INFORMARE
privind politica de
PROTECȚIA DATELOR CU CARACTER PERSONAL
ca beneficiar / potențial beneficiar al serviciilor Asociația CLUJ IT/Universitatea Tehnică din Cluj-Napoca/Universitatea din Oradea/Camera de Comerț și Industrie Bistrița-Năsăud (după caz), acordate gratuit către instituții publice selectate, active în Regiunea de Dezvoltare Nord-Vest, în cadrul proiectului DIH4Society, Centrul de inovare digitală pentru o societate mai inteligentă, mai sigură și mai durabilă.
- Preambul și declarații generale
1.1 Subscrisa Asociația CLUJ IT, persoană juridică română fără scop lucrativ, înființată la data de 26 octombrie 2012, cu sediul în Cluj-Napoca, strada Memorandumului nr. 28, telefon 0755-122057 e-mail: contact@clujit.ro, înregistrată în Registrul Asociațiilor și Fundațiilor la Judecătoria Cluj Napoca la poziția nr. 174/2012, cod de înregistrare fiscală nr. 30866506, reprezentată de director executiv Kelemen Andrei, numită în continuare „CLUJ IT”,
1.2 În calitate de operator de date cu caracter personal, independent sau asociat cu alți operatori, inclusiv și în principal instituția publică căreia în prestăm servicii în cadrul proiectului DIH4Society, Centrul de inovare digitală pentru o societate mai inteligentă, mai sigură și mai durabilă,
1.3 Având în vedere natura unora dintre activitățile asociației noastre care impun cunoașterea și prelucrarea unor date cu caracter personal ale unor persoane din cadrul sau afiliate în diverse moduri cu instituția menționată la art.1.2, și anume, demnitari, salariați, funcționari publici, voluntari, practicanți, beneficiari, colaboratori etc. ,
1.4 Având în vedere prevederile legislației privind protecția datelor cu caracter personal, în special Regulamentul General privind Protecția Datelor (Regulamentul UE 679 / 2016, cunoscut ca GDPR – acronimul de la General Data Protection Regulation) și normele emise în aplicarea acestuia de către entitățile abilitate,
1.5 Confirmăm că avem ca asociație, și au și personal toate persoanele implicate din partea noastră și care au acces sau sarcini legate de organizare pe linie de beneficiari / participanți, indiferent că sunt membri ai asociației în cauză, a Consiliului Director al acesteia, voluntari, salariați, precum și orice altă persoană cu care colaborăm, o deosebită grijă pentru protecția datelor cu caracter personal legate de persoanele fizice.
1.6 Subliniem că avem aceste obligații în lumina GDPR, în mod automat, prin efectul legii, pe durată nelimitată, astfel încât nu este necesară asumarea unor obligații contractuale exprese față de Dvs. sau alte persoane pe această temă, deși asemenea obligații sunt prevăzute ca și clauze și în contractele încheiate de noi cu alte entități cum ar fi beneficiarii, finanțatorii, diverși sponsori, furnizori sau alți parteneri contractuali.
1.7 Declarăm că, în acest sens, respectăm toate dispozițiile legale privitoare la protecția datelor cu caracter personal în calitate de operatori sau operatori asociați de date cu caracter personal și punem în aplicare măsuri adecvate tehnice (ca de exemplu de securitate informatică, de securitate fizică a sediului asociației noastre și a comunicațiilor), juridice (clauze specifice în contractele cu furnizorii și alte entități) și organizatorice (instruire și verificare persoane, limitarea drepturilor de acces la ceea ce este obiectiv necesar, reglementarea modului de lucru cu date cu caracter personal etc.) menite să asigure protecția tuturor operațiunilor privitoare în mod direct sau indirect la datele cu caracter personal, pentru a preveni prelucrările neautorizate sau ilegale, precum și pierderile sau distrugerile accidentale sau ilegale de date, indiferent de forma și mediul lor de stocare.
