POLITICA DE PROTECȚIE A DATELOR CU CARACTER PERSONAL
Asociatia Narada
POLITICA DE PROTECȚIE A DATELOR CU CARACTER PERSONAL
Asociatia Narada
1. Introducere
1.1 Contextul Regulamentului general privind protecția datelor(“GDPR”) Regulamentul general privind protecția datelor, 679/2016, înlocuiește Directiva UE din 1995 privind protecția datelor și înlocuiește legislația fiecărui stat membru care a fost elaborată în conformitate cu Directiva 95/46 / CE privind protecția datelor. Obiectivul său este de a proteja “drepturile și libertățile” persoanelor fizice și de a se asigura că datele cu caracter personal sunt prelucrate numai după ce scopul prelucrării a fost adus la cunoștința lor și, ori de câte ori este posibil, că sunt prelucrate cu acordul lor explicit.
1.2 Domeniul de aplicare – Generalități
Domeniul material – GDPR se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate ori prin alte mijloace decât cele automatizate, informații care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.
Domeniul de aplicare teritorial – GDPR se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii. Prezentul regulament se aplică prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:
1. a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau
2. b) monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii. Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public.
1.3 Definiții
”GDPR” – Regulamentul general privind protecția datelor, 679/2016
“Sediul principal” – sediul principal al operatorului(locul în care managementul unității/operatorul adoptă principalele decizii cu privire la scopul și mijloacele activităților sale de prelucrare a datelor). Sediul principal al unei persoane împuternicite de operator în UE va fi centrul său administrativ.
“Date cu caracter personal” – înseamnă orice informații privind o persoană fizică identificată sau identificabilă (“persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
“Categorii speciale de date cu caracter personal” – date cu caracter personal care dezvăluie originea rasială sau etnică, opinii politice, convingeri religioase sau filosofice sau apartenența sindicală și prelucrarea datelor genetice, date biometrice în scopul identificării unice a unei persoane fizice, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală a unei persoane fizice.
“Operator” – unitate care are rolul de a stabilii scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern.
”Persoana împuternicită de operator ” – persoana fizică sau juridica, autoritate publică, agenție sau alt organism care prelucrează datele cu caracter personal în numele operatorului.
“Persoana vizată” – orice persoană vie care face obiectul datelor cu caracter personal deținute de operator.
“Prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
“Creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia.
“Încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
“Consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate. ea sau combinarea, restricționarea, ștergerea sau distrugerea.
”Parte terță” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.
“Sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;
2. Politica de confidențialitate
2.1. Conducerea Asociatiei Narada, cu sediul în București, Strada Ioviță, nr. 23 – 27, et. 6, ap. 24, sector 5 se angajează să respecte toate legile relevante ale UE și ale statelor membre cu privire la datele cu caracter personal și protecția “drepturilor și libertăților” persoanelor ale căror informații operatorul le colectează și procesează, în conformitate cu Regulamentul general privind protecția datelor (GDPR).
2.2. Conformitatea cu GDPR este descrisă de această politică.
2.3. GDPR va fi aplicată de toate persoanele din cadrul Asociatiei Narada care prelucrează date cu caracter personal, inclusiv toate persoanele din Asociatia Narada care procesează datele personale ale participantilor la cursuri, angajaților, furnizorilor și partenerilor, precum și orice alte date personale pe care Asociatia Narada le procesează de la orice sursă.
2.4. Această politică se aplică tuturor angajaților/personalului (și părților interesate) din cadrul Asociatiei Narada, cum ar fi furnizorii externalizați. Orice încălcare a GDPR va fi tratată conform politicii disciplinare a Asociatia Narada și poate fi, de asemenea, o contravenție, caz în care problema va fi raportată cât mai curând posibil autorităților competente.
2.5. Se așteaptă ca partenerii și orice terțe părți care lucrează cu sau pentru Asociatia Narada și care au sau ar putea avea acces la date personale să fi citit, înțeles și să respecte această politică. Nicio terță parte nu poate accesa datele cu caracter personal deținute de Asociatia Narada fără să fi încheiat în prealabil un acord de confidențialitate a datelor.
