PRIVACY POLICY
OF PERSONAL DATA
« Corporate Counselling Services Sarl (ci-après dénommée CCS, CCS Sarl, la Société) a été créée en tant que société pour rassembler l’expertise de divers professionnels afin de fournir un réseau de services complets aux entreprises et organisations en Europe et hors de l’EEE pour les aider à faire face aux problèmes de ressources humaines, en particulier la gestion préventive de la santé en entreprise. La gestion de la santé sur le lieu de travail est désormais une composante essentielle de la vie professionnelle. Les gens passent environ 65 % de leur vie professionnelle au travail. Créer un environnement de travail sain et équilibré, où les gens peuvent se sentir à l’aise et où ils trouveront la possibilité de développer leur potentiel, est considéré comme aussi important que de fournir les éléments essentiels à l’hygiène du travail et au bien-être personnel. Cela a un impact substantiel sur la vie personnelle des employés.
Corporate Counseling Services Sarl est un responsable du traitement des données personnelles, tel que défini dans le RGPD, et le but de cette politique est de définir comment la société traite les données personnelles conformément à la législation applicable en matière de protection des données.
En fonction des relations établies par les clauses des contrats de prestation de services conclus entre notre Société et ses partenaires, CCS Sarl peut être à la fois responsable indépendant du traitement des données personnelles vis-à-vis de ses partenaires, employeurs des utilisateurs des services de conseil proposés, et sous-traitant ou sous-traitant des services de conseil, lorsque la relation de traitement est établie entre nous et un sous-traitant des données personnelles.
Cette politique de confidentialité définit le mode de traitement ainsi que la finalité du traitement des données personnelles collectées par CCS Sarl auprès des personnes concernées,
Les catégories de données personnelles (représentant toute information pouvant conduire à l’identification d’une personne concernée) que nous traitons sont détaillées dans la section (4) ci-dessous. Notre intention est de fournir des informations suffisantes, présentées de manière conviviale, pour vous assurer de comprendre les opérations de traitement que Corporate Counseling Services Sarl effectue, tout en veillant à ce que la confidentialité et la sécurité de vos données personnelles soient respectées.
Pour tout détail qui pourrait être nécessaire à la compréhension de cette Politique ou des procédures de traitement des données personnelles, nous offrons la possibilité de communiquer toute question ou demande aux personnes concernées, qui peuvent utiliser les coordonnées indiquées à la fin de cette Politique. »
Corporate Counselling Services S.a.r.l, Rue du Kiem 2, L-8435, Steinfort, Luxembourg, email : office@ccsint.com.
Corporate Counselling Services Sarl, a externalisé les services de délégué à la protection des données (DPO) à The Insource Development Group, représenté par M. Marius Medeleanu, adresse e-mail : dpo@ccsint.ro.
Données personnelles traitées par CCS Sarl, par catégories de personnes concernées :
a) Employés, candidats
Identification et coordonnées :
- Nom et prénom, adresses e-mail, adresse du domicile/de la résidence, numéro de téléphone (fixe et/ou mobile), adresse de correspondance, date de naissance ; sexe ; âge ; Code numérique personnel ; numéro de pièce d’identité et numéro de série ; données relatives à l’éducation et données des certificats (le cas échéant) ;
- Données financières et comptables appartenant à la personne concernée ou nécessaires à celle-ci ;
- Données juridiques appartenant à la personne concernée ou nécessaires à celle-ci ;
Catégories de données personnelles spéciales/sensibles :
- données biométriques – signature, voix (sur la base d’enregistrements de conversations avec le consentement de la personne concernée)
- données de santé – données médicales, relatives à la gestion préventive de la santé, au contrôle médical régulier/à la santé et à la sécurité au travail pour les employés de l’entreprise ;
- images vidéo (obtenues à partir d’enregistrements vidéo réalisés dans les locaux de la Société, où des caméras de vidéosurveillance sont installées)
b)Représentants de partenaires commerciaux, prestataires de services et d’utilité publique, autorités publiques, sous-traitants et/ou sous-traitants :
- Coordonnées : nom et prénom, adresses e-mail, adresse du domicile/de la résidence, numéro de téléphone (fixe et/ou mobile), adresse de correspondance, date de naissance ; numéro de pièce d’identité et numéro de série ; Numéro d’identification personnel ;
- Données financières et comptables, appartenant à ou nécessaires à la finalisation des paiements ;
- Données personnelles spéciales/sensibles : données biométriques – signature, enregistrements vocaux,
- images vidéo (obtenues à partir d’enregistrements vidéo réalisés dans les locaux de la Société, où sont installées des caméras de vidéosurveillance)
c)Utilisateurs des services EAP – personnes concernées (employés des partenaires commerciaux de CCS Sarl ou leurs proches) qui, sur la base des droits qu’ils ont inscrits dans leur contrat de travail individuel, demandent des conseils psychologiques/juridiques/financiers:
- Les données personnelles que les personnes concernées (SUJETTI AUX DONNÉES) fournissent lors de la prise de rendez-vous par téléphone, par e-mail ou en clinique (nom, prénom, téléphone, e-mail, date de naissance, symptômes, données sur les analyses et investigations effectuées ou qu’elles souhaitent faire effectuer) sont enregistrées et traitées par Corporate Counselling Services Sarl, uniquement dans la mesure où ces informations ont été fournies par les personnes concernées sans aucune contrainte et avec information préalable.
