Politica de Confidențialitate

1         Prezentare generală

ASOCIAȚIA ROMÂNĂ A BĂNCILOR (denumită în continuare “ARB”) a stabilit un program de confidențialitate și protecție a datelor cu caracter personal personale (”date personale”), susținut de o Politică privind Securitatea Informațiilor care definește politici, standarde, proceduri, controale și linii directoare pentru a proteja informațiile esențiale și tehnologiile informaționale, precum și datele colectate, prelucrate și stocate de ARB. Aceste politici, descriu așteptările și rezultatele pentru un program de succes în materie de confidențialitate și protecția datelor personale.

1.1         Scop

1.1.1     ARB recunoaște și respectă drepturile de confidențialitate și protecția datelor personale ale persoanelor fizice. “Datele personale” sunt definite ca orice informație care identifică direct sau indirect o persoană fizică.

1.1.2     Această Politică de confidențialitate și protecție a datelor stabilește cerințele minime pentru a asigura respectarea de către ARB a legislației interne și europene cu privire la confidențialitatea și protecția datelor (“Cerințele de protecție a datelor”).

1.2         Domeniul de aplicare

Politica de confidențialitate și protecția datelor (“Politica”) face parte din programul privind confidențialitatea și protecția datelor, care oferă politici, procese, proceduri și îndrumări pentru protejarea datelor, conform Regulamentului general privind protecția datelor (GDPR) al Uniunii Europene și legislației naționale în materie.

1.2.1     ARB se angajează să respecte cerințele de protecție a datelor și această Politică stabilește politici și proceduri pentru îndeplinirea acestor cerințe.

1.2.2     Această Politică se aplică datelor personale prelucrate electronic prin mijloace automate sau deținute manual de ARB în legătură cu operațiunile sale comerciale.

1.2.3     Definiția prelucrării este foarte largă și include orice operațiune efectuată asupra datelor personale, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

1.2.4     Prin urmare, această Politică se aplică tuturor prelucrărilor de date personale obținute de la angajați, agenți, consultanți, contractanți, furnizori, furnizori de servicii, investitori clienți și alți terți din Uniunea Europeană.

1.2.5     Această Politică trebuie implementată și urmată de toți angajații ARB. Mai mult decât atât, această Politică trebuie să fie urmată de personalul temporar al ARB, de către agenții, consultanții, contractanții, furnizorii și furnizorii de servicii atunci când prelucrează date personale în numele ARB.

1.2.6     Această Politică este completată de alte politici și îndrumări ale ARB care abordează aspecte specifice ale cerințelor de protecție a datelor.

1.2.7     În cazul în care un angajat ia cunoștință de orice legi sau reglementări care îl împiedică să respecte această Politică sau orice încălcare a acestei Politici, inclusiv orice încălcare a securității datelor, aceștia trebuie să informeze Responsabilul cu protecția datelor imediat după ce au luat cunoștință de aceste legi, reglementări sau încălcări.

1.3         Destinatarii

Cu excepția cazului în care se prevede altfel, toți angajații ARB (inclusiv angajații temporari, personalul contractant și consultanți) trebuie să respecte Politica descrisă în acest document.

Politica este concepută pentru a oferi un nivel minim acceptabil de protecție organizației, indicând proceduri pentru a se asigura că aceste niveluri sunt menținute în permanență.

Politica trebuie să fie în perfecta concordanță cu nevoile activităților ARB în acest moment și în viitorul previzibil.

1.4         Excepții

Excepțiile de la această Politică trebuie să fie documentate complet și motivate prin raportare la interesele legitime care le justifică și trimise Responsabilului cu protecție a datelor pentru examinare.

Persoana care solicită excepția trebuie să transmită cererea însoțită de documentele justificative către conducerea ARB pentru revizuire, aprobare sau respingere finală. Toate excepțiile trebuie aprobate în prealabil.

Tuturor solicitărilor li se vor identifica și analiza riscurile potențiale asupra activităților economice și asupra  securității și se va stabili dacă pot fi sau nu acceptate. Acest proces necesită un memoriu de acceptare a riscurilor semnat de un director de departament și aprobat de către Responsabilul cu protecția datelor, departamentul IT și departamentul de audit intern.

1.5         Consecințele neconformității

Toți angajații, contractanții, consultanții, furnizorii de servicii, partenerii și / sau entitățile care acționează în numele ARB sau cei care au acces la date personale sau confidențiale controlate de ARB sunt obligați să respecte această Politică.

