Politica de confidențialitate

Politica de confidențialitate

CAP. 1 DISPOZIŢII GENERALE 

1. 1. Obiect şi obiective 

1.1.1. Prezentul regulament stabileşte normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestora; 

1.1.2. Prezentul regulament asigură protecţia drepturilor şi libertăţilor fundamentale ale persoanelor fizice şi în special a dreptului acestora la protecţia datelor cu caracter personal; 

1.1.3. Exercitarea drepturilor prevăzute în prezentul regulament nu poate fi restrânsă decât în cazurile expres şi limitativ prevăzute de lege. 

1.1.4. Libera circulaţie a datelor cu caracter personal în interiorul Uniunii Europene nu poate fi restricţionată sau interzisă din motive legate de protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal. 

1.2. Domeniu de aplicare 

1.2.1. Prezentul regulament se aplica tuturor angajaților, membrilor, voluntarilor, colaboratorilor și imputerniciților Asociației Institutul ACUM.

1.2.2. Prezentul regulament se aplica prelucrării datelor cu caracter personal, efectuată total sau parţial prin mijloace automatizate, precum şi prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţă a datelor sau care sunt destinate să facă parte dintr-un sistem de evidenţă a datelor. 

1.3. Termeni şi definiţii 

În sensul prezentului regulament: 

1. „Date cu caracter personal” înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă („Persoana vizată”). O persoana fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale; 

2. „Prelucrare” înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi: 

– colectarea – strângerea, adunarea ori primirea datelor cu caracter personal prin orice mijloace legale şi din orice sursă; 

– înregistrarea – consemnarea datelor cu caracter personal într-un sistem de evidenţă automat ori neautomat, care poate fi registru, fişier automat, baza de date sau orice formă de evidenţă organizată, structurată ori ad-hoc sau într-un text, înşiruire de date ori document, indiferent de modalitatea în care se înscriu datele; 

– organizarea – ordonarea, structurarea sau sistematizarea datelor cu caracter personal, conform unor criterii prestabilite, potrivit atribuţiilor legale ale operatorului, în scopul eficientizării/ optimizării activităţilor de prelucrare a acestora; 

– stocarea – păstrarea pe orice fel de suport a datelor cu caracter personal culese, inclusiv prin efectuarea copiilor de siguranţă; – adaptarea – transformarea datelor cu caracter personal colectate iniţial, conform criteriilor prestabilite şi scopurilor pentru care au fost colectate; 

– modificarea – actualizarea, completarea, schimbarea, corectarea ori refacerea datelor cu caracter personal, în scopul menţinerii caracteristicilor de exactitate, realitate, actualitate; 

– extragerea – scoaterea unei părţi din categoria specifică de date cu caracter personal, în scopul utilizării acesteia, separat şi distinct de prelucrarea iniţială; 

– consultarea – examinarea, vizualizarea, interogarea ori cercetarea datelor cu caracter personal, fără a fi limitate la acestea, în scopul efectuării unei operaţiuni sau set de operaţiuni de prelucrare ulterioară; 

– utilizarea – folosirea datelor cu caracter personal, în tot sau în parte, de către şi în interiorul operatorului, împuterniciţilor operatorului ori destinatarului, după caz, inclusiv prin tipărire, copiere, multiplicare, scanare sau orice alte procedee similare; 

– dezvăluirea/ divulgarea – a face disponibile date cu caracter personal către terţi prin comunicare, transmitere, diseminare sau punerea la dispoziţie în orice alt mod; 

– alăturarea – adăugarea, alipirea sau anexarea unor date cu caracter personal la cele deja existente, pe care nu le modifică; 

– combinarea/ alinierea – îmbinarea, unirea sau asamblarea unor date cu caracter personal separate iniţial, într-o formă nouă, pe baza unor criterii prestabilite, pentru scopuri anume determinate; 

– blocarea – întreruperea prelucrării datelor cu caracter personal; – restricţionarea – marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora; 

– ştergerea – eliminarea sau înlăturarea, în tot sau în parte, a datelor cu caracter personal din evidenţe sau înregistrări, prin împlinirea termenului de păstrare, la atingerea scopului pentru care au fost introduse, caducitatea, inexistenţa, inexactitatea; 

– transformarea – operaţiunea efectuată asupra datelor cu caracter personal având ca scop anonimizarea ori utilizarea acestora în scopuri exclusiv statistice; – distrugerea – aducerea la stare de neîntrebuinţare, în condiţiile legii, definitivă şi irecuperabilă, prin mijloace mecanice sau termice, a suportului fizic pe care au fost prelucrate date cu caracter personal. 