Corporate Counseling Services Sarl n’assume aucune responsabilité pour les informations/données/documents inexacts, incorrects ou incomplets qui nous sont fournis par les personnes concernées. Les personnes concernées (LES PERSONNES CONCERNÉES) sont tenues de nous informer de tout changement survenant dans leurs données personnelles, afin que leurs données soient toujours exactes et à jour. Si Corporate Counseling Services Sarl a des soupçons sur l’authenticité des documents ou des informations fournies, elle est en droit de saisir les autorités/institutions publiques chargées de l’enquête, de la surveillance et du contrôle.
Les données des personnes concernées obtenues auprès de leur employeur se réfèrent aux données des employés qui ont la qualité de représentants. Ils signent des documents au nom du Responsable du traitement, ou maintiennent des contacts avec nos partenaires commerciaux, afin de remplir l’objet des contrats conclus entre les parties, le traitement de leurs données d’identification et de contact est nécessaire à cette fin.
Veuillez noter qu’en principe, les personnes concernées n’ont aucune obligation de nous fournir les données personnelles indiquées dans la présente Politique. Toutefois, dans la mesure où il ne nous fournit pas les données personnelles décrites, nous ne pourrons pas lui fournir les services demandés et il ne pourra pas bénéficier de toutes les facilités que Corporate Counselling Services Sarl lui offre (par exemple : ne pas nous fournir son numéro de téléphone/adresse email ne nous permettra pas de communiquer avec l’utilisateur concernant la confirmation ou les éventuelles modifications de rendez-vous, ni de lui envoyer les résultats des prestations médicales effectuées, auquel cas la communication ou la collecte des résultats se fera aux bureaux d’accueil de nos cliniques partenaires).
Si, dans le cadre des services que Corporate Counselling Services Sarl fournit aux utilisateurs, ceux-ci nous fournissent des données personnelles sur d’autres personnes (telles que d’éventuelles pathologies rencontrées dans la famille), nous traiterons ces informations de manière confidentielle et les utiliserons uniquement dans le but de fournir les services proposés.
En même temps, nous prendrons toutes les mesures nécessaires pour garantir que ces informations soient correctement protégées, en tenant compte de l’obligation de secret professionnel de Corporate Counseling Services Sarl.
Conformément aux dispositions de l’article 61 du Règlement général sur la protection des données, nous mentionnons les éléments suivants :
- Obtenues directement auprès de la personne concernée,
- Obtenues auprès de l’employeur de la personne concernée,
- Obtenues auprès de sources publiques,
- Si les données personnelles sont obtenues auprès d’une autre source, nous informerons la personne concernée dans un délai raisonnable, en fonction des circonstances de l’affaire.
Le traitement des données personnelles est effectué dans des conditions optimales de sécurité et à des fins légitimes, principalement liées à la fourniture de services médicaux/psychologiques, de conseils financiers et/ou juridiques, spécifiques aux activités du responsable du traitement, ainsi qu’aux activités financières et comptables connexes, à celles liées aux ressources humaines ou nécessaires à la relation établie par le contrat de service conclu avec l’employeur des personnes concernées. Chaque fois que nous demandons la collecte, le traitement ultérieur et le transfert éventuel de données personnelles, le traitement sera effectué uniquement aux fins mentionnées, pour d’autres fins, votre consentement sera requis.
Les données personnelles indiquées dans la section 5 ci-dessous seront traitées aux fins suivantes :
- Fourniture de services de conseil psychologique/financier/juridique via le service EAP:
Fourniture de services de conseil psychologique/financier/juridique demandés par les personnes concernées, établissement d’un diagnostic/diagnostic/situation financière/juridique, enregistrement des services fournis, communication avec la personne concernée sur les services fournis, information des utilisateurs sur les services fournis, activation et/ou ajustement de l’abonnement de l’utilisateur à nos services, rendez-vous, identification de l’utilisateur et des services auxquels il accède. Le Responsable fournit des Services EAP (Service EAP = « Programme d’Aide aux Employés ») aux employés des Bénéficiaires pour lesquels il fournit ces services (ci-après dénommés : « Patients » ou « Utilisateurs ») afin d’étudier, de prévenir, de réduire ou d’éliminer l’exposition des Utilisateurs aux risques psychosomatiques sur le lieu de travail et dans leur environnement personnel.
Les Patients/Utilisateurs utilisent le service EAP volontairement, à leur propre discrétion, après avoir interprété et accepté les termes de la note d’information sur la confidentialité et de la présente politique de confidentialité.
La relation contractuelle est établie entre le Responsable et les Employeurs, tandis que les Utilisateurs sont les employés des Bénéficiaires ou les proches parents des patients/utilisateurs.
Statistiques médicales:
Le traitement à cette fin ne sera effectué qu’à la demande écrite des institutions du Statut du personnel chargées des statistiques. Les données personnelles resteront sécurisées et confidentielles et ne seront pas divulguées à des tiers.
