REGULAMENT INTERN

PRIVIND PROTECTIA DATELOR CU CARACTER PERSONAL PROCESATE DE NUTRIACTION

 

Prezentul regulament este redactat in acord cu prevederile REGULAMENTULUI (UE) 2016/679 AL PARLAMENTULUI EUROPEAN SI AL CONSILIULUI din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor), JO L 119, 4.5.2016, p. 1 – in continuare „Regulamentul” sau „GDPR”.

Termenii nedefiniti ca atare in prezentul regulament intern vor avea intelesul atribuit lor prin Regulament.

 

I. PRINCIPII GENERALE

Prelucrarea datelor cu caracter personal de catre NUTRIACTION se va realiza cu respectarea principiilor prevazute in art. 5 din Regulament:

(a) NUTRIACTION va prelucra toate datele cu caracter personal in mod legal, echitabil si transparent;

(b) NUTRIACTION va prelucra toate datele cu caracter personal pentru scopuri determinate, explicite si legitime;

(c) NUTRIACTION se va asigura ca toate datele cu caracter personal pe care le proceseaza sunt adecvate, relevante si neexcesive;

(d) NUTRIACTION se va asigura ca toate datele cu caracter personal pe care le proceseaza sunt exacte si actualizate;

(e) NUTRIACTION va pastra datele cu caracter personal pentru o perioada care nu va depasi perioada necesara prelucrarii pentru scopul identificat;

(f) NUTRIACTION va prelucra toate datele cu caracter personal intr-un mod care asigura securitatea adecvata a acestora.

 

II. PRELUCRAREA DATELOR CU CARACTER PERSONAL DE CATRE PERSONALUL NUTRIACTION

Datele cu caracter personal vor fi prelucrate de personalul NUTRIACTION cu atributii in acest scop sau, dupa caz, de persoanele imputernicite de aceasta, respectiv:

i. responsabilul desemnat cu protectia datelor („DPO”), daca e cazul;

ii. personalul departamentului de resurse umane, numai cu privire la datele personalului NUTRIACTION si exclusiv in masura necesara exercitarii activitatii acestuia, conform dispozitiilor legale;

iii. personalul departamentului contabilitate, in masura in care prelucrarea unor asemenea date este necesara in scop financiar-contabil (ex. emitere facturi, intocmire situatii financiare, declaratii fiscale etc.), conform dispozitiilor legale;

iv. personalul secretariatului NUTRIACTION, numai in situatia si cu referire la datele necesare exercitarii activitatii acestui departament si numai pentru realizarea scopului determinat al prelucrarii (ex. inregistrarea pacientilor, programarea sedintelor terapeutice, prelucrarea datelor medicale aferente programelor nutritionale efectuate de pacienti in cadrul NUTRIACTION, arhivarea dosarelor etc.);

v. personalul departamentului IT, numai cu privire la datele incarcate in sistemul electronic al NUTRIACTION si numai in scopul implementarii masurilor de securitate a acestora, conform legii si prezentului regulament intern;

vi. persoanele imputernicite de NUTRIACTION, de la caz la caz, pentru prelucrarea anumitor date cu caracter personal, cum ar fi: personalul medical, consilierii nutritionisti, kinetoterapeutii si toti ceilalti specialisti cu care NUTRIACTION colaboreaza in scopul prestarii serviciilor specifice pentru clientii sai; avocatii, auditorii, expertii contabili ori alti consilieri/consultanti de specialitate, etc. Aceste persoane vor procesa date personale in numele si pe seama NUTRIACTION exclusiv pentru realizarea scopului determinat al prelucrarii, de la caz la caz. Procesarea se va face in temeiul unui acord de procesare, perfectat conform legii. NUTRIACTION va aduce la cunostinta persoanelor vizate, la cererea explicita a acestora, identitatea persoanelor imputernicite, a scopului concret pentru care acestea au fost imputernicite, precum si a masurilor luate de acestia pentru protectia datelor cu caracter personal incredintate NUTRIACTION.

NUTRIACTION va analiza de la caz la caz daca datele colectate in exercitarea business-ului sau o califica drept operator sau persoana imputernicita – in sensul art.4 din Regulament, urmand a aplica in mod corespunzator dispozitiile legale corespunzatoare.

In situatia in care NUTRIACTION actioneaza ca persoana imputernicita de un alt operator, va lua toate masurile pentru implementarea si aplicarea in mod corespunzator a dispozitiilor Articolului 28 din Regulament si a contractelor incheiate in baza acestuia, dupa caz.

Personalul NUTRIACTION se va asigura ca, la colectarea datelor cu caracter personal, cel putin una din situatiile de mai jos este aplicabila:

(a) persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(b) prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;

(c) prelucrarea este necesara in vederea indeplinirii unei obligatii legale ce revine NUTRIACTION;

(d) prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

(e) prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit un operator care imputerniceste NUTRIACTION sa prelucreze anumite date cu caracter personal;

(f) prelucrarea este necesara in scopul intereselor legitime urmarite de NUTRIACTION sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil.  

In acest sens, personalul NUTRIACTION si/sau, dupa caz, persoanele imputernicite de aceasta, va/vor trebui sa: (i) analizeze, (ii) stabileasca si (iii) documenteze, de la caz la caz, temeiul legal care sta la baza prelucrarii datelor cu caracter personal, in functie de particularitatile fiecarei prelucrari de date cu caracter personal. In mod concret, aceasta sarcina apartine celui care colecteaza/prelucreaza efectiv datele.

 

III. PRELUCRAREA CATEGORIILOR SPECIALE DE DATE CU CARACTER PERSONAL

Datele cu caracter personal enumerate in Articolul 9(1) din Regulament nu pot fi prelucrate decat in unul din cazurile explicit si limitativ enumerate in Articolul 9(2) din acelasi Regulament.

