RO

1. Introduction

The present policy of conformity of the personal data protection (a) is applied to processing personal data through electronic means and in print archiving systems

(b) excludes any personal data processing for employees, candidates on various job openings within the company and © it is not applicable to any obligations the company might have under national regulations in the specific field of activity.

The present policy of conformity of the personal data protection is inacted starting May 25th, 2018. Up to this date, the entire staff of the company will undertake all necessary measures to ensure compliance with the policy of personal data protection.

IMPLEMENTATION AND THE CORRECT ENACTMENT OF THE PRESENT COMPLIANCE POLICY OF THE PERSONAL DATA PROTECTION WILL BE STRICTLY MONITORED BY THE COMPANY. THE DELIBERATE, NEGLIGENT OR ACCIDENTAL NON-COMPLIANCE TO THE PRESENT POLICY OF PERSONAL DATA PROTECTION CAN LEAD TO SIGNIFICANT FINANCIAL AND REPUTATIONAL PENALTIES FOR THE COMPANY AND, POSSIBLY, TO DISCIPLINARY CONSEQUENCES FOR THE COMPANY'S EMPLOYEES WHO ARE HOLD RESPONSIBLE.

(1) EU laws in regard to personal data protection require that the Company fully abides by the following principles:

Legality, Correctness and Transparency Personal data will be processed correctly and transparently, in conformity with the law enforced, in reference to the person concerned.
Limitation of Purpose Personal data will be collected for well defined, explicit and legitimate purposes, and will not be processed in a manner incompatible with those purposes.
Minimization of Data Personal data will be adequate, relevant and limited to what is necessary in reference to the purposes for which they are processed.
Exactity Personal data will be precise and, whenever it is necessary, up to date.
Storage Limit Personal data will be stored in a form that allows the identification of the person concerned as long as it is necessary for the completion of the purpose for which the personal data are processed.
Integritate şi confidențialitate Datele cu caracter personal vor fi prelucrate într-o modalitate care să le asigure securitatea corespunzătoare, incluzând protecția împotriva prelucrării neautorizate sau ilegale precum şi împotriva pierderii accidentale, distrugerii sau deteriorării, prin folosirea unor măsuri corespunzătoare de ordin tehnic sau organizatoric.
Răspundere Societatea, în calitate de operator, va fi responsabilă pentru şi va trebui să demonstreze conformitatea cu Legile UE privind Protecția Datelor cu Caracter personal.

(2) Protecția Datelor cu caracter personal începe cu fiecare persoană care face parte din personalul KANDIA DULCE S.A. (”Kandia” sau ”Societatea”).

(3) Se solicită ca personalul Societății să gestioneze cu grijă Datele cu caracter personal. În prezenta Politică de conformitate a protecției datelor cu caracter personal se explică cum protejarea Datelor cu caracter personal trebuie asigurată în întreaga Societate. Următoarele direcții principale sunt obligatorii şi trebuie explicate în acest document:

(4) Prezenta Politică de conformitate a protecției datelor cu caracter personal a fost redactată în temeiul GDPR deoarece la momentul redactării sale nu exista nicio lege națională în acest sens. Orice reglementare (fie la nivel european fie la nivel național) poate declanșa nevoia de a modifica sau completa prezenta politică.

 

2. TERMINOLOGIE

(5) În prezenta Politică de conformitate a protecției datelor cu caracter personal, următorii termeni vor fi definiți după cum urmează:

