Politica interna a societatii SC Mirada Construct SRL privind prelucrarea de date cu caracter personal
POLITICA INTERNA A SOCIETATII SC MIRADA CONSTRUCT SRL
PRIVIND PRELUCRAREA DE DATE CU CARACTER PERSONAL
Societatea S.C. MIRADA CONSTRUCT S.R.L., cu sediul in SINLEANI nr. 517, inregistrata la
Oficiul Registrului Comertului din Arad sub nr. J 02 / 1584/1992 cod unic de inregistrare RO1679300, e-
mail: office@mirada.ro, tel. 0357 434 903 („Societatea” sau „Angajatorul”) considera ca fiind de o
importanta deosebita si o prioritate securitatea datelor cu caracter personal pe care le prelucreaza in
derularea activitatii, precum si respectarea legislatiei in domeniu, in special Regulamentul nr. 679 din 27
aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter
personal si privind libera circulatie a acestor date („Regulamentul”).
Prezenta Politica interna stabileste principalele reguli potrivit carora se va efectua activitatea de
prelucrare a datelor cu caracter personal in cadrul Societatii, precum si masurile tehnice si organizatorice
necesare pentru asigurarea securitatii si integritatii datelor cu caracter personal.
I. Principiile prelucrarii datelor cu caracter personal de catre Societate
Principalele principii in baza carora se vor efectua activitatile de prelucrare de date cu caracter personal in
cadrul Societatii sunt:
1. legalitate, echitate si transparenta – insemnand ca prelucrarea se va efectua in mod legal, echitabil
si transparent fata de persoana vizata, aceasta urmand sa fie pe deplin informata conform
dispozitiilor Regulamentului cu privire la prelucrarea datelor sale cu caracter personal;
2. limitari legate de scop – insemnand ca datele vor fi colectate in scopuri determinate, explicite si
legitime si nu vor fi prelucrate ulterior intr-un mod incompatibil cu aceste scopuri;
3. reducerea la minimum a datelor – insemnand ca datele prelucrate vor fi adecvate, relevante si
limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate;
4. exactitate – insemnand ca datele prelucrate vor fi exacte si, in cazul in care este necesar, vor fi
actualizate. Datele cu caracter personal care sunt inexacte, avand in vedere scopurile pentru care
sunt prelucrate, vor fi sterse sau rectificate imediat;
5. limitari legate de stocare – insemnand ca datele prelucrate vor fi pastrate intr-o forma care permite
identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii
scopurilor in care sunt prelucrate datele;
6. integritate si confidentialitate – insemnand ca datele cu caracter personal vor fi prelucrate intr-un
mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva
prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii
accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare.
II. Drepturile persoanelor vizate si Procedura de solutionare a solicitarilor adresate de acestea
Prelucrarea de date cu caracter personal se va efectua cu respectarea drepturilor persoanelor vizate, in
conformitate cu legislatia aplicabila, acestea fiind dupa cum urmeaza:
1. accesul la datele cu caracter personal, insemnand ca persoana vizata are dreptul de a obtine din
partea Societatii o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc si,
in caz afirmativ, acces la datele respective si la informatii cu privire la acestea;
2. rectificarea datelor cu caracter personal, insemnand dreptul de a obtine de la Societate, fara
intarzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc;
3. stergerea datelor cu caracter personal, insemnand dreptul de a obtine din partea Societatii
stergerea datelor cu caracter personal care o privesc, fara intarzieri nejustificate, in cazul in care
se aplica unul dintre urmatoarele motive:
a. datele cu caracter personal nu mai sunt necesare pentru indeplinirea scopurilor pentru care
au fost colectate sau prelucrate;
b. persoana isi retrage consimtamantul pe baza caruia a avut loc prelucrarea si nu exista niciun
alt temei juridic pentru prelucrare;
c. persoana se opune prelucrarii in temeiul prevederilor legale si nu exista motive legitime care
sa prevaleze in ceea ce priveste prelucrarea;
d. datele cu caracter personal au fost prelucrate ilegal;
e. datele cu caracter personal trebuie sterse pentru respectarea unei obligatii legale care revine
Societatii in temeiul dreptului Uniunii Europene sau al dreptului roman;
4. restrictionarea prelucrarii datelor cu caracter personal, insemnand dreptul de a obtine din partea
Societatii restrictionarea prelucrarii in cazul in care se aplica unul din urmatoarele cazuri:
a. persoana contesta exactitatea datelor, pentru o perioada care ii permite Societatii sa verifice
exactitatea datelor;
b. prelucrarea este ilegala, iar persoana se opune stergerii datelor cu caracter personal,
solicitand in schimb restrictionarea utilizarii lor;
c. Societatea nu mai are nevoie de datele cu caracter personal in scopul prelucrarii, dar
persoana i le solicita pentru constatarea, exercitarea sau apararea unui drept in instanta; sau
d. persoana s-a opus prelucrarii in conformitate cu dispozitiile legale, pentru intervalul de timp
in care se verifica daca drepturile legitime ale Societatii prevaleaza asupra celor ale
persoanei.
