date;
este autorizată prin dreptul Uniunii sau dreptul intern care prevede, de asemenea, măsuri corespunzăoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate;
are la bază consimțământul explicit al persoanei vizate.

(4)Termenul de raspuns in termen de 30 de zile de la data primirii cererii.

Exemplu: Situația în care unui client i se creează un profil automatizat ori i se dă un spațiu pe intranet cu o parolă de acces, pentru verificarea situației facturilor/platilor, asigurându-se astfel operatorul că persoana vizată este singura care are acces la acele date/informații.

6. OPERATORUL ŞI PERSOANA ÎMPUTERNICITĂ DE OPERATOR

(1) Uzina Termoelectrica Production Giurgiu SA ia toate măsurile tehnice ṣi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat.

Utilizatorii care au acces la baza de date a informaţiilor cu caracter personal sunt doar din personalul unităţii, fiecare dintre aceṣtia accează baza de date cu propriul nume de cont ṣi parola (după 3 introduceri greṣite a parolei contul se blochează). Toţi utilizatorii sunt obligaţi să păstreze confidenţialitatea datelor la care au acces, iar la fiecare terminare de sesiune în baza de date vor închide sesiunea . În cazul în care unul sau mai mulţi utilizatori sunt revocaţi din diverse motive conturile de acces se suspendă automat;
Utilizatorii accesează datele cu caracter personal numai pentru îndeplinirea atribuţiilor de servici;
Orice operaţiune de colectare ṣi/sau modificare a datelor cu caracter personal de către utilizatori sunt înregistrate permanent (se înregistrează utilizatorul, data, ora ṣi tipul modificării); de asemenea sunt înregistrate ṣi toate logările ṣi delogările tuturor utilizatorilor la baza de date;
La intervale de timp (6 luni) se efectuează o copie de siguranţă a bazei de date;
Computerele de la care se accesează baza de date a informaţiilor cu caracter personal sunt în încăperi la care accesul este restricţionat; unităţile de calcul au implementate soluţii de protecţie antivirus, antispam ṣi firewall updatate la zi;
Imprimarea datelor cu caracter personal se realizează numai de către utilizatorii autorizaţi pt această operaţiune ṣi numai în scopuri cerute de legile în vigoare (facturi, contracte comerciale);
Datele cu caracter personal sunt stocate electronic în fiṣiere securizate, protejate de parolă. Informaţiile pe suport de hârtie sunt păstrate în dosare speciale, la care au acces doar angajaţii societăţii, cărora le incumbă obligaţia de confidenţialitate.

(2) În cazul în care prelucrarea urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care oferă garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să respecte cerinţele prevăzute în prezentul regulament şi să asigure protecţia drepturilor persoanei vizate.

(3) Persoana împuternicită de operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel posibilitatea operatorului de a formula obiecţii faţă de aceste modificări.

(4) Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopul prelucrării, tipul de date cu caracter personal şi categoriile de persoane vizate şi obligaţiile şi drepturile operatorului. Respectivul contract sau act juridic prevede în special că persoană împuternicită de operator:

a) prelucrează datele cu caracter personal numai pe baza unor instrucţiuni documentate din partea operatorului;

b) se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidenţialitatea sau au o obligaţie statutară adecvată de confidenţialitate;

c) adoptă toate măsurile necesare în vederea asigurării securității prelucrării;

d) respectă condiţiile menţionate la alineatele (2) şi (4) privind recrutarea unei alte personae împuternicite de operator;

e) ţinând seama de natura prelucrării, oferă asistenţă operatorului prin măsuri tehnice şi organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligaţiei operatorului de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor prevăzute la pct. 5.5.;

f) ajută operatorul să asigure respectarea obligaţiilor privind securitatea prelucrării, notificarea autorităţii de supraveghere în cazul încălcării securităţiidatelor cu caracter personal și informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal, ţinând seama de caracterul prelucrării şi informaţiile aflate la dispoziţia persoanei împuternicite de operator;

g) la alegerea operatorului, şterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare şi elimină copiile existente, cu excepţia cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;

h) pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea obligaţiilor prevăzute la prezentul articol, permite desfăşurarea auditurilor, inclusiv a inspecţiilor, efectuate de operator sau alt auditor mandatat şi contribuie la acestea.