”Afiliat” Înseamnă orice societate dintre: Kex Confectionery S.A., Heidi Chocolat S.A, Kex Confectionery Limited, Heidi Chocolat Suisse AG-Switzerland, Heidi Chocolat Group SA, Heidi Chocolat Schwermer GmbH, Heidi Chocolat AG Niemetz Schwedenbomber Niederlassung Österreich, Schokothek Handels GmbH, Seder Establishment Limited
”Procesul decizional automatizat” Înseamnă un proces în care datele introduse sunt evaluate exclusiv prin dispozitive IT, fără implicare din partea persoanelor fizice, de exemplu, în conformitate cu criterii/algoritmi pre-definiți, ultima decizie luată având consecințe semnificative pentru Persoana vizată.
”Operator” Înseamnă Kandia Dulce S.A. (Societatea), respectiv entitatea care determină scopurile şi mijloacele de prelucrate a Datelor cu caracter personal.
”Împuternicit” Înseamnă o entitate care prelucrează Datele cu caracter personal în numele Operatorului.
”Responsabil cu protecția datelor”/”RPD” Înseamnă o persoană fizică sau juridica ce poate fi desemnată de Societate în temeiul unei obligații impuse de Legile UE privind Protecția Datelor cu Caracter Personal. Rolul RPD este de: (a) a informa şi a consilia Societatea şi angajații săi cu privire la obligațiile lor de a se conforma cu Legile UE privind Protecția Datelor, (b) a monitoriza respectării Legilor UE privind Protecția Datelor, (c) a fi prima persoană de contact pentru autoritățile de supraveghere şi pentru persoanele fizice ale căror date sunt prelucrate. Detaliile privind drepturile şi responsabilitățile RPD sunt prevăzute în prezentul document.
”Persoană vizată”  Înseamnă persoana identificată sau identificabilă la care se referă Datele cu caracter personal. Din motive ce ţin de această politică, Persoanele vizate pot fi angajați, clienți sau reprezentanți ai furnizorilor şi ai partenerilor de afaceri.
”Legile UE privind Protecția Datelor” Înseamnă toate legile şi reglementările aplicabile în România, indiferent dacă acestea reprezintă legislaţie primară (precum legile naţionale şi/sau GDPR, definite mai jos) ori legislaţie secundară (precum Ghidurile Grupului de lucru sau alte ghiduri emise de Autoritatea de supraveghere), aplicabile prelucrării datelor cu caracter personal.
”GDPR”  Înseamnă Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016, privind protecția persoanelor fizice în ceea ce privește prelucrarea Datelor cu caracter personal și libera circulație a acestor date şi abrogarea Directivei 95/46/CE.
”Regulament intern” Înseamnă toate documentele interne (indiferent de numele sau obiectul lor, fara neaparat a se limita la regulamentul intern, politicile si procedurile Societatii) ce reprezinta cadrul regularizat si documentat de functionare al Societatii.
”Date cu caracter personal” Înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă şi care sunt protejate în temeiul Legilor şi Reglementărilor UE privind protecția datelor. În scopul prezentei Politici de conformitate a protecției datelor cu caracter persona, Datele cu caracter personal includ Datele cu caracter personal referitoare la condamnări penale şi infracțiuni (astfel cum sunt definite mai jos) şi Categoriile speciale de date cu caracter personal (astfel cum sunt definite mai jos).
”Date cu caracter personal referitoare la condamnări penale şi infracțiuni” Înseamnă Date cu caracter personal referitoare la condamnări penale, infracțiuni şi/sau grațieri.
”Prelucrare” Înseamnă orice operaţiune sau set de operaţiuni efectuate asupra Datelor cu caracter personal, cu sau fără utilizarea de mijloace automatizate, precum colectarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinerea sau combinarea, restricţionarea, ştergerea sau distrugerea acestora.
”Crearea de profiluri” Orice formă de prelucrare automată a Datelor cu caracter personal care constă în utilizarea Datelor cu caracter personal în vederea evaluării anumitor aspecte personale referitoare la persoanele fizice, în special pentru a analiza sau prevedea aspecte privind performanţa persoanei fizice la serviciu, situaţia economică, starea de sănătate, preferinţele personale, interesele, fiabilitatea, comportamentul, locul unde se află sau deplasările acesteia.
”Evidențele de prelucrare de către Societății” Înseamnă evidenţele obligatorii ţinute la nivelul Societăţii care asigură o vedere de ansamblu asupra tuturor activităţilor de prelucrare din cadrul organizaţiei (de exemplu, ce fel de categorii de date sunt procesate, de către cine (care departamente sau unităţi comerciale) şi care este scopul prelucrării).
”Categoriile speciale de date cu caracter personal” Înseamnă Datele cu caracter personal care dezvăluie originea etnică, convingerile politice, religioase sau filosofice ori calitatea de membru în sindicate, în timp ce prelucrarea datelor genetice şi biometrice în vederea identificării unice a unei persoane fizice precum şi a datelor privind starea de sănătate, viaţa sau orientarea sexuală a unei persoane fizice.
”Sub-împuternicit” Înseamnă orice persoană desemnată de sau în numele Împuternicitului, ori de către un Afiliat pentru a prelucra Datele cu caracter personal în numele Societăţii;
”Autoritate de supraveghere” Înseamnă Autoritatea naţională de supraveghere a prelucrării datelor cu caracter personal sau oricare altă autoritate căreia i se atribuie responsabilităţile de protecţie a datelor în temeiul Legilor şi Reglementărilor UE privind Protecţia Datelor cu Caracter Personal ale oricărui stat membru.
„Transfer“ Înseamnă divularea sau punerea în orice alt mod la dispoziţia terţilor (incluzând Afiliaţii sau Sub-împuternicit) a Datelor cu caracter personal, fie prin transmiterea fizică a Datelor cu caracter personal către respectiva terţă parte, fie prin permiterea accesului la Date prin alte mijloace. Din motive de claritate, stocarea şi copierea de siguranță vor fi considerate transfer în sensul prezentei Politici de conformitate a protectiei datelor cu caracter personal.