In acest scop, personalul NUTRIACTION/persoanele imputernicite de aceasta va/vor stabili si documenta, suplimentar fata de scopul general aratat mai sus, si scopul special pentru care urmeaza sa proceseze datele speciale astfel colectate si va/vor lua toate masurile necesare si specifice pentru protejarea acestor date.

 

IV. INFORMAREA PERSOANELOR VIZATE

NUTRIACTION va informa fiecare persoana vizata despre prelucrarea datelor cu caracter personal ale acesteia. Comunicarea va contine, dupa caz, toate informatiile prevazute in Articolele 13 si respectiv 14 din Regulament, precum si orice alte informatii cu caracter relevant.

Informarea se va face in scris, inclusiv prin mijloace electronice, cu conditia ca acest ultim mod de comunicare sa fi fost in prealabil agreat de catre persoana vizata in mod explicit si neviciat.

Informarea se va putea face si verbal (inclusiv prin telefon), cu conditia ca identitatea persoanei careia i se livreaza aceste informatii sa poata fi facuta fara echivoc, prin orice alte mijloace, si ca informarea astfel realizata sa fie inregistrata pe un suport apt de a fi redat prin mijloace tehnice comune, daca persoana careia i se face comunicarea si-a dat in prealabil acordul pentru inregistrare. Inregistrarea astfel realizata va constitui mijloc de proba.

Informatiile care urmeaza sa fie furnizate persoanelor vizate in temeiul Articolelor 13 si 14 din Regulament pot fi furnizate in combinatie cu pictograme standardizate pentru a oferi intr-un mod usor vizibil, inteligibil si clar lizibil o imagine de ansamblu semnificativa asupra prelucrarii avute in vedere. In cazul in care pictogramele sunt prezentate in format electronic, acestea trebuie sa poata fi citite automat.

Informatiile furnizate in temeiul Articolelor 13 si 14 si orice comunicare si orice masuri luate in temeiul articolelor 15-22 si 34 din Regulament vor fi oferite de catre NUTRIACTION in mod gratuit. In cazul in care cererile primite de NUTRIACTION din partea unei persoane vizate sunt in mod vadit nefondate sau excesive, in special din cauza caracterului lor repetitiv, NUTRIACTION poate, la libera sa alegere:

(a) fie sa perceapa o taxa rezonabila tinand cont de costurile administrative pentru furnizarea informatiilor sau a comunicarii sau pentru luarea masurilor solicitate;

(b) fie sa refuze sa dea curs cererii.

In cazul datelor cu caracter personal colectate direct de la persoana vizata, informarea se face in momentul obtinerii datelor.

In cazul datelor cu caracter personal colectate din alte surse, informarea se face:

(a) intr-un termen rezonabil dupa obtinerea datelor cu caracter personal, dar nu mai mare de o luna, tinandu-se seama de circumstantele specifice in care sunt prelucrate datele cu caracter personal;

(b) daca datele cu caracter personal urmeaza sa fie utilizate pentru comunicarea cu persoana vizata, cel tarziu in momentul primei comunicari catre persoana vizata respectiva; sau

(c)    daca se intentioneaza divulgarea datelor cu caracter personal catre un alt destinatar, cel mai tarziu la data la care acestea sunt divulgate pentru prima oara.

Pe cale de exceptie, informarea persoanei vizate nu este necesara daca si in masura in care aceasta detine deja informatiile respective.

In plus, in cazul particular al prelucrarilor de date cu caracter personal obtinute din alte surse, NUTRIACTION va fi exonerata de obligatia de a informa persoana vizata in urmatoarele situatii:

(a) persoana vizata detine deja informatiile;

(b) furnizarea acestor informatii se dovedeste a fi imposibila sau ar implica eforturi disproportionate, in special in cazul prelucrarii in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, sub rezerva conditiilor si a garantiilor prevazute la Articolul 89 alineatul (1) din Regulament, sau in masura in care obligatia de informare conform alineatului (1) din Articolul 14 din Regulament este susceptibil sa faca imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective In astfel de cazuri, NUTRIACTION va lua masuri adecvate pentru a proteja drepturile, libertatile si interesele legitime ale persoanei vizate, inclusiv punerea informatiilor la dispozitia publicului;

(c) obtinerea sau divulgarea datelor este prevazuta in mod expres de dreptul Uniunii sau de dreptul intern sub incidenta caruia intra functionarea si activitatea NUTRIACTION si care prevede masuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau  

(d) in cazul in care datele cu caracter personal trebuie sa ramana confidentiale in temeiul unei obligatii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligatii legale de a pastra secretul. In aceasta categorie vor fi incluse toate datele cu privire la care legile de organizare a profesiei de medic impun NUTRIACTION si/sau colaboratorilor sai (personalul medical etc.) obligatia de pastrare a confidentialitatii.

 

V. ASIGURAREA EXERCITARII, DE CATRE PERSOANELE VIZATE, A DREPTURILOR RECUNOSCUTE LOR DE GDPR

Persoanele vizate au, in legatura cu datele lor cu caracter personale procesate de catre NUTRIACTION (sau de persoanele imputernicite de aceasta), urmatoarele drepturi esentiale, care vor putea fi exercitate in masura in care nu aduc atingere drepturilor si libertatilor altor persoane:

(a) Dreptul de acces la date;

(b) Dreptul la rectificarea datelor;

(c) Dreptul la stergerea datelor;

(d) Dreptul la restrictionarea prelucrarii;

(e) Dreptul la portabilitatea datelor;

(f) Dreptul de opozitie la prelucrarea datelor;

(g) Dreptul de a nu fi supus unor decizi automatizate, inclusiv profilarea; si

(h) Dreptul la notificarea destinatarilor privind rectificarea, stergerea ori restrictionarea datelor cu caracter personal.