Respect des obligations légales :
Traitement pour remplir diverses obligations légales de notre Société (telles que : financières, de santé, de sécurité, de ressources humaines, de tenue de registres ou autres obligations imposées par les lois applicables).
Amélioration des services :
Identifier les problèmes ou les éventuels problèmes pertinents liés aux services existants afin de les améliorer, mettre en œuvre de nouveaux services ou des améliorations aux services existants, traiter vos réclamations.
Résolution des litiges:
Formuler diverses demandes/réclamations en cas de litiges survenant en relation avec les services rendus à la personne concernée et/ou en relation avec la relation entre la personne concernée et notre Société.
Notre Société n’est pas responsable du traitement effectué, sous quelque forme que ce soit, en dehors des coordonnées mentionnées dans la présente Politique (y compris par l’échange/l’enregistrement d’informations/données personnelles dans les conversations entre psychologues et patients).
Définitions
- Télétravail: c’est « la forme d’organisation du travail par laquelle le salarié, de manière régulière et volontaire, exerce les fonctions propres à la fonction, à la profession ou au métier qu’il occupe, dans un lieu autre que le lieu de travail organisé par l’employeur, au moins un jour par mois, en utilisant les technologies de l’information et de la communication ». C’est la définition que l’on retrouve dans la loi n° 81/2018 sur la réglementation du télétravail.
- Télétravailleur: Le salarié qui a souscrit à un mode d’exécution du travail, en tout ou en partie et de manière régulière, en dehors des locaux de l’employeur, en utilisant les technologies de l’information et de la communication, a été désigné dans la loi n° 81/2018 comme un « télétravailleur », mais si le travailleur peut à son tour embaucher de la main-d’œuvre, s’il participe aux profits et aux pertes, s’il investit du capital – alors il n’est pas un salarié. CCS Sarl utilise des sous-traitants avec lesquels elle signe des Contrats de Service, mais applique toutes les dispositions légales concernant le télétravail, lorsque les activités de travail ne sont pas effectuées dans les locaux (locaux de travail) lui appartenant. Ces contrats contiennent également un Accord de traitement des données. Dans cet Accord, les obligations des parties liées au traitement des données dans des conditions de confidentialité et de sécurité dans des conditions de télétravail, le cas échéant, seront également mises en évidence. Le Sous-traitant, qui est le Responsable du traitement des données par rapport à ses employés, mettra en œuvre les dispositions de l’Accord dans leur travail.
- Télétravail: nom générique du ou des lieux de travail, convenu et approuvé par l’employeur.
- Accord de traitement des données par télécommunication: Le législateur stipule que l’employeur et le salarié doivent établir par un acte complémentaire au contrat de travail (Accord) les lieux où le télétravail sera effectué ; l’employeur sera tenu d’assurer des mesures de santé et de sécurité au travail dans les lieux où le télétravail est effectué.
Le télétravail est une forme d’organisation du travail par laquelle le salarié, de manière régulière et volontaire, exerce les tâches spécifiques de sa fonction, de son métier ou de son activité dans un lieu autre que le lieu de travail organisé par l’employeur, au moins un jour par mois, en utilisant les technologies de l’information et de la communication.
La limite minimale de télétravail étant de 1 jour par mois, le télétravailleur travaille la plupart du temps depuis un lieu de travail autre que celui fourni par CCS Sarl.
Le lieu du télétravail doit être convenu entre les parties. Le salarié n’a pas le droit de décider unilatéralement du choix d’un lieu pour exercer ses activités en télétravail qui n’a pas été convenu et approuvé au préalable.
CCS Sarl comprend que les dispositions de la loi 81/2018 imposent les obligations suivantes :
- l’obligation de prévoir expressément dans le contrat de travail individuel ou dans l’acte complémentaire à celui-ci, que le travail est effectué sur la base du télétravail ;
- l’obligation d’avoir le consentement du salarié pour le télétravail ;
- l’obligation d’avoir le consentement du télétravailleur à temps plein s’il effectue des heures supplémentaires à sa demande ;
- l’obligation d’inclure dans le contrat de travail du salarié toutes les 10 clauses énoncées à l’art. 5 para. (2) ;
- l’obligation de fournir les moyens de technologie de l’information et de la communication et/ou les équipements de travail sûrs nécessaires à l’exécution du travail ;
- l’obligation d’installer, de vérifier et d’entretenir les équipements de travail nécessaires ;
- l’obligation de veiller à ce que le télétravailleur reçoive une formation suffisante et appropriée en matière de sécurité et de santé au travail, notamment sous forme d’informations et d’instructions de travail spécifiques au lieu de télétravail.
Au moment de la rédaction de la présente Politique, les employés de CCS Sarl ne télétravaillent pas. Cependant, compte tenu des conditions actuelles, déterminées par la pandémie de Coronavirus, notre Société a jugé nécessaire que notre Politique de Confidentialité fasse également référence à ce mode d’exercice de l’activité, et si nécessaire, ce chapitre sera révisé à l’avenir, en fonction des changements qui seront nécessaires.