 

3. SCOPURILE PRELUCRĂRII DE CĂTRE SOCIETATE

3.1. Societatea a identificat scopurile specifice Prelucrării

(6) În general, Societatea colectează, utilizează, stochează sau procesează în alt mod Datele cu caracter personal în următoarele situații:

  1. atunci când o Persoană vizată transmite orice formular sau document, încheie un contract formal sau asigură altă documentaţie ori informaţie cu privire la interacţiunile şi tranzacţiile sale cu Societatea;
  2. atunci când o Persoană vizată interacţionează cu personalul Societății, incluzând responsabilii pentru relaţiile cu clienţii/consumatorii sau alţi reprezentanţi, de exemplu, prin telefon, scrisori, fax, întâlniri în persoană sau email;
  3. atunci când imagini cu o Persoană vizată sunt surprinse de Societate prin camerele de supraveghere în timp ce Persoana vizată se află în incinta Societăţii;
  4. atunci când o Persoana vizată solicită să fie contactată de Societate, să fie inclusă într-un email sau alte liste cu date de corespondență, ori atunci când Persoana vizată răspunde la solicitarea Societății pentru furnizarea de date cu caracter personal suplimentare;
  5. atunci când o Persoană vizată interacţionează cu Societatea prin website-urile Societății;
  6. atunci când Societatea acţionează în vederea prevenirii sau investigării unei suspiciuni de fraudă, activităţi ilegale, omisiuni sau a unui comportament necorespunzător în legătură cu sau care ar putea rezulta din relaţia unei Persoane vizate cu Societate;
  7. atunci când Societatea respectă ori acţionează conform unei solicitări sau directive a oricărei autorităţi publice sau când răspunde solicitărilor de informaţii din partea agenţiilor de reglementare, ministere, consilii statutare ori alte autorităţi similare;
  8. atunci când Societatea efectuează raportarea fiscală, financiară, de reglementare, de management, de gestionare a riscurilor (inclusiv monitorizarea expunerii la risc) şi de audit,
  9. atunci când Societatea caută informaţii despre o Persoană vizată şi primeşte Datele cu caracter personal ale Persoanei vizate în legătură cu relaţia acestuia cu Societatea, inclusiv pentru poliţele de asigurare, de exemplu, de la parteneri de afaceri, agenţii publice, angajatorul actual şi autorităţile relevante; şi/sau
  10. atunci când o Persoană vizată își trimite Datele cu caracter personal ori Datele cu caracter personal ale unei terțe persoane (de exemplu, informații despre soț/soție, rude sau afini, copii, părinți și/sau angajați etc.) către Societate, indiferent de motiv.

