Scris de I.I.S.P.V. Bucuresti
1. Referințe
Regulamentul (UE) 679/2016 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date;
Legea nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date;
Legea nr. 188/1999 privind Statutul funcţionarilor publici, cu modificările şi completările ulterioare;
Legea nr. 7/2004 privind Codul de conduită a funcționarilor publici, cu modificările şi completările ulterioare;
Legea nr. 477/2004 privind Codul de conduită a personalului contractual din autorităţile şi instituţiile publice;
Legea nr. 544 din 12 octombrie 2001 privind liberul acces la informaţiile de interes public;
2. Scop
Punerea în aplicare a regulamentului nr. 679/2016 la nivelul Institutului de Igienă și Sănătate Publică Veterinară.
Această politică de protecție a datelor personale cuprinde toate prelucrările de date cu caracter personal, prin mijloace automatizate sau prin prelucrări manuale, şi se aplică tuturor angajaţilor Institutului de Igienă și Sănătate Publică Veterinară.
3. Definiţii
a) date cu caracter personal - orice informaţii referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
b) date cu caracter special - date privind originea etnica sau rasială, date privind opiniile politice, date privind, confesiunea religioasa sau convingerile filozofic, apartenenta la sindicate, date genetice, data biometrice, date privind sanatatea, date privind sanatatea;
c)datele genetice - date cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care rezultă în urma unei analize a unei mostre de material biologic al persoanei fizice în cauză, în special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricărui alt element ce permite obținerea unor informații echivalente;
d)datele cu caracter personal privind sănătatea - toate datele având legătură cu starea de sănătate a persoanei vizate care dezvăluie informații despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate. Acestea includ informații despre persoana fizică colectate în cadrul înscrierii acesteia la serviciile de asistență medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză, astfel cum sunt menționate în Directiva 2011/24/UE a Parlamentului European și a Consiliului (1); un număr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale; informații rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe corporale, inclusiv din date genetice și eșantioane de material biologic; precum și orice informații privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro;
e) date anonime - date care, datorită originii sau modalităţii specifice de prelucrare, nu pot fi asociate cu o persoană identificată sau identificabilă;
f) prelucrarea datelor cu caracter personal - orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea;
g) stocarea - păstrarea pe orice fel de suport a datelor cu caracter personal culese;
h) sistem de evidenţă a datelor cu caracter personal - orice structură organizată de date cu caracter personal, accesibilă potrivit unor criterii determinate, indiferent dacă această structură este organizată în mod centralizat ori descentralizat sau este repartizată după criterii funcţionale ori geografice;
i) operator - orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal; dacă scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizică sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin acel act normativ sau în baza acelui act normativ;
j) persoană împuternicită de către operator - o persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care prelucrează date cu caracter personal pe seama operatorului;
k) terţ - orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, alta decât persoana vizată, operatorul ori persoana împuternicită sau persoanele care, sub autoritatea directă a operatorului sau a persoanei împuternicite, sunt autorizate să prelucreze date;
l) destinatar - orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, căreia îi sunt dezvăluite date, indiferent dacă este sau nu terţ; autorităţile publice cărora li se comunică date în cadrul unei competenţe speciale de anchetă nu vor fi considerate destinatari;
4. Principii
Prelucrările de date sunt efectuate în mod legal, echitabil şi transparent. Transparenţa în prelucrarea datelor vizează informarea persoanelor fizice în ceea ce priveşte identitatea operatorului şi scopul prelucrării, precum şi oferirea de informaţii suplimentare, atunci când sunt cerute.Scopul prelucrării datelor trebuie determinat la momentul colectării datelor respective, iar persoanele fizice vor fi informate în legătură cu acesta.
Datele personale pot fi prelucrate numai în scopul definit înainte de colectarea datelor și comunicat persoanei vizate. Modificările ulterioare ale scopului sunt posibile doar într-o măsură limitată și necesită o fundamentare solidă.
Perioada în care se păstrează datele cu caracter personal este cea prevăzută de lege, limitată la minim. După trecerea perioadei de păstrare, acestea vor fi şterse.
Se va asigura, de asemenea, securitatea şi confidenţialitatea datelor cu caracter personal prelucrate de către Institutul de Igienă și Sănătate Publică Veterinară,inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal și a echipamentului utilizat pentru prelucrare.
Datele personale colectate trebuie să fie corecte, complete și, dacă este necesar, să fie actualizate. Trebuie luate măsuri permanent pentru ştergerea, corectarea, suplimentarea sau actualizarea datelor inexacte sau incomplete.
5. Formularea politicii
Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental, recunoscut prin Carta drepturilor fundamentale a Uniunii Europene.
Prelucrarea trebuie efectuată pe baza consimţământului persoanei vizate sau în temeiul unui alt motiv legitim, prevăzut de lege, fie în prezentul regulament, fie în alt act din dreptul Uniunii sau din dreptul intern. Consimţământul persoanei fizice poate fi acordat verbal sau în scris, prin declaraţia de consimţământ formulată în prealabil.