3. Responsabilități și roluri în temeiul Regulamentului General Privind Protecția Datelor:
3.1 Asociatia Narada este un operator de date în context GDPR.
3.2 Managementul Asociatiei și toți angajații cu roluri de conducere sau de supraveghere din cadrul Asociatiei Narada sunt responsabili pentru dezvoltarea și încurajarea practicilor de gestionare a informațiilor în cadrul unității; responsabilitățile sunt stabilite în fișele de post individuale sau in Contractele individuale de munca.
3.3 Conformitatea cu legislația privind protecția datelor este responsabilitatea tuturor angajaților operatorului care procesează datele cu caracter personal.
3.4 Politica de prelucrare a datelor cu caracter personal a Asociatia Narada stabilește cerințe specifice de formare și conștientizare a personalului propriu în legătură cu rolurile specifice în domeniul protecției datelor.
3.5 Angajații / Colaboratorii Asociatiei Narada sunt responsabili pentru a se asigura că datele personale pe care le-au furnizat operatorului sunt corecte și actualizate.
4. Principii legate de prelucrarea datelor cu caracter personal
Prelucrarea datelor cu caracter personal trebuie să se desfășoare în conformitate cu principiile de protecție a datelor, prevăzute la articolul 5 din GDPR. Politica și procedurile Asociatiei Narada sunt concepute astfel încât să asigure respectarea principiilor.
4.1 Datele personale trebuie prelucrate în mod legal, echitabil şi transparent.
Legal – se identifică o bază legală înainte de a se permite prelucrarea datele personale. Aceasta/acestea reprezintă condiția/condițiile de procesare (de exemplu consimțământul scris al persoanei vizate).
Echitabil – pentru ca prelucrarea să fie echitabilă, operatorul de date trebuie să pună la dispoziția persoanelor vizate anumite informații cât mai practic posibil. Aceasta se aplică dacă datele cu caracter personal au fost obținute direct de la persoanele vizate sau din alte surse.
“Transparență” – operatorul va pune accentul pe faptul că notificările privind confidențialitatea sunt înțelese și accesibile. Informațiile trebuie comunicate persoanei vizate într-o formă inteligibilă, folosind un limbaj clar și simplu/accesibil.
Informațiile specifice care trebuie furnizate persoanei vizate trebuie să includă cel puțin:
4.1.1 identitatea și datele de contact ale operatorului și, dacă este cazul, ale reprezentantului operatorului;
4.1.2 datele de contact ale responsabilului cu protecția datelor – daca exista;
4.1.3 scopul prelucrării pentru care sunt destinate datele cu caracter personal, precum și temeiul juridic al prelucrării;
4.1.4 perioada pentru care vor fi stocate datele cu caracter personal;
4.1.5 existența drepturilor de a solicita accesul, rectificarea, ștergerea sau opoziția față de prelucrare și condițiile (sau lipsa) de exercitare a acestor drepturi, cum ar fi afectarea legalității prelucrării anterioare;
4.1.6 categoriile de date cu caracter personal vizate;
4.1.7 destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
4.1.8 dacă este cazul, că operatorul intenționează să transfere date cu caracter personal unui destinatar dintr-o țară terță și nivelul de protecție acordat datelor;
4.1.9 orice informații suplimentare necesare pentru a garanta o prelucrare corectă.
4.2 Datele personale pot fi colectate doar în scopuri specifice, explicite și legitime. Datele obținute în scopurile specificate nu trebuie utilizate într-un scop care diferă de cele care au fost notificate în mod oficial autorității de supraveghere.
4.3 Datele personale trebuie să fie adecvate, relevante și limitate la ceea ce este necesar pentru procesare.
4.3.1 Asociatia Narada se asigură că nu se colectează informații care nu sunt strict necesare pentru scopul pentru care sunt obținute.
4.4 Datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere (“exactitate”).
4.4.1 Datele care sunt stocate de către operator trebuie revizuite și actualizate, după caz.
4.4.2 Asociatia Narada se va asigura că întreg personalul este instruit cu privire la importanța colectării și menținerii datelor exacte.