5. dreptul de a se opune prelucrarii datelor cu caracter personal, insemnand dreptul de a se opune,
din motive legate de situatia particulara in care se afla, prelucrarii datelor cu caracter personal
care o privesc, inclusiv crearii de profiluri pe baza respectivelor dispozitii. Societatea nu mai
prelucreaza datele cu caracter personal, cu exceptia cazului in care aceasta demonstreaza ca are
motive legitime si imperioase care justifica prelucrarea si care prevaleaza asupra intereselor,
drepturilor si libertatilor persoanei sau ca scopul este constatarea, exercitarea sau apararea unui
drept in instanta.
6. dreptul la portabilitatea datelor, insemnand dreptul persoanei de a primi datele cu caracter
personal care o privesc si pe care le-a furnizat Societatii intr-un format structurat, utilizat in mod
curent si care poate fi citit automat si are dreptul de a transmite aceste date altui operator, fara
obstacole din partea Societatii, in cazul in care:
a. prelucrarea se bazeaza pe consimtamant;
b. prelucrarea este efectuata prin mijloace automate.
7. dreptul de a nu fi obiectul unei decizii individuale automatizate, insemnand dreptul de a nu face
obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, care
produce efecte juridice care privesc persoana sau o afecteaza in mod similar intr-o masura
semnificativa.
8. dreptul de a retrage consimtamantul in orice moment, fara a afecta legalitatea prelucrarii efectuate
pe baza consimtamantului inainte de retragerea acestuia, daca prelucrarea datelor personale are
ca temei juridic consimtamantul persoanei
Pentru exercitarea acestor drepturi, persoanele vizate pot adresa Societatii o cerere scrisa, datata si
semnata la urmatoarele date de contact: e-mail: protectiadatelor@mirada.ro.
Persoana vizata va primi un raspuns in scris solicitarii sale in cel mult o luna de la primirea cererii.
Aceasta perioada poate fi prelungita cu doua luni atunci cand este necesar, tinandu-se seama de
complexitatea si numarul cererilor. Societatea informeaza persoana vizata cu privire la orice astfel de
prelungire, in termen de o luna de la primirea cererii, prezentand si motivele intarzierii. In cazul in care
persoana vizata introduce o cerere in format electronic, informatiile sunt furnizate in format electronic
acolo unde este posibil, cu exceptia cazului in care persoana vizata solicita un alt format.
Daca nu ia masuri cu privire la cererea persoanei vizate, Societatea informeaza persoana vizata, fara
intarziere si in termen de cel mult o luna de la primirea cererii, cu privire la motivele pentru care nu ia
masuri si la posibilitatea de a depune o plangere in fata unei autoritati de supraveghere si de a introduce o
cale de atac judiciara.
Informatiile furnizate in temeiul Regulamentului si si orice masuri luate in temeiul Regulamentului
sunt oferite gratuit. In cazul in care cererile din partea unei persoane vizate sunt in mod vadit nefondate
sau excesive, in special din cauza caracterului lor repetitiv, Societatea va putea:
a) fie sa perceapa o taxa rezonabila tinand cont de costurile administrative pentru furnizarea
informatiilor sau a comunicarii sau pentru luarea masurilor solicitate;
b) fie sa refuze sa dea curs cererii.