Continutul concret al acestor drepturi este cel stabilit de GDPR.

Atunci cand NUTRIACTION actioneaza in contextul prelucrarii in calitate de operator de date, aceasta este tinuta in mod direct sa respecte drepturile enumerate mai sus.

Orice raspuns la cererile persoanelor vizate va fi trimis in maximum o luna de la primirea acestora, cu posibilitatea prelungirii duratei cu maximum 2 luni, daca e vorba despre o prelucrare complexa ori de un volum mare de astfel de cereri (in acest ultim caz, informarea cu privire la intarzierea unui raspuns ori refuzul de a lua masuri vor fi transmise in termen de 1 luna de la primirea cererii).

Dreptul de acces al persoanei vizate vizeaza toate datele si informatiile enumerate in Articolul 15 din Regulament. La primirea unei cereri in acest sens din partea persoanei vizate, NUTRIACTION va furniza acesteia o copie a datelor cu caracter personal care fac obiectul prelucrarii. Pentru orice alte copii solicitate de persoana vizata, NUTRIACTION poate percepe o taxa rezonabila, bazata pe costurile administrative. In cazul in care persoana vizata introduce cererea in format electronic si cu exceptia cazului in care persoana vizata solicita un alt format, NUTRIACTION va furniza informatiile solicitate intr-un format electronic utilizat in mod curent.

Atunci cand actioneaza ca operator, NUTRIACTION va opera, la solicitarea explicita a persoanei vizate si fara intarzieri nejustificate, rectificarea oricaror date inexacte (eronate sau incomplete) cu privire la persoana vizata. Rectificarea se va face in limitele solicitarii. NUTRIACTION nu va fi obligata totusi sa opereze solicitari generale, vagi sau neclare.

De asemenea, atunci cand actioneaza ca operator, NUTRIACTION va sterge de indata, din arhiva si evidentele sale, la cererea explicita a persoanei vizate, toate datele cu caracter personal colectate de la aceasta, dar numai in masura in care:

(a) datele cu caracter personal nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost colectate;

(b) atunci cand temeiul juridic al prelucrarii a fost determinat a fi consimtamantul persoanei vizate iar aceasta isi retrage consimtamantul pe baza caruia are loc prelucrarea, in conformitate cu Articolul 6 alineatul (1) litera (a) sau cu Articolul 9 alineatul (2) litera (a) din Regulament, si nu exista niciun alt temei juridic pentru prelucrarea lor;

(c) persoana vizata se opune prelucrarii in temeiul Articolului 21 alineatul (1) din Regulament si nu exista motive legitime care sa prevaleze in ceea ce priveste prelucrarea sau persoana vizata se opune prelucrarii in temeiul Articolului 21 alineatul (2) din Regulament;

(d) datele cu caracter personal au fost prelucrate ilegal;

(e) datele cu caracter personal trebuie sterse pentru respectarea unei obligatii legale care revine NUTRIACTION in temeiul dreptului Uniunii sau al dreptului intern sub incidenta caruia se afla aceasta;

(f) datele cu caracter personal au fost colectate in legatura cu oferirea de servicii ale societatii informationale mentionate la Articolul 8 alineatul (1) din Regulament.

NUTRIACTION nu va fi totusi obligata sa procedeze la stergerea datelor cu caracter personal colectate in urmatoarele situatii cand prelucrarea este necesara:

(a) pentru exercitarea dreptului la libera exprimare si la informare;

(b) pentru respectarea unei obligatii legale care prevede prelucrarea in temeiul dreptului Uniunii sau al dreptului intern care se aplica functionarii si activitatii NUTRIACTION sau pentru indeplinirea unei sarcini executate de NUTRIACTION in interes public;

(c) din motive de interes public in domeniul sanatatii publice, in conformitate cu Articolul 9 alineatul (2) literele (h) si (i) si cu Articolul 9 alineatul (3) din Regulament;

(d) in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, in conformitate cu Articolul 89 alineatul (1) din Regulament, in masura in care „dreptul de a fi uitata” al persoanei vizate este susceptibil sa faca imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective; sau

(e) pentru constatarea, exercitarea sau apararea unui drept in instanta.

In cazul in care NUTRIACTION a facut publice datele cu caracter personal si se gaseste intr-o situatie in care este obligata, conform legii, sa le stearga, aceasta, tinand seama de tehnologia disponibila si de costul implementarii, va lua toate masurile rezonabile, inclusiv masuri tehnice, pentru a informa operatorii care prelucreaza datele cu caracter personal ale NUTRIACTION ca persoana vizata a solicitat stergerea de catre acesti operatori a oricaror linkuri catre datele respective sau a oricaror copii sau reproduceri ale acestor date cu caracter personal.

Persoana vizata are dreptul de a obtine din partea NUTRIACTION, atunci cand aceasta actioneaza in calitate de operator, restrictionarea prelucrarii, respectiv limitarea acesteia (cu exceptia stocarii propriu-zise) strict la prelucrarile cu care persoana vizata este de acord si /sau strict la prelucrarile necesare in scopul constatarii, exercitarii sau apararii unui drept in instanta sau pentru protectia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru. Restrictionarea poate opera totusi, conform Articolului 18 din Regulament, exclusiv atunci cand:

(a) persoana vizata contesta exactitatea datelor, pentru o perioada care ii permite NUTRIACTION sa verifice exactitatea datelor;

(b) prelucrarea este ilegala, iar persoana vizata se opune stergerii datelor cu caracter personal, solicitand in schimb restrictionarea utilizarii lor;

(c) NUTRIACTION nu mai are nevoie de datele cu caracter personal in scopul prelucrarii, dar persoana vizata i le solicita pentru constatarea, exercitarea sau apararea unui drept in instanta; sau

(d) persoana vizata s-a opus prelucrarii in conformitate cu articolul 21 alineatul (1), pentru intervalul de timp in care se verifica daca drepturile legitime ale NUTRIACTION prevaleaza asupra celor ale persoanei vizate.