(7) Toate activitățile sus-menționate sunt etichetate drept scopurile Procesării și sunt listate în Evidențele de prelucrare ale Societății.

 

3.2. Scopurile de Prelucrare de către Societate au un temei legal și valid

(8) Scopurile de Prelucrare de către Societate sunt întemeiate pe una dintre următoarele:

(CONSIMȚĂMÂNT) Persoana vizată care și-a dat consimțământul cu privire la Prelucrare.
(EXECUTAREA UNUI CONTRACT)

Prelucrarea este necesară:

  1. pentru un contract pe care Persoana vizată l-a încheiat; sau
  2. deoarece Persoana vizată a solicitat un aspect pentru a putea încheia un contract
(CONFORMITATEA CU OBLIGAȚIILE LEGALE) Prelucrarea este necesară deoarece există o obligație legală în sarcina Societății.
(INTERESE LEGITIME) Prelucrarea respectă condiția ”interese legitime”

(9) Temeiul pentru fiecare din Scopurile de prelucrare de către Societate este menționat în Evidențele de prelucrare ale Societății.

 

3.3. Prelucrarea se limitează doar la ceea ce este necesar pentru atingerea scopului Prelucrării Societății

3.3.1. Scopurile de Prelucrare de către Societate sunt limitate la anumite categorii de Persoane vizate și la anumite categorii de Date cu caracter personal (minimizarea datelor)

(10) Regulamentele/procedurile interne mentioneaza documentele și/sau Datele cu caracter personal exacte ce trebuie solicitate Persoanelor vizate pentru ca acestea să fie prelucrate pentru respectiva Persoană vizată. Pe de-o parte, anexele la Regulamentele interne pot cuprinde modele de forme și de contracte care trebuie completate și/sau de către Persoana vizată. Pe de altă parte, Regulamentele interne permit Datelor cu caracter personal să fie colectate direct de la Persoana vizată și introduse direct în sistemul IT al Societății.

(11) Prelucrarea care implică ”Categorii speciale de date cu caracter personal și/sau ”Date cu caracter personal referitoare la condamnări penale și infracțiuni”, trebuie tratată ca excepție și trebuie evitată pe cât de mult posibil (cu excepția situației în care este solicitată în mod expres de Regulamentul intern și de prevederile unei legi).

(12) Orice Date cu caracter personal suplimentare, altele decât Datele cu caracter personal menționate în mod expres în Evidențele prelucrării de către Societate și altele decât Datele cu caracter personal menționate în Regulamentele interne, nu pot fi solicitate Persoanelor vizate decât cu o autorizare prealabilă din partea Managerului departamentului, a Departamentului Juridic și/sau a Responsabilului cu protecția datelor.

(13) Toate Datele cu caracter personal suplimentare, altele decât Datele cu caracter personal menționate în mod expres în Evidențele de prelucrare de către Societate și altele decât cele menționate în Regulamentele interne care ajung la Societate (fie intenționat, fie întâmplător), de la altă sursă decât de la Persoanele vizate (cu exceptia mentionata la 3.1.lit j), trebuie considerate ca reprezentând un incident de încălcare a securității datelor și trebuie adus la cunoștința Managerului departamentului, Departamentului Juridic și/sau Responsabilului cu protecția datelor.

 

3.3.2. Datele cu caracter personal colectate de Societate sunt exacte, integrale și confidențiale (exactitate și confidențialitate)

(14)Toate Datele cu caracter personal colectate de Societate în legătură cu oricare din scopurile Prelucrării trebuie să fie exacte. Regulamentele Interne solicită ca personalul Societății să se asigure că Datele cu caracter personal obținute direct ori indirect de la Persoanele vizate sunt verificate prin comparație cu documentația relevantă.

(15) Integritatea și confidențialitatea tuturor Datelor cu caracter personal colectate de Societate cu privire la scopurile de Prelucrare este Regulamentele interne solicită ca personalul Societății să se asigure că Datele cu caracter personal obținute direct sau indirect de la Persoanele vizate să fie stocate în condiții de siguranță și accesate doar în scop informativ.