1.6         Conformitatea

Această politică respectă legislația și reglementările interne și europene relevante, standardele industriale specifice, obligațiile de certificare și contractuale și toate politicile de securitate ale ARB.

1.7         Monitorizare

ARB își rezervă dreptul de a verifica respectarea sau nerespectarea acestei Politici, cu sau fără consimțământ și/sau notificare anterioară.

1.8         Suport

Pentru orice întrebări, comentarii sau preocupări, contactați ARB la datele de contact din Anexa 1.

1.9         Actualizare

Conducerea executiva a ARB este responsabila cu actualizarea și revizuirea acestei Politici și a tuturor politicilor, procedurilor, standardelor și liniilor directoare.

2         Informații generale

Următoarele informații sunt furnizate pentru o parcurgere și o înțelegere mai ușoară a acestei politici.

2.1         Referințe corelative

Politicile, procedurile, standardele și regulamentele de mai jos pot fi menționate în secțiunile de politică, subsecțiunile și declarațiile din acest document.

2.1.1     Politicile, procedurile, standardele și orientările ARB

    1. Statutul Asociației Române a Băncilor (ARB)
    2. Regulamentul de Organizare și Funcționare al ARB V3.0 aprobat de Consiliul Director al ARB la data de 25 iunie 2018 (actualizat conform prevederilor Regulamentului pentru Protecția Datelor Personale – GDPR)
    3. Politica Asociației Române a Băncilor (ARB) privind Securitatea informațiilor
    4. Politica de utilizare a computerului și Politica privind comunicațiile electronice ale Asociației Române a Băncilor
    5. Politica de confidențialitate și de protecție a datelor cu caracter personal

2.1.2     Cerințe de reglementare

    1. Regulamentul (UE) 2016/679 al Parlamentului european și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor),
    2. Ghiduri, opinii si alte documente emise de EuropeanData Protection Board (EDPB),
    3. Legea nr. 129/2018 pentru modificarea și completarea Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru abrogarea Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date,
    4. Deciziile, ghidurile precum si alte documente emise de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

3         Politica

Toate informațiile despre ARB trebuie să fie gestionate și controlate corespunzător pentru a proteja confidențialitatea, integritatea și disponibilitatea acestora.
Pentru a îndeplini aceste cerințe, ARB va implementa principiile de confidențialitate și controalele de securitate. Principiile vor proteja, de asemenea, datele personale pe care ARB le stochează și le prelucrează în cursul activităților economice curente.

3.1         Principiile de protecție a datelor personale

ARB a adoptat următoarele principii care vor fi respectate în procedura de prelucrare a datelor personale:

    1. Datele personale vor fi prelucrate în mod corect și legal, în conformitate cu cerințele legislative privind protecția datelor.
    2. Prelucrarea datelor personale sensibile (care este definită în secțiunea 3.3 – Date personale sensibile) face obiectul unor cerințe suplimentare privind protecția datelor și trebuie să se acorde o atenție deosebită prelucrării datelor personale sensibile (de exemplu, date privind sănătatea).
    3. Datele personale vor fi prelucrate numai în scopuri specificate, explicite, legale și legitime și nu vor fi prelucrate în nici un fel incompatibil cu aceste scopuri, cu excepția situației în care: (i) persoana ale cărei date personale (“Persoana vizată”) sunt prelucrate și exprimat consimțământul valabil al persoanei la care se raportează datele personale; sau (ii) dacă prelucrarea este necesară în scopul intereselor legitime urmărite de ARB sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale Persoanei vizate, care necesită protejarea datelor personale.
    4. Datele personale trebuie să fie adecvate, relevante și nu excesive în raport cu scopurile pentru care sunt prelucrate datele personale.
    5. Datele personale trebuie să fie corecte, complete și actualizate în funcție de scopurile pentru care sunt prelucrate datele personale.
    6. Datele personale nu trebuie păstrate într-o formă care să permită identificarea persoanei vizate mai mult decât este necesar în scopurile autorizate.
    7. Datele personale sunt colectate și prelucrate în conformitate cu drepturile Persoanelor vizate. Consultați secțiunea 3.7 – Drepturile persoanelor vizate din această Politică.
    8. În ceea ce privește datele personale, se vor lua măsuri tehnice și organizatorice corespunzătoare. Vezi secțiunea 3.9 – Securitatea datelor a acestei Politici.
    9. Datele personale nu trebuie transferate din Spațiul Economic European (“SEE”) într-o țară din afara SEE, cu excepția cazului în care se consideră că această țară oferă un nivel adecvat de protecție a datelor sau dacă nu se află într-una dintre cazurile descrise în secțiunea 3.6. 3 (Transferuri de date personale din SEE) a acestei Politici.