Les fondements juridiques du traitement des données personnelles par CCS Sarl sont les suivants :
1) Motifs du traitement des données personnelles qui n’entrent pas dans la catégorie des données personnelles spéciales.
Les données personnelles qui ne constituent pas des catégories particulières de données personnelles (telles que définies à l’article 9 du RGPD) sont traitées par Corporate Counseling Services Sarl sur les fondements juridiques suivants :
1.1) Sur la base des dispositions de l’art. 6, paragraphe 1, lettre a, du RGPD, le consentement des personnes concernées – ce consentement est requis : Avant le premier appel téléphonique de l’utilisateur avec notre opérateur du centre d’appels. Avec cet appel, la personne concernée demande à l’opérateur du centre d’appels un rendez-vous pour une évaluation/un conseil psychologique/financier/juridique. Avant le début de l’appel avec notre opérateur du centre d’appels, l’utilisateur entendra un message qui est une brève information sur notre politique de traitement des données. En cas d’acceptation, la personne concernée appuiera sur une touche téléphonique indiquée dans le message, ce qui représente son consentement exprimé par une action positive et sans équivoque au traitement des données personnelles par le Responsable du traitement. Les données collectées par notre opérateur du centre d’appels seront minimales, telles que le nom, le prénom, l’employeur, les problèmes mentaux/financiers/juridiques, exprimés de la manière la plus simple. Sur la base de ces données, l’utilisateur recevra un rendez-vous.
b) Avant le premier appel téléphonique de l’utilisateur avec notre opérateur du centre d’appels. Par cet appel, la personne concernée demande une évaluation/conseil psychologique/financier/juridique à l’opérateur du centre d’appels par téléphone. Avant de commencer l’appel avec notre opérateur du centre d’appels, l’utilisateur entendra un message l’informant brièvement de notre politique de traitement des données. En cas d’acceptation, la personne concernée appuiera sur une touche téléphonique indiquée dans le message, ce qui représente son consentement exprimé par une action positive et sans équivoque au traitement des données personnelles par le responsable du traitement. Les données collectées par notre responsable du traitement seront suffisantes et éclairantes pour que le responsable du traitement puisse faire une évaluation sur la base des données collectées et fournir les conseils demandés. L’utilisateur recevra les conseils demandés de notre spécialiste, en ligne, par téléphone.
c) En remplissant un formulaire dans les cliniques des personnes habilitées par nous, ou dans les cabinets de psychologues spécialistes, après qu’une note d’information sera portée à la connaissance de l’Utilisateur, les dispositions de notre politique de traitement des données et la préservation de leur confidentialité, dans des conditions garantissant leur pleine sécurité.
d) Les appels du centre d’appels sont enregistrés sur la base du consentement exprimé au préalable par l’appelant, le but du traitement est d’éviter toute mauvaise interprétation des informations transmises par l’un des participants à l’appel, de clarifier les situations exposées dans la communication téléphonique en cas de doutes ou de confusion, de gérer les situations où les appels contiennent des indications de préjudice pouvant être causé à la sécurité et à l’intégrité de la personne et des biens.
1.2) Compte tenu des autres finalités pour lesquelles nous traitons les données personnelles, la base de ce traitement peut être l’accomplissement des obligations légales de la Société – art. 6, par. 1, lit. c du RGPD (y compris en ce qui concerne l’archivage, la santé, la sécurité, la tenue de registres, la demande à une autorité publique et d’autres obligations imposées par la loi) ;
1.3) Dans certaines situations, nous traiterons des données personnelles sur la base d’un intérêt légitime de Corporate Counseling Services Sarl – art. 6, para. 1, lit. f du RGPD, ou d’un tiers (tels que : la compilation des dossiers de services médicaux ; le suivi des rendez-vous dans notre système électronique ; le traitement des demandes et des plaintes reçues des Utilisateurs ; la fourniture d’une assistance spécialisée d’urgence ; la conclusion et l’exécution de contrats de prestation de services médicaux/psychologiques avec des cliniques partenaires afin de fournir la couverture territoriale la plus large possible et la gamme de services offerts ; la surveillance par le système de caméra vidéo pour assurer la sécurité des biens et des personnes (voir la politique de vidéosurveillance CCS).
Le traitement est nécessaire pour permettre la constatation, l’exercice ou la défense d’un droit devant un tribunal, étant donné que, dans le cadre de la relation établie avec notre Société, il ne peut être exclu que de telles situations puissent survenir dans le cadre des services fournis (dans la mesure où de tels litiges sont soumis aux tribunaux).
