Notă de informare GDPR
cu privire la prelucrarea datelor cu caracter personal
ale membrilor, voluntarilor, colaboratorilor
Asociației „Societatea Română de Neurochirurgie” (SRN)
- Precizări generale
SRN, în calitate de operator de date cu caracter personal, efectuează diverse prelucrări de date cu caracter personal. Cele mai multe sunt în calitate de organizație profesională cu privire la membri și foști sau potențiali membri, iar limitat și cu privire la angajați, foști sau potențiali angajați sau voluntari. De asemenea, ca entitate aflată în relații contractuale cu diverși furnizori și beneficiari, prelucrează unele date cu caracter personal ale reprezentanților legali și ale persoanelor de contact ale acestor parteneri sau foști sau potențiali parteneri contractuali. În unele cazuri, prelucrări de date cu caracter personal ar putea să se efectueze nu ca operator (independent), ci ca operator asociat sau ca împuternicit.
Având în vedere prevederile legislației privind protecția datelor cu caracter personal, în special Regulamentul General privind Protecția Datelor (Regulamentul UE 679 / 2016, cunoscut ca GDPR – acronimul de la General Data Protection Regulation) și normele emise în aplicarea acestuia de către entitățile abilitate, precum și prevederi legale conexe cum ar fi cele din Legea 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice care a transpus Directiva UE 58/2002 (cunoscută ca Directiva e-privacy) sau din legislația privind dreptul de autor și drepturile conexe:
- A) Confirmăm că avem ca persoană juridică, și au și personal toți membrii și voluntarii care activează în organizația noastră, precum și orice altă persoană cu care colaborăm, o deosebită grijă pentru protecția datelor cu caracter personal legate de persoanele fizice
- B) Subliniem că aceste preocupări le-am avut și în lumina legislației anterioare GDPR și avem aceste obligații și în lumina GDPR, în mod automat, prin efectul legii, pe durată nelimitată, fără nevoia asumării unor obligații contractuale exprese față de Dvs. sau alte persoane pe această temă, deși asemenea obligații sunt prezente ca și clauze și în contractele încheiate de noi cu alte entități.
- C) Declarăm că, în acest sens, respectăm toate dispozițiile legale privitoare la protecția datelor cu caracter personal în calitate de operator de date cu caracter personal sau, uneori, în calitate de împuternicit al operatorului de date cu caracter personal sau de operator asociat, și punem în aplicare măsuri tehnice (ca de exemplu de securitate informatică, de securitate fizică a sediului și a comunicațiilor), juridice (clauze specifice în contractele cu furnizorii și alte entități) și organizatorice (instruire și verificare persoane, limitarea drepturilor de acces la ceea ce e obiectiv necesar, reglementarea modului de lucru cu date cu caracter personal etc.) adecvate de protejare a tuturor operațiunilor privitoare în mod direct sau indirect la datele cu caracter personal, care previn prelucrările neautorizate sau ilegale, precum și pierderile sau distrugerile accidentale sau ilegale de date, indiferent de forma și mediul lor de stocare.
- D) Confirmăm că prelucrarea de date cu caracter personal o facem cu respectarea principiilor prevăzute de art. 5 din GDPR, și anume: prelucrare caracterizată prin legalitate, echitate și transparență; cu colectare numai în scopuri determinate, explicite și legitime, și doar a datelor adecvate, relevante și limitate la ceea ce este necesar, exacte și actualizate; asignabile prompt persoanei vizate; prelucrare cu măsuri de ordin tehnic și organizatoric adecvate în vederea garantării drepturilor și libertăților persoanei vizate, asigurând integritate și confidențialitate și totul pe bază de responsabilitate.
- Categorii de persoane vizate
Prelucrăm în mod curent date personale ale mai multor categorii de peroane fizice, inclusiv membrii și voluntarii SRN sau persoane candidate la un asemenea statut sau care l-au avut în trecut, precum și alte persoane cum sunt colaboratorii persoane fizice sau reprezentanții persoane fizice ale persoanelor juridice.
- Categorii de date prelucrate
3.1 Date de identificare și contact, incluzând unele sau toate următoarele categorii: numele de familie și prenumele, cetățenia, domiciliul și, dacă e cazul, reședința, codul numeric personal, date înscrise în actul de identitate cum sunt tipul acestuia, seria, numărul, emitentul, data emiterii și termenul de valabilitate, data și locul nașterii, genul, imaginea foto portret / bust de pe actul de identitate, amprenta semnăturii olografe, eventuale alte elemente de identificare directă sau indirectă, precum și date de contact precum numărul de telefon mobil; adresa de e-mail; username-ul pentru platforme social media și alte asemenea.