1.8 Confirmăm că prelucrarea de date cu caracter personal o facem cu respectarea principiilor prevăzute de art. 5 din GDPR, și anume: prelucrare caracterizată prin legalitate, echitate și transparență; cu colectare numai în scopuri determinate, explicite și legitime, și doar a datelor adecvate, relevante și limitate la ceea ce este necesar, exacte și actualizate; asignabile prompt persoanei vizate; prelucrare cu măsuri de ordin tehnic și organizatoric adecvate în vederea garantării drepturilor și libertăților persoanei vizate, asigurând integritate și confidențialitate și totul pe bază de responsabilitate.
- Categorii de persoane vizate
Prelucrăm în contextul proiectului DIH4Society, Centrul de inovare digitală pentru o societate mai inteligentă, mai sigură și mai durabilă, printre altele, date cu caracter personal ale persoanelor fizice care:
– sunt salariați, voluntari sau membri ai organelor de administrare sau control ale asociației noastre sau a unor parteneri sau prestatori / subcontractori ai noștri din cadrul proiectului DIH4Society;
– sunt salariați, funcționari publici, voluntari, demnitari, practicanți sau persoane afiliate în alt mod instituției publice beneficiare a serviciilor pe care le prestăm în cadrul proiectului DIH4Society.
Categorii de date prelucrate
- Date de identificare, incluzând numele de familie și prenumele, cetățenia, domiciliul, codul numeric personal (implicit și data nașterii și, deci și vârsta) precum și date de contact (adresă de email, telefon);
- Imaginea foto și video precum și vocea în timpul desfășurării activităților din cadrul proiectului la care participă;
- Datele din actul de identitate și aspectul și caracterele semnăturii olografe ale persoanei ;
- Locul și momentul / intervalul orar în care persoana vizată s-a aflat în locul unde a interacționat cu persoana care reprezintă CLUJIT în activități din proiectul DIH4Society pentru că este constatată personal de personal al CLUJ IT și eventual fixată întâmplător și în materialele foto și video realizate;
- Atribuții, roluri, cunoștințe profesionale de care persoana care reprezintă CLUJIT ia la cunoștință în activități din proiectul DIH4Society dacă interacționează cu persoana vizată;
- Deși nu solicită și nu dorește, operatorul poate ajunge și în posesia unor alte informații cum sunt originea etnică, date privind sănătatea beneficiarului la un anumit moment, date privind alte persoane cu care aceasta locuiește sau incidente din timpul activităților observate de reprezentanții CLUJ IT, confesiunea religioasă sau convingeri filosofice sau politice ale beneficiarilor sau apropiaților acestora dacă poartă discuții informale / neprofesionale în timpul interacțiunilor;
4 Scopurile prelucrării
Scopul este buna organizare și desfășurare a proiectului DIH4Society, ce include implicit elementele din descrierea proiectului, ce poate fi citită la https://dih4society.ro; precum și aspecte indirecte sau implicite, precum:
– ținerea evidențelor interne și punerea la dispoziție / comunicarea de documente și raportări statistice (anonimizate) către autorități, parteneri și finanțatori;
– mediatizarea activităților din cadrul proiectului DIH4Society prin comunicare publică (în social media și pe site-ul finanțatorilor) de imagini foto și video anonimizate care ilustrează desfășurarea activităților și implicit prezintă public imagini în care unele persoane ce activează în cadrul beneficiarului pot fi recunoscuți de persoanele care îi cunosc – organizatorii nu pun ”tag” nici legende sau alte indicații privind identitatea persoanelor care apar în imagini, nici nu publică lista nominală a persoanelor care activau în cadrul / din partea instituției beneficiare;
– recuperarea eventualelor prejudicii create de persoanele vizate în activitățile din cadrul proiectului;
– îndeplinirea obligațiilor legale de ținere a diverselor evidențe privind beneficiarii asociației organizatoare.
- Durata prelucrării
5.1 Datele cu caracter personal vor fi prelucrate numai pe perioada pentru care se justifică tipul de prelucrări în cauză, conform prevederilor GDPR, durată care este specifică fiecărei categorii de date cu caracter personal și depinde de scopul și temeiul prelucrării.
