POLITICA DE CONFIDENȚIALITATE
A DATELOR CU CARACTER PERSONAL
Corporate Counselling Services Sarl (denumită în continuare CCS, CCS Sarl, Compania) a fost înființată ca o companie pentru a reuni expertiza diverselor profesioniști în vederea furnizării unei rețele de servicii complete pentru corporații și organizații din Europa și din afara SEE, pentru a le ajuta să abordeze problemele legate de resursele umane, în special, gestionarea preventivă a sănătății corporative. Gestionarea sănătății la locul de muncă este acum o componentă esențială a vieții profesionale. Oamenii petrec aproximativ 65% din viața lor profesională la muncă. Crearea unui mediu de lucru sănătos și echilibrat, în care oamenii să se simtă în largul lor și unde vor găsi oportunitatea de a-și dezvolta potențialul, este considerată la fel de importantă ca furnizarea elementelor esențiale pentru igiena ocupațională și bunăstarea personală. Acest lucru are un impact substanțial asupra vieții personale a angajaților.
Corporate Counseling Services Sarl este un operator de date cu caracter personal, conform definiției din GDPR, iar scopul acestei Politici este de a stabili modul în care Compania prelucrează datele personale în conformitate cu legislația aplicabilă privind protecția datelor.
În funcție de relațiile stabilite prin clauzele contractelor de prestări servicii încheiate între Compania noastră și partenerii săi, CCS Sarl poate fi atât un operator independent de date cu caracter personal în raport cu partenerii săi, angajatorii utilizatorilor serviciilor de consiliere oferite, cât și un procesator sau subcontractant al serviciilor de consiliere, atunci când relația de prelucrare este stabilită între noi și un procesator de date cu caracter personal.
Această politică de confidențialitate stabilește modul de prelucrare, împreună cu scopul prelucrării datelor cu caracter personal colectate de CCS Sarl de la persoanele vizate.
Categoriile de date cu caracter personal (reprezentând orice informație care poate duce la identificarea unei persoane vizate) pe care le prelucrăm sunt detaliate în secțiunea (4) de mai jos. Intenția noastră este să oferim informații suficiente, prezentate într-un mod accesibil, pentru a asigura că înțelegeți operațiunile de prelucrare efectuate de Corporate Counseling Services Sarl, în timp ce ne asigurăm că confidențialitatea și securitatea datelor dumneavoastră cu caracter personal sunt respectate.
Pentru orice detalii care ar putea fi necesare pentru a înțelege această Politică sau procedurile de prelucrare a datelor cu caracter personal, oferim posibilitatea de a comunica orice întrebări sau solicitări către persoanele vizate, care pot utiliza datele de contact indicate la sfârșitul acestei Politici.
Corporate Counseling Services S.a.r.l, Rue du Kiem 2, L-8435, Steinfort, Luxemburg, e-mail: office@ccsint.com.
Corporate Counselling Services Sarl a externalizat serviciile de Responsabil cu Protecția Datelor (DPO) către The Insource Development Group, reprezentată de domnul Marius Medeleanu, adresa de e-mail: dpo@ccsint.ro.
a) Angajați, candidați
Date de identificare și contact:
Nume și prenume, adrese de e-mail, adresă domiciliu/reședință, număr de telefon (fix și/sau mobil), adresă de corespondență, data nașterii; gen; vârstă; Cod Numeric Personal; număr și serie act de identitate; date de educație și date din certificate (dacă este cazul);
Date financiar-contabile aparținând sau necesare persoanei vizate;
Date juridice aparținând sau necesare persoanei vizate;
Categorii de date cu caracter special/sensibil:
Date biometrice – semnătură, voce (pe baza înregistrărilor convorbirilor cu consimțământul persoanei vizate);
Date de sănătate – date medicale, legate de gestionarea preventivă a sănătății, controlul medical periodic/sănătate și securitate în muncă pentru angajații companiei;
Imagini video (obținute din înregistrări video realizate în incinta Societății, unde sunt instalate camere de supraveghere video);
b) Reprezentanți ai partenerilor de afaceri, furnizori de servicii și utilități, autorități publice, procesatori și/sau subcontractanți:
Date de contact: nume și prenume, adrese de e-mail, adresă domiciliu/reședință, număr de telefon (fix și/sau mobil), adresă de corespondență, data nașterii; număr și serie act de identitate; Cod Numeric Personal;
Date financiar-contabile, aparținând sau necesare pentru finalizarea plăților;
Date speciale/sensibile: date biometrice – semnătură, înregistrări de voce;
Imagini video (obținute din înregistrări video realizate în incinta Societății, unde sunt instalate camere de supraveghere video);
c) Utilizatori ai serviciilor EAP – persoane vizate (angajați ai partenerilor de afaceri ai CCS Sarl sau rude ale acestora) care, pe baza drepturilor stipulate în contractul individual de muncă, solicită consiliere psihologică/juridică/financiară:
Datele personale pe care persoanele vizate (DATA SUBJECT) le furnizează la programare prin telefon, e-mail sau în clinică (nume, prenume, telefon, e-mail, data nașterii, simptome, date despre analizele și investigațiile efectuate sau pe care doresc să le efectueze) sunt înregistrate și prelucrate de Corporate Counselling Services Sarl, doar în măsura în care aceste informații au fost furnizate de către persoanele vizate fără nicio constrângere și cu informare prealabilă.