3.2 Date suplimentare cu caracter personal, incluzând toate sau unele dintre următoarele categorii:
– studii, calificări, specializări, competențe, aptitudini, titluri academice, științifice sau profesionale dobândite sau pentru care pregătirea este în curs, cu precizarea unității / subunității în care s-a desfășurat sau este în curs;
– identitatea angajatorului / angajatorilor anteriori;
– datele cu caracter personal cuprinse în CV-uri, CV-uri și alte documente similare transmise către SRN;
– cont bancar în lei (IBAN, banca) de ex. cu ocazia plății cotizației sau altor sume;
– alte ocupații, forme de instruire în derulare și locul de muncă / de studiu, dacă e cazul;
– tipul, seria, numărul, emitentul, data emiterii unor acte care conțin date cu caracter personal, cum ar fi acte de studii, certificate, adeverințe, permise, legitimații și alte asemenea;
– calitatea de asociat / acționar / membru în diverse entități cu sau fără scop lucrativ, și funcții sau calități deținute în acestea, precum și legături de rudenie, afinitate sau alte asemenea, dacă au fost declarate pentru documentarea situațiilor de existență sau risc de conflict de interese;
– cunoștințe de limbi străine, de operare PC, de alte abilități, care rezultă din documente depuse sau din declarațiile persoanei vizate sau observarea activității acestuia;
– starea civilă și datele menționate în certificatul de căsătorie (în cazul în care numele este diferit de cel menționat în documentele de studii);
3.3 Imagini cu membrii sau voluntarii surprinse în timpul anumitor evenimente organizate de sau sub egida SRN, care pot fi postate pe site-ul SRN sau pe platformele sale de socializare.
- Scopurile prelucrării
Scopurile imediate ale prelucrării pot fi, după caz:
4.1 îndeplinirea obligațiilor de ținere a evidențelor conform legii;
4.2 documentarea istorică a numărului și calității membrilor și a activității acestora;
4.2 punerea la dispoziție / comunicarea de documente și raportări către diverse entități sau autoritățile publice cum sunt: instituțiile bancare, instanțele judecătorești, Ministerul Justiției, Colegiul Medicilor din România, organe de control și audit, dacă e cazul;
4.3 comunicarea cu persoana vizată;
4.4 mediatizarea activității SRN (imagini foto / video).
- Durata prelucrării
5.1 Datele cu caracter personal vor fi prelucrate de SRN numai pe perioada pentru care se justifică tipul de prelucrări în cauză, conform prevederilor GDPR, durată care este specifică fiecărei categorii de date cu caracter personal și depinde de scopul și temeiul prelucrării.
5.2 Durata concretă este stabilită conform cerințelor legale și regulamentare privind ținerea evidențelor specifice. Această durată include durata deținerii calității care justifică procesarea datelor sau a colaborării propriu-zise, dar și cea ce o precede, începând de la comunicarea / contactele preliminarii, și continuând după încetarea relației juridice o perioadă cel puțin egală cu durata termenului de prescripție pentru eventuale sancțiuni, executări de sancțiuni sau formularea de pretenții derivând din acte sau fapte juridice civile sau norme legale, pe care le-ar putea ridica una dintre părți, terții implicați sau organele fiscale.
5.3 Perioada de prelucrare va include sau coincide cu duratele de păstrare expres impuse de lege pentru documente ce pot conține date personale, cum este cea de 5 ani pentru dispoziții de încasare sau plată, extrase de cont sau facturi sau chitanțe, ordine de deplasare sau deconturi, state de plată, 10 ani pentru registrele contabile și situațiile financiare în care este menționat sau pentru documentele justificative financiar-contabile ce pot reflecta comiterea unei infracțiuni.
5.4 Datele de identificare ale membrilor și a altor persoane care fac sau au făcut parte din organele de administrare și control ale SRN vor fi prelucrate de SRN pe toată durata existenței sale în vederea documentării istorice a numărului și calității membrilor și a activității acestora și îndeplinirii obligațiilor legale în domeniul arhivării și a evidenței beneficiarilor reali și trasabilității deciziilor.
- Soarta datelor la încetarea prelucrării
6.1 Revizuim periodic datele colectate, analizând în ce măsură păstrarea lor este în continuare necesară scopurilor anterior menționate și intereselor Dvs. încetând prelucrarea pentru datele pentru care nu se mai impune păstrarea.