Datele personale ale clienţilor pot fi procesate în scopul de a încheia, de a executa și de a finaliza un contract. Persoanele pot fi contactate folosind informațiile personale pe care acestea le-au furnizat. Orice restricții solicitate de clienţi trebuie să fie respectate.
Datele personale pot fi, de asemenea, prelucrate în baza unui interes legitim al Institutului de Igiena si Sanatate Publica Veterinara de natură juridică.
Datele cu caracter special pot fi procesate numai dacă legea impune acest lucru sau persoana vizată și-a dat acordul expres. Dacă există intenția de a procesa datele cu caracter special, responsabilul pentru protecția datelor cu caracter personal trebuie să fie informat în prealabil.
Dacă datele cu caracter personal sunt colectate, prelucrate și utilizate pe site-ul web, persoanele vizate trebuie să fie informate despre acest lucru într-o notă de informare și, dacă este cazul, informații despre cookie-uri. Nota de informare și orice informații despre cookies trebuie integrate astfel încât să fie ușor de identificat, direct accesibile și disponibile în mod constant pentru persoanele vizate.
În relaţiile de muncă, datele personale ale angajaţilor sunt prelucrate pentru încheierea şi executarea contractelor de muncă, pentru emiterea unui act administrativ, precum şi pentru emiterea oricărui alt document, rezultat al relaţiilor de muncă.
Echipamentele telefonice, adresele de e-mail, intranetul și internetul împreună cu aplicațiile interne sunt furnizate de instituţie pentru sarcini legate de muncă. Pentru evitarea atacurilor asupra infrastructurii IT sau a utilizatorilor individuali, pot fi implementate măsuri de protecție pentru conexiunile la rețeaua instituției, care blochează conținutul dăunător din punct de vedere tehnic sau care analizează modelele de atac. Din motive de securitate, pot fi monitorizate utilizarea echipamentelor telefonice, a adreselor de e-mail, a intranetului / internetului și a aplicatiilor interne. Evaluările acestor date referitoare la o anumită persoană pot fi făcute doar într-un caz concret, justificat de suspiciunea de încălcare a legilor sau a politicilor și procedurilor intern cu respectarea principiului proporționalității.
Transmiterea datelor cu caracter personal către terţe persoane juridice este supusă cerințelor de autorizare pentru prelucrarea datelor cu caracter personal în conformitate cu prezenta politică. Beneficiarul datelor trebuie să utilizeze datele numai în scopurile definite și în concordanță cu prevederile Regulamentului nr. 679/2016.
Persoana vizată are următoarele drepturi :
- de a solicita informații cu privire la ce date cu caracter personal ale sale au fost stocate, cum au fost colectate datele și în ce scop;
- de a fi informată cu privire la identitatea destinatarului, dacă datele cu caracter personal sunt transmise terților;
- de a solicita corectarea sau completarea datelor cu carcater personal, dacă acestea sunt incorecte sau incomplete;
- de a obiecta privind prelucrarea datelor sale în scopuri de publicitate sau de cercetare de piață sau de opinie;
- de a solicita ștergerea datelor sale;
- de a se opune prelucrării datelor sale, cu excepţia situaţiei în care există o dispoziţie legală ce impune ca datele să fie procesate.
Datele cu carcater personal sunt considerate confidențiale, orice colectare, prelucrare sau utilizare neautorizată a acestor date de către angajați fiind interzisă. Se aplică principiul "necesitații de a cunoaște". Angajații pot avea acces la date personale pentru tipul și scopul sarcinii de serviciu în cauză. Angajaților li se interzice să utilizeze date cu caracter personal în scopuri private sau comerciale, să le dezvăluie persoanelor neautorizate sau să le pună la dispoziție în orice alt mod.
Datele personale trebuie să fie protejate împotriva accesului neautorizat și a prelucrării sau dezvăluirii ilegale, precum și a pierderii, modificării sau distrugerii accidentale. Acest lucru se aplică indiferent dacă datele sunt prelucrate electronic sau pe suport de hârtie. Înainte de introducerea noilor metode de prelucrare a datelor, în special a noilor sisteme informatice, trebuie definite și implementate măsuri tehnice și organizatorice de protecție a datelor cu caracter personal.
Respectarea politicii de protecție a datelor personale și a legilor aplicabile privind protecția datelor este verificată în mod regulat prin intermediul auditurilor de protecție a datelor de către responsabilul cu protecția datelor personale. Rezultatele controalelor privind protecția datelor trebuie raportate directorului institutului.
Toți angajații trebuie să informeze imediat Directorul instituției sau responsabilul cu protecția datelor cu caracter personal cu privire la cazurile de încălcare a prezentei politici sau a altor reglementări privind protecția datelor cu caracter personal (incidente de protecție a datelor).