Corporate Counseling Services Sarl nu își asumă nicio responsabilitate sau răspundere pentru informații/date/documente inexacte, incorecte sau incomplete furnizate de persoanele vizate către noi. Acestea (DATA SUBJECT) sunt obligate să ne informeze despre orice modificare care intervine în datele lor personale, astfel încât datele lor să fie întotdeauna corecte și actualizate. Dacă Corporate Counseling Services Sarl are suspiciuni privind autenticitatea documentelor sau informațiilor furnizate, are dreptul să sesizeze autoritățile/instituțiile publice competente pentru investigații, monitorizare și control.
Datele persoanelor vizate obținute de la angajatorul acestora se referă la datele angajaților care au calitatea de reprezentanți. Aceștia semnează documente în numele Operatorului de Date sau mențin contactul cu partenerii noștri de afaceri, pentru îndeplinirea obiectului contractelor încheiate între părți, prelucrarea datelor lor de identificare și contact fiind necesară în acest scop.
Vă rugăm să rețineți că, în principiu, nu există nicio obligație pentru persoanele vizate de a ne furniza datele personale indicate în această Politică. Cu toate acestea, în măsura în care nu ne furnizează datele personale descrise, nu vom putea să le oferim serviciile solicitate și nu vor putea beneficia de toate facilitățile pe care Corporate Counselling Services Sarl le oferă (de exemplu: necomunicarea numărului de telefon/adresei de e-mail nu va permite comunicarea cu utilizatorul cu privire la confirmarea sau eventualele modificări ale programărilor, sau transmiterea rezultatelor serviciilor medicale efectuate, caz în care comunicarea sau ridicarea rezultatelor se va face la recepțiile clinicilor noastre partenere).
Dacă, în contextul serviciilor oferite de Corporate Counselling Services Sarl utilizatorilor, aceștia ne furnizează date personale despre alte persoane (cum ar fi posibile afecțiuni medicale întâlnite în familie), vom trata aceste informații ca fiind confidențiale și le vom utiliza doar în scopul furnizării serviciilor oferite.
În același timp, vom lua toate măsurile necesare pentru a asigura că aceste informații sunt protejate adecvat, ținând cont de obligația de secret profesional a Corporate Counseling Services Sarl.
În conformitate cu prevederile considerentului 61 al Regulamentului General privind Protecția Datelor, menționăm următoarele:
- Obținute direct de la persoana vizată,
- Obținute de la angajatorul persoanei vizate,
- Obținute din surse publice,
- Dacă datele cu caracter personal sunt obținute dintr-o altă sursă, vom informa persoana vizată într-un termen rezonabil, în funcție de circumstanțele cazului.
Prelucrarea datelor cu caracter personal se efectuează în condiții optime de securitate și pentru scopuri legitime, legate în principal de furnizarea de servicii medicale/psihologice, consiliere financiară și/sau juridică, specifice activităților Operatorului, precum și de activități financiar-contabile conexe, de cele legate de resursele umane sau necesare în relația stabilită prin contractul de servicii încheiat cu angajatorul persoanelor vizate. Ori de câte ori solicităm colectarea, prelucrarea ulterioară și eventual transferul datelor cu caracter personal, prelucrarea se va face doar pentru scopurile menționate; pentru alte scopuri va fi necesar consimțământul dumneavoastră.
Datele cu caracter personal indicate în secțiunea 5 de mai jos vor fi prelucrate pentru următoarele scopuri:
- Furnizarea de servicii de consiliere psihologică/financiară/juridică prin serviciul EAP:
Furnizarea de servicii de consiliere psihologică/financiară/juridică solicitate de persoanele vizate, stabilirea unui diagnostic/diagnostic financiar/juridic/situațional, înregistrarea serviciilor prestate, comunicarea cu persoana vizată despre serviciile prestate, informarea utilizatorilor despre serviciile oferite, activarea și/sau ajustarea abonamentului utilizatorului la serviciile noastre, programări, identificarea utilizatorului și a serviciilor accesate. Operatorul furnizează Servicii EAP (Serviciul EAP = „Employee Assistance Program”) angajaților Beneficiarilor pentru care prestează aceste servicii (denumiți în continuare: „Pacienți” sau „Utilizatori”) în scopul studierii, prevenirii, reducerii sau eliminării expunerii Utilizatorilor la riscuri psihosomatice la locul de muncă și în mediul lor personal.
Pacienții/Utilizatorii folosesc serviciul EAP în mod voluntar, la propria discreție, după interpretarea și acceptarea termenilor notificării de confidențialitate și a acestei politici de confidențialitate.