1.4) Compte tenu de certaines situations dans lesquelles l’Utilisateur peut se trouver (physiquement ou juridiquement) et qui peuvent rendre difficile pour lui de consentir au traitement (par exemple : situations d’urgence), ses données personnelles seront traitées afin de protéger les intérêts vitaux de l’Utilisateur. Utilisateur ou d’une autre personne concernée – Art. 6, para. 1(d) RGPD ;
2) Motifs du traitement des données personnelles entrant dans la catégorie des données spéciales (conformément à l’art. 9 du RGPD)
Compte tenu de la spécificité de l’activité/des services fournis par Corporate Counseling Services Sarl, nous traiterons les données personnelles entrant dans la catégorie des données spéciales (telles que définies à l’art. 9 du RGPD) sur la base des motifs juridiques suivants (motifs qui s’appliqueront en plus des motifs détaillés à l’art. 6 du RGPD) :
a) Traitement en vertu du consentement de la personne concernée
Conformément à l’art. (2)(a) du RGPD, le traitement des données relatives à la santé est autorisé lorsque « la personne concernée a donné son consentement explicite au traitement de ces données personnelles pour une ou plusieurs finalités déterminées, à moins que le droit de l’Union ou le droit national ne prévoie que l’interdiction prévue au paragraphe 1 ne peut être levée par le consentement de la personne concernée.
Le traitement est nécessaire à des fins liées à la médecine préventive ou professionnelle, à l’évaluation de l’aptitude au travail du salarié, à l’établissement d’un diagnostic médical, à la fourniture de soins médicaux ou sociaux ou à la gestion des systèmes et services de santé, sur la base du droit de l’Union ou du droit national ou sur la base d’un contrat conclu avec un professionnel de la santé et sous réserve du respect des conditions et garanties prévues au paragraphe 3″ – Art. 9 para. (2) lit.( h) du RGPD. Traitement par un professionnel soumis à l’obligation du secret professionnel dans le cadre des services de santé
b) Le traitement est nécessaire à la protection des intérêts vitaux de la personne concernée ou d’une autre personne concernée lorsque la personne concernée est physiquement ou juridiquement incapable de donner son consentement ; Art. 9(2)(c) RGPD
c) Le traitement est nécessaire pour des raisons d’intérêt public dans le domaine Traitement sur la base du consentement de la personne concernée
d) ld de santé publique (comme : la protection contre les menaces transfrontières graves pour la santé ou la garantie de normes élevées de qualité et de sécurité des soins de santé, en vertu du droit de l’UE ou du droit national) ; et/ou des services de santé ou de soins sociaux ; – 9, paragraphe 2, lit(i) du RGPD
En substance, Corporate Counseling Services Sarl traite vos données personnelles qui relèvent de la catégorie des données spéciales sur la base des dispositions qui autorisent le traitement des données de santé des patients dans le cadre de la prestation de services de santé, à la fois lorsque ce traitement est requis par la loi et lorsque la prestation de services de santé est contractuellement convenue. Toutefois, le traitement ne peut et ne doit être effectué que par ou sous la responsabilité d’un professionnel soumis à l’obligation de secret professionnel ou par une autre personne également soumise à une obligation de confidentialité en vertu du droit de l’Union ou du droit national ou des règles établies par les organismes nationaux compétents.
En principe, les données personnelles ne seront traitées que par Corporate Counseling Services Sarl.
Compte tenu de la complexité des services mis à disposition de la personne concernée par notre Société, de la nécessité pour Corporate Counseling Services Sarl de faire appel à certains partenaires externes qui apportent un soutien dans l’exercice de notre activité, nous tenons à mentionner que les données personnelles peuvent être transmises à d’autres personnes physiques ou morales, pour être traitées aux fins détaillées dans la présente Politique.
Compte tenu du contexte des relations établies par Corporate Counseling Services Sarl avec ses partenaires, ainsi que de la possibilité de changements dans ces relations, il n’est pas possible d’identifier tous ces partenaires par leur nom, mais ils seront mentionnés de manière générique, en fonction de la relation établie/potentielle avec Corporate Counseling Services Sarl
A cet égard, les données personnelles peuvent être transmises à :
- Sous-traitants – psychologues collaborateurs et prestataires de services psychologiques accrédités.
- Les services psychologiques peuvent également être proposés par l’intermédiaire de prestataires de services spécialisés accrédités – psychologues collaborateurs et cliniques partenaires de Corporate Counseling Services Sarl – dans le pays ou à l’étranger.
A cet égard, nous notons que les données/informations sur l’état de santé des personnes concernées, quel que soit leur contenu ou leur volume, peuvent être communiquées à des prestataires de soins de santé accrédités dans le pays ou dans d’autres pays (que ce soit dans l’Union européenne ou hors Union européenne), conformément aux dispositions légales applicables.
Corporate Counseling Services Sarl met tout en œuvre pour que ses psychologues collaborateurs et autres prestataires accrédités respectent les dispositions de la législation sur la protection des données personnelles. Avant d’exécuter le service proposé, lorsque la loi l’exige, les personnes concernées recevront le formulaire de consentement les informant des données et informations sur le partenaire de la Société, ainsi que du contexte du traitement des données personnelles des utilisateurs par celui-ci.