3.2         Consimțământul persoanei vizate și dreptul de a retrage consimțământul

3.2.1     În cazul în care consimțământul persoanei vizate este dat în contextul unei declarații scrise care se referă și la alte aspecte, cererea privind consimțământul trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Persoana vizată trebuie să exprime că aceasta este sau nu de acord cu prelucrarea datelor sale personale. Consimțământul trebuie să fie exprimat în scris sau prin alte mijloace legale permise. Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Înainte de acordarea consimțământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimțământului se face la fel de simplu ca acordarea acestuia.

3.2.2     ARB, atunci când elaborează un sistem de obținere a consimțământului, se asigură că:

(a)         sunt obținute consimțăminte separate pentru activități de prelucrare distincte;

(b)        consimțământul se distinge în mod clar de orice alte aspecte într-un document scris;

(c)            cererea pentru obținerea consimțământului este într-o formă inteligibilă și accesibilă, în limbaj clar;

(d)         este la fel de ușor pentru Persoana vizată să-și dea și să-și retragă consimțământul;

(e)         consimțământul nu este condiționat de executarea unui contract, iar Persoanele vizate trebuie să aibă o alegere reală liberă de a-și da consimțământul;

(f)          informațiile și dezvăluirile necesare descrise în secțiunea 3.4 – Notificări privind protecția datelor sunt furnizate sub forma consimțământului;

(g)         se poate dovedi că a fost obținut consimțământul, inclusiv forma consimțământului și că nu a fost primită nicio solicitare de retragere a consimțământului; și

(h)        consimțământul este dat pentru toate scopurile atunci când există multiple scopuri și prelucrarea datelor personale este limitată la acele scopuri specifice și, prin urmare, în conformitate cu consimțământul obținut.

3.2.3     Consimțămintele cu privire la datele personale sensibile trebuie, de asemenea, să respecte cerințele din secțiunea 3.3 – Date personale sensibile din această Politică.

3.2.4     Datele personale pot fi deținute și/sau stocate, dacă acest lucru este cerut de legislație, investigații legale sau la cererea unei autorități legale care are jurisdicție asupra datelor.

3.3         Categoriile speciale de date cu caracter personal

3.3.1     Categoriile speciale de date cu caracter personal reprezintă date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

3.3.2     ARB va avea în general posibilitatea de a procesa categoriile speciale de date cu caracter personal doar atunci când:

(a)            Persoana vizată și-a dat consimțământul expres; sau

(b)            prelucrarea este necesară, astfel încât ARB să poată respecta legislația muncii și această prelucrare este autorizată în mod specific sau impusă de lege.

3.3.3     Prelucrarea categoriile speciale de date cu caracter personal trebuie să fie redusă la minimum și, în orice caz, doar în limitele strict necesare. Astfel, în cazul în care este posibilă prelucrarea datelor personale sensibile în mod anonim sau ca date agregate, acest lucru ar trebui luat în considerare.

3.3.4     Datele personale incluse în categorii speciale:

(a)         trebuie să fie procesate în conformitate cu cele mai înalte standarde de securitate, după cum este specificat în secțiunea 3.8 – Securitatea datelor a prezentei Politici; și

(b)         accesul la datele personale se limitează numai la acei angajați care au nevoie de astfel de date pentru a-și îndeplini sarcinile legate de muncă.

3.4         Notificări privind protecția datelor

3.4.1     Trebuie furnizată o notificare privind protecția datelor care conține informațiile din secțiunea 3.4.2 – Notificări privind protecția datelor. Persoanelor vizate înainte de prelucrarea datelor lor personale sau, în cazul în care sunt primite de la o terță parte, cât mai curând posibil după primirea datelor lor personale, cu excepția cazului în care Persoana vizată are deja astfel de informații.