Relația contractuală este stabilită între Operator și Angajatori, în timp ce Utilizatorii sunt angajații Beneficiarilor sau rude apropiate ale pacienților/utilizatorilor.
- Statistici medicale:
Prelucrarea în acest scop se va realiza doar la cererea scrisă a instituțiilor Statutului Personalului responsabile cu statisticile. Datele cu caracter personal vor rămâne securizate și confidențiale și nu vor fi divulgate terților.
- Îndeplinirea obligațiilor legale:
Prelucrarea pentru îndeplinirea diverselor obligații legale ale Companiei noastre (cum ar fi: obligații financiare, de sănătate, siguranță, securitate, resurse umane, evidență sau alte obligații impuse de legile aplicabile).
- Îmbunătățirea serviciilor:
Identificarea problemelor sau a eventualelor aspecte relevante legate de serviciile existente pentru a le îmbunătăți, implementarea de noi servicii sau îmbunătățiri ale celor existente, soluționarea reclamațiilor dumneavoastră.
- Rezolvarea disputelor:
Formularea diverselor cereri/revendicări în cazul apariției unor dispute legate de serviciile prestate persoanei vizate și/sau în legătură cu relația dintre persoana vizată și Compania noastră.
Societatea noastră nu este responsabilă pentru prelucrarea efectuată, în orice formă, în afara coordonatelor menționate în această Politică (inclusiv prin schimbul/înregistrarea informațiilor/date personale în conversațiile dintre psihologi și pacienți).
Definiții
- Telemuncă: este „forma de organizare a muncii prin care salariatul, în mod regulat și voluntar, își îndeplinește atribuțiile specifice funcției, ocupației sau meseriei pe care o deține, într-un alt loc decât locul de muncă organizat de angajator, cel puțin o zi pe lună, utilizând tehnologia informației și comunicațiilor”. Aceasta este definiția pe care o regăsim în Legea nr. 81/2018 privind reglementarea activității de telemuncă.
- Teleangajat: Salariatul care a aderat la o modalitate de desfășurare a activității, în totalitate sau parțial și în mod regulat, în afara sediului angajatorului, utilizând tehnologia informației și comunicațiilor, este denumit în Legea nr. 81/2018 „teleangajat”, însă dacă lucrătorul poate, la rândul său, să angajeze forță de muncă, dacă participă la profituri și pierderi, dacă investește capital – atunci nu este salariat. CCS Sarl utilizează procesatori cu care semnează contracte de servicii, dar aplică toate dispozițiile legale privind telemunca, atunci când activitățile de muncă nu se desfășoară în incintele (spațiile de lucru) care îi aparțin. Aceste contracte conțin, de asemenea, un Acord de Prelucrare a Datelor. În acest Acord, vor fi evidențiate obligațiile părților legate de prelucrarea datelor în condiții de confidențialitate și securitate în condițiile telemuncii, acolo unde este aplicabil. Procesatorul, care este Operatorul de Date în raport cu angajații săi, va implementa prevederile Acordului în activitatea lor.
- Birou la domiciliu: denumire generică pentru locul/locurile de muncă, convenite și aprobate de angajator.
- Acordul privind prelucrarea datelor prin telecomunicații: Legislatorul stipulează că angajatorul și angajatul trebuie să stabilească printr-un act adițional la contractul de muncă (Acord) locurile unde se va desfășura telemunca; angajatorul va fi obligat să asigure măsuri de sănătate și securitate în muncă în locurile unde se desfășoară telemunca.
Telemunca este o formă de organizare a muncii prin care salariatul, în mod regulat și voluntar, își îndeplinește atribuțiile specifice funcției, ocupației sau meseriei într-un alt loc decât locul de muncă organizat de angajator, cel puțin o zi pe lună, utilizând tehnologia informației și comunicațiilor.
Deoarece limita minimă pentru telemuncă este de 1 zi pe lună, teleangajatul lucrează majoritatea timpului dintr-un loc de muncă diferit de cel oferit de CCS Sarl.
Locația telemuncii trebuie să fie convenită de părți. Angajatul nu are dreptul de a decide unilateral asupra alegerii unui loc pentru desfășurarea activităților prin telemuncă care nu a fost convenit și aprobat în prealabil.
CCS Sarl înțelege că prevederile Legii 81/2018 impun următoarele obligații:
- obligația de a prevedea în mod expres în contractul individual de muncă sau în actul adițional la acesta, că munca se desfășoară pe baza telemuncii;
- obligația de a obține consimțământul angajatului pentru telemuncă;
- obligația de a obține consimțământul teleangajatului cu normă întreagă dacă acesta lucrează ore suplimentare la cererea sa;
- obligația de a include în contractul de muncă al angajatului toate cele 10 clauze prevăzute la art. 5 alin. (2);
- obligația de a furniza mijloacele de informare și tehnologie a comunicațiilor și/sau echipamente de lucru sigure necesare pentru desfășurarea activității;
- obligația de a instala, verifica și întreține echipamentele de lucru necesare;
- obligația de a asigura că teleangajatul primește formare suficientă și adecvată în domeniul securității și sănătății în muncă, în special sub formă de informații și instrucțiuni de lucru specifice locului de desfășurare a telemuncii.