3. „Creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizică, în special pentru a analiza sau prevedea aspecte privind performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul în care se afla persoana fizică respectivă sau deplasările acesteia; 

4. „Pseudonimizare/ date anonime” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informaţii suplimentare, cu condiţia ca aceste informaţii suplimentare să fie stocate separat şi să facă obiectul unor măsuri tehnice şi organizatorice care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile; 

5. „Sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice; 

6. „Operator” înseamnă persoana fizică sau juridică, autoritatea publica, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; dacă scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizică sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin acel act normativ sau în baza acelui act normativ. În sensul prezentului regulament au calitatea de Operator, Asociația Institutul ACUM cu toate entităţile funcţionale/ structurile organizatorice – direcţii, departamente, servicii, birouri, compartimente, comisii, comitete etc., dacă stabilesc scopul şi mijloacele de prelucrare a datelor cu caracter personal. 

7. „Persoana împuternicită de operator/ procesator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului; 

8. „Destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării; 

9. „Parte terţă” înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal; 

10. „Consimţământ” al persoanei vizate înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate; 

11. „Încălcarea securităţii datelor cu caracter personal” înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea; 

12. „Date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care oferă informaţii unice privind fiziologia sau sănătatea persoanei respective şi care rezulta în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză; 

13. „Date biometrice” înseamnă date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirma identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice; 

14. „Date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia; 

15. „Întreprindere” înseamnă o persoana fizică sau juridică ce desfăşoară o activitate economică, indiferent de forma juridică a acesteia, inclusiv parteneriate sau asociaţii care desfăşoară în mod regulat o activitate economică; 16. „Grup de întreprinderi” înseamnă o întreprindere care exercită controlul şi întreprinderile controlate de aceasta; 

17. „Reguli corporatiste obligatorii” înseamnă politicile în materie de protecţie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce priveşte transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoana împuternicită de operator în una sau mai multe ţări terţe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună; 

18. „Autoritate de supraveghere/ ANSPDCP” înseamnă Autoritatea Naţională de Supraveghere a Datelor cu Caracter Personal; 

19. „Codul numeric personal (CNP)” înseamnă un număr semnificativ care individualizează în mod unic o persoana fizică, constituind un instrument de verificare a stării civile a acesteia şi de identificare în anumite sisteme informatice de către persoanele autorizate; 

20. „Date cu caracter personal cu funcţie de identificare de aplicabilitate generală (date cu caracter special)” înseamnă numere prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care au aplicabilitate generală, cum ar fi: codul numeric personal, seria şi numărul actului de identitate, numărul paşaportului, al permisului de conducere, numărul de asigurare socială sau de sănătate; 

21. „Utilizator” înseamnă orice persoană care acţionează sub autoritatea operatorului, a persoanei împuternicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal; are calitatea de utilizator al datelor cu caracter personal, personalul Operatorului – TNRS sau al împuternicitului acestuia ale cărei atribuţii de serviciu presupun operaţiuni de prelucrare a datelor cu caracter personal. 

22. „Responsabilul de protecţia datelor” înseamnă persoana din cadrul Asociației Institutul ACUM cu sarcini/ responsabilităţi specifice privind funcţionarea corespunzătoare a sistemului de protecţie a datelor cu caracter personal, în conformitate cu prevederile GDPR precum şi elaborarea, implementarea şi monitorizarea respectării prevederilor prezentului Regulament. 