Persoana vizata are dreptul de a depune o plangere in fata Autoritatii Nationale de Supraveghere a
Prelucrarii Datelor cu Caracter personal din Romania in cazul in care considera ca i-au fost incalcate
drepturile cu privire la datele sale cu caracter personal.
III. Obligatiile salariatilor care prelucreaza date cu caracter personal in cadrul Societatii
Prelucrarea de date cu caracter personal in cadrul Societatii se va realiza de catre salariati numai in
conformitate cu dispozitiile Regulamentului nr. 679 / 2016 si a altor dispozitii de drept al Uniunii
Europene sau de drept intern referitoare la protectia datelor.
Angajatii vor avea drept de acces si prelucrare numai cu privire la datele cu caracter personal
necesare in vederea realizarii atributiilor de serviciu, si numai in conformitate cu scopurile stabilite de
Societate si in conformitate cu prezenta Politica Interna a Societatii privind Prelucrarea de Date cu
Caracter Personal.
Securitatea datelor cu caracter personal si respectarea legislatiei in domeniu este deosebit de
importanta pentru Societate si prin urmare, angajatii vor avea obligatia cunoasterii legislatiei aplicabile,
aplicarii si respectarii ei.
Avand in vedere ca angajatii vor lua la cunostinta date cu caracter personal in executarea contractului
de munca, angajatii vor avea obligatia ca pe intreaga perioada a contractului individual de munca, cat si
ulterior incetarii acestuia nelimitat in timp, sa:
a) pastreze stricta confidentialitate, sa nu divulge si sa nu transmita, direct sau indirect, catre orice
persoana fizica sau juridica oricare date cu caracter personal, afara de destinatarii si in scopurile
stabilite de Societate; si
b) sa nu permita si sa nu determine/favorizeze divulgarea, transmiterea sau furnizarea neautorizata
de Societate, a niciunei date cu caracter personal; si
c) sa nu foloseasca nicio data cu caracter personal in beneficiul sau, scopul sau personal sau in
beneficiul sau scopul vreunui tert, utilizarea datelor cu caracter personal facandu-se numai in scopurile
stabilite de Societate si divulgate destinatarilor autorizati.
Angajatul va putea dezvalui date cu caracter personal numai persoanelor din cadrul Societatii
implicate in executarea unor obligatii de serviciu care au legatura cu acele date.
Angajatii vor avea obligatia sa respecte regulile stabilite de Societate in ceea ce priveste folosirea
documentelor/informatiilor Societatii si nu vor face copii neautorizate si nu le vor indeparta din spatiul
aflat sub controlul societatii.
La incetarea contractului individual de munca sau pe parcursul executarii acestuia la solicitarea
expresa a Societatii, angajatul va returna acestuia toate documentele, rapoartele, listele, comunicarile,
corespondenta ori alte materiale, inclusiv copiile acestora, care relationeaza in orice fel cu date cu caracter
personal, si care au fost obtinute in orice mod, pe durata contractului individual de munca, iar in cazul in
care acestea sunt in posesia sa in forma electronica/informatica sau alta forma intangibila le va sterge
definitiv.
Nerespectarea de catre angajati a dispozitiilor prevazute in prezenta Politica Interna a Societatii
privind Prelucrarea de Date cu Caracter Personal, constituie abatere disciplinara grava, putand conduce in
functie de gravitatea faptei si circumstantele in care s-a realizat si la desfacerea disciplinara a contractului
individual de munca. De asemenea, o atare fapta poate antrena, dupa caz, si raspunderea civila,
patrimoniala, contraventionala sau penala a angajatului.
IV. Responsabilul cu protectia datelor cu caracter personal
Societatea va evalua in mod constant obligativitatea numirii unui responsabil cu protectia datelor cu
carcater personal raportat la prevederile Regulamentului si activitatile de prelucrarea de date cu carcater
personal desfasurate de Societate.