4.4.3 De asemenea, este responsabilitatea persoanei vizate să se asigure că datele deținute de operator sunt exacte și actualizate. Completarea unui formular de înregistrare sau o cerere de către o persoana vizată va include o declarație conform căreia datele conținute în aceasta sunt corecte la data depunerii.
4.4.4 Angajații/participantii la cursuri/alții ar trebui să fie obligați să notifice operatorul, pentru a permite actualizarea în mod corespunzător a evidențelor personale. Este responsabilitatea operatorului să se asigure că orice notificare privind modificările este înregistrată și operată.
4.4.5 Asociatia Narada este responsabila de asigurarea aplicării procedurilor și politicilor adecvate pentru păstrarea datelor cu caracter personal corecte și actualizate, ținând cont de volumul de date colectate, de viteza cu care s-ar putea modifica și de orice alți factori relevanți.
4.4.6 Asociatia Narada va examina datele păstrate a tuturor persoanelor vizate, prelucrate de Asociatie și va identifica orice date care nu mai sunt necesare în contextul scopului înregistrat. Aceste date vor fi șterse / distruse în siguranță.
4.4.7 Asociatia Narada este responsabila de a răspunde solicitărilor de rectificare de la persoanele vizate în termen de o lună. Aceasta poate fi extinsă la încă două luni pentru solicitări complexe.
4.4.8 Asociatia Narada este responsabila de luarea măsurilor adecvate care, în cazul în care organizațiile terțe părți ar fi primit date cu caracter personal inexacte sau neactualizate, să le informeze că acestea sunt inexacte și/sau expirate și nu trebuie să fie utilizate; Asociatia Narada este responsabila și pentru transmiterea oricărei corecții a datelor cu caracter personal părții terțe în cazul în care acest lucru este necesar.
4.5 Datele cu caracter personal trebuie păstrate într-o formă care să permită identificarea persoanei vizate doar atâta timp cât este necesar pentru prelucrare.
4.5.1 În cazul în care datele cu caracter personal sunt păstrate peste data prelucrării, acestea vor fi minimizate / criptate / pseudonimizate pentru a proteja identitatea persoanei vizate în cazul unei încălcări a datelor.
4.5.2 Datele cu caracter personal vor fi păstrate în conformitate cu necesitatea prelucrarii lor, avand in vedere scopul prelucrarii și în situația în care durata păstrării a fost depășită, aceste date trebuie să fie distruse în siguranță.
4.6 Responsabilitatea în administrarea/guvernanța activității de prelucrare a datelor cu caracter personal.
GDPR include prevederi care promovează responsabilitatea și administrarea/guvernanța activității de prelucrare a datelor cu caracter personal. Acestea completează cerințele de transparență ale GDPR și se demonstrează prin implementarea politicilor de protecție a datelor, punerea în aplicare a măsurilor tehnice și organizatorice, precum și adoptarea unor tehnici precum protecția datelor începând cu momentul conceperii (by design), efectuarea de evaluări de impact privind protecția datelor, procedurile de notificare a încălcărilor și planurile de răspuns la incidente.
5. Drepturile persoanelor vizate
5.1 Persoanele vizate au următoarele drepturi în ceea ce privește prelucrarea datelor și înregistrările acestor date:
5.1.1 Să solicite acces cu privire la informațiile deținute și referitoare la cei cărora le-au fost dezvăluite.
5.1.2 Să se opună prelucrării care ar putea provoca daune sau prejudicii.
5.1.3 Să se opună prelucrării în scopul marketingului direct.
5.1.4 Să fie informați cu privire la procesul decizional individual automatizat, inclusiv crearea de profiluri.
5.1.5 Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.
5.1.6 Să solicite despăgubiri în cazul în care suferă daune prin orice încălcare a GDPR.
5.1.7 Să ia măsuri pentru rectificarea, blocarea, ștergerea, inclusiv dreptul de a fi uitat sau distrugerea datelor inexacte.
5.1.8 Să solicite autorității de supraveghere să evalueze dacă o prevedere a GDPR a fost încălcată.
5.1.9 Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal.