1.4. Documente de referinţă 

– Regulamentul (UE) 679/2016 al Parlamentului European și al Consiliului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (GDPR); 

– LEGE nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) – Legislaţia internă aplicabilă în domeniul protecţiei datelor cu caracter personal; 

CAP. 2 PRINCIPII LEGATE DE PRELUCRAREA DATELOR CU CARACTER PERSONAL 

2.1. Legalitate, echitate şi transparenţă – un principiu esenţial, strâns asociat cu drepturile fundamentale ale omului. Datele cu caracter personal trebuie să fie prelucrate „în mod legal, echitabil şi transparent faţă de persoana vizată”; 

2.2. Limitări legate de scop – datele personale trebuie să fie colectate în scopuri bine determinate, explicite şi legitime, iar prelucrările ulterioare nu trebuie să se abată de la aceste scopuri. Prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică/ istorică ori în scopuri statistice nu se consideră incompatibilă de la scopurile iniţiale; 

2.3. Minimizarea/ Reducerea la minimum a datelor – orice colectare de date personale trebuie foarte bine analizată înainte de obţinerea efectivă a datelor, care trebuie să fie cele mai adecvate, relevante și strict limitate la ceea ce este absolut necesar pentru scopurile în care sunt prelucrate; 

2.4. Exactitatea informaţiilor – datele cu caracter personal trebuie să fie exacte, şi, în cazul în care este necesar, trebuie sa fie actualizate; operatorii trebuie să ia toate măsurile pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere; 

2.5. Limitarea stocării – datele trebuie păstrate fix atât timp cât sunt necesare pentru prelucrarea asumată. Perioadele mai lungi de stocare sunt excepţii asociate cu activităţi de prelucrare în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, conform art. 89, alin.1 din GDPR, sub rezerva punerii în aplicare a măsurilor tehnice şi organizatorice adecvate prevăzute de GDPR în vederea garantării drepturilor şi libertăţilor persoanei vizate; 

2.6. Integritate și confidenţialitate – prelucrarea datelor personale trebuie făcută în cele mai adecvate condiţii de siguranţă, care să includă „protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare”. Nerespectarea acestui principiu expune direct la breșe de securitate și confidenţialitate şi, implicit, la penalităţile extrem de severe prevăzute de GDPR; 

2.7. Responsabilitate – Operatorul este responsabil de respectarea principiilor GDPR şi de a demonstra această respectare. GDPR impune nu numai respectarea principiilor GDPR – de exemplu, prin documentarea deciziilor luate cu privire la o activitate de procesare, ci și să se demonstreze oricând aceasta respectare (responsabilitate). În consecinţă: 

– Orice prelucrare de date cu caracter personal trebuie să fie legală şi echitabilă; – Ar trebui să fie transparent pentru persoanele fizice vizate că sunt colectate, utilizate, consultate sau prelucrate datele cu caracter personal care le privesc şi în ce măsură datele sunt sau vor fi prelucrate; 

– Principiul transparenţei prevede că orice informaţii şi comunicări referitoare la prelucrarea respectivelor date cu caracter personal trebuie să fie uşor accesibile şi uşor de înţeles şi că trebuie să se utilizeze un limbaj simplu şi clar; acest principiu se referă în special la informarea persoanei vizate privind identitatea operatorului şi scopurile prelucrării, precum şi la oferirea de informaţii suplimentare, pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoanele fizice vizate şi dreptul acestora de a li se confirma şi comunica datele cu caracter personal care sunt prelucrate; 

– Persoanele fizice trebuie informate cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor cu caracter personal şi cu privire la modul în care să îşi exercite drepturile în legătură cu prelucrarea; 

– Scopurile specifice în care datele cu caracter personal sunt prelucrate trebuie să fie explicite şi legitime şi să fie determinate la momentul colectării datelor respective; 

– Datele cu caracter personal trebuie să fie adecvate, relevante şi limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Aceasta necesită, în special, asigurarea faptului că perioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum; 

– Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace; 

– Operatorul trebuie să stabilească termene pentru ștergere sau revizuirea periodică. Operatorul trebuie să ia toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau şterse; 

– Datele personale trebuie prelucrate într-un mod care să asigure în mod adecvat securitatea şi confidenţialitatea, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare. 

CAP. 3 LEGALITATEA PRELUCRĂRII DATELOR CU CARACTER PERSONAL 

Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii: 

a) persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice; 

b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract; 

c) prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului; 

d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice; 

e) prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este investit operatorul; 

f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil. 

Nota: „Interesele legitime ale unui operator”, inclusiv cele ale unui operator căruia îi pot fi divulgate datele cu caracter personal sau ale unei terţe părţi, pot constitui un temei juridic pentru prelucrare, cu condiţia să nu prevaleze interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, luând în considerare aşteptările rezonabile ale persoanelor vizate bazate pe relaţia acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci când există o relaţie relevantă şi adecvată între persoana vizată şi operator, cum ar fi cazul în care persoana vizată este un client al operatorului sau se afla în serviciul acestuia. Prelucrarea de date cu caracter personal strict necesară în scopul prevenirii fraudelor poate constitui un interes legitim al operatorului de date în cauză. 