NUTRIACTION va comunica fiecarui destinatar caruia i-au fost divulgate datele cu caracter personal orice rectificare sau stergere a datelor cu caracter personal sau restrictionare a prelucrarii efectuate in conformitate cu Articolul 16, Articolul 17 alineatul (1) si Articolul 18 din Regulament, cu exceptia cazului in care acest lucru se dovedeste imposibil sau presupune eforturi disproportionate. NUTRIACTION va informa persoana vizata cu privire la identitatea destinatarilor respectivi precum si cu privire la masurile luate de acestia in scopul rectificarii, stergerii sau restrictionarii accesului la datele cu caracter personal divulgate de NUTRIACTION numai daca persoana vizata solicita acest lucru in mod explicit.

In masura in care actioneaza ca operator, si la solicitarea explicita a persoanei vizate, NUTRIACTION va:

(a) furniza persoanei vizate toate datele primite de la aceasta si pe care persoana vizata le-a solicitat prin cererea adresata NUTRIACTION, intr-un format accesibil, dar numai atunci cand, in mod cumulativ:

      i. prelucrarea se bazeaza pe consimtamant sau este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract; si

      ii. este realizata prin mijloace automate (nu in forma fizica / hartie, ci prin orice mijloace automatizate), fie

(b)   asigura transmiterea unor astfel de date catre alti operatori, astfel cum acestia sunt indicati in solicitarea persoanei vizate.

O persoana vizata poate sa se opuna oricand la prelucrarea datelor sale cu caracter personal:

(a) din motive legate de situatia particulara in care se afla aceasta, in cazul: (i) operatiunilor de prelucrare desfasurate in temeiul necesitatii prelucrarii pentru indeplinirea unei sarcini care serveste unui interes public cu care este investita NUTRIACTION si/ sau (ii) prelucrarilor efectuate in temeiul intereselor legitime urmarite de NUTRIACTION sau de o parte terta, inclusiv in scopul crearii de profiluri; sau

(b) fara motive si justificare, in cazul prelucrarii datelor in scopuri de marketing direct.

In primul caz, persoana vizata trebuie sa arate motivele pentru care intelege sa isi exercite dreptul de opozitie. In lipsa unei justificari rezonabile, NUTRIACTION nu va fi obligata sa dea curs solicitarii persoanei vizate.

In cazul in care persoana vizata isi exercita dreptul de opozitie la prelucrarea datelor conform celor de mai sus, NUTRIACTION nu va mai putea prelucra datele cu caracter personal ale respectivei persoane vizate, cu exceptia cazului in care demonstreaza ca are motive legitime si imperioase care justifica prelucrarea si care prevaleaza asupra intereselor, drepturilor si libertatilor persoanei vizate sau ca scopul prelucrarii este constatarea, exercitarea sau apararea unui drept in instanta.

Persoana vizata are dreptul de a refuza ca datele sale sa faca obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa. Acest drept nu va putea insa fi opus NUTRIACTION in cazul in care decizia NUTRIACTION:

(a) este necesara pentru incheierea sau executarea unui contract intre persoana vizata si NUTRIACTION;

(b) este autorizata prin dreptul Uniunii sau dreptul intern care se aplica NUTRIACTION si care prevede, de asemenea, masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate; sau

(c) are la baza consimtamantul explicit al persoanei vizate.

In cazurile mentionate la literele (a) si (c), NUTRIACTION va pune in aplicare masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate, cel putin dreptul acesteia de a obtine interventie umana din partea NUTRIACTION, de a-si exprima punctul de vedere si de a contesta decizia NUTRIACTION.

Tinand seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de riscurile cu grade diferite de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, NUTRIACTION pune in aplicare masuri tehnice si organizatorice adecvate pentru a garanta si a fi in masura sa demonstreze ca prelucrarea se efectueaza in conformitate cu Regulamentul. Dupa caz, masurile mentionate mai sus pot include si punerea in aplicare de catre NUTRIACTION a unor politici adecvate de protectie a datelor, in sensul Articolului 25 din Regulament. NUTRIACTION are dreptul sa invoce, in raporturile sale cu persoanele vizate, aderarea sa la coduri de conduita aprobate, sau la un mecanism de certificare aprobat, conform Articolelor 40 si 42 din Regulament, ca element care sa demonstreze respectarea obligatiilor sale decurgand din Regulament.

Pentru a asigura tratarea cu celeritate a cererilor persoanelor vizate pentru exercitarea drepturilor specifice, respectiv a cererilor altor entitati (pentru cazurile in care NUTRIACTION actioneaza in calitate de persoana imputernicita), NUTRIACTION va putea decide, dupa caz:

(a) alocarea unei / unor persoane care sa se ocupe de tratarea in timp util a cererilor persoanelor vizate, care sa raspunda in scris la asemenea solicitari;

(b) redactarea unor formulare de exercitare a drepturilor / raspuns tipizate care sa fie utilizate atunci cand clientii / angajatii / alte persoane vizate isi exercita drepturile specifice;

(c) luarea masurilor necesare pentru a se asigura, in cazul cererilor transmise prin mijloace electronice, ca raspunsul este transmis prin aceleasi mijloace, daca persoanele vizate nu solicita altfel;

(d) implementarea unor sectiuni specifice pentru exercitarea drepturilor persoanelor vizate online (i.e., pe site-ul NUTRIACTION), in special in cazurile in care colectarea datelor se realizeaza online.  