5.1.10 Persoana vizată are dreptul de a se opune creării de profile fără existența unui consimțământ.
5.2 Asociatia Narada asigură persoanele vizate că își pot exercita aceste dreptur
5.2.1 Persoanele vizate pot face cereri de acces la date;
5.2.2 Persoanele vizate au dreptul să depună o plângere către Asociatia Narada în legătură cu prelucrarea datelor lor personale, solicitările din partea persoanelor vizate și modul în care au fost soluționate plângerile se vor face în conformitate cu procedura privind reclamațiile.
6. Consimțământul
6.1 Operatorul înțelege prin consimțământ al persoanei vizate privind prelucrarea datelor cu caracter personal orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă prelucrarea, printr-o declarație sau printr-o acțiune fără echivoc. Persoana vizată își poate retrage consimțământul în orice moment.
6.2 Operatorul înțelege prin acordarea consimțământului, că persoana vizată a fost pe deplin informată cu privire la prelucrarea datelor personale, aceasta se afla într-o stare de spirit adecvată pentru a face acest lucru și a fost obținut fără a se exercita presiuni asupra ei. Consimțământul obținut sub presiune sau pe baza unor informații înșelătoare nu va constitui o bază valabilă pentru procesare.
6.3 Trebuie să existe o comunicare activă între părți pentru a demonstra consimțământul activ. Consimțământul nu poate fi dedus din lipsă de răspuns la o comunicare. Operatorul trebuie să poată demonstra obținerea consimțământului pentru operațiunea de procesare.
6.4 Pentru datele sensibile, trebuie obținut un acord scris explicit a persoanelor vizate, cu excepția cazului în care există o bază legală de procesare alternativă.
6.5 În majoritatea cazurilor, consimțământul de prelucrare a datelor personale și sensibile este obținut în mod obișnuit de operator utilizând declarațiile de consimțământ standard.
6.6 Consimțământul privind înregistrarea sesiunilor live:
În cadrul derulării serviciilor de training la care v-ați înscris pe site-ul www.ctrln.ro vă punem la dispoziție materiale înregistrate în regim de self-learning, pe platforma lms.bittnet.ro
În plus fata de aceste materiale la care aveți acces, organizam întâlniri live-virtual/ meetup de Q&A la care puteți participa periodic.
În vederea îmbunătățirii calității serviciilor noastre de training și învățare dorim să înregistram sesiunile acestea de Q&A și dorim, de asemenea, să le punem la dispoziția dvs. în platforma – atât la dispoziția celor care au asistat live cât și a celor care nu au putut participa sau a noilor cursanți înrolați.
Astfel, în vederea îmbunătățirii sesiunilor de trainiguri și a experienței dvs vom prelucra următoarele CATEGORII de date:
• Nume, prenume
• IP calculator
• Imaginea și vocea dvs captate cu ocazia apariției dvs benevole în discuțiile din platfoma Cisco Webex/ Teams/ Zoom sau a altei platforme conexe unde aceste seminarii vor avea loc.
SCOPUL aceste prelucrări: îmbunătățirea experienței dvs la cursuri.
TEMEIUL aceste prelucrări: consimțământul
UNDE ținem aceste date: pe serverele Google.
Totodată precizam că aceste date personale ale dvs nu vor fi distribuite către terti ci vor fi încărcate exclusiv în platforma că parte a unei biblioteci virtuale/ resursa suplimentara pentru toți cei înscriși.
DURATA prelucrării: pe durata cursurilor, minim 24 de luni.
7. Securitatea datelor
7.1 Toți angajații / personalul sunt responsabili pentru a asigura că toate datele personale pe care operatorul le deține și pentru care este responsabil, sunt păstrate în siguranță și nu sunt divulgate în niciun fel unei terțe părți decât dacă acea terță parte a fost autorizată în mod specific să primească aceste informații și a încheiat un acord de confidențialitate.
7.2 Toate datele personale trebuie să fie accesibile numai celor care au nevoie să le folosească. Toate datele cu caracter personal trebuie procesate și păstrate în siguranță.