CAP. 4 CONSIMŢĂMÂNTUL PERSOANEI VIZATE ŞI CONDIŢIILE PRIVIND CONSIMŢĂMÂNTUL 

4.1. În cazul în care prelucrarea se bazează pe consimţământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată şi-a dat consimţământul expres, neechivoc, liber şi informat pentru prelucrarea datelor sale cu caracter personal. 

4.2. În cazul în care consimţământul persoanei vizate este dat în contextul unei declaraţii scrise care se referă şi la alte aspecte, cererea privind consimţământul trebuie să fie prezentată într-o forma care o diferenţiază în mod clar de celelalte aspecte, într-o formă inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. 

4.3. Persoana vizată are dreptul să îşi retragă în orice moment consimţământul. Retragerea consimţământului nu afectează legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia. Înainte de acordarea consimţământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimţământului se face la fel de simplu ca acordarea acestuia. 

4.4. Atunci când se evaluează dacă consimţământul este dat în mod liber, se ţine seama cat mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiţionată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract. 

4.5. La nivelul Asociației Institutul ACUM, ca Operator de date personale, consimţământul persoanelor vizate este acordat: 

– în situaţia abonării la newslettere (furnizarea de informaţii despre serviciile, evenimentele şi proiectele Asociației Institutul ACUM); 

– în situația înscrierii și participării la evenimente, campaniile și proiectelele Asociației Institutul ACUM.

– în situaţia încheierii unor contracte cu partenerii de afaceri, exclusiv în situaţia în care prelucrarea datelor personale se face în scop de marketing direct (furnizarea de informaţii despre serviciile, evenimentele şi proiectele Asociației Institutul ACUM;

– în cadrul procesului de recrutare/ selecţie de personal.

4.6. În situaţia în care conducerea Asociației Institutul ACUM decide prelucrarea în scop de marketing direct, respectiv furnizarea către partenerii contractuali a unor informaţii despre serviciile, evenimentele şi proiectele  Asociației Institutul ACUM, entităţile funcţionale/ persoanele derulatoare/ responsabile de contract vor avea în vedere în mod obligatoriu exprimarea consimţământului în scopul menţionat anterior de către persoana vizată, prin bifarea unei căsuţe dedicate din contract. Lipsa consimţământului conduce la imposibilitatea prelucrării în scop de marketing direct. 

4.7. În cazul abonării la newslettere, consimţământul persoanei vizate este dat prin bifarea unei căsuţe dedicate din secţiunea website-ului, persoana fiind informată cu privire la aspectele privind protecţia datelor cu caracter personal.

4.8. Entităţile funcţionale/ persoanele derulatoare/ responsabile de contract, precum şi cele responsabile de operaţiunile de marketing direct (inclusiv serviciile aferente IT) vor avea în vedere în mod obligatoriu consimţământul exprimat în acest sens de către persoana vizată, pentru evitarea unor situaţii de neconformare faţă de prevederile legale privind protecţia datelor personale.

4.9. Dacă prelucrarea datelor personale se bazează pe consimţământ, prelucrarea datelor unui copil este legală dacă acesta are cel puţin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă şi în măsura în care consimţământul respectiv este acordat sau autorizat de titularul răspunderii părinteşti asupra copilului. Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri dacă titularul răspunderii părinteşti a acordat sau a autorizat consimţământul, ţinând seama de tehnologiile disponibile. Aceste dispoziţii nu afectează dreptul general al contractelor aplicabil în statele membre UE, cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract în legătură cu un copil. 

CAP. 5 REGULI SPECIALE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL 

5.1. Prelucrarea unor categorii speciale de date cu caracter personal 

5.1.1. Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice. 