Pana la numirea unui sponsabil cu protectia datelor cu carcater personal, Societatea va desemna o
persoana din cadrul Societatii care sa aiba atributii privind informarea cu privire la legislatia referitoare la
protectia datelor si apoi consilierea Societatii, precum si a angajatilor care se ocupa de prelucrare cu
privire la obligatiile care le revin in temeiul legislatiei referitoare la protectia datelor si monitorizarea
respectarii legislatiei referitoare la protectia datelor si a politicilor Societatii in ceea ce priveste protectia
datelor cu caracter personal.
In cazul numirii unui responsabil cu protectia datelor cu caracter personal Societatea se va asigura ca
acesta este implicat in mod corespunzator si in timp util in toate aspectele legate de protectia datelor cu
caracter personal.
Societatea va sprijini responsabilul cu protectia datelor in indeplinirea sarcinilor sale, asigurandu-i
resursele necesare pentru executarea acestor sarcini, precum si accesarea datelor cu caracter personal si a
operatiunilor de prelucrare, si mentinerea cunostintelor sale de specialitate.
Societatea se va asigura ca responsabilul cu protectia datelor nu primeste niciun fel de instructiuni in
ceea ce priveste indeplinirea sarcinilor sale, si acesta nu este demis sau sanctionat de catre Societate
pentru indeplinirea sarcinilor sale. Responsabilul cu protectia datelor va raspunde direct in fata celui mai
inalt nivel al conducerii societatii.
Persoanele vizate vor putea contacta responsabilul cu protectia datelor cu privire la toate chestiunile
legate de prelucrarea datelor lor si la exercitarea drepturilor lor in temeiul prevederilor legale aplicabile.
Responsabilul cu protectia datelor va avea obligatia de a respecta secretul sau confidentialitatea in
ceea ce priveste indeplinirea sarcinilor sale, in conformitate cu dreptul Uniunii Europene sau cu dreptul
roman.
Responsabilul cu protectia datelor poate indeplini si alte sarcini si atributii, atata timp cat niciuna
dintre aceste sarcini si atributii nu genereaza un conflict de interese.
Responsabilul cu protectia datelor are cel putin urmatoarele sarcini:
a) informarea si consilierea Societatii, precum si a angajatilor care se ocupa de prelucrare cu privire
la obligatiile care le revin in temeiul legislatiei referitoare la protectia datelor;
b) monitorizarea respectarii legislatiei referitoare la protectia datelor si a politicilor Societatii in ceea
ce priveste protectia datelor cu caracter personal, inclusiv alocarea responsabilitatilor si actiunile
de sensibilizare si de formare a personalului implicat in operatiunile de prelucrare, precum si
auditurile aferente;
c) furnizarea de consiliere la cerere in ceea ce priveste evaluarea impactului asupra protectiei datelor
si monitorizarea functionarii acesteia;
d) cooperarea cu autoritatea de supraveghere;
e) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate
de prelucrare.
V. Masuri tehnice si organizatorice de securitate a datelor cu caracter personal
In vederea asigurarii unei cat mai bune securitati a datelor cu caracter personal prelucrate de Societate,
impotriva oricarui incident de securitate, Societatea va implementa si salariatii acesteia vor respecta,
urmatoarele masuri:
a) Societatea va pastra si actualiza o evidenta a activitatilor de prelucrare desfasurate sub
responsabilitatea sa, ce cuprinde toate informatiile prevazute de Regulament;
b) Patrunderea in locatiile unde sunt depozitate documente continand date cu caracter personal va fi
restrictionata;
c) Se va intocmi o politica speciala, continand masuri suplimentare de protectie in cazul prelucrarii de
date cu caracter personal prin intermediul unor sistemele de monitorizare prin mijloace de
comunicatii electronice si supraveghere video;
d) Calculatoarele Societatii de pe care pot fi accesate si prelucrate date cu caracter personal si utilizatorii
acestora vor trebui sa respecte urmatoarele masuri:
– Fiecare cont de utilizator este insotit de o modalitate de autentificare facuta prin introducerea
unei parole. Salariatii sunt obligati sa pastreze confidentialitatea username-ului si a parolei si sa
raspunda fata de Societatea;
– Parolele vor fi cuprinse din siruri de caractere (atat cifre,cat si litere) si se va incerca ca sirul de
caractere sa fie cat mai lung, de minim 7 caractere, pentru ca parola sa fie mai greu de aflat. La
introducerea parolelor acestea nu vor fi afisate in clar pe monitor. Parolele vor fi schimbate
periodic la fiecare 6 luni de zile.