Temeiurile legale pentru prelucrarea datelor cu caracter personal de către CCS Sarl sunt următoarele:
1) Temeiuri pentru prelucrarea datelor cu caracter personal care nu intră în categoria datelor speciale:
Datele cu caracter personal care nu includ categorii speciale de date (așa cum sunt definite la Articolul 9 din GDPR) sunt prelucrate de Corporate Counseling Services Sarl pe următoarele baze legale:
1.1) În baza prevederilor Art. 6, alin. 1, lit. a din GDPR, consimțământul persoanelor vizate: Acest consimțământ este necesar:
a) Înainte de apelul telefonic inițial al Utilizatorului către Operatorul nostru de Call center. Prin acest apel, persoana vizată solicită Operatorului de Call center o programare pentru evaluare/consiliere psihologică/financiară/juridică. Înainte de a începe apelul cu Operatorul nostru de Call center, Utilizatorul va auzi un mesaj care oferă o scurtă informare despre politica noastră de prelucrare a datelor. În cazul acceptării, persoana vizată va apăsa o tastă telefonică indicată în mesaj, ceea ce reprezintă consimțământul său exprimat printr-o acțiune pozitivă și neechivocă pentru prelucrarea datelor cu caracter personal de către operator. Datele colectate de Operatorul nostru de Call center vor fi minimale, cum ar fi nume, prenume, angajator, probleme psihologice/financiare/juridice, exprimate într-un mod simplu. Pe baza acestor date, Utilizatorul va primi o programare.
b) Prin completarea unui formular în clinicile persoanelor împuternicite de noi sau în cabinetele specialiștilor psihologi, după ce o notă de informare va fi adusă la cunoștința Utilizatorului, cu privire la prevederile politicii noastre de prelucrare a datelor și la păstrarea confidențialității acestora, în condiții care asigură securitatea deplină a datelor.
c) By filling in a form in the clinics of the persons empowered by us, or in the offices of psychological specialists, after an information note will be brought to the User’s attention, the provisions of our data processing policy and the preservation of their confidentiality, in conditions ensuring their full security.
d) Apelurile către Call center sunt înregistrate pe baza consimțământului exprimat în prealabil de apelant, scopul prelucrării fiind prevenirea interpretărilor greșite ale informațiilor transmise de orice participant la apel, clarificarea situațiilor expuse în comunicarea telefonică în caz de îndoieli sau confuzii, gestionarea situațiilor în care apelurile conțin indicații de prejudicii care pot fi cauzate securității și integrității persoanei și proprietății.
1.2) În funcție de alte scopuri pentru care prelucrăm datele cu caracter personal, baza acestei prelucrări poate fi îndeplinirea obligațiilor legale ale Companiei – art. 6, alin. 1, lit. c din GDPR (inclusiv în legătură cu arhivarea, sănătatea, securitatea, evidențele, solicitarea unei autorități publice și alte obligații impuse de lege);
1.3) În anumite situații, vom prelucra datele cu caracter personal pe baza unui interes legitim al Corporate Counseling Services Sarl – art. 6, alin. 1, lit. f din GDPR, sau al unei terțe părți (cum ar fi: întocmirea evidențelor serviciilor medicale; păstrarea evidenței programărilor în sistemul nostru electronic; gestionarea cererilor și plângerilor primite de la Utilizatori; furnizarea de asistență de specialitate în caz de urgență; încheierea și executarea contractelor pentru furnizarea serviciilor medicale/psihologice cu clinici partenere pentru a asigura cea mai largă acoperire teritorială și gamă de servicii oferite; supravegherea prin sistemul de camere video pentru a asigura securitatea bunurilor și a persoanelor (vezi politica de supraveghere video CCS)).
Prelucrarea este necesară pentru a permite stabilirea, exercitarea sau apărarea unui drept în instanță, având în vedere că, în cursul relației stabilite cu Compania noastră, nu poate fi exclusă apariția unor astfel de situații în contextul serviciilor furnizate (în măsura în care aceste dispute sunt sesizate instanțelor).
1.4) Având în vedere anumite situații în care Utilizatorul poate ajunge (fizic sau juridic) și care pot face dificilă exprimarea consimțământului pentru prelucrare (de exemplu: situații de urgență), datele sale personale vor fi prelucrate pentru a proteja interesele vitale ale Utilizatorului sau ale unei alte persoane vizate – Art. 6, alin. 1, lit. d GDPR.