5.1.2. Prevederile anterioare nu se aplica în următoarele situaţii: 

a) când persoana vizată şi-a dat consimţământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepţia cazului în care dreptul Uniunii sau dreptul intern prevede că interdicţia prevăzută anterior să nu poată fi ridicată prin consimţământul persoanei vizate; 

b) când prelucrarea este necesara în scopul îndeplinirii obligaţiilor şi al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forţei de muncă şi al securităţii sociale şi protecţiei sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanţii adecvate pentru drepturile fundamentale şi interesele persoanei vizate; 

c) când prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizica sau juridica de a-şi da consimţământul; 

d) când prelucrarea este efectuată în cadrul activităţilor lor legitime şi cu garanţii adecvate de către o fundaţie, o asociaţie sau orice alt organism fără scop lucrativ şi cu specific politic, filozofic, religios sau sindical, cu condiţia ca prelucrarea să se refere numai la membrii sau la foştii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale şi că datele cu caracter personal sa nu fie comunicate terţilor fără consimţământul persoanelor vizate; 

e) când prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată; 

f) când prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanţă sau ori de câte ori instanţele acţionează în exerciţiul funcţiei lor judiciare; 

g) când prelucrarea este necesara din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, care este proporţional cu obiectivul urmărit, respectă esenţa dreptului la protecţia datelor şi prevede măsuri corespunzătoare şi specifice pentru protejarea drepturilor fundamentale şi a intereselor persoanei vizate; 

h) când prelucrarea este necesară în scopuri legate de medicina preventiva sau a muncii, de evaluarea capacităţii de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistenţă medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor şi serviciilor de sănătate sau de asistenţă socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical şi sub rezerva respectării condiţiilor şi garanţiilor prevăzute de lege; datele cu caracter personal pot fi prelucrate în scopurile menţionate anterior în cazul în care datele respective sunt prelucrate de către un profesionist supus obligaţiei de păstrare a secretului profesional sau sub responsabilitatea acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite de organisme naţionale competente sau de o altă persoană supusă, de asemenea, unei obligaţii de confidenţialitate în temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme naţionale competente. 

i) când prelucrarea este necesară din motive de interes public în domeniul sănătăţii publice, cum ar fi protecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii sau asigurarea de standarde ridicate de calitate şi siguranţă a asistenţei medicale şi a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate şi specifice pentru protejarea drepturilor şi libertăţilor persoanei vizate, în special a secretului profesional; 

sau j) când prelucrarea este necesara în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în baza dreptului Uniunii sau a dreptului intern, care este proporţional cu obiectivul urmărit, respectă esenţa dreptului la protecţia datelor şi prevede măsuri corespunzătoare şi specifice pentru protejarea drepturilor fundamentale şi a intereselor persoanei vizate. 

5.2. Prelucrarea datelor cu caracter personal cu funcţie de identificare generală Datele cu caracter personal cu funcţie de identificare generală (Codul numeric personal – CNP, seria şi numărul actului de identitate/ paşaportului etc.) vor fi prelucrate, exclusiv în situaţiile în care este necesară stabilirea identităţii persoanelor vizate şi prelucrarea este prevăzută în mod expres de o dispoziţie legală. Prin legislaţia naţională se pot detalia condiţiile specifice de prelucrare a unui număr de identificare naţional sau a oricărui alt identificator cu aplicabilitate generală. În acest caz, numărul de identificare naţional sau orice alt identificator cu aplicabilitate generală este folosit numai în temeiul unor garanţii corespunzătoare pentru drepturile şi libertăţile persoanei vizate. 

5.3. Prelucrarea care nu necesită identificarea 

5.3.1. În cazul în care scopurile pentru care Asociația Institutul ACUM (operatorul) prelucrează date cu caracter personal nu necesită sau nu mai necesită identificarea unei persoane vizate de către operator, operatorul nu are obligaţia de a păstra, obţine sau prelucra informaţii suplimentare pentru a identifica persoana vizată în scopul unic al respectării legislaţiei specifice. 

5.3.2. Dacă, în cazurile menţionate anterior, operatorul poate demonstra ca nu este în măsură să identifice persoana vizată, operatorul informează persoana vizată în mod corespunzător, în cazul în care este posibil. În astfel de cazuri, prevederile legale privind dreptul de acces, de rectificare, de ştergere, la restricţionarea prelucrării, dreptul la portabilitatea datelor nu se aplica, cu excepţia cazului în care persoana vizată, în scopul exercitării drepturilor sale menţionate anterior, oferă informaţii suplimentare care permit identificarea sa. 