– Sistemul informational folosit va refuza automat accesul unui utilizator dupa 5 introduceri
gresite ale parolei;
– Daca un salariat care avea acces la date, si-a dat demisia ori a fost concediat, si-a incheiat
contractul, a fost transferat la alt serviciu si noile sarcini nu ii solicita accesul la date cu caracter
personal, a abuzat de datele cu caracter personal sau daca va absenta o perioada indelungata, i se
va taia accesul si se vor modifica parolele;
– Computerele si alte terminale de acces vor fi instalate in incaperi cu acces restrictionat. Daca nu
pot fi asigurate aceste conditii, computerele se vor instala in incaperi care se pot incuia.
– Daca pe ecran apar date cu caracter personal asupra carora nu se actioneaza o perioada data de
15 minute, calculatorul trebuie sa intre automat in stand-by.
– Salariatii sunt obligati sa isi inchida sesiunea de lucru atunci cand parasesc locul de munca.
e) Salariatii vor putea accesa numai datele cu caracter personal necesare pentru indeplinirea atributiilor
lor de serviciu.
f) Personalul care asigura suportul tehnic poate avea acces la datele cu caracter personal pentru
rezolvarea unor cazuri exceptionale.
g) Orice modificare a datelor cu caracter personal se poate face numai de catre personal autorizat, iar
sistemul informational va inregistra cine a facut modificarea, data si ora modificarii. [NOTA: Va rog
confirmare din partea departamentului IT]
h) Se vor executa copii de siguranta a bazelor de date continand date cu caracter personal dupa cum
urmeaza ……………………………… [NOTA: Va rog feedback din partea departamentului IT]. Accesul la
copiile de siguranta va fi restrictionat si monitorizat.
i) Fisierele in care se regasesc date cu carcater personal vor fi parolate si pot fi accesate doar în mod
controlat, pe baza de drepturi de acces acordate de conducerae societatii. De asemenea, se va putea
vedea ultima accesare per fisier. [NOTA: Va rog confirmare din partea departamentului IT daca este
posibila aceasta masura?]
j) In cadrul cursurilor de pregatire a salariatilor Societatea va efectua informarea acestora cu privire la
prevederile Regulamentului pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter
personal si libera circulatie a acestor date, la cerintele minime de securitate a prelucrarilor de date cu
caracter personal, precum si cu privire la riscurile pe care le comporta prelucrarea datelor cu caracter
personal.
k) Salariatii care au acces la date cu caracter personal vor fi instruiti de catre Societate asupra
confidentialitatii acestora.
l) Pentru mentinerea securitatii prelucrarii datelor cu caracter personal (in special impotriva virusilor
informatici) Societatea dispune luarea urmatoarelor masuri:
interzicerea folosirii de catre salariati a programelor software care provin din surse externe sau
necunoscute;
informarea salariatilor in privinta pericolului privind virusii informatici;
implementarea unor sisteme automate de devirusare si de securitate a sistemelor informatice,
implementarea unui sistem firewall de retea si a unei solutii VPN; [NOTA: Va rog confirmare din
partea departamentului IT daca sunt posibile aceaste masuri?]
m) Societatea va stoca baza de date cu caracter personal pe servere localizate in ………………………….., care
asigura criptarea datelor si a caror operatori certifica faptul ca respecta prevederile Regulamentului
UE nr. 679/2016, in special in privinta masurilor de securitate a datelor cu caracter personal; [NOTA:
Va rog feedback din partea departamentului IT].
n) E-mailul de serviciu va fi utilizat numai in acest scop, si va fi in mod corespunzator accesat prin
introducerea unei parole de minim 7 caractere;
o) Societatea va utiliza servicii de e-mail a caror furnizori asigura criptarea datelor si certifica faptul ca
respecta prevederile Regulamentului UE nr. 679/2016, in special in privinta masurilor de securitate a
datelor cu caracter personal; [NOTA: Va rog feedback din partea departamentului IT].