2) Temeiuri pentru prelucrarea datelor cu caracter special (conform Art. 9 GDPR)
Având în vedere specificitatea activității/serviciilor furnizate de Corporate Counseling Services Sarl, vom prelucra datele cu caracter personal care intră în categoria datelor speciale (așa cum sunt definite la Art. 9 din GDPR) pe următoarele baze legale (temeiuri care se vor aplica suplimentar față de cele detaliate în Art. 6 din GDPR):
a) Prelucrarea în temeiul consimțământului persoanei vizate:
Conform Art. 9 alin. (2) lit. a din GDPR, prelucrarea datelor de sănătate este permisă atunci când „persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specificate, cu excepția cazului în care dreptul Uniunii sau dreptul național prevede că interdicția menționată la alineatul (1) nu poate fi ridicată prin consimțământul persoanei vizate”.
b) Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane vizate în cazul în care persoana vizată este incapabilă fizic sau juridic să își dea consimțământul; Artă. 9(2)(c) GDPR
c) Prelucrarea este necesară din motive de interes public în cadrul procesului de prelucrare în baza consimțământului persoanei vizate
d) Sănătatea publică (cum ar fi: protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea unor standarde înalte de calitate și siguranță a asistenței medicale, conform legislației UE sau naționale); și/sau servicii de sănătate sau de asistență socială; – 9, paragraful 2, lit(i) din GDPR
În esență, Corporate Counseling Services Sarl prelucrează datele dumneavoastră personale care intră în categoria datelor speciale pe baza acelor prevederi care permit prelucrarea datelor de sănătate ale pacienților în contextul furnizării serviciilor de asistență medicală, atât atunci când o astfel de prelucrare este cerută de lege, cât și atunci când furnizarea serviciilor de asistență medicală este convenită contractual. Cu toate acestea, prelucrarea poate și va fi efectuată doar de către sau sub responsabilitatea unui profesionist supus obligației de secret profesional sau de către o altă persoană supusă, de asemenea, unei obligații de confidențialitate conform legislației Uniunii sau naționale sau normelor stabilite de organismele naționale competente.
În principiu, datele cu caracter personal vor fi prelucrate doar de Corporate Counseling Services Sarl.
Având în vedere atât complexitatea serviciilor puse la dispoziția persoanei vizate de Compania noastră, cât și necesitatea ca Corporate Counseling Services Sarl să apeleze la anumiți parteneri externi care oferă suport în desfășurarea activității noastre, dorim să menționăm că datele cu caracter personal pot fi transmise altor persoane fizice sau juridice, pentru a fi prelucrate în scopurile detaliate în această Politică.
Ținând cont de contextul relațiilor stabilite de Corporate Counselling Services Sarl cu partenerii săi, precum și de posibilitatea modificării acestor relații, nu este fezabil să identificăm toți acești parteneri pe nume, dar aceștia vor fi menționați generic, conform relației stabilite/potențiale cu Corporate Counselling Services Sarl.
În acest sens, datele cu caracter personal pot fi transmise către:
- Procesatori – psihologi colaboratori și furnizori acreditați de servicii psihologice.
- Serviciile psihologice pot fi oferite și prin intermediul furnizorilor de servicii specializate acreditați – psihologi colaboratori și clinici partenere ale Corporate Counseling Services Sarl – din țară sau din străinătate.
În acest sens, menționăm că datele/informațiile privind starea de sănătate a persoanelor vizate, indiferent de conținutul sau volumul lor, pot fi comunicate furnizorilor acreditați de servicii medicale din țară sau din alte țări (fie în Uniunea Europeană, fie în afara Uniunii Europene), în conformitate cu prevederile legale aplicabile.
Corporate Counseling Services Sarl depune toate eforturile pentru a asigura că psihologii colaboratori și alți furnizori acreditați respectă prevederile legislației privind protecția datelor cu caracter personal. Înainte de furnizarea serviciului oferit, acolo unde este cerut de lege, persoanele vizate vor primi formularul de consimțământ care le informează despre datele și informațiile partenerului Companiei și despre contextul prelucrării datelor personale ale utilizatorilor de către acesta.
- Instituții și/sau autorități judiciare, de investigare, supraveghere și control
În măsura în care, în conformitate cu prevederile legale în vigoare, datele/informațiile personale sunt solicitate de la Compania noastră de către diverse organisme și/sau instituții (de exemplu: organele de cercetare penală, poliție, autorități financiare, fiscale, de securitate socială, instanțe și orice alte instituții și/sau autorități de supraveghere și control), Corporate Counselling Services Sarl este obligată să furnizeze datele/informațiile solicitate fără consimțământul prealabil al persoanei vizate, inclusiv în cazul în care persoana vizată se opune sau nu își exprimă punctul de vedere. De asemenea, poate fi necesar ca, în anumite situații, aceste date/informații să fie puse la dispoziție fără o solicitare prealabilă din partea acestor instituții, organisme și/sau autorități, caz în care Corporate Counselling Services Sarl va furniza datele/informațiile necesare conform cerințelor legale.
- Alte persoane fizice/juridice care au acces la datele dumneavoastră.