5.4. Prelucrarea datelor cu caracter personal în scop promoţional (marketing) Datele cu caracter personal furnizate de persoanele vizate (cum ar fi: nume şi prenume, adresa de e-mail, nr. fax, nr. telefon mobil/fix) vor putea fi prelucrate de Asociația Institutul ACUM doar cu consimţământul persoanelor vizate expres, neechivoc, liber, informat şi anterior exprimat, în anumite cazuri, cu respectarea drepturilor acestora, în special a dreptului de informare şi opoziţie, în următoarele scopuri: marketing (inclusiv marketing direct), concursuri, loterii publicitare, efectuarea de comunicări comerciale pentru serviciile Asociației Institutul ACUM, inclusiv cele dezvoltate împreună cu un partener al Asociației Institutul ACUM, prin orice mijloc de comunicare, inclusiv prin intermediul serviciilor de comunicaţii electronice. Datele cu caracter personal furnizate de persoanele vizate vor putea fi folosite în scop promoţional (marketing) şi pentru produsele sau serviciile altor parteneri ai Asociației Institutul ACUM, cu respectarea drepturilor persoanelor vizate. Persoanele vizate îşi pot exercita dreptul de prevenire a unei asemenea prelucrări prin selectarea casetelor adecvate din formularele/ documentele utilizate pentru colectarea datelor cu caracter personal. Indiferent de situaţie, în cazul în care persoana vizată va dori ca datele cu caracter personal să nu mai fie prelucrate de Asociația Institutul ACUM poate solicita în mod expres încetarea oricărei prelucrări de date din partea Asociației Institutul ACUM. Totodată, atunci când persoana vizată doreşte să nu mai primească newslettere sau materiale informative din partea Asociației Institutul ACUM, se poate dezabona folosind butonul „Dezabonare” sau „Unsubscribe”. 

CAP. 6 DREPTURILE PERSOANEI VIZATE ÎN CONTEXTUL PRELUCRĂRII DATELOR CU CARACTER PERSONAL 

6.1. Transparenţa informaţiilor, a comunicărilor şi a modalităţilor de exercitare a drepturilor persoanei vizate 

6.1.1. Asociația Institutul ACUM ia măsuri adecvate pentru a furniza persoanei vizate informaţiile legale solicitate, precum şi orice notificări şi comunicări (în situaţia exercitării drepturilor de care beneficiază potrivit legii) referitoare la prelucrare, într-o forma concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu, în special pentru orice informaţii adresate în mod specific unui copil. Informaţiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate, informaţiile pot fi furnizate verbal, cu condiţia ca identitatea persoanei vizate să fie dovedită prin alte mijloace. 

6.1.2. Asociația Institutul ACUM facilitează exercitarea drepturilor persoanei vizate. 

6.1.3. Asociația Institutul ACUM furnizează persoanei vizate informaţii privind acţiunile întreprinse în urma unei cereri prin care îşi exercită drepturile de care beneficiază în baza legii, fără întârzieri nejustificate şi în orice caz în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ţinându-se seama de complexitatea şi numărul cererilor. 

6.1.4. Asociația Institutul ACUM informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând şi motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informaţiile sunt furnizate în format electronic acolo unde este posibil, cu excepţia cazului în care persoana vizată solicită un alt format. 

6.1.5. Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana vizată, fără întârziere şi în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri şi la posibilitatea de a depune o plângere în faţa unei autorităţi de supraveghere şi de a introduce o cale de atac judiciară. 

6.1.6. Informaţiile furnizate în temeiul legislaţiei specifice şi orice comunicare şi orice măsuri luate în baza exercitării drepturilor de care beneficiază, potrivit legii, persoana vizată, sunt oferite gratuit. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate: 

a) fie să perceapă o taxă rezonabilă ţinând cont de costurile administrative pentru furnizarea informaţiilor sau a comunicării sau pentru luarea măsurilor solicitate; 

b) fie să refuze să dea curs cererii. În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii. 

6.1.7. În cazul în care are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea prin intermediul căreia îşi exercită drepturile de care beneficiază, potrivit legii, persoana vizată, operatorul poate solicita furnizarea de informaţii suplimentare necesare pentru a confirma identitatea persoanei vizate. 

6.1.8. Informaţiile care urmează sa fie furnizate persoanelor vizate în temeiul legislaţiei specifice, pot fi furnizate în combinaţie cu pictograme standardizate pentru a oferi într-un mod uşor vizibil, inteligibil şi clar lizibil o imagine de ansamblu semnificativă asupra prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea trebuie să poată fi citite automat. 