3.4.2     Notificarea privind protecția datelor trebuie să fie clară și trebuie să includă următoarele informații minime:

(a)         identitatea și datele de contact ale operatorului (adică persoana care determină scopul și modul în care sunt procesate datele personale) și, dacă este cazul, Responsabilul cu protecția datelor;

(b)         scopurile și temeiul juridic al prelucrării, inclusiv interesul sau interesele legitime urmărite prin intermediul informațiilor, dacă acesta este temeiul juridic al prelucrării;

(c)         destinatarii sau categoriile de destinatari ai datelor personale;

(d)         detaliile transferurilor internaționale în afara SEE și modul de obținere a unei copii a garanțiilor relevante;

(e)         perioada de păstrare a datelor personale sau, în cazul în care acest lucru nu este posibil, criteriile utilizate pentru stabilirea acestei perioade;

(f)          existența drepturilor Persoanelor vizate (enunțate la punctul 3.7 de mai jos) și dreptul de a retrage consimțământul;

(g)        dreptul de a depune o plângere la autoritatea de protecție a datelor (“APD”);

(h)         dacă furnizarea de date personale este o cerință legală sau contractuală sau o cerință necesară pentru a încheia un contract, precum și dacă Persoana vizată este obligată să furnizeze datele personale și posibilele consecințe ale nefurnizării acestor informații ; și

(i)           existența unui proces de luare a deciziilor automat care presupune inclusiv elaborarea de profiluri și selectarea informațiilor semnificative cu privire la logica implicată, precum și semnificația și consecințele preconizate ale unei astfel de procesări.

3.5         Dezvăluirea datelor personale către operatorii de date și terți

3.5.1     Un operator de date procesează date personale în numele și în conformitate cu instrucțiunile unui operator de date, de exemplu un furnizor care păstrează date personale pentru ARB. Datele personale nu pot fi furnizate de către ARB niciunui operator de date decât dacă a fost încheiat un acord de prelucrare a datelor în scris conținând cel puțin următoarele:

(a)         operatorul de date va procesa datele personale numai în conformitate cu instrucțiunile documentate ale ARB;

(b)         operatorul de date va obține consimțământul ARB înainte de a numi un sub-operator;

(c)         operatorul de date va lua măsurile de securitate tehnice și organizatorice adecvate, astfel cum se specifică în acordul de prelucrare a datelor;

(d)         operatorul de date va sprijini ARB în obligațiile sale de a răspunde solicitărilor formulate de Persoanele vizate, de a raporta încălcările securității, de a efectua evaluări de impact privind protecția datelor și de a se consulta cu APD;

(e)         operatorul de date va șterge sau va returna toate datele personale prelucrate în numele ARB odată ce a încetat prelucrarea;

(f)          ARB are dreptul de a revizui măsurile de securitate tehnice și organizaționale implementate, iar operatorul de date va pune la dispoziție facilitățile sale de prelucrare a datelor pentru sprijinirea operațiunilor de audit efectuate de către sau în numele ARB;

(g)         operatorul de date trebuie să respecte această Politică (în măsura în care este relevant), precum și toate celelalte politici și proceduri relevante ale ARB, precum și legile aplicabile.

3.5.2     Dispozițiile standard privind prelucrarea datelor care conțin cerințe minime de securitate pe care toți operatorii de date trebuie să accepte să le respecte pot fi obținute de la Responsabilul cu protecția datelor.

3.5.3     Responsabilul cu protecția datelor, va efectua verificări periodice privind prelucrarea datelor personale de către operatorii de date.

3.5.4     În măsura în care ARB divulgă date personale unor terțe părți care nu acționează ca operatori de date care prelucrează astfel de date personale în numele ARB (de exemplu, dezvăluiri ca răspuns la o cerere făcută de poliție sau de un autor de reglementare), ARB va lua măsuri rezonabile și adecvate pentru a menține nivelul cerut de confidențialitate în conformitate cu prevederile prezentei Politici, iar Responsabilul cu protecția datelor ar trebui să fie consultat înainte de a face astfel de dezvăluiri pentru a stabili că toate condițiile legale au fost întrunite.

3.6         Transferuri ale datelor personale din SEE

3.6.1     Cerințele UE privind protecția datelor interzic transferul de date personale din SEE către țările din afara SEE, care nu asigură un nivel adecvat de protecție cu excepția cazului în care se aplică anumite scutiri.

3.6.2     Un număr mic de țări sunt considerate de către Comisia Europeană a asigura un nivel adecvat de protecție, inclusiv Andorra, Argentina, Canada, Insulele Feroe, Guernsey, Insula Man, Israel, Jersey, Noua Zeelandă, Elveția și Uruguay.