7.3 Trebuie avută grijă ca ecranele și terminalele PC să nu fie vizibile decât angajaților/ personalului autorizat al operatorului.
7.4 Înregistrările în format fizic nu pot fi lăsate acolo unde pot fi accesate de personal neautorizat și nu pot fi înlăturate din sediu fără autorizație explicită (scrisă). Imediat ce înregistrările în format fizic nu mai sunt necesare, acestea trebuie să fie distruse în siguranță, în conformitate cu o anumită procedură.
7.5 Datele personale pot fi șterse sau eliminate numai în conformitate cu deciziile interne ale Asociatiei si respectand pe deplin dispozitiile legale GDPR.
7.6 Prelucrarea datelor cu caracter personal “în afara sediului” prezintă un risc potențial mai mare decât pierderea, furtul sau deteriorarea datelor cu caracter personal. Personalul trebuie să fie autorizat în mod specific să proceseze datele în afara sediului.
8. Divulgarea datelor
8.1 Operatorul trebuie să se asigure că datele cu caracter personal nu sunt divulgate terților neautorizați, care includ membri ai familiei, prieteni, organisme guvernamentale și, în anumite circumstanțe, Poliția. Toți angajații/ personalul trebuie să fie atenți atunci când sunt rugați să dezvăluie datele personale deținute de o altă persoană unei terțe părți și vor fi obligați să participe la o formare specifică care să le permită să gestioneze eficient astfel de riscuri. Este important să se țină seama de faptul conform căruia divulgarea informațiilor este sau nu relevantă pentru desfășurarea activității operatorului.
8.2 GDPR permite anumite dezvăluiri fără consimțământ atâta timp cât informațiile sunt solicitate pentru unul sau mai multe din următoarele scopuri:
8.2.1 – protejarea securității naționale;
8.2.2 – prevenirea sau depistarea infracțiunilor, inclusiv reținerea sau urmărirea penală a infractorilor;
8.2.3 – îndeplinirea funcțiilor de reglementare (include sănătatea, siguranța și bunăstarea persoanelor la locul de muncă);
8.2.4 – pentru a preveni vătămarea gravă a unui terț;
8.2.5 – pentru a proteja interesele vitale ale individului, aceasta se referă la situațiile ”de viață și de moarte”.
8.3 Toate solicitările de furnizare a datelor pentru unul dintre aceste motive trebuie să fie susținute de o documentație adecvată, iar toate aceste dezvăluiri trebuie să fie autorizate în mod specific de către Asociatia Narada.
9. Păstrarea și eliminarea datelor
9.1 Operatorul nu va păstra datele cu caracter personal într-o formă care să permită identificarea persoanelor vizate pentru o perioadă mai lungă decât este necesar, în raport cu scopul (scopurile) pentru care datele au fost colectate inițial.
9.2 Operatorul poate stoca date pentru perioade mai lungi în cazul în care datele cu caracter personal vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri științifice sau istorice de cercetare sau în scopuri statistice, sub rezerva punerii în aplicare a măsurilor tehnice și organizatorice adecvate pentru protejarea drepturilor și libertăților persoanei vizate.
9.3 Perioada de păstrare pentru fiecare categorie de date cu caracter personal va fi stabilită printr-o decizie a Asociatiei Narada împreună cu criteriile utilizate pentru stabilirea acestei perioade, inclusiv obligațiile legale ale operatorului care trebuie să păstreze datele.
9.4 Procedurile de păstrare a datelor și procedurile de ștergere a datelor se vor aplica în toate cazurile și pentru toate tipurile de persoane vizate.
9.5 Datele cu caracter personal trebuie să fie eliminate în siguranță, în conformitate cu al șaselea principiu al GDPR – prelucrate într-un mod adecvat pentru a menține securitatea, protejând astfel “drepturile și libertățile” persoanelor vizate.