Alte persoane fizice/juridice pot avea acces la datele personale ale persoanelor vizate, cum ar fi: furnizori de servicii de suport IT sau servicii tehnice și organizatorice în legătură cu activități legate de întreținerea echipamentelor medicale, servicii de plată, servicii de arhivare, consilieri juridici, auditori, consultanți financiar-contabili sau alți consilieri ai Companiei în legătură cu operațiuni de afaceri extraordinare (de exemplu: în cazul fuziunilor, achizițiilor și altele similare), cu care Compania va încheia acorduri de confidențialitate, după caz (în măsura în care anumite cerințe/garanții legale și/sau statutare de confidențialitate nu le sunt aplicabile). Datele cu caracter personal pot fi transmise și altor persoane fizice sau juridice din România sau din străinătate în contextul necesar pentru stabilirea, exercitarea și/sau apărarea unui drept al Corporate Counseling Services Sarl.
Compania va exercita diligența necesară în selectarea furnizorilor și/sau partenerilor săi de servicii și va solicita ca acești furnizori/parteneri să mențină măsuri adecvate de securitate tehnică și organizatorică pentru a proteja datele personale la care au acces și să le prelucreze în conformitate cu prevederile legale aplicabile.
În cazul în care operațiunile de prelucrare a datelor cu caracter personal vor fi efectuate de Corporate Counseling Services Sarl, prin intermediul procesatorilor săi, Compania noastră va asigura respectarea cerințelor specifice impuse de prevederile Articolului 28 din GDPR, asigurând, printre altele, că:
- operațiunile de prelucrare a datelor cu caracter personal în cauză sunt efectuate pe baza unui contract/acord care reglementează aspectele specifice ale relației operator-procesator, în conformitate cu GDPR și
- procesatorul va prelucra datele cu caracter personal pe baza instrucțiunilor primite de la Corporate Counseling Services Sarl.
În anumite situații specifice, datele cu caracter personal ale persoanelor vizate pot fi transferate către entități situate în alte state din Uniunea Europeană și/sau din Spațiul Economic European.
Există, de asemenea, situații în care datele cu caracter personal pot fi transferate către entități din afara Uniunii Europene și/sau a Spațiului Economic European (de exemplu, Canada, Australia, Noua Zeelandă). În astfel de cazuri, ne vom asigura că sunt implementate garanții adecvate pentru a permite transferul să fie efectuat în conformitate cu cerințele legislației privind protecția datelor (garanțiile pot include: aplicarea clauzelor contractuale standard de protecție a datelor sau existența unei decizii a Comisiei Europene în acest sens).
În fiecare caz, pentru a efectua transferul propriu-zis, persoanele vizate vor completa Formularul de Consimțământ pentru a-și exprima consimțământul explicit în legătură cu situația necesară serviciului, starea de sănătate etc.
Păstrăm datele personale ale persoanelor vizate exacte și actualizate. De asemenea, ne străduim să păstrăm datele personale doar atât timp cât este necesar pentru a îndeplini scopurile enumerate în această Politică sau conform cerințelor legale aplicabile.
În acest sens, vom stoca datele personale ale Utilizatorilor pentru întreaga perioadă a relației stabilite cu Angajatorii, precum și pentru o anumită perioadă de timp ulterior, în conformitate cu prevederile legale aplicabile. Astfel, datele cu caracter personal vor fi păstrate pentru o perioadă stabilită mai jos:
Date de natură specială, colectate de procesatori, specialiști, psihologi, clinici de psihologie, furnizori de servicii psihologice, vor fi păstrate pentru o perioadă de 2 ani după încheierea terapiei, pentru a analiza nevoile terapeutice și evoluția stării Utilizatorului, în cazul unei reveniri ulterioare la specialist. Doar persoanele vizate și psihologul vor avea acces la acestea. Ulterior, acestea vor fi șterse, distruse sau anonimizate, conform prevederilor Politicii de Stocare a Datelor CCS Sarl. Pe durata stocării de către persoana autorizată, aceasta se va face în condiții de maximă securitate, conform legislației relevante și prevederilor anexei la acordul de prelucrare a datelor încheiat cu Operatorul de Date CCS.
În măsura în care anumite date personale sunt incluse în sau sunt legate de anumite documente contabile ale Companiei, pentru care trebuie respectată o perioadă specifică de retenție (de exemplu, 5 sau 10 ani), astfel de date personale vor fi păstrate pentru acele perioade aplicabile.
În ceea ce privește imaginile obținute prin mijloace de supraveghere video, acestea vor fi păstrate pentru maximum 30 de zile calendaristice de la data înregistrării, cu excepția cazului în care o perioadă mai lungă este permisă sau impusă de legislația aplicabilă.
Date minime (prenume, nume, angajator, numărul de ședințe de terapie finalizate) vor fi comunicate de procesatorul de date către Corporate Counseling Services Sarl. Operatorul de date le va folosi pentru raportarea serviciilor furnizate persoanelor vizate, angajatorului acestora, cu care CCS are un contract de servicii. Aceste date nu vor fi utilizate în alte scopuri. Perioada lor de retenție este determinată conform perioadei de raportare a serviciilor menționate în contract și nu poate depăși un an.
Formularele de consimțământ vor fi arhivate și păstrate pentru o perioadă de 3 (trei) ani.