6.2 La finalul duratei de prelucrare, informația, respectiv documentul în cauză ce incorporează datele cu caracter personal, se restituie persoanei vizate sau entității care a transmis datele respective, sau Arhivelor Naționale sau altei autorități sau instituții abilitate de lege, sau se distruge sau anonimizează, după caz.
- Temeiul prelucrării
7.1 Temeiul prelucrărilor de date cu caracter personal pe care le efectuăm este de regulă cel al îndeplinirii obligațiilor legale de evidență a membrilor și voluntarilor (art. 6 alin. 1 lit. c) din GDPR) , a încheierii și executării unui contract (având în vedere că aderarea la o asociație este o relație care din punct de vedere juridic este asimilată unei relații contractuale) (art. 6 alin. 1 lit. b) din GDPR) și respectiv în scopul intereselor legitime urmărite de SRN (art. 6 alin. 1 lit. f) din GDPR), cum ar fi promovarea imaginii SRN și documentarea activității sale. În principiu, nu efectuăm prelucrări de date cu caracter personal în temeiul consimțământului acordat nouă de persoana vizată, motiv pentru care nu efectuăm demersuri și proceduri de solicitare și obținere de consimțământ al persoanei vizate în mod curent.
- Modul de prelucrare a datelor cu caracter personal
8.1 Prelucrările specifice de date cu caracter personal ale membrilor includ obținerea de asemenea date de la persoanele vizate, consemnarea în scris pe suport de hârtie și / sau electronic a celor comunicate verbal.
8.2 Prelucrările includ de asemenea cele nespecifice și implicite precum efectuare de copii de siguranță, stocare în sisteme proprii sau puse la dispoziție de furnizori specializați inclusiv din afara UE/SEE cu respectarea condițiilor GDPR, rectificare în caz de depistare erori, ștergere sau distrugere la finalul duratei de păstrare sau în alte cazuri prevăzute de lege etc.
8.3 Stocarea electronică curentă sau copiile de siguranță (backup) a datelor din categoria nume, funcție, date de contact precum și stocarea temporară în scopuri de procesare sau validare, stocarea ca pagină de Internet sau social media ce cuprinde date cu caracter personal pot implica sau implică cu siguranță sau mare probabilitate transfer de date cu caracter personal în afara UE/SEE, dar se realizează numai în state cu privire la care Comisia Europeană a emis decizii de ”recunoaștere a caracterului adecvat al nivelului de protecție” oferită de legislația lor pentru prelucrările de date cu caracter personal, sau pe baza ”garanțiilor adecvate” prevăzute de GDPR de tipul ”clauze contractuale standard” (SCC).
8.4 SRN aplică măsuri tehnice și organizatorice adecvate de protejare a tuturor operațiunilor privitoare în mod direct sau indirect la datele cu caracter personal, care previn prelucrările neautorizate sau ilegale, precum și pierderile sau distrugerile accidentale sau ilegale.
8.5 SRN NU prelucrează datele personale printr-un proces decizional automatizat și NU creează profiluri pe baza lor.
8.6 Datele cu caracter personal prelucrate de SRN NU sunt transmise terților în scopuri de marketing sau alte scopuri diferite de acela pentru care au fost colectate.
- Destinatari
9.1 Datele personale deținute de noi le dezvăluim direct sau indirect altor persoane decât cele vizate, dar exclusiv în interesul persoanelor vizate, în interesul legitim al Societății sau, în cazurile expres prevăzute de lege, cum sunt cele de raportări la anumite autorități sau prestatorii care ajung implicit în posesia lor dar au obligații de confidențialitate (prestatorii de servicii bancare, juridice, IT, contabile, protecție etc.).
9.2 Astfel, date cu caracter personal ajung sau pot ajunge la cunoștința furnizorilor noștri de servicii bancare, juridice, de HR, contabile sau informatice și de comunicații (ITC) cum sunt furnizorii de servicii de administrare rețea și service IT, cei de conexiune Internet și de servicii de telefonie fixă și mobilă și operatorii de platforme informatice utilizate de SRN online sau offline.
9.3 Asemenea servicii și platforme digitale pot fi LinkedIn, Whatsapp, Facebook, Instagram, WordPress, MailChimp, Zoom, Skype, Google Workspace, Microsoft Office – cu titularii lor – companiile Meta Platforms Inc, Alphabet Inc / Google Inc, Microsoft Corporation și alte asemenea, inclusiv subsidiarele lor prin care dețin diversele servicii online anterior menționate.