Exemplu: Uzina Termoelectrica Production Giurgiu SA semnează un contract cu o societate de administrare a statelor de plată, pentru efectuarea plăţii salariilor angajaţilor. Uzina Termoelectrica Production Giurgiu SAîi transmite societăţii de administrare a statelor de plată când trebuie plătite salariile, când un angajat părăseşte societatea sau primeşte o mărire de salariu şi îi furnizează toate celelalte date pentru fluturaşul de salariu şi pentru plată. Societatea de administrare a statelor de plată furnizează sistemul informatic şi stochează datele angajaţilor. Uzina Termoelectrica Production Giurgiu SA este operatorul de date, iar societatea de administrare a statelor de plată este persoana împuternicită de operator.

7. EVIDENȚELE OPERAȚIUNILOR DE PRELUCRARE

Obligatia mentinerii unei evidente a activitatilor de prelucrare a datelor cu caracter personal revine:

întreprinderile sau organizațiile cu peste 250 de angajați;
întreprinderile sau organizațiile cu mai puțin de 250 de angajati doar dacă prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date sau date cu caracter personal referitoare la condamnări penale și infracțiuni.

7.1. Evidența menţinută de operator și, după caz, de reprezentanții acestuia trebuie să cuprindă următoarele informații:

(a) numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;

(b) scopurile prelucrării;

(d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;

(e) dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internatională;

(f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;

(g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate.

7.2. Fiecare operator și, după caz, persoana împuternicită de operator păstrează o evidență a tuturor categoriilor de activități de prelucrare desfășurate în numele operatorului, care cuprind:

(a) numele şi datele de contact ale persoanei sau persoanelor împuternicite de operator și ale fiecărui operator în numele căruia acționează această persoană (aceste persoane), precum și ale reprezentantului operatorului sau al persoanei împuternicite de operator, după caz;

(b) categoriile de activități de prelucrare desfășurate în numele fiecărui operator;

(d) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate.

8. RESPONSABILUL PENTRU PROTECȚIA DATELOR CU CARACTER PERSONAL – DPO

8.1. Când este obligatoriu ca Uzina Termoelectrica Production Giurgiu SA să numească un DPO:

prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanţelor care acţionează în exerciţiul funcţiei lor jurisdicţionale;
activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infrațicuni.

8.2. Activități principale înseamnă operațiuni-cheie pentru atingerea scopurilor operatorului / persoanei împuternicite, fără a exclude însă activitățile în care prelucrarea datelor cu caracter personal este o parte integrantă a activității operatorului / persoanei împuternicite.

Exemplu: Activitatea principală a SC Uzina Termoelectrica Production Giurgiu SA este producerea și distribuția energiei termice. Uzina Termoelectrica Production Giurgiu SA nu poate oferi activitățile respective în condiții de siguranță și în mod eficient fără prelucrarea datelor cu character personal ale clientilor. Prin urmare, prelucrarea acestor date ar trebui să fie considerată a fi una dintre activitățile principale societatii.

Uzina Termoelectrica Production Giurgiu SA trebuie să desemneze un DPO.

În egală măsură, Uzina Termoelectrica Production Giurgiu SA efectuează la rândul său anumite activități, spre exemplu, plata angajaților. Acestea sunt exemple de funcții de sprijin necesare pentru activitatea de bază sau principală a organizației. Chiar dacă aceste activități sunt necesare sau esențiale, acestea sunt de obicei considerate mai degrabă funcții auxiliare decât activitate principală, însă presupun prelucrare de date cu caracter personal și necesită un DPO.

8.3. Prelucrare pe scarălargă

Criterii orientative de care trebuie ţinut cont în calificarea unei prelucrări ca fiind „pe scară largă”:

numărul de persoane vizate / proporția din populația relevantăș
volumul și varietatea datelor personale prelucrateș
durata prelucrării;
întinderea geografică.