Datele cu caracter personal sunt prelucrate de CCS Sarl într-un mod care asigură securitatea corespunzătoare. Responsabilul cu Protecția Datelor efectuează în mod regulat o evaluare a riscurilor, luând în considerare toate circumstanțele operațiunilor de prelucrare efectuate de operator. În determinarea securității prelucrării, Responsabilul cu Protecția Datelor ia în considerare amploarea posibilelor daune sau pierderi care ar putea fi cauzate persoanelor vizate în cazul unei breșe de securitate. Atunci când evaluează măsurile tehnice adecvate, Responsabilul cu Protecția Datelor ia în considerare existența următoarelor măsuri de securitate:
- Protecția prin parolă;
- Blocarea automată a terminalelor (computer/laptop etc.) atunci când nu sunt utilizate;
- Eliminarea drepturilor de acces pentru USB și alte medii de stocare;
- Disponibilitatea programelor de verificare a virusurilor și a firewall-urilor;
- Reglementarea drepturilor de acces în funcție de roluri, inclusiv pentru personalul temporar;
- Criptarea dispozitivelor care părăsesc incinta Societății, cum ar fi laptopurile;
- Securitatea rețelei locale;
- Existența tehnologiilor de îmbunătățire a confidențialității, cum ar fi anonimizarea;
În evaluarea măsurilor organizatorice adecvate, Responsabilul cu Protecția Datelor a luat în considerare și următoarele:
- Niveluri adecvate de instruire în cadrul unității;
- Toți angajații/personalul sunt responsabili pentru asigurarea faptului că toate datele personale deținute de Operator și pentru care Operatorul este responsabil sunt păstrate în siguranță și nu sunt divulgate în niciun fel unei terțe părți, cu excepția cazului în care acea terță parte a fost autorizată în mod specific să primească acea informație și a semnat un acord de confidențialitate;
- Măsurile de protecție a datelor sunt incluse în contractele de muncă;
- Sunt prevăzute acțiuni disciplinare pentru breșe de date;
- Personalul este monitorizat pentru conformitatea cu standardele de securitate relevante;
- Controlul accesului fizic la înregistrările electronice și pe hârtie este efectuat;
- Datele pe suport de hârtie sunt păstrate în dulapuri securizate;
- Utilizarea dispozitivelor electronice portabile în afara locului de muncă este restricționată;
- Utilizarea dispozitivelor personale ale angajaților la locul de muncă este restricționată;
- Au fost adoptate reguli clare privind parolele și utilizarea acestora;
- Se fac copii de rezervă regulate ale datelor cu caracter personal;
- Obligațiile contractuale sunt impuse organizațiilor importatoare pentru a lua măsuri de securitate adecvate atunci când transferă date în afara SEE;
- Toate datele cu caracter personal sunt accesibile doar celor care au nevoie să le utilizeze și accesul este acordat doar în conformitate cu Politica de Control al Accesului;
- Ecranele PC-urilor și terminalele sunt vizibile doar pentru angajații/personalul autorizat al Operatorului;
- Datele cu caracter personal sunt șterse sau eliminate doar în conformitate cu procedura de retenție a înregistrărilor. Înregistrările în format fizic care au expirat sunt distruse și eliminate ca „deșeuri confidențiale”;
- Personalul care prelucrează datele în afara sediului trebuie să fie autorizat în mod specific.
Procesatorii își asumă responsabilitatea pentru asigurarea securității doar pentru acele informații, date cu caracter personal și date sensibile (date despre sănătatea fizică și mentală; date genetice; dacă este cazul, date biometrice) care le sunt furnizate și sunt prelucrate exclusiv de personalul lor (inclusiv psihologi) și prin acumularea următoarelor coordonate:
- în clinica procesatorilor noștri;
- sistemele/instrumentele/dispozitivele, hardware și software-ul, înregistrările și formularele CCS Sarl; și
- în cadrul CCS Sarl.
În conformitate cu prevederile aplicabile în materie de date cu caracter personal, persoanele vizate au următoarele drepturi principale:
(1) Dreptul de acces la datele cu caracter personal prelucrate: Acest drept permite persoanelor vizate să obțină de la Companie o confirmare dacă datele cu caracter personal care le privesc sunt sau nu prelucrate și, dacă da, acces la date și la condițiile în care acestea sunt prelucrate (inclusiv scopul prelucrării, categoriile de date prelucrate, destinatarii datelor).
(2) Dreptul de a solicita rectificarea datelor cu caracter personal: Utilizatorii/persoanele vizate au dreptul de a ne solicita rectificarea datelor personale inexacte sau actualizarea datelor depășite, precum și completarea datelor incomplete
(3) Dreptul la ștergerea datelor cu caracter personal: Acest drept poate fi exercitat în anumite circumstanțe prevăzute de legislația aplicabilă, inclusiv
- datele personale nu mai sunt necesare în raport cu scopurile prelucrării;
- persoana vizată se opune prelucrării și nu există alte interese legitime prevalente pentru prelucrare;
- datele cu caracter personal au fost prelucrate ilegal.