9.4 Cu acești furnizori menționați la art. 9.2 și 9.3, SRN fie are clauze contractuale adecvate de confidențialitate, negociate, fie prelucrările de date cu caracter personal se fac de către respectivii mari furnizori în conformitate cu politica lor internă publicată pe site-urile proprii ale acestora care au rol de contract de adeziune ce respectă cerințele GDPR pentru că fie mențin datele persoanelor care sunt rezidente în Uniunea Europeană numai pe servere din UE sau din țări pentru care Comisia Europeană a emis decizii de recunoaștere a asigurării unui nivel echivalent de protecție, fie acele companii, majoritatea cu sediul central în afara UE, și-au asigurat, formal cel puțin, complianța cu cerințele GDPR, prin aderarea la ”clauze contractuale standard” sau ”reguli corporatiste obligatorii” sau instrumente speciale pentru relația cu operatorii din anumite țări (cum este cazul SUA) aprobate de către Comisia Europeană, respectiv de către Comitetul European pentru Protecția Datelor (EDPB).
9.5 Precizăm că datele cu caracter personal probabil colectate de aceste platforme nu sunt însă accesibile pentru SRN sau entităților autorizate de SRN ca date cu caracter personal, ci doar eventual în format agregat și anonimizat, SRN neutilizând softuri intruzive de analiză a conectărilor la site-urile sale.
- Drepturile persoanelor vizate conform GDPR- enumerare și scurte explicații
10.1 Dreptul de informare – dreptul de a ști dacă procesăm date personale ale persoanelor vizate.
10.2 Dreptul de acces la datele cu caracter personal – puteți solicita informații privind activitățile de prelucrare a datelor dumneavoastră personale.
10.3 Dreptul la rectificare – puteți rectifica datele personale inexacte sau le puteți completa.
10.4 Dreptul la ștergerea datelor – puteți solicita ștergerea datelor cu caracter personal care vă privesc, în cazul în care prelucrarea acestora nu a fost sau nu mai este legitimă (de exemplu, nu ați participat dar din eroare datele Dvs. au ajuns pe lista de participanți) sau în alte cazuri prevăzute de lege. În concret în cazul SRN, prin natura activității ei și a datelor prelucrate, acest drept are o aplicabilitate concretă foarte limitată.
10.5 Dreptul de a vă retrage consimțământul – deși, nu este cazul pentru că prelucrările de date cu caracter personal ale persoanelor vizate menționate în prezenta informare nu au, în principiu, ca temei consimțământul.
10.6 Dreptul la restricționarea prelucrării – puteți solicita și obține restricționarea prelucrării datelor cu caracter personal care vă privesc în cazul în care contestați exactitatea datelor, legitimitatea deținerii lor sau în alte cazuri prevăzute de lege.
10.7 Dreptul la portabilitatea datelor – puteți primi, în condițiile legale, datele personale pe care ni le-ați furnizat, într-un format care poate fi citit automat și puteți solicita ca respectivele date să fie transmise altui operator – de exemplu primirea în format electronic.
10.8 Dreptul la opoziție – puteți să vă opuneți, în special, prelucrărilor de date care se întemeiază pe interesul nostru legitim.
10.9 Dreptul de a depune o plângere la SRN / sau la autoritatea competentă privind protecția datelor (ANSPDCP).
10.10 Dreptul de a vă adresa justiției.
- Exercitarea drepturilor persoanelor vizate
11.1 Pentru exercitarea drepturilor menționate la pct. 10, precum și pentru orice întrebări suplimentare cu privire la această Notă de informare sau în legătură cu deținerea sau utilizarea în orice mod de către SRN a datelor dumneavoastră cu caracter personal, vă rugam să contactați responsabilul SRN cu protecția datelor personale, prin e-mail la adresa contact@rsn.ro sau prin document trimis pe suport de hârtie la sediul SRN: București, sector 4, șoseaua Berceni, nr.10.
11.2 Dacă doriți să vă exercitați dreptul de a formula plângere la autoritatea de stat competentă, aceasta este Autoritatea Națională de Supravegherea a Prelucrării Datelor cu Caracter Personal (ANSPDCP) care are dreptul să investigheze pe cale administrativă situația sesizată și să dispună măsuri pentru rezolvarea adecvată a nemulțumirilor dumneavoastră putând inclusiv să formuleze o acțiune în instanță în numele dumneavoastră în cazul în care s-ar impune sesizarea justiției și dumneavoastră nu o faceți în mod direct (conform prevederilor Legii 129/2018).
Informare GDPR membri, voluntari, colaboratori SRN – v2 / oct. 2024