NUTRIACTION va asigura, indiferent daca actioneaza ca operator sau ca persoana imputernicita, pastrarea unei evidente clare a raspunsurilor date in contextul cererilor persoanelor vizate de exercitare a drepturilor specifice in materie de prelucrare a datelor cu caracter personal, astfel:

(a) ca operator, va lua toate masurile pentru constituirea unor dovezi scrise neechivoce (inclusiv continand raspunsurile si data transmiterii acestora) care sa ateste indeplinirea obligatiilor specifice in materie;

(b) ca persoana imputernicita, va lua toate masurile pentru constituirea unor dovezi scrise neechivoce care sa sustina transmiterea in termen util a informatiilor solicitate respectiv implementarea in mod rezonabil a masurilor necesare pentru conformarea cu drepturile specifice ale persoanelor vizate a operatorilor care le solicita informatii / luarea de masuri specifice.

NUTRIACTION va asigura, pe cat posibil, pastrarea tuturor dovezilor in forma scrisa (pe hartie sau in format electronic). Cu toate acestea, daca persoana vizata solicita anumite informatii oral, NUTRIACTION va lua toate masurile pentru constituirea si arhivarea inregistrarilor (telefon, video etc.) care sa ateste atat continutul solicitarii cat si al raspunsului dat / masurilor luate.

In masura in care este necesara prelucrarea unor date cu caracter personal in asociere cu un alt operator (in sensul Articolului 26 din Regulament), NUTRIACTION va incheia cu respectivii operatori un acord de prelucrare. Acordul mentionat va reflecta in mod adecvat rolurile si raporturile respective ale operatorilor asociati fata de persoanele vizate. Esenta acestui acord va fi facuta cunoscuta persoanei vizate. Indiferent de clauzele acordului mentionat mai sus, persoana vizata isi va putea exercita drepturile in temeiul prezentului regulament cu privire la si in raport cu fiecare dintre operatori.

 

VI. EVIDENTA OPERATIUNILOR DE PRELUCRARE A DATELOR CU CARACTER PERSONAL

NUTRIACTION pastreaza, conform art.30 din Regulament, o evidenta clara a activitatilor de prelucrare desfasurate in calitate de operator si respectiv de persoana imputernicita, pe baza unei proceduri adecvate.

 

VII. RESPONSABILUL PENTRU PROTECTIA DATELOR CU CARACTER PERSONAL (DPO)

Avand in vedere natura si specificul serviciilor prestate de NUTRIACTION, aceasta nu este obligata, conform legii, sa numeasca un responsabil pentru protectia datelor cu caracter personal.

Totusi, daca va decide sa o faca sau daca, dupa caz, va fi obligata conform legii, NUTRIACTION va desemna un responsabil pentru protectia datelor cu caracter personal pe baza calitatilor profesionale si, in special, a cunostintelor de specialitate in dreptul si practicile din domeniul protectiei datelor, precum si pe baza capacitatii de a indeplini sarcinile prevazute la Articolul 39 din Regulament. Responsabilul cu protectia datelor va putea fi un membru al personalului operatorului sau persoanei imputernicite de operator sau un tert cu care NUTRIACTION va incheia un contract de servicii.

In masura in care il desemneaza, NUTRIACTION va  publica datele de contact ale responsabilului cu protectia datelor pe site-ul propriu si le va comunica autoritatii de supraveghere in cel mai scurt timp de la numirea acestuia.

Responsabilul astfel desemnat va avea cel putin urmatoarele atributii:

(a) informarea si consilierea NUTRIACTION, precum si a angajatilor acesteia care se ocupa de prelucrare, cu privire la obligatiile care le revin in temeiul Regulamentului si al altor dispozitii de drept al Uniunii sau drept intern referitoare la protectia datelor;

(b) monitorizarea respectarii Regulamentului, a altor dispozitii de drept al Uniunii sau de drept intern referitoare la protectia datelor, precum si a politicilor NUTRIACTION in ceea ce priveste protectia datelor cu caracter personal, inclusiv alocarea responsabilitatilor si actiunile de sensibilizare si de formare a personalului implicat in operatiunile de prelucrare, precum si auditurile aferente;

(c) monitorizarea activitatilor NUTRIACTION si facilitarea conformarii incepand cu momentul conceperii si in mod implicit (protectia datelor by design si by default);

(d) furnizarea de consiliere la cerere in ceea ce priveste evaluarea impactului asupra protectiei datelor si monitorizarea functionarii acesteia, in conformitate cu Articolul 35 din Regulament;

(e) cooperarea cu autoritatea de supraveghere;

(f) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabila mentionata la Articolul 36 din Regulament, precum si, daca este cazul, consultarea cu privire la orice alta chestiune;

(g) intocmirea si gestionarea documentatiei specifice;

(h) tinerea evidentei activitatilor de prelucrare;

(i) intocmirea procedurilor interne  - e.g. securitatea datelor (clean desk policy), monitorizare acces, corespondenta electronica, gestionare incidente de securitate etc.;

(j) oferirea de asistenta in cazul survenirii unui incident de securitate.

 

VIII. EVALUAREA IMPACTULUI ASUPRA PROTECTIEI DATELOR (DPIA)

In cazul in care prelucrarea, de catre NUTRIACTION, a datelor cu caracter personal colectate, in special cea bazata pe noile tehnologii, este susceptibila sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, NUTRIACTION va proceda la analiza riscurilor implicate (prin raportare la criteriile enumerate in Articolul 35(3) din Regulament) si va lua toate masurile care se impun pentru evitarea/minimizarea acestora.