5.2 Durata concretă este stabilită conform cerințelor legale și regulamentare privind ținerea evidențelor specifice. Această durată include durata activităților specifice de consutană sau conexe din proiectul DiH4Society propriu-zis dar și cea ce o precede, începând de la înscrierea beneficiarului și continuând după finalizarea activităților cel puțin cu durata termenului de prescripție – de regulă trei ani – pentru eventuala formulare de pretenții derivând din acte sau fapte juridice civile sau norme legale sau pretinsa comitere / suferire de fapte calificabile de lege ca fiind contravenții sau infracțiuni, pe care le-ar putea sesiza / ridica una dintre părți, terții implicați sau autorități publice de resort.
- Soarta datelor la încetarea prelucrării
6.1 Revizuim periodic datele colectate, analizând în ce măsură păstrarea lor este în continuare necesară scopurilor anterior menționate și intereselor Dvs. încetând prelucrarea pentru datele pentru care nu se mai impune păstrarea.
6.2 La finalul duratei de prelucrare, informația respectiv documentul în cauză ce incorporează datele cu caracter personal se distruge sau anonimizează, după caz.
- Temeiul prelucrării
7.1 Temeiul prelucrărilor de date cu caracter personal ale Dvs. pe care le efectuăm este de regulă cel al încheierii și executării contractului (art. 6 lit. b) GDPR) – participarea la proiectul DiH4Society ca persoană din cadrul sau afiliată în orice mod cu beneficiarul căruia în prestăm serviciile în acest proiect fiind juridic calificabilă ca un contract, chiar dacă nu implică obligații financiare pentru beneficiar și cu atât mai puțin pentru personalul său.
7.2 În mod excepțional poate fi și temeiul îndeplinirii unei obligații legale (art. 6 alin. 1 lit. c) GDPR) respectiv temeiul intereselor legitime (art. 6 alin. 1 lit. f) GDPR) ale organizatorilor.
7.3 Doar în mod excepțional efectuăm prelucrări de date cu caracter personal în temeiul consimțământului (art. 6 alin. 1 lit. a) GDPR) – fotografiile sau imaginile în care persoana vizată este în prim-plan sau subiect important în imagine, sau înregistrare audio a acesteia sau transcrieri sau preluări de text conceput sau exprimat de aceasta, sens în care se va cere consimțământul expres al acesteia.
- Destinatari
8.1 Datele personale deținute de noi le dezvăluim direct sau indirect altor persoane decât cele vizate, dar exclusiv în interesul persoanelor vizate, în interesul legitim al asociației, al instituției în care activează / cu care este afiliată în orice mod persoana vizată sau în cazurile expres prevăzute de lege, cum sunt cele de raportări cerute de finanțatorii publici și anumite autorități sau prestatorii care ajung implicit în posesia lor dar au obligații de confidențialitate.
8.2 Astfel, date cu caracter personal ale beneficiarilor ajung la personalul CLUJ IT și colaboratori sau persoane din organele de administrare și control ale CLUJ IT sau ale partenerilor care activează în proiectul DIH4Society. Mai ajung implicit la cunoștința furnizorilor de servicii informatice și de comunicații (ITC) ai organizatorilor, cum sunt furnizorii de servicii de administrare rețea și service IT, cei de conexiune Internet și de servicii de telefonie fixă și mobilă și operatorii de platforme informatice utilizate de organizatori online sau offline.
8.3 Asemenea servicii și platforme digitale pot fi LinkedIn, Facebook, Instagram, Whatsapp, WordPress, MailChimp, Zoom, Skype, Google Workspace, Microsoft Office, Vodafone – cu titularii lor – companiile Meta Platforms Inc, Alphabet Inc / Google Inc, Microsoft Corporation și alte asemenea, inclusiv subsidiarele lor prin care dețin diversele servicii online anterior menționate.