- Institutions et/ou autorités judiciaires, d’enquête, de surveillance et de contrôle
Dans la mesure où, conformément aux dispositions légales en vigueur, des données/informations personnelles sont demandées à notre Société par divers organismes et/ou institutions (par exemple : organismes d’enquête criminelle, police, finances, impôts, sécurité sociale, tribunal et toute autre institution et/ou autorité de surveillance et de contrôle), Corporate Counselling Services Sarl est obligée de fournir les données/informations demandées sans consentement préalable de la personne concernée, y compris dans le cas où la personne concernée s’y oppose ou n’exprime pas son point de vue. En outre, il peut être nécessaire dans certaines situations que ces données/informations soient mises à disposition sans demande préalable de ces institutions, organismes et/ou autorités, auquel cas Corporate Counselling Services Sarl fournira les données/informations nécessaires comme l’exige la loi.
- Autres personnes physiques/morales ayant accès à vos données.
D’autres personnes physiques/morales ont accès aux données personnelles des personnes concernées, telles que : les prestataires de services de support informatique ou de services techniques et organisationnels dans le cadre d’activités liées à la maintenance d’équipements médicaux, de services de paiement, de services d’archivage, les conseillers juridiques, les auditeurs, les consultants financiers et comptables ou d’autres conseillers de la Société dans le cadre d’opérations commerciales extraordinaires (par exemple en cas de fusions, d’acquisitions et autres), avec lesquels la Société conclura des accords de confidentialité, le cas échéant (dans la mesure où certaines exigences/garanties légales et/ou statutaires de confidentialité ne leur seront pas applicables). Les données personnelles peuvent également être transmises à d’autres personnes physiques ou morales en Roumanie ou à l’étranger dans le cadre nécessaire à l’établissement, à l’exercice et/ou à la défense d’un droit de Corporate Counseling Services Sarl.
La Société fera preuve de diligence raisonnable dans la sélection de ses prestataires de services et/ou partenaires et exigera que ces prestataires/partenaires maintiennent des mesures de sécurité techniques et organisationnelles appropriées pour protéger les données personnelles auxquelles ils ont accès et pour les traiter conformément aux dispositions légales applicables.
Dans le cas où les opérations de traitement de données personnelles seraient effectuées par Corporate Counseling Services Sarl, par l’intermédiaire de ses sous-traitants, notre Société veillera au respect des exigences spécifiques imposées par les dispositions de l’article 28 du RGPD, en veillant, entre autres, à ce que :
- les opérations de traitement de données personnelles concernées soient effectuées sur la base d’un contrat/accord réglementant les questions spécifiques de la relation responsable du traitement-sous-traitant, conformément au RGPD et
- le sous-traitant traitera les données personnelles sur la base des instructions de Corporate Counseling Services Sarl.
Dans certaines situations spécifiques, les données personnelles des personnes concernées peuvent être transférées à des entités situées dans d’autres États de l’Union européenne et/ou de l’Espace économique européen.
Il existe également des situations dans lesquelles les données personnelles peuvent également être transférées à des entités situées en dehors de l’Union européenne et/ou de l’Espace économique européen (par exemple, le Canada, l’Australie, la Nouvelle-Zélande). Dans de tels cas, nous veillerons à ce que des garanties adéquates soient en place pour permettre le bon déroulement du transfert conformément aux exigences de la législation sur la protection des données (les garanties peuvent inclure : l’application de clauses contractuelles types de protection des données ou l’existence d’une décision de la Commission européenne à cet effet).
Dans chaque cas, afin de procéder au transfert proprement dit, les personnes concernées rempliront le formulaire de consentement afin d’exprimer leur consentement explicite à la situation requise par le service, l’état de santé, etc.
Nous conservons les données personnelles des personnes concernées exactes et à jour. Nous nous efforçons également de ne pas conserver les données personnelles plus longtemps que nécessaire pour remplir les finalités énumérées dans la présente Politique ou comme l’exige la loi applicable.
A cet égard, nous conserverons les données personnelles des Utilisateurs pendant toute la durée de la relation établie avec les Employeurs, et également pendant une certaine période de temps par la suite, compte tenu des dispositions légales applicables. Ainsi, les données personnelles seront conservées pendant une durée fixée ci-dessous :
Les données à caractère particulier, collectées par les sous-traitants, les spécialistes, les psychologues, les cliniques de psychologie, les prestataires de services psychologiques, seront conservées pendant une durée de 2 ans après la fin de la thérapie, afin d’analyser les besoins thérapeutiques et l’évolution de l’état de l’Utilisateur, en cas de retour ultérieur chez le spécialiste. Seules les personnes concernées et le psychologue y auront accès. Elles seront ensuite supprimées, détruites ou anonymisées, conformément aux dispositions de la Politique de stockage des données de CCS Sarl. Pendant la période de conservation par la personne autorisée, celle-ci sera effectuée dans des conditions de sécurité maximale conformément à la législation en vigueur et aux dispositions de l’annexe à l’accord de traitement des données conclu avec le responsable du traitement CCS.
Dans la mesure où certaines données personnelles sont incluses ou se rapportent également à certains registres comptables de la Société, pour lesquels une période de conservation spécifique (par exemple 5 ou 10 ans) doit être respectée, ces données personnelles seront conservées pendant ces périodes applicables.
En ce qui concerne les images obtenues au moyen de la vidéosurveillance, elles seront conservées pendant un maximum de 30 jours calendaires à compter de la date d’enregistrement, sauf si une période plus longue est autorisée ou requise par la loi applicable.