p) Fisierele fizice continand date cu caracter personal se vor tine in incaperi cu acces restrictionat, sau
dulapuri cu incuietori;
q) In cazul documentelor continand date cu caracter personal sensibile, acestea se vor parola, sau se va
dezactiva posibilitatea de copiere si printare a acestora;
r) Salariatii vor acorda o atentie sporita datelor cu caracter personal scoase din incinta Societatii cu
ocazia indeplinirii atributiilor de serviciu (inclusiv pe laptop sau USB stick);
s) Salariatii nu vor putea stoca pe calculatoarele sau terminalele Societatii materiale, poze sau alte date
si informatii personale, straine de Societate.
t) Sediul Societatii este echipat cu sisteme de alarma antiefractie;
u) Intrarea in cadrul Societatii este supravegheata video;
v) interventia in caz de alarma este asigurata un serviciu intern de paza.
VI. Politica de arhivare si de stergere si eliminare a datelor cu caracter personal
Societatea va respecta principiul care guverneaza prelucrarea de date cu caracter personal, potrivit caruia
datele cu caracter personal trebuie pastrate pe o perioada care nu depaseste perioada necesara prelucrarii
pentru scopul identificat (principiul stocarii limitate a datelor).
Datele cu caracter personal stocate pentru perioade mai lungi decat cele necesare prelucrarii pentru scopul
identificat vor deveni in mod automat excesive.
Ca principiu:
a) La stabilirea perioadelor de stocare se vor lua in considerare, pentru fiecare categorie de date,
prevederile legale aplicabile care stabilesc astfel de perioade de retentie;
b) datele cu caracter personal ce vizeaza salariatii vor fi stocate pe durata Contractului Individual de
Munca incheiat cu Societatea si ulterior incetarii acestuia pe perioada minima obligatorie prevazuta
de legislatia in vigoare in functie de tipul de date vizat (ex: actualmente termenul de pastrare a
statelor de salarii este de 50 de ani, iar termenul de pastrare a registrelor si a celorlalte documente
financiar-contabile este de 10 ani);
c) datele rezultate ca urmare a supravegherii video se vor stoca 30 de zile;
d) datele tahograf 3 ani de zile conform legislatiei rutiere, urmand ca apoi sa fie sterse sau distruse;
e) datele rezultate din monitorizarea GPS se vor stoca pe toata perioada derularii contractului de leasing
(de regula 4 ani), fiind necesare pentru indeplinirea obligatiilor impuse de societatile de leasing cu
privire la monitorizarea GPS (pentru controlul locatiei vehiculului).
Datele cu caracter personal care nu sunt prelucrate in activitatea curenta a Societatii, dar pentru care
exista o justificare de pastrare, vor fi arhivate cu respectarea garantiilor privind securitatea datelor.
Se va asigura un flux corespunzator al operatiunilor/activitatilor/dosarelor inactive si a datelor cu caracter
personal rezultand din aceste operatiuni/ activitati/ dosare si se va verifica daca exista o justificare pentru
a retine in continuare respectivele date. In cazul in care se vor identifica date care nu mai sunt necesare, se
vor sterge sau elimina. Datele pentru care exista o justificare a le pastra vor fi arhivate.
Societatea pastreaza o arhiva interna, procedand la indosarierea si arhivarea datelor conform normativelor
si bunelor practici in domeniu, care sa permita identificarea imediata a documentelor. [NOTA: Va rog sa
confirmati daca se pastreaza o arhiva interna sau se externalizeaza acest serviciu]
Anual se vor revizui datele cu caracter personal prelucrate (inclusiv arhivate) si se vor sterge sau elimina
datele cu caracter personal de care nu mai este nevoie. De asemenea, datele pentru care exista inca de la
inceput stabilita o perioada de stocare se vor sterge definitiv la implinirea respectivei perioade.
Eliminarea datelor se va efectua atat fizic, cat si informatic.