Daca, in urma analizei, se constata ca operatiunea de procesare este susceptibila sa genereze un risc ridicat, NUTRIACTION va:

(a) adopta, dupa caz, o metodologie DPIA care indeplineste criteriile din Regulament si din ”Ghidul privind Evaluarea impactului asupra protectiei datelor (DPIA) si stabilirea daca o prelucrare este „susceptibila sa genereze un risc ridicat” in sensul Regulamentului 2016/679” emis de catre A29 GL (”Ghidul A29 GL privind DPIA”), ori va implementa un proces DPIA sistematic care, in mod cumulativ: (i) indeplineste conditiile din Anexa nr. 2 din Ghidul A29 GL privind DPIA; (ii) este integrat in procesele existente de dezvoltare si revizuire operationala si de risc in conformitate cu procesele interne, contextul si cultura organizationala; (iii) implica persoanele interesate relevante si le defineste atributiile intr-un mod clar (operator, DPO, persoane vizate, persoana imputernicita etc); si

(b) va publica procedura de evaluare pe site-ul propriu si va transmite raportul DPIA catre autoritatea de supraveghere competenta atunci cand i se solicita aceasta; si

(c)  va consulta autoritatea de supraveghere atunci cand nu au reusit sa ia masuri suficiente pentru prevenirea riscului ridicat; si

(d) va revizui periodic DPIA si procedurile aferente.

Evaluarea se va realiza intotdeauna anterior prelucrarii datelor cu caracter personal.

O evaluare unica poate fi utilizata pentru analiza unor operatiuni de procesare multiple care prezinta similitudini din perspectiva riscului generat.

In plus, acolo unde este necesar, NUTRIACTION va efectua o analiza pentru a evalua daca prelucrarea are loc in conformitate cu DPIA cel putin atunci cand are loc o modificare a riscului reprezentat de operatiunile de prelucrare.

Evaluarea va contine cel putin:

(a) o descriere sistematica a operatiunilor de prelucrare preconizate si a scopurilor prelucrarii, inclusiv, dupa caz, interesul legitim urmarit;

(b) o evaluare a necesitatii si proportionalitatii operatiunilor de prelucrare in legatura cu aceste scopuri;

(c) o evaluare a riscurilor pentru drepturile si libertatile persoanelor vizate; si

(d) masurile preconizate in vederea abordarii riscurilor, inclusiv garantiile, masurile de securitate si mecanismele menite sa asigure protectia datelor cu caracter personal si sa demonstreze conformitatea cu dispozitiile Regulamentui, luand in considerare drepturile si interesele legitime ale persoanelor vizate si ale altor persoane interesate.

NUTRIACTION va documenta toate deciziile luate in implementarea si executarea procedurilor DPIA.

 

IX. ASIGURAREA CONFIDENTIALITATII SI SECURITATII DATELOR CU CARACTER PERSONAL; GESTIONAREA BRESELOR DE SECURITATE

NUTRIACTION implementeaza in mod curent masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator acestui risc, incluzand printre altele, dupa caz:

(a) pseudonimizarea si criptarea datelor cu caracter personal;

(b) capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare;

(c)  capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util in cazul in care are loc un incident de natura fizica sau tehnica;

(d) un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.

La evaluarea nivelului adecvat de securitate, sunt avute in vedere in mod special riscurile prezentate de prelucrare, generate in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod.  

NUTRIACTION se asigura in mod constant ca orice persoana fizica care actioneaza sub autoritatea sa sau a unei persoanei imputernicite de NUTRIACTION si care are acces la date cu caracter personal nu le prelucreaza decat la cererea NUTRIACTION, cu exceptia cazului in care aceasta obligatie ii revine in temeiul dreptului Uniunii sau al dreptului intern. In acest context, NUTRIACTION ia toate masurile pentru ca implementarea cerintelor prevazute in lege cu privire la tinerea, de catre medici si in general, de personalul medical, a unor evidente specifice cu privire la pacientii pe care ii trateaza sa nu se faca cu incalcarea GDPR si a prezentului document.

NUTRIACTION poate implementa, in functie de contextul concret, metode si proceduri de externalizare a datelor prin servicii de cloud sau de gestiune a datelor/documentelor. Intr-un asemenea caz, NUTRIACTION va lua masuri minime de siguranta printre care:

(a) NUTRIACTION va analiza tehnologia care sta la baza infrastructurii cloud / de gestiune a datelor folosite in scopul determinarii nivelului de securitate a datelor, indeplinirea cerintelor impuse de Regulament etc.;

(b) pentru a permite exercitarea drepturilor persoanelor vizate (”dreptul de a fi uitat”, dreptul de acces la informatii, dreptul de a fi informat etc) si pentru a determina legislatia aplicabila diferitelor operatiuni, NUTRIACTION se va asigura ca prestatorii de servicii de gestiune a datelor cunosc locatia fizica a fiecarui server prin care administreaza bazele de date in discutie. In functie de situatia concreta, NUTRIACTION va solicita prestatorilor de servicii de gestiune a datelor revizuirea, dupa caz, a protocoalele de backup si de stocare utilizate de catre acestia;

(c)  NUTRIACTION va asigura asumarea expresa de catre prestatorii de servicii de gestiune a datelor a obligatiilor ce le incumba in temeiul Regulamentului si a legislatiei aplicabile in raport atat cu NUTRIACTION cat si cu persoanele vizate;

(d) pentru a evita compromiterea datelor in integralitatea lor si a breselor de securitate cu impact major, NUTRIACTION va asigura, pe cat posibil, impartirea datelor pe diverse categorii si stocarea lor pe servere diferite;

(e) NUTRIACTION va asigura reiterarea in contractele si acordurile incheiate (in calitate de operator) cu prestatorii de servicii de gestiune a datelor (in calitate de persoane imputernicite) ca prelucrarea datelor cu caracter personal transmise catre cei din urma se face in numele NUTRIACTION, aceasta mentinand controlul constant asupra informatiilor;

(f)  NUTRIACTION va asigura crearea unor proceduri de verificare si de analiza de risc carora sa le fie supusi prestatorii de servicii de gestiune a datelor si testarea periodica a respectarii legislatiei aplicabile in domeniul prelucrarii datelor cu caracter personal (spre exemplu, dar fara a se limita la, Articolul 28 din Regulament).