Les données minimales, prénom, nom, employeur, nombre de séances de thérapie effectuées, seront communiquées par le responsable du traitement à Corporate Counseling Services Sarl. Le responsable du traitement les utilisera pour rendre compte des services fournis aux personnes concernées, à leur employeur avec lequel CCS a un contrat de service. Ces données ne seront utilisées à aucune autre fin. Leur durée de conservation est déterminée en fonction de la période de reporting des prestations mentionnée dans le contrat, et ne peut excéder un an.
Les formulaires de consentement seront archivés et conservés pendant une durée de 3 (trois) ans.
Les données personnelles sont traitées par CCS Sarl de manière à assurer une sécurité appropriée. Le délégué à la protection des données procède régulièrement à une évaluation des risques, en tenant compte de toutes les circonstances des opérations de traitement effectuées par le responsable du traitement. Pour déterminer la sécurité du traitement, le délégué à la protection des données prend en compte l’étendue des dommages ou pertes possibles qui pourraient être causés aux personnes concernées en cas de violation de la sécurité. Lors de l’évaluation des mesures techniques appropriées, le délégué à la protection des données tient compte de l’existence des mesures de sécurité suivantes :
- Protection par mot de passe ;
- Verrouillage automatique des terminaux (ordinateur/portable, etc.) lorsqu’ils ne sont pas utilisés ;
- Suppression des droits d’accès pour les clés USB et autres supports de mémoire ;
- Disponibilité de logiciels antivirus et de pare-feu ;
- Réglementation des droits d’accès en fonction des rôles, y compris ceux attribués au personnel temporaire ;
- Cryptage des appareils quittant les locaux de la Société, tels que les ordinateurs portables ;
- Sécurité du réseau local ;
- Existence de technologies améliorant la confidentialité telles que l’anonymisation ;
Lors de l’évaluation des mesures organisationnelles appropriées, le délégué à la protection des données a également pris en compte les éléments suivants :
- Niveaux de formation appropriés au sein de l’unité ;
- Tous les employés/personnels sont responsables de s’assurer que toutes les données personnelles détenues par le responsable du traitement et dont le responsable du traitement est responsable sont conservées en toute sécurité et ne sont en aucun cas divulguées à un tiers, sauf si ce tiers a été spécifiquement autorisé à recevoir ces informations et a conclu un accord de confidentialité
- Que des mesures de protection des données sont incluses dans les contrats de travail ;
Des mesures disciplinaires sont disponibles en cas de violation des données ; - Le personnel est surveillé pour s’assurer du respect des normes de sécurité pertinentes ;
- Un contrôle d’accès physique aux dossiers électroniques et papier doit être effectué ;
- Les données papier sont stockées dans des armoires sécurisées ;
- L’utilisation d’appareils électroniques portables en dehors du lieu de travail est restreinte ;
- L’utilisation des appareils personnels de l’employé sur le lieu de travail est restreinte ;
- Des règles claires sur les mots de passe et leur utilisation sont adoptées ;
- Des sauvegardes régulières des données personnelles sont effectuées ;
- Des obligations contractuelles sont imposées aux organisations importatrices de prendre des mesures de sécurité appropriées lors du transfert de données en dehors de l’EEE.
- Toutes les données personnelles sont accessibles uniquement à ceux qui en ont besoin et l’accès n’est accordé que conformément à la politique de contrôle d’accès.
- Les écrans et terminaux PC ne sont visibles que par les employés/personnels autorisés du Responsable du traitement.
- Les données personnelles sont supprimées ou éliminées uniquement conformément à la procédure de conservation des dossiers. Les dossiers au format physique qui ont expiré sont déchiquetés et jetés comme « déchets confidentiels ».
- Le personnel traitant les données hors site doit être spécifiquement autorisé.
Les sous-traitants assument la responsabilité d’assurer la sécurité uniquement pour les informations, les données personnelles et les données sensibles (données de santé physique et mentale ; données génétiques ; le cas échéant, données biométriques) qui leur sont fournies et sont traitées par leur propre personnel (y compris les psychologues) exclusivement et par l’accumulation des coordonnées suivantes :
- dans la clinique de nos sous-traitants
- les systèmes/instruments/appareils informatiques et/ou électroniques, le matériel et les logiciels, les dossiers et les formulaires de CCS Sarl ; et
- dans le cadre de CCS Sarl.
Conformément aux dispositions applicables aux données personnelles, les personnes concernées disposent des principaux droits suivants :
(1) Le droit d’accès aux données personnelles traitées, c’est-à-dire leur droit d’obtenir de la Société la confirmation que des données personnelles les concernant sont ou non traitées et, le cas échéant, l’accès aux données et aux conditions dans lesquelles elles sont traitées (y compris la finalité du traitement, les catégories de données traitées, les destinataires des données).
(2) Le droit de demander la rectification des données personnelles, c’est-à-dire le droit des utilisateurs/personnes concernées de nous demander de rectifier des données personnelles inexactes ou obsolètes ou de compléter des données incomplètes.