3.6.3     Datele personale nu ar trebui transferate din SEE către o țară care nu este considerată a oferi un nivel adecvat de protecție, cu excepția cazului în care se aplică una dintre următoarele excepții:

(a)            persoana vizată și-a dat consimțământul pentru realizarea transferului;

(b)            transferul este necesar pentru executarea unui contract între Persoana vizată și operator sau pentru punerea în aplicare a măsurilor precontractuale luate ca răspuns la solicitarea Persoanei vizate;

(c)            transferul este necesar pentru încheierea sau executarea unui contract încheiat în interesul Persoanei vizate între operator și o terță parte;

(d)            transferul este necesar sau cerut de lege în baza unor motive de interes public importante sau pentru stabilirea, exercitarea sau apărarea solicitărilor judiciare;

(e)            transferul este necesar pentru protejarea intereselor esențiale ale Persoanelor vizate:

(f)             exportatorul de date din SEE și importatorul de date din afara SEE s-au angajat la respectarea Clauzele contractuale standard ale Uniunii Europene (“Contractele-model”); sau

(g)            importatorul de date din Statele Unite este certificat în conformitate cu deciziile de adecvare ale C.E..

3.7         Drepturile persoanelor vizate

3.7.1     Persoanele vizate au anumite drepturi în conformitate cu Cerințele de protecție a datelor care pot fi supuse limitărilor și / sau restricțiilor. Aceste drepturi includ dreptul de a:

(a)             solicita acces la și de a rectifica sau șterge informațiile lor personale;

(b)             obține limitarea prelucrării sau de a se opune prelucrării informațiilor personale;

(c)             dreptul la portabilitatea datelor ;

(d)             dreptul de a nu fi subiectul unei decizii bazată exclusiv pe prelucrare automată, inclusiv elaborarea de profiluri, care produce efecte legale cu privire la Persoana vizată sau afectează în mod semnificativ Persoana vizată.

3.8         Activități de marketing

3.8.1     Sub rezerva legilor aplicabile și a politicilor și îndrumărilor ARB cu privire la activitățile promoționale, datele personale pot fi prelucrate doar pentru a trimite informații de marketing unei Persoane vizate (inclusiv orice angajat) în cazul în care cerințele prezentei Politici, inclusiv în special în secțiunile 3.2 – Consimțământul persoanei vizate și dreptul de a retrage consimțământul și 3.4 – Notificări privind protecția datelor sunt respectate.

3.8.2     Destinatarii comunicărilor de marketing expediate prin e-mail trebuie să aibă posibilitatea de a se opune, gratuit, utilizării datelor lor de contact electronice la momentul colectării datelor de contact și la trimiterea fiecărui mesaj.

3.8.3     Prelucrarea datelor personale în scopuri de marketing direct trebuie să se oprească în cazul în care acest lucru este solicitat de către Persoana vizată.

3.9         Securitatea datelor

3.9.1     Trebuie adoptate măsuri fizice, tehnice și organizaționale adecvate pentru protejarea datelor personale împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat, având în vedere costurile de implementare, natura datelor și riscuri la care sunt expuse.

3.9.2     Aceste măsuri de securitate trebuie să fie în conformitate cu cerințele din Politica privind Securitate Informațiilor a ARB.

3.9.3     Angajații care sunt solicitați, în virtutea fișei postului lor, să prelucreze date personale vor primi instruire și îndrumare cu privire la securitatea datelor. Angajații ARB vor aplica săi să conștientizeze principiile de securitate de bază stabilite în această Politică și în Politica privind Securitatea Informațiilor a ARB.

3.9.4     Este responsabilitatea tuturor angajaților de a raporta, cât mai curând posibil, toate încălcărilor de securitate sau potențialele încălcări ale securității legate de pierderea sau accesul neautorizat la date sau de divulgarea datelor personale către Responsabilul cu protecția datelor.

3.9.5     ARB va notifica ANSPDCP corespunzător fără întârzieri nejustificate și nu mai târziu de 72 de ore de la constatarea unei încălcări a datelor personale care conduce la distrugerea, pierderea, modificarea accidentale sau nelegale, dezvăluirea neautorizată sau accesul la datele personale transmise, stocate sau prelucrate în alt mod.