NUTRIACTION poate transmite date cu caracter personal pe care le prelucreaza ca operator catre autoritati publice doar daca si in masura in care, in principal:

(a) aceasta constituie o obligatie legala ce incumba NUTRIACTION;

(b) autoritatea care solicita aceste informatii are competenta in domeniu, verificata in prealabil de catre NUTRIACTION;

(c) NUTRIACTION asigura un nivel de protectie adecvat al datelor prelucrate si astfel transmise;

NUTRIACTION implementeaza masuri tehnice si organizatorice adecvate in vederea preintampinarii breselor de securitate, in conformitate cu Articolele 32-34 din Regulament. Aceste masuri sunt menite sa ajute NUTRIACTION: 

(a) sa stabileasca imediat daca s-a produs o bresa de securitate (in sensul paragrafului 87 al Preambulului la Regulament si respectiv al Articolului 4(12) din Regulament, cu aplicarea prevederilor A29 GL);

(b) daca este cazul, sa notifice autoritatea de supraveghere a prelucrarii datelor cu caracter personal (conform Articolului 33 din Regulament);

(c) dupa caz, sa informeze persoana sau persoanele vizate afectate de aparitia bresei de securitate (conform Articolului 34 din Regulament).

Cu caracter de principiu, exista o bresa de securitate atunci cand:

(a) datele devin indisponibile ca urmare a (i) distrugerii ori (ii) pierderii accesului; si/sau

(b) este afectata integritatea datelor prin modificarea acestora; si/sau

(c) este compromisa confidentialitatea datelor prin (i) divulgarea neautorizata sau (ii) accesul neautorizat la date.

Toate incidentele de securitate vor fi documentate conform Articolului 33 alin. (5) din Regulament.

De asemenea, NUTRIACTION va asigura, in conformitate cu cerintele Articolelor 33 si 34 din Regulament, informarea imediata a autoritatii de supraveghere competente precum si persoanei vizate cu privire la orice bresa de securitate identificata.

Daca respectiva bresa nu este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor vizate, notificarea autoritatii de supraveghere si respectiv informarea persoanelor vizate nu este necesara. NUTRIACTION va analiza, de la caz la caz, daca incidentul de securitate cu care se confrunta genereaza riscuri pentru drepturile si libertatilor persoanelor vizate, pe baza urmatoarelor elemente:

(a) tipul incidentului;

(b) natura, contextul, volumul datelor afectate;

(c) posibilitatea de a identifica persoanele vizate;

(d) consecintele incidentului asupra persoanelor vizate;

(e) circumstantele persoanelor vizate;

(f) circumstantele NUTRIACTION;

(g) numarul persoanelor afectate.

NUTRIACTION va avea in vedere severitatea riscului, insa in acelasi timp va tine cont de probabilitatea aparitiei acestuia. Astfel, posibilitatea ca incidentul de securitate sa genereze un risc ridicat cu privire la drepturile si libertatile persoanei/persoanelor vizate creste (i) atunci cand severitatea riscului creste, dar si (ii) atunci cand, chiar daca riscul nu este foarte ridicat, totusi probabilitatea aparitiei sale este mai mare.

 

X.  REGULI DE STOCARE A DATELOR CU CARACTER PERSONAL

NUTRIACTION va stabili, de la caz la caz, perioadele de retinere a datelor cu caracter personal prelucrate.

In contextul prelucrarii datelor cu caracter personal si pentru a se conforma regulilor privind retentia datelor, NUTRIACTION implementeaza doua tipuri de reguli interne:

(a) politici de arhivare, in baza carora datele cu caracter personal care nu sunt prelucrate in activitatea curenta, dar pentru retinerea carora exista o justificare, sunt arhivate cu respectarea garantiilor privind securitatea datelor; si

(b) politici de stergere, in baza carora se revizuiesc datele cu caracter personal prelucrate si se sterg, sau, dupa caz, se anonimizeaza acele date cu caracter personal de care nu mai este nevoie.

Scopul politicilor de arhivare este acela de a asigura un flux corespunzator al dosarelor sau lucrarilor inactive si al datelor cu caracter personal din aceste dosare/proceduri. Un dosar devine inactiv atunci cand pentru NUTRIACTION este evident ca in situatia respectiva nu se vor mai face demersuri intr-un orizont de timp evaluabil. Fara ca enumerarea sa fie limitativa, urmatoarele sunt cazuri in care un dosar devine inactiv:

• contractul referitor la persoana vizata respectiva a incetat, altfel decat prin reziliere pentru culpa uneia dintre parti;

• chiar daca nu a survenit incetarea contractului, in dosarul respectiv nu s-au mai facut demersuri in ultimele (12) luni;

Atunci cand un dosar devine inactiv, NUTRIACTION va:

• verifica dosarul in cauza si va identifica datele cu caracter personal prelucrate in dosarul respectiv;

• analiza, pentru fiecare categorie de date prelucrate, daca exista motive justificate pentru retinerea lor in continuare.

In cazul in care se vor identifica date care nu mai sunt necesare, acestea se vor anonimiza sau se vor sterge. Datele din dosare inactive pentru retinerea carora exista temei vor fi arhivate, cu respectarea garantiilor privind securitatea datelor. NUTRIACTION va da totusi curs solicitarilor prin care se exercita dreptul de acces, chiar daca datele vizate prin cerere au fost arhivate.

Scopul politicilor de stergere este acela de a stabili, pentru fiecare categorie de date cu caracter personal, perioada de stocare si procedura ce urmeaza a fi aplicata dupa expirarea acestei perioade – stergerea definitiva sau, dupa caz, anonimizarea.