10. Transferuri de date
10.1 Toate transferurile de date din Spațiul Economic European (SEE) către țările din Spațiul Economic Noneuropean (menționate în GDPR ca “țări terțe”) sunt ilegale, cu excepția cazului în care există un “nivel adecvat de protecție a drepturilor fundamentale ale persoanele vizate“. Transferul de date cu caracter personal în afara SEE este interzis, cu excepția cazului în care se aplică una sau mai multe garanții sau excepții specificate:
10.1.1 Decizie de adecvare
Transferul de date cu caracter personal către o țară terță sau o organizație internațională se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori unul sau mai multe sectoare specificate din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită autorizări speciale. Țările care sunt membre ale Spațiului Economic European (SEE), dar nu și ale UE sunt acceptate ca îndeplinind condițiile unei decizii de adecvare.
O listă a țărilor care îndeplinesc în prezent cerințele de adecvare ale Comisiei este publicată în Jurnalul Oficial al Uniunii Europene: http://ec.europa.eu/justice/dataprotection/international-transfers/adequacy/index_en.htm
10.1.2 Privacy Shield
Dacă Asociatia Narada dorește să transfere date personale din UE unei organizații din Statele Unite, ar trebui să verifice dacă organizația este înscrisă în cadrul Privacy Shield la Departamentul de Comerț din S.U.A. Obligația aplicabilă societăților înscrise in Privacy Shield este inclusă în Principiile privind confidențialitatea datelor. Departamentul de Comerț din S.U.A este responsabil pentru gestionarea și administrarea Privacy Shield și pentru asigurarea faptului că organizațiile își respectă angajamentele. Pentru a se putea certifica, companiile trebuie să aibă o politică de confidențialitate în conformitate cu
principiile de confidențialitate, de ex. utilizare, stocare și transfer de date personale în conformitate cu un set puternic de reguli și garanții de protecție a datelor. Protecția datelor cu caracter personal se aplică indiferent dacă datele cu caracter personal au legătură cu un rezident al UE sau nu. Organizațiile trebuie să-și reînnoiască “statutul de membru” in cadrul Privacy Shield în fiecare an. Dacă nu, ele nu mai pot primi și utiliza datele cu caracter personal din UE.
Evaluarea adecvării de către operatorul de date
La evaluarea adecvării, operatorul care transfera date din UK ar trebui să țină seama de următorii
factori:
• natura informațiilor transferate;
• țara sau teritoriul de origine și destinația finală a informațiilor;
• modul în care informațiile vor fi utilizate și pentru cât timp;
• legile și practicile țării cesionarului, inclusiv practicile în materie de protecţie a datelor cu
• caracter personal relevante și obligațiile internaționale; și
• măsurile de securitate care trebuie luate în ceea ce privește datele din locația externa (valabil doar pentru UK)
10.1.3 Reguli corporatiste obligatorii
Asociatia Narada poate adopta reguli corporatiste obligatorii aprobate pentru transferul de date în afara UE. Acest lucru necesită prezentarea către autoritatea de supraveghere competentă spre aprobare a regulilor pe care încearcă să se bazeze Asociatia Narada.
10.1.4 Clauze de contract standard
Asociatia Narada poate adopta clauze contractuale standard aprobate pentru transferul de date în afara SEE. Dacă Asociatia Narada adoptă clauzele contract standard aprobat de autoritatea de supraveghere competentă, atunci există o recunoaștere automată a gradului de adecvare.
10.1.5 Excepţii
În lipsa unei decizii de adecvare, transferul datelor cu caracter personal într-o țară terță sau într-o organizație internațională are loc numai în următoarele condiții:
• persoana vizată și-a dat acordul în mod explicit cu privire la transferul propus, după ce a fost informat cu privire la riscurile posibile ale unor astfel de transferuri pentru persoana vizată, din cauza lipsei unei decizii de adecvare și a garanțiilor adecvate;
• transferul este necesar pentru executarea unui contract între persoana vizată și operator sau implementarea măsurilor precontractuale luate la cererea persoanei vizate;
• transferul este necesar pentru încheierea sau executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică;
• transferul este necesar din motive importante de interes public;
• transferul este necesar pentru stabilirea, exercitarea sau apărarea revendicărilor legale;
• transferul este necesar pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane, în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul.
11. Aprobarea procedurii
Această politică a fost aprobată de către conducerea Asociatiei Narada, la data 22.03.2023