 

3.3.3. Prelucrarea Datelor cu caracter personal în cadrul Societății se efectuează pe perioada necesară îndeplinirii scopului Prelucrării (limita de stocare)

(16) În funcție de scopul Prelucrării, Datele cu caracter personal colectate de Societate se păstrează fie în format fizic, fie în format electronic (ori ambele):

  1. pentru perioada necesară îndeplinirii Scopului prelucrării, sau
  2. în măsura în care este necesar pentru a se conforma cu cerințele legale aplicabile, pentru perioada prevăzută, de o dispoziție a unei legi, sau
  3. în funcție de cum este indicat, luând în considerare perioada de prescripție aplicabilă.

 

3.3.4. Prelucrarea în afara scopurilor de Prelucrare ale Societății este în general interzisă (schimbarea scopului)

(17) În general, Datele cu caracter personal vor fi utilizate numai pentru scopurile prelucrării pentru care au fost colectate inițial (scopul inițial). Datele cu caracter personal pot fi prelucrate în scopurile legitime ale Societății într-o manieră diferită de scopul inițial (scop secundar) doar dacă scopul inițial și cel secundar sunt strâns legate între ele.

(18) Se permite, în general, utilizarea Datelor cu caracter personal în următoarele scopuri secundare:

  1. stabilirea profilului de risc al Persoanei vizate sau a societății pe care o reprezintă Persoana vizată, sau
  2. audituri interne sau investigații; sau
  3. soluționarea litigiilor; sau
  4. rapoarte de reglementare.

(19) Orice prelucrare a Datelor în afara scopurilor Prelucrării stabilite în mod special în Evidențele de prelucrare de către Societate va fi suspendată imediat iar situația va fi adusă la cunoștința Departamentului Juridic si Responsabilului cu protecția datelor cât mai curând posibil.

    (20) Orice schimbare a scopurilor de Prelucrare inițiale va fi evaluată cu grijă, iar, în caz de dubiu, personalul Societății va aduce situația în atenția Departamentului Juridic si Responsabilului cu protecția datelor înainte de a continua orice altă Prelucrare.

     

    3.3.5. Transferul Datelor cu caracter personal

    (21) În timpul funcționării și prestării serviciilor sale, Societate poate transfera Datele către altă țară sau organizații internaționale/străine doar dacă în respectiva țară sau organizație internațională/străină securitatea datelor este garantată în mod corespunzător.

    (22) Atunci când se transferă Date cu caracter personal într-un stat din afara Spațiului Economic European, Societatea acordă garanții adecvate pentru protecția datelor pe baza unui contract încheiat cu acea persoană fizică sau juridică sau organizație internațională.

     

    3.3.6. Crearea de profiluri și procesul decizional automat

    (23) Prelucrarea în cadrul Societății nu implică Crearea de profiluri și Procese decizionale

     

    4. SOCIETATEA RESPECTĂ DREPTURILE PERSOANELOR VIZATE

    În temeiul Legilor privind protecția datelor cu caracter personal, Persoanele vizate au drepturi stricte:

    Întregul personalul al Societății a fost informat și cunoaște cum să acționeze în cazul oricărei exercitări a drepturilor Persoanelor vizate.

     

    4.1. Societatea informează Persoanele vizate despre activitatea de Prelucrare

    (24) Ca și regulă, toate documentele predate Persoanelor vizate (formulare sau contracte) conțin toate informațiile solicitate ca Societatea să respecte obligația Societății de a informa în mod corespunzător Persoanele vizate despre activitatea de Prelucrare.

    (25) Fără a aduce atingere conținutului documentelor transmise Persoanelor vizate, la cerere, personalul Societății va explica în detaliu cu privire la ce activitate comercială este aferentă Prelucrarea, ce fel de Date cu caracter personal sunt cerute de la Persoanele vizate, precum și faptul că Societatea a adoptat măsuri tehnice și organizatorice adecvate pentru a se asigura că Datele sunt păstrate în siguranță și sunt confidențiale.