La stabilirea perioadelor de retentie se au in vedere in primul rand prevederile din legislatia privind organizarea si exercitarea profesiei de medic si din actele emise de organele profesiei, precum si cele din legislatia financiar-contabila. Ori de cate ori exista un termen de retentie stabilit in legislatia aplicabila sau in actele emise de organele profesiei, NUTRIACTION nu vor stoca datele pentru perioade mai lungi decat perioada legala.

Acolo unde nu exista termene de stocare a datelor stabilite in actele normative ori in actele organelor profesiei, NUTRIACTION va stabili perioadele de stocare a datelor cu caracter personal tinand cont de scopul prelucrarii datelor personale si de contextul prelucrarii acestora.

Perioada de retentie a datelor cu caracter personal trebuie stabilita de la caz la caz, in functie de scopul pentru care au fost colectate respectivele date. Astfel, odata ce datele nu mai sunt necesare scopului pentru care au fost colectate, acestea vor fi sterse sau anonimizate.

La incetarea unui contract, NUTRIACTION va trebui sa analizeze care sunt datele de care nu mai are nevoie (acestea urmand a fi sterse sau anonimizate) respectiv care sunt datele care trebuie mentinute in continuare, in ce scop si pentru cat timp. Retinerea in continuare a unor date cu caracter personal poate fi necesara pentru a raspunde eventualelor plangeri sau pretentii. Aceste date vor fi pastrate in arhiva NUTRIACTION pentru o perioada suficienta astfel ca dupa trecerea acestei perioade, formularea unei plangeri sau a unei pretentii in legatura cu prestatia NUTRIACTION sa nu mai fie posibila.

 

XI. TRANSFERUL DATELOR CU CARACTER PERSONAL CATRE STATE TERTE

In absenta unei decizii a Comisiei care sa constate asigurarea unui nivel adecvat de protectie in sensul Articolului 45 din Regulament, NUTRIACTION va putea transfera datele cu caracter personal colectate in activitatea sa catre state terte sau organizatii internationale doar daca (i) NUTRIACTION (in calitate de operator) sau persoana imputernicita de NUTRIACTION poate oferi garantii adecvate de protectie si (ii) cu conditia sa existe drepturi opozabile si cai de atac eficiente pentru persoanele vizate. 

Aceste garantii adecvate pot fi furnizate, fara sa fie nevoie de nicio autorizatie specifica din partea unei autoritati de supraveghere, prin:

(a)  un instrument obligatoriu din punct de vedere juridic si executoriu intre autoritatile sau organismele publice;

(b) reguli corporatiste obligatorii in conformitate cu Articolul 47 din Regulament (in speta, reguli cu privire la transferul intre mai multe entitati parte ale aceluiasi grup);

(c) clauze standard de protectie a datelor adoptate de Comisie in conformitate cu procedura de examinare mentionata la Articolul 93 (2) din Regulament;

(d) clauze standard de protectie a datelor adoptate de o autoritate de supraveghere si aprobate de Comisie in conformitate cu procedura de examinare mentionata la Articolul 93 (2) din Regulament;

(e) un cod de conduita aprobat in conformitate cu Articolul 40 din Regulament, insotit de un angajament obligatoriu si executoriu din partea NUTRIACTION sau a persoanei imputernicite de aceasta din tara terta de a aplica garantii adecvate, inclusiv cu privire la drepturile persoanelor vizate; sau

(f) un mecanism de certificare aprobat in conformitate cu Articolul 42 din Regulament, insotit de un angajament obligatoriu si executoriu din partea NUTRIACTION sau a persoanei imputernicite de aceasta din tara terta de a aplica garantii adecvate, inclusiv cu privire la drepturile persoanelor vizate.

In absenta unei decizii a Comisiei privind caracterul adecvat al nivelului de protectie sau a unor garantii adecvate, un transfer de date cu caracter personal catre o tara terta sau o organizatie internationala poate avea loc numai in una dintre conditiile urmatoare:

(a) persoana vizata si-a exprimat in mod explicit acordul cu privire la transferul propus, iar consimtamantul sau a fost unul informat;

(b) transferul este necesar pentru executarea unui contract intre persoana vizata si NUTRIACTION sau pentru aplicarea unor masuri precontractuale adoptate la cererea persoanei vizate;

(c) transferul este necesar pentru incheierea unui contract sau pentru executarea unui contract incheiat in interesul persoanei vizate intre NUTRIACTION si o alta persoana fizica sau juridica;

(d) transferul este necesar din considerente importante de interes public;

(e) transferul este necesar pentru stabilirea, exercitarea sau apararea unui drept in instanta;

(f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci cand persoana vizata nu are capacitatea fizica sau juridica de a-si exprima acordul;

(g) transferul se realizeaza dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a furniza informatii publicului si care poate fi consultat fie de public in general, fie de orice persoana care poate face dovada unui interes legitim, dar numai in masura in care sunt indeplinite conditiile cu privire la consultare prevazute de dreptul Uniunii sau de dreptul intern in acel caz specific.

In cazul in care un transfer nu ar putea sa se intemeieze pe niciunul dintre temeiurile mentionate anterior, inclusiv dispozitii privind reguli corporatiste obligatorii, si nu este aplicabila niciuna dintre derogarile pentru situatii specifice, un transfer catre o tara terta sau o organizatie internationala poate avea loc numai in cazul in care, cumulativ:

(a) transferul nu este repetitiv,

(b) transferul se refera doar la un numar limitat de persoane vizate,

(c) transferul este necesar in scopul realizarii intereselor legitime majore urmarite de operator asupra caruia nu prevaleaza interesele sau drepturile si libertatile persoanei vizate si

(d) in urma unei evaluari a circumstantele aferente transferului de date, NUTRIACTION a prezentat garantii corespunzatoare in ceea ce priveste protectia datelor cu caracter personal.

In acest din urma caz, NUTRIACTION va informa atat autoritatea de supraveghere cat si persoana vizata cu privire la transfer si la interesele legitime majore pe care le urmareste.