Exemple de prelucrări pe scara largă includ:

prelucrarea datelor cu caracter personal ale clientilor în activitatea principala a SCUzina Termoelectrica Production Giurgiu SA;
prelucrarea datelor personalului angajat.

8.4. Obligația de numire a unui DPO se aplică atât operatorului cât și persoanelor împuternicite de operator. În funcție de cine îndeplinește criteriile de desemnare obligatorie, în unele cazuri numai operatorul sau numai persoana împuternicită de operator, iar în alte cazuri atât operatorul, cât și persoana împuternicită de operator sunt obligați să numească un DPO.

DPO desemnat de o persoană împuternicită supraveghează, de asemenea, activitățile desfășurate de persoana împuternicită atunci când aceasta acționează în calitate de operator (spre exemplu resurse umane, contabilitate).

8.6. Sarcinile responsabilului cu protecţia datelor

(1) Responsabilul cu protecţia datelor are cel puţin următoarele sarcini:

a) informarea şi consilierea operatorului, sau a persoanei împuternicite de operator, precum şi a angajaţilor care se ocupă de prelucrare cu privire la obligaţiile care le revin în temeiul prezentului regulament şi al altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor;

b) monitorizarea respectării prezentului regulament, a altor dispoziţii de drept al Uniunii sau de drept intern referitoare la protecţia datelor şi a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce priveşte protecţia datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente;

c) furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35;

d) cooperarea cu autoritatea de supraveghere;

e) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menţionată la articolul 36, precum şi, dacă este cazul, consultarea cu privire la orice altă chestiune.

(2) În îndeplinirea sarcinilor sale, responsabilul cu protecţia datelor ţine seama în mod corespunzător de riscul asociat operaţiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul şi scopurile prelucrării.

“(1) Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia datelor este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal.

(2) Operatorul şi persoana împuternicită de operator sprijină responsabilul cu protecţia datelor în îndeplinirea sarcinilor menţionate la articolul 39, asigurându-i resursele necesare pentru executarea acestor sarcini, precum şi accesarea datelor cu caracter personal şi a operaţiunilor de prelucrare, şi pentru menţinerea cunoştinţelor sale de specialitate.

(3) Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini. Acesta nu este demis sau sancţionat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.

(4) Persoanele vizate pot contacta responsabilul cu protecţia datelor cu privire la toate chestiunile legate de prelucrarea datelor lor şi la exercitarea drepturilor lor în temeiul prezentului regulament.

(5) Responsabilul cu protecţia datelor are obligaţia de a respecta secretul sau confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern.

(6) Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini şi atribuţii nu generează un conflict de interese.”

Uzina Termoelectrica Production Giurgiu SA oferă garanția desfășurării activității DPO, în concordanță cu prevederile Regulamentului.

Este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracterpersonal:

DPO este invitat să participe în mod regulat la sedințele conducerii la nivel inalt și la nivel mediu;
Prezența DPO este recomandată în cazul în care se iau decizii cu implicații asupra protecției datelor. Toate informațiile relevante trebuie să fie transmise DPO în timp util pentru a permite ca acesta să ofere o consiliere corespunzătoare;
Avizului DPO trebuie să i se acorde întotdeauna o importanță deosebită. În caz de dezacord, ca bună practică, documentarea motivelor pentru care nu a fost urmat avizul DPO;
DPO trebuie să fie consultat cu promptitudine imediat ce a avut loc o încălcare a securității datelor sau un alt incident.