(4) Dreptul de a solicita restricționarea prelucrării: Acest drept permite persoanei vizate să obțină restricționarea prelucrării în următoarele cazuri:
- persoana vizată contestă exactitatea datelor (restricția va dura atât timp cât este necesar pentru ca Compania să verifice exactitatea datelor personale);
- prelucrarea este ilegală și persoana vizată se opune ștergerii datelor, solicitând în schimb restricționarea utilizării acestora;
- Compania nu mai are nevoie de datele cu caracter personal pentru scopurile menționate mai sus, dar persoana vizată le solicită pentru stabilirea, exercitarea sau apărarea unor pretenții legale;
- persoana vizată s-a opus prelucrării, pe perioada în care Compania verifică dacă drepturile legitime ale acesteia prevalează asupra drepturilor persoanei vizate.
(5) Dreptul persoanei vizate de a se opune prelucrării: Persoana vizată are dreptul de a se opune prelucrării pe motive legate de situația sa particulară atunci când prelucrarea:
- se bazează pe interesele legitime ale Companiei sau ale unei terțe părți, inclusiv în cazul activităților de profilare bazate pe acest temei; sau
- se efectuează, în măsura aplicabilă, în scopul comunicărilor de marketing direct, implicând profilare.
(6) Dreptul de a nu fi supus unei decizii automatizate: Ca utilizator al serviciilor noastre, persoanele vizate nu vor fi supuse unei decizii bazate exclusiv pe prelucrarea automată a datelor lor (inclusiv profilarea) care produce efecte juridice care le privesc sau care le afectează într-o măsură semnificativă.
(7) Dreptul la portabilitatea datelor: Utilizatorii au dreptul de a solicita mutarea, copierea sau transferul datelor lor personale existente în baza de date a Companiei către o altă bază de date, într-un format structurat, utilizat în mod curent și care poate fi citit automat, atunci când prelucrarea se bazează pe consimțământ sau pe un contract și se efectuează prin mijloace automate.
(8) Dreptul de a depune o plângere în fața Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal și de a se adresa instanțelor competente.
Utilizatorii/persoanele vizate pot exercita drepturile menționate la punctele (1) – (7) de mai sus printr-o cerere scrisă, semnată și înregistrată la Corporate Counseling Services Sarl folosind următoarele date de contact (în atenția Responsabilului cu Protecția Datelor): e-mail dpo@ccsint.ro.
În cerere, persoana vizată are posibilitatea de a indica dacă dorește ca informațiile să fie comunicate la o adresă specifică (care poate fi o adresă de e-mail) sau printr-un serviciu de curierat care asigură livrarea personală a informațiilor.
Informațiile solicitate vor fi comunicate în termen de 1 (una) lună de la data primirii cererii, respectând opțiunile dumneavoastră de comunicare, dacă există. Dacă nu este posibilă respectarea termenului menționat, Utilizatorul va fi informat despre motivul amânării răspunsului, precum și despre procedura avută în vedere pentru soluționarea cererii sale și termenul estimat.
În cazul unui incident/breșe de securitate, Operatorul va notifica Autoritatea de Supraveghere competentă fără întârziere nejustificată și, dacă este posibil, în cel mult 72 de ore de la momentul în care a luat cunoștință de acesta, cu excepția cazului în care breșa de securitate a datelor cu caracter personal este puțin probabil să ducă la un risc pentru drepturile și libertățile persoanelor vizate. Dacă notificarea către Autoritatea de Supraveghere nu este efectuată în termen de 72 de ore, aceasta va fi însoțită de motivele întârzierii. Corporate Counseling Services Sarl a elaborat o procedură proprie aplicabilă în cazul breșelor de securitate, care poate fi consultată la cerere.
Dacă vom modifica în mod substanțial practicile noastre de prelucrare a datelor cu caracter personal sau această Politică, vom emite o Politică revizuită și/sau vom lua alte măsuri pentru a vă notifica cu privire la aceste modificări, în conformitate cu legislația aplicabilă.
Dacă persoanele vizate sunt nemulțumite de modul în care prelucrăm datele dumneavoastră, am prefera să ne contactați direct pentru a putea rezolva preocupările dumneavoastră. Cu toate acestea, dacă aveți în continuare plângeri, puteți contacta Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (www.dataprotection.ro):
Adresă: Bulevardul Gheorghe Magheru, București, România
Telefon: +40.318.059.211 / +40.318.059.212
Fax: +40.318.059.602
E-mail: anspdcp@dataprotection.ro
Operatorul va publica această Politică pe site-ul său (www.ccsint.com). În cazul unei cereri specifice din partea unei persoane vizate, Operatorul va trimite această Politică direct persoanei vizate.
Această Politică intră în vigoare la data publicării sale.
Prevederile acestei Politici se vor aplica și datelor care sunt prelucrate la momentul intrării în vigoare a acestei Politici.
De la data intrării în vigoare, această Politică înlocuiește și abrogă politicile anterioare de prelucrare a datelor aflate în vigoare la Operator.