3.9.6     ARB va notifica Persoanele vizate afectate de o încălcare a securității datelor fără întârzieri nejustificate atunci când încălcarea este susceptibilă să genereze un factor de risc ridicat pentru drepturile și libertățile Persoanelor vizate, cu excepția cazului în care:

(a)         au fost puse în aplicare măsuri adecvate de protecție tehnică și organizatorică cu privire la datele personale afectate de încălcare; și / sau

(b)         ARB a luat măsuri ulterioare prin care să asigure că factorul de risc ridicat pentru Persoanele vizate nu mai este posibil să se materializeze; sau

(c)         notificarea ar implica un efort disproporționat. În acest caz, Persoanele vizate vor fi informate într-o manieră la fel de eficientă.

3.9.7     Conținutul tuturor datelor, comunicărilor și informațiilor transmise, utilizate, primite prin sau stocate pe telefoanele, computerele, e-mailurile, mesageria instantanee, mesajele vocale, conexiunile Internet sau intranet, telefoane celulare / telefoane inteligente, tablete, dispozitive inteligente, pager-e sau alte sisteme ale ARB sunt înregistrări și proprietăți ale ARB.

3.9.8     Pentru unicul  scop de a proteja angajații și interesele legate de securitatea cibernetică a ARB, ARB își rezervă dreptul absolut de a monitoriza, intercepta, revizui, bloca, filtra și dezvălui altor persoane orice date, comunicări, tranzacții trimise, primite sau stocate pe aceste sisteme în orice moment. Monitorizarea sistemului, efectuată periodic, aleatoriu sau în alt mod pentru orice activitate de întreținere, securitate, investigație sau alt scop, este stabilită de ARB după propria apreciere.

3.10     Deschidere, transparență și notificare

ARB va pune la dispoziție informații legate de prelucrare, operatorii de date și punctul de contact din cadrul ARB pentru orice întrebări legate de confidențialitatea datelor.

3.11     Răspundere

ARB se va asigura că toți angajații cărora li se încredințează datele Persoanei vizate îndeplinesc cerințele legale și politicile ARB referitoare la confidențialitatea și protecția datelor

Responsabilului cu protecție a datelor va monitoriza (conform Ghid referitor la aplicarea Regulamentului General privind Protecţia Datelor destinat operatorilor ANSPDCP) programul de confidențialitate a datelor și se va asigura că există controale și procese care să asigure un nivel ridicat de protecție pentru păstrarea integrității confidențialității  și disponibilității datelor.

3.12     Raportarea incidentelor și răspunsul aferent

Va exista un proces formal și comunicat pentru a răspunde încălcărilor securității cibernetice. Un proces de raportare care va include orice Persoană vizată ale cărei date personale au fost afectate de încălcare. Notificarea se va face în termen de 72 de ore de la încălcarea confirmată. Responsabilului  cu protecție a datelor va fi responsabil pentru notificarea persoanelor și a conducerii.

3.13     Implementarea

3.13.1  Această Politică va fi pusă la dispoziția angajaților prin intermediul Departamentului de Resurse Umane și va fi pusă la dispoziția celor care nu sunt angajați sau prin alte mijloace de notificare după cum poate considera necesar Responsabilul cu protecția datelor.

3.13.2  Această Politică poate fi revizuită oricând. Notificări privind revizuirile semnificative sunt furnizate angajaților prin intermediul Departamentului de resurse umane și terților prin intermediul unor mecanisme adecvate.

3.14     Întrebări și reclamații

Această Politică este aplicată de către Responsabilul cu protecția datelor, Compartimentul de Resurse Umane și Compartimentul IT.

 Orice întrebări sau reclamații legate de această Politică, aplicarea cerințelor de protecție sau prelucrare a datelor personale pot fi adresate conducerii ARB și/sau a persoanei desemnate în rolul Responsabilului pentru protecția datelor, utilizând datele de contact ale ARB disponibile la următorul link – click aici.

Observație: acronimul SEE cuprinde următoarele țări: Austria, Belgia, Bulgaria, Croația, Republica Cipru, Republica Cehă, Danemarca, Estonia, Finlanda, Franța, Germania, Grecia, Ungaria, Islanda, Irlanda, Italia, Letonia, Liechtenstein, Lituania, Luxemburg, Malta, Olanda, Norvegia, Polonia, Portugalia, România, Slovacia, Slovenia, Spania, Suedia și Marea Britanie.