Eliminarea fizica se va realiza prin utilizarea unor distrugatoare de hartie profesionale, care asigura o
eliminare totala si corespunzatoare a datelor, iar hartia rezultata va fi transmisa catre centre specializate de
reciclare a hartiei. [NOTA: Va rog sa confirmati daca exista aceste masuri]
VII. Procedura de notificare a incidentelor de securitate cu privire la datele cu caracter personal
si masuri de minimalizare a efectelor acestor incidente
In cazul in care are loc o incalcare a securitatii datelor cu caracter personal, Societatea notifica acest
lucru Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, fara intarzieri
nejustificate si, daca este posibil, in termen de cel mult 72 de ore de la data la care a luat cunostinta de
aceasta, cu exceptia cazului in care incalcarea nu este susceptibila sa genereze un risc pentru drepturile si
libertatile persoanelor fizice.
Prin incalcarea securitatii datelor cu caracter personal se va intelege o incalcare a securitatii care duce, in
mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizata a datelor cu
caracter personal transmise, stocate sau prelucrate intr-un alt mod, sau la accesul neautorizat la acestea.
In analiza necesitatii notificarii Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter
Personal cu privire la incalcare a securitatii datelor cu caracter personal, anume daca incalcarea este sau
nu susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor fizice, se vor lua in
considerare urmatoarele elemente:
Tipul incidentului;
Natura, contextul, volumul datelor afectate;
Posibilitatea de a identifica persoanele vizate;
Consecintele incidentului asupra persoanelor vizate;
Circumstantele persoanelor vizate;
Circumstantele Societatii.
Notificarea va cuprinde cel putin:
a)o descriere a incalcarii securitatii datelor cu caracter personal, inclusiv, acolo unde este posibil,
categoriile si numarul aproximativ al persoanelor vizate in cauza, precum si categoriile si numarul
aproximativ al inregistrarilor de date cu caracter personal in cauza;
b) numele si datele de contact ale responsabilului cu protectia datelor sau un alt punct de contact de unde
se pot obtine mai multe informatii;
c)o descriere a consecintelor probabile ale incalcarii securitatii datelor cu caracter personal;
d) o descriere a masurilor luate sau propuse spre a fi luate de Societate pentru a remedia problema
incalcarii securitatii datelor cu caracter personal, inclusiv, dupa caz, masurile pentru atenuarea
eventualelor sale efecte negative.
Societatea va pastra documente referitoare la toate cazurile de incalcare a securitatii datelor cu
caracter personal, care cuprind o descriere a situatiei de fapt in care a avut loc incalcarea securitatii
datelor cu caracter personal, a efectelor acesteia si a masurilor de remediere intreprinse.
In cazul in care incalcarea securitatii datelor cu caracter personal este susceptibila sa genereze un risc
ridicat pentru drepturile si libertatile persoanelor fizice, Societatea va informa persoana vizata fara
intarzieri nejustificate cu privire la aceasta incalcare.
De asemenea, imediat ce a fost identificat un incident de securitate a datelor cu caracter personal, se
va forma la nivelul Societatii o comisie interna, formata din director general, responsabilul cu protectia
datelor cu caracter personal in cadrul Societatii (daca exista) si responsabilul departamentului in care s-a
produs incidentul si, daca e cazul, responsabilul IT sau HR. Aceasta comisie va analiza circumstantele in
care s-a produs incidentul, potentialele sale efecte si masurile concrete ce se impun a fi luate imediat in
vederea remedierii situatiei si limitarii consecintelor incidentului si a riscurilor asupra drepturilor si
libertatilor persoanelor vizate.
Prezenta Politica a fost intocmita in consultare cu Reprezentantii salariatilor si va fi adusa la
cunostinta tuturor salariatilor Societatii.
De asemenea, prezenta Politica va fi revizuita periodic, pentru a fi in concordanta cu activitatea
efectiva desfasurata de Societate cu privire la prelucrarile de date cu caracter personal, cu evolutiile
tehnologice si desigur cu modificarile legislatiei in domeniu.
Data: 25.05.2018
S.C. MIRADA CONSTRUCT S.R.L.
prin reprezentant legal
PUI RADU IOAN -administrator ________________________
In consultare cu,
Reprezentantii salariatilor
Pantea Alex Andrei _____________________
Marciuc Ion Cristinel _____________________
Deznan Antoanela Dorina ___________________