I se asigură resursele necesare pentru executarea sarcinilor ce îi revin, precum și accesarea datelor cu caracter personal și a operațiunilor de prelucrare, și pentru menținerea cunostințelor sale despecialitate:

Sprijin activ al funcţiei DPO din partea conducerii;
Timp suficient pentru DPO în vederea îndeplinirii atribuțiilor sale;
Sprijin corespunzător în ceea ce privește resursele financiare, infrastructură (spațiu, echipament);
Comunicare oficială către toți angajații cu privire la desemnarea DPO astfel încât să se asigure că este cunoscută existența şi funcţionarea DPO.
Accesul necesar la alte servicii precum resurse umane, juridic, IT, etc. astfel încât DPO să beneficieze de un sprijin esențial, reacții și informații din partea altor servicii.
Pregătire continuă. DPO trebuie să aibă posibilitatea de a rămâne la curent cu evoluțiile în domeniul protecției datelor.
DPO nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea sarcinilor sale:

În îndeplinirea sarcinilor ce îi revin, DPO nu trebuie să fie instruit cum să se ocupe de o problemă;
Acesta nu trebuie să fie instruit să adopte o anumită perspectivă a problemei legată de legislația privind protecția datelor, de exemplu, o anumită interpretare a legii;
DPO răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.
Demiterea sau sancționarea DPO:

DPO nu poate să fie demis sau sancționat de operator sau persoana împuternicită de operator pentru îndeplinirea sarcinilor sale;
Sancțiunile sunt interzise potrivit GDPR numai în cazul în care acestea sunt impuse ca urmare a îndeplinirii sarcinilor DPO în calitate de DPO. De exemplu, un DPO nu poate fi demis pentru oferirea unei opinii privind prelucrarea datelor personale;
Un DPO ar putea fi totuși demis, în mod legal, din alte motive decât cele privind îndeplinirea sarcinilor sale în calitate de DPO.

Poziția de DPO nu trebuie să genereze un conflict de interese:

În principiu, DPO nu poate exercita o funcție care îi permite să determine scopurile sau mijloacele unei prelucrari.
DPO incompatibil cu o poziție de conducere / de decizie sau în situația în care un DPO extern este rugat să reprezinte oporatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor.

9. CONFIDENȚIALITATEA ȘI SECURITATEA DATELOR

Operatorul și persoana împuternicită de acesta trebuie să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

a) pseudonimizarea și criptarea datelor cu caracter personal;

b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;

c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natura fizică sau tehnică;

d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

(2) Este necesar să se stabilească dacă au fost implementate toate măsurile tehnologice de protecție și organizatorice corespunzătoare în scopul de a se stabili imediat dacă s-a produs o încălcare a securității datelor cu caracter personal și de a se informa cu promptitudine autoritatea de supraveghere și persoana vizată.

(3) Există diferite exemple de încălcări ale securității datelor: atacuri informatice, pierderea cheii de criptare a datelor, nefuncţionarea sistemelor informatice, pierderea unor documente, transmiterea unei corespondenţe la adresa gresită etc.).

(4) Încălcările de securitate pot avea cauze diferite: de la nefuncționarea sau funcționarea necorespunzătoare a sistemelor informatice până la erori umane.

(5) Este foarte important ca operatorul să se asigure că indiferent de cauza acesteia și forma în care se manifestă, apariția unei breșe de securitate este identificată imediat și adusă în mod corespunzător la cunoștința persoanelor competente să implementeze măsurile care se impun.

(6) Pentru gestionarea incidentelor de securitate, Uzina Termoelectrica Production Giurgiu SA va desemna o echipă care va acționa pentru gestionarea rapidă și eficientă a incidentelor de securitate a datelor cu caracter personal.

(7) În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul are obligația de a notifica acest lucru autorității de supraveghere, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.

(8) Notificarea trimisă autorității de supraveghere conține cel puțin următoarele:

(a) descrie caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi numărul aproximativ al persoanelor vizate, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal al persoanelor;

(b) comunică numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;

(d) descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

Atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.

(9) În cazul în care încălcarea securității datelor cu caracter personal este susceptibilăsă genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.

(10) Informarea persoanei vizate nu este necesară în cazul în care oricare dintre următoarele condiții este îndeplinită:

(a) operatorul a implementat măsuri de protecție tehnice și organizatorice adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securității datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;

(b) operatorul a luat măsuri ulterioare prin care se asigură ca riscul ridicat pentru drepturile și libertățile persoanei vizate nu mai este susceptibil să se materializeze;

(c) ar necesita un efort disproporționat; în această situație, se efectuează pe loc o informare publică sau se ia o măsură similară prin care persoana vizată sunt informate într-un mod la fel de eficace.