    (26) În cazul în care Persoanelor vizate nu li se cere să completeze formulare individuale deoarece acestora li se solicită să prezinte doar o anumită documentație ori să transmită verbal Datele cu caracter personal, personalul Societatea are obligația de a informa – inclusiv verbal – Persoanele vizate despre toate coordonatele activității de Prelucrare. Lista cu aspectele necesare a fi aduse în atenția Persoanelor vizate este următoarea:

    Ce informație trebuie furnizată?  La momentul obținerii Datelor cu caracter personal:
    Identitatea și datele de contact ale Societății și ale RPD
    Scopul Prelucrării și temeiul juridic al Prelucrării
    Interesele legitime ale Societății 
    Categorii de Date cu caracter personal
    Destinatarii sau categoriile de destinatari ai Datele cu caracter personal,
    Detaliile privind transferul Datelor cu caracter personal în țări terțe și măsurile de siguranță
    Perioada pentru care vor fi stocate Datele cu caracter personal și criteriile utilizate pentru a stabili această perioadă
    Existența fiecărui drept al Persoanei vizate 
    Sursa din care provin Datelor cu caracter personal și dacă acestea provin din surse publice
    Dacă furnizarea de Date cu caracter personal reprezintă o cerință legală sau contractuală sau o obligație, precum și eventualele consecințe ale nerespectării acestei obligații
    Existența/Inexistenta unui Proces decizional automatizat, Crearea de profiluri și informații despre luarea procesului decizional, importanța și consecințele

     

    4.2. Personalul Societății recunoaște și știe cum să gestioneze o solicitare din partea Persoanelor vizate

    (27) Legile UE privind Protecția Datelor cu caracter personal impun ca orice solicitare a unei Persoane vizată să primească răspuns în cel mai scurt timp posibil, dar nu mai târziu de 31 de zile (termen care, in situatii particulare se poate extinde mod rezonabil cu pana la 60 de zile) de la primirea acesteia.

    (28) Angajații Societății vor trata toate întrebările primite de la Persoanele vizate despre activitatea de Prelucrare cu cea mai mare importanță.

    (29) În toate cazurile, angajații Societății vor informa Persoanele vizate că pot transmite o solicitare formală și/sau o plângere la adresa desemnată de Societate pentru gestionarea solicitarilor in legatura cu datele personale (adresa ce poate reprezenta si datele de contact ale RPD desemnat de Societate).

     

    5. CONFORMITATEA PROTECȚIEI DATELOR ÎN CADRUL SOCIETĂȚII

    5.1. Responsabilul pentru protecția datelor desemnat de Societate

    (30) Societatea poate desemna un Responsabil cu protecția datelor – persoana fizica sau juridica – care să aibă calificările solicitate de Legile UE privind Protecția Datelor:

    1. Funcția de Responsabil cu protecția datelor este stabilită ca o poziție direct subordonată și în linie directă de raportare la Directorul General al Societatii sau Consiliul de Administratie al Societatii;
    2. Funcția de Responsabil cu protecția datelor nu se supune conflictului de interese;
    3. Societatea implică Responsabilul cu protecția datelor din timp și într-o manieră corespunzătoare, în toate aspectele ce implică protecția Datelor cu caracter personal;

    (31) Societatea, in cazul desemnarii RPD:

    1. va face cunoscute datele de contact ale Responsabilului cu protecția datelor Persoanelor vizate și le va publica intern, pe intranetul Societății, în agenda telefonică internă și în organigramă, pentru a se asigura că existența și funcția acestuia sunt cunoscute în cadrul Societății.
    2. va transmite datele de contact autorității de supraveghere competente;
    3. va asigura că Responsabilul pentru protecția datelor să fie invitat să participe cu regularitate la întâlnirile cu organele de conducere de nivel mediu și înalt a Societății.
    4. va acorda întotdeauna o pondere corespunzătoare opiniei RPD. În caz de neînțelegere, este important să fie consemnate motivele pentru care nu se urmează opinia RPD.
    5. va consulta imediat și fără întârziere nejustificată Responsabilul pentru protecția datelor în legătură cu producerea unei încălcări a securității datelor sau a altui incident.
    6. in cazul in care RPD este un angajat al societatii (persoana fizica), Societatea va susține RPD prin ”asigurarea resurselor necesare pentru executarea sarcinilor acestuia, accesarea datelor cu caracter personal și a operațiunilor de prelucrare, precum și menținerea cunoștințelor sale de specialitate”
    7. in cazul in care RPD este un angajat al societatii (persoana fizica), Societatea va asigura formarea periodică a RPD căruia îi trebuie oferită oportunitatea de a rămâne la curent cu evoluțiile din domeniul protecției datelor cu caracter personal. Scopul ar trebui să fie creșterea permanentă a nivelului de expertiză a RPD, de aceea, Responsabilul cu protecția datelor ar trebui încurajat să participe la cursuri de formare privind protecția datelor cu caracter personal, precum și la alte forme de dezvoltare personală.
    8. se va asigura că RPD ”nu va primi instrucțiuni în ceea ce privește îndeplinirea sarcinilor”

    (32) RPD este obligat să păstreze secretul sau confidențialitatea informațiilor cu privire la îndeplinirea sarcinilor sale.

     

    5.2. Atribuții interne în vederea asigurării conformității protecției datelor la nivelul departamentelor comerciale

    (33) Conformitatea cu protecția datelor cu caracter personal este o responsabilitate independentă continuă pentru fiecare angajat al Societății, iar nerespectarea acestei politici poate conduce la răspundere profesională.

    (34) Fără a aduce atingere celor de mai sus, Societatea a desemnat anumite atribuții pentru a ajuta personalul Societății în realizarea și păstrarea conformității cu protecția datelor cu caracter personal.

    (35) Responsabilii pentru protejarea datelor cu caracter personal sunt persoane desemnate pentru fiecare departament al Societății și sunt responsabili pentru conformitatea și implementarea Politicii de conformitate a protecției datelor cu caracter personal din punct de vedere comercial/functional. Responsabilii pentru protejarea datelor cu caracter personal vor decide asupra, vor asigura mijloacele și vor facilita gestionarea tuturor aspectelor ce țin de protecția datelor în direcția corespunzătoare.

    (36) Responsabilul din fiecare departament pentru protejarea datelor cu caracter personal trebuie:

    1. să se asigure că direcția din care face parte va prelucra Datele personale în conformitate cu această Politică de conformitate a protecției datelor,
    2. să lucreze împreună cu RPD și să implementeze schimbările solicitate în departamentul său pentru a fi aduse în conformitate cu Legile UE privind Protecția Datelor cu Caracter Personal,
    3. să completeze în mod corespunzător și să semneze chestionarele legate de audit și alte formulare solicitate de RPD,
    4. să realizeze evaluarea impactului asupra protecției datelor pe baza modelului furnizat de RPD,
    5. să obțină opinia RPD cu privire la toate riscurile sau incidentele legate de protecția datelor, aspecte de conformitate, precum și răspunsuri la toate întrebările din cadrul departamentului în care acționează în calitate de responsabil de protecția datelor cu caracter personal,
    6. să transmită rapoarte RPD cu privire la riscurile privind protecția datelor și aspecte de conformitate, cel puțin o dată pe an, dar mai frecvent atunci când îi este necesar/i-a fost solicitat de RPD,
    7. să coordoneze, împreună cu RPD, investigațiile oficiale sau anchetele efectuate de o autoritate guvernamentală despre prelucrarea datelor ce au legătură cu departamentul său.

     

    5.3. Regulamente interne

    (37) Ca o declarație generală, prezenta Politică de conformitate privind protecția datelor cu caracter personal cuprinde principiile de bază ce urmează a fi preluate în mai multe politici detaliate.

    (38) Societatea va dezvolta și va implementa astfel de politici, standarde minime și proceduri, pentru a fi în conformitate cu prezenta Politică de conformitate privind protecția datelor cu caracter personal.

    (39) În cazul unor discrepanțe între prezenta Politică și Legile UE privind Protecția Datelor cu caracter personal, cele din urmă vor prevala.