8.4 Cu acești furnizori menționați la art. 8.2 și 8.3, organizatorii au fie clauze contractuale adecvate de confidențialitate, negociate, fie prelucrările de date cu caracter personal se fac de către respectivii mari furnizori în conformitate cu politica lor internă publicată pe site-urile proprii ale acestora care au rol de contract de adeziune ce respectă cerințele GDPR pentru că fie mențin datele persoanelor care sunt rezidente în Uniunea Europeană numai pe servere din UE sau din țări pentru care Comisia Europeană a emis decizii de recunoaștere a asigurării unui nivel echivalent de protecție, fie acele companii, majoritatea cu sediul central în afara UE, și-au asigurat, formal cel puțin, complianța cu cerințele GDPR, prin aderarea la ”clauze contractuale standard” sau ”reguli corporatiste obligatorii” sau instrumente bilaterale speciale (cum este cel între UE și SUA) aprobate de către Comisia Europeană, respectiv de către Comitetul European pentru Protecția Datelor (EDPB).
8.5 Precizăm că datele cu caracter personal probabil colectate de aceste platforme nu sunt însă accesibile pentru organizatori sau entităților autorizate de aceștia ca date cu caracter personal, ci doar eventual în format agregat și anonimizat, organizatorii neutilizând softuri intruzive de analiză a conectărilor la site-urile utilizate în proiectul DiH4Society cum ar fi colectare adresă IP sau alte date despre comportamentul online general al celui care se conectează.
8.6 Menționăm că difuzăm finanțatorilor proiectului și publicului prin social media date anonimizate ale unor persoane vizate sau date aproximative care să nu permită identificarea exactă.
- Drepturile persoanelor vizate
9.1 Reamintim persoanelor vizate de o prelucrare de către noi, inclusiv simpla stocare, a datelor lor cu caracter personal, că, prin efectul legii, beneficiază de o serie de drepturi, ce includ dreptul de informare (de a ști dacă procesăm date ale lor) și dreptul de acces (la acele date și la informații precum categoriile de date, sursa de proveniență, scopul, temeiul, destinatarii / categoriile de destinatari, perioada de prelucrare, drepturile efective avute legat de cele date / prelucrări), dreptul la opoziție (față de prelucrarea având ca temei interesul public sau interesul legitim al operatorului), dreptul de rectificare (corectare și completare a celor eronate / inexacte sau incomplete), iar în anumite condiții și de dreptul de portare, dreptul de limitare temporară a prelucrării și chiar la dreptul de ștergere a datelor (drept limitat raportat la interesul legitim al asociației).
9.2 Exercitarea acestor drepturi se face conform procedurilor interne GDPR ale organizatorului, parte din / asimilate Regulamentului lor Intern.
9.3 Orice solicitări legate de GDPR și de drepturile conferite de acesta persoanelor vizate vor fi adresate la adresa de e-mail: gdpr@clujit.ro, plasând la începutul câmpului ”subiect” al e-mail-ului acronimul „GDPR”.
- Precizări speciale
10.1 Nu supunem datele cu caracter personal prelucrărilor automatizate și nici nu le utilizăm pentru realizarea de profile, cu atât mai puțin pentru luarea automată de decizii vizând o persoană fizică. Nu prelucrăm date personale în scopuri secundare incompatibile cu scopurile pentru care le-am colectat și nici nu le cedăm unor terți nici pentru marketing direct nici în alt asemenea scop.
10.2 Utilizăm proceduri, echipamente, software și alte mijloace tehnice și organizatorice pentru stocarea datelor în condiții adecvate de securitate și respectăm în mod strict confidențialitatea, nedezvăluind date personale decât pentru realizarea intereselor Dvs. sau îndeplinirea obligațiilor legale specifice.
10.3 Rezolvarea nesatisfăcătoare de către noi a solicitării transmise conform pct. 9.3 vă îndreptățește să vă adresați autorității de stat de profil (ANSPDCP www.dataprotection.ro), dar și direct justiției.
text versiunea noiembrie 2024