(3) Le droit à l’effacement des données personnelles qui peut être exercé dans certaines circonstances prévues par la loi applicable, notamment :
- les données personnelles ne sont plus nécessaires au regard des finalités du traitement ;
- lorsque la personne concernée s’oppose au traitement et qu’aucun autre intérêt légitime ne prévaut pour le traitement ;
- lorsque les données personnelles ont été traitées illégalement.
(4) Droit de demander la limitation du traitement, c’est-à-dire le droit de la personne concernée d’obtenir de la Société la limitation du traitement dans les cas suivants :
- la personne concernée conteste l’exactitude des données (la limitation durera aussi longtemps que nécessaire pour que la Société puisse vérifier l’exactitude des données personnelles) ;
- le traitement est illicite et la personne concernée s’oppose à l’effacement des données, demandant à la place la limitation de leur utilisation ;
la société n’a plus besoin des données personnelles aux fins susmentionnées, mais la personne concernée demande les données personnelles pour l’établissement, l’exercice ou la défense de droits en justice ; ou - la personne concernée s’est opposée au traitement, pendant la période pendant laquelle la Société vérifie si les droits légitimes de la Société prévalent sur les droits de la personne concernée.
(5) Le droit de la personne concernée de s’opposer au traitement, c’est-à-dire le droit de la personne concernée de s’opposer au traitement pour des raisons tenant à sa situation particulière lorsque le traitement :
- est fondé sur les intérêts légitimes de la Société ou d’un tiers, y compris dans le cas d’activités de profilage fondées sur cette base, ou
- dans la mesure applicable, est effectué à des fins de communications de marketing direct impliquant un profilage.
(6) Le droit de ne pas être soumis à une décision automatisée, ce qui signifie qu’en tant qu’utilisateur de nos services, les personnes concernées ne seront pas soumises à une décision fondée uniquement sur un traitement automatisé de leurs données (y compris le profilage) qui produit des effets juridiques concernant la personne concernée, ou qui les affecte de manière similaire dans une mesure significative.
(7) Le droit à la portabilité des données, c’est-à-dire le droit des Utilisateurs de demander le déplacement, la copie ou le transfert de leurs données personnelles existant dans la base de données de la Société vers une autre base de données, dans un format structuré, couramment utilisé et lisible par machine, lorsque le traitement est basé sur le consentement ou sur un contrat et est effectué par des moyens automatisés.
(8) Le droit de déposer une plainte auprès de l’Autorité nationale de contrôle du traitement des données personnelles et de saisir les tribunaux compétents.
Les utilisateurs/personnes concernées peuvent exercer les droits visés aux points (1) à (7) ci-dessus par une demande écrite, signée et enregistrée auprès de Corporate Counseling Services Sarl en utilisant les coordonnées suivantes (à l’attention du délégué à la protection des données) : e-mail dpo@ccsint.ro.
Dans la demande, la personne concernée a la possibilité d’indiquer si elle souhaite que les informations soient communiquées à une adresse spécifique (qui peut être une adresse e-mail) ou par un service de messagerie qui assure la livraison personnelle des informations.
Les informations demandées seront communiquées dans un délai de 1 (un) mois à compter de la date de réception de la demande, en respectant vos éventuelles options de communication. S’il n’est pas possible de respecter le délai susmentionné, l’Utilisateur sera informé du motif du report de la réponse, ainsi que de la procédure envisagée pour la résolution de sa demande et du délai estimé.
En cas d’incident/violation de sécurité, le Responsable du traitement informe l’Autorité de contrôle compétente sans retard injustifié et, si possible, au plus tard 72 heures après en avoir pris connaissance, à moins que la violation de données à caractère personnel ne soit pas susceptible d’entraîner un risque pour les droits et libertés des personnes concernées. Si la notification à l’Autorité de contrôle n’est pas effectuée dans les 72 heures, elle est accompagnée des motifs du retard. Corporate Counseling Services Sarl a élaboré sa propre procédure applicable aux violations de sécurité, qui peut être consultée sur demande.
Si nous modifions sensiblement nos pratiques de traitement des données personnelles ou cette politique, nous publierons une politique révisée et/ou prendrons d’autres mesures pour vous informer de ces changements conformément à la loi applicable.
If data subjects have any dissatisfaction with the way we process your data, we would prefer that you contact us directly so that we can resolve your concerns. However, if you still have any complaints, you can contact the National Supervisory Authority for Personal Data Processing (www.dataprotection.ro):
Address. Gheorghe Magheru, Bucharest, Romania; phone: +40.318.059.211/ +40.318.059.212; fax: +40.318.059.602; e-mail: anspdcp@dataprotection.ro.
Le Responsable du traitement publiera la présente Politique sur son site Internet (www.ccsint.com). En cas de demande particulière d’une personne concernée, le Responsable du traitement enverra directement la présente Politique à la personne concernée.
La présente politique entre en vigueur à la date de sa publication.
Les dispositions de la présente politique s’appliqueront également aux données en cours de traitement au moment de l’entrée en vigueur de la présente politique.
À compter de la date d’entrée en vigueur, la présente politique remplace et abroge les politiques de traitement des données antérieures en vigueur chez le responsable du traitement.