Regulamentul nu prescrie un anume formalism pentru informarea persoanei vizate. Dacă circumstanțele concrete nu reclamă o altă abordare, informarea se va face printr-o comunicare adresată direct persoanei vizate, printr-un mijloc de comunicare corespunzător (poștă electronică).

(11) Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse.

A10. TRIBUȚII ȘI OBLIGAȚII SPECIFICE OPERATOR

10.1.Atribuții si obligații specificeSCUzina Termoelectrica Production Giurgiu SA

(1) Conducerea SC Uzina Termoelectrica Production Giurgiu SA este responsabilă cu protecția datelor cu caracter personal și are următoarele atribuții principale:

a) stabilește scopul și mijloacele de prelucrare a datelor cu caracter personal atunci când acestea sunt necesare pentru exercitarea unor competențe legale;

b) asigură elaborarea procedurilor proprii și, după aprobarea acestora, le pune în aplicare;

c) asigură implementarea și monitorizează respectarea normelor procedurale în materia prelucrării datelor cu caracter personal de către utilizatori;

d) coordonează și monitorizează activitatea personalului pe linia protecției datelor cu caracter personal la nivelul operatorului;

e) asigură desfășurarea pregătirii de specialitate și instruirea utilizatorilor în acest domeniu;

f) dispune măsuri de completare sau, după caz, de modificare a fișei posturilor utilizatorilor;

g) analizează și dispune în ceea ce privește suspendarea sau revocarea dreptului de acces al utilizatorilor la sisteme de evidență a datelor cu caracter personal, în condițiile legii;

h) dispune măsuri pentru exercitarea drepturilor de către persoana vizata;

i) coordonează soluționarea cererilor persoanelor vizate;

j) ține evidența cererilor persoanelor vizate;

k) analizează periodic activitatea utilizatorilor;

l) aprobă componența Comisiei de ștergere și distrugere a datelor cu caracter personal la nivelul SC Uzina Termoelectrica Production Giurgiu SA ;

m) aprobă componența echipei de gestionare a incidentelor de securitate a datelor cu caracter personal.

10.2 Obligații specifice utilizatorilor dedate

(1) Utilizatorii au următoarele obligații specifice:

a) să cunoască și să aplice prevederile actelor normative din domeniul prelucrării datelor cu caracter personal, precum și ale prezentei proceduri;

b) să informeze persoana vizată atunci când datele cu caracter personal sunt colectate direct de la aceasta, în condițiile legii, cu privire la: identitatea operatorului, scopul specific în care se face prelucrarea datelor, destinatarii sau categoriile de destinatari ai datelor, obligativitatea furnizării tuturor datelor solicitate și consecințele refuzului de a le pune la dispoziție, drepturile prevăzute de lege, în special drepturile de acces, de intervenție asupra datelor și de opoziție, dreptul de ștergere și condițiile în care pot fi exercitate aceste drepturi;

c) să prelucreze numai datele cu caracter personal necesare îndeplinirii atribuțiilor de serviciu și să acorde sprijin conducătorului operatorului pentru realizarea activităților specifice ale acestuia;

d) să păstreze confidențialitatea datelor prelucrate, a contului de utilizator, a parolei/ codului de acces la sistemele informatice/baze de date prin care sunt gestionate date cu caracter personal;

e) să respecte măsurile de securitate, precum și celelalte reguli stabilite de operator;

f) să informeze de îndată conducerea operatorului despre împrejurări de natură a conduce la o diseminare neautorizată de date cu caracter personal sau despre o situație în care au fost accesate/prelucrate date cu caracter personal prin încălcarea normelor legale, despre care a luat la cunoștință.

Procedură elaborată de

Mihalcea Monica Luiza

Responsabil cu protectia datelor cu caracter personal