6.1.9. Pentru exercitarea drepturilor prevăzute de legislaţia specifică şi de prezentul Regulament, persoanele vizate se pot adresa Responsabilului cu protecţia datelor din cadrul Asociației Institutul ACUM cu o cerere scrisă, datată şi semnată la adresa de e-mail: contact@institutulacum.roro sau la următoarea adresă de corespondenţă:…….. Asociația Institutul ACUM poate, dacă este cazul, să solicite persoanei vizate să pună la dispoziţie informaţii suplimentare pentru a stabili identitatea acesteia. 

6.2. Dreptul la informare 

6.2.1. Informaţii care se furnizează în cazul în care datele cu caracter personal sunt colectate direct de la persoana vizată 

6.2.1.1. În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, Asociația Institutul ACUM, în momentul obţinerii acestor date cu caracter personal, furnizează persoanei vizate următoarele informaţiile: 

a) identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia; 

b) datele de contact ale responsabilului cu protecţia datelor, după caz; 

c) scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării; 

d) interesele legitime urmărite de operator sau de o parte terţă, după caz; 

e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal; 

f) dacă este cazul, intenţia operatorului de a transfera date cu caracter personal în afara Spaţiului UE și al Zonei Economice Europene şi existenţa sau absenţa unei decizii a Comisiei Europene privind caracterul adecvat al nivelului de protecţie sau, o trimitere la garanţiile adecvate sau corespunzătoare şi la mijloacele de a obţine o copie a acestora, în cazul în care acestea au fost puse la dispoziţie. 

6.2.1.2. În plus, faţă de informaţiile menţionate anterior, în momentul în care datele cu caracter personal sunt obţinute, operatorul furnizează persoanei vizate următoarele informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă: 

a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; 

b) existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrării sau a dreptului de a se opune prelucrării, precum şi a dreptului la portabilitatea datelor; 

c) atunci când prelucrarea se bazează pe consimţământul persoanei vizate, existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia; 

d) dreptul de a depune o plângere în fața unei autorităţi de supraveghere; 

e) dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau contractuală sau o obligaţie necesară pentru încheierea unui contract, precum şi dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal şi care sunt eventualele consecinţe ale nerespectării acestei obligaţii; 

f) existenţa unui proces decizional automatizat incluzând crearea de profiluri, precum şi, cel puţin, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată. 

6.2.1.3. În cazul în care operatorul intenţionează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizează persoanei vizate, înainte de aceasta prelucrare ulterioară, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante; 

6.2.1.4. Prevederile precedente nu se aplică dacă şi în măsura în care persoana vizată deţine deja informaţiile respective. 

6.2.2. Informaţii care se furnizează în cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizată. 

6.2.2.1 În cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizată, Asociația Institutul ACUM furnizează persoanei vizate următoarele informaţii: 

a) identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia; 

b) datele de contact ale responsabilului cu protecţia datelor, după caz; 

c) scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării; 

d) categoriile de date cu caracter personal vizate; 

e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz; 

f) dacă este cazul, intenţia operatorului de a transfera date cu caracter personal în afara Spaţiului UE şi al Zonei Economice Europene şi existenţa sau absenţa unei decizii a Comisiei Europene privind caracterul adecvat al nivelului de protecţie sau, o trimitere la garanţiile adecvate sau corespunzătoare şi la mijloacele de a obţine o copie a acestora, în cazul în care acestea au fost puse la dispoziţie. 

6.2.2.2. Pe lângă informaţiile menţionate anterior, operatorul furnizează persoanei vizate următoarele informaţii necesare pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoana vizată: 

a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; 

b) interesele legitime urmărite de operator sau de o parte terţă, după caz; 

c) existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrării şi a dreptului de a se opune prelucrării, precum şi a dreptului la portabilitatea datelor; 

d) atunci când prelucrarea se bazează pe consimţământul persoanei vizate, existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia; 

e) dreptul de a depune o plângere în faţa unei autorităţi de supraveghere; 

f) sursa din care provin datele cu caracter personal şi, dacă este cazul, dacă acestea provin din surse disponibile public; 

g) existenţa unui proces decizional automatizat incluzând crearea de profiluri, precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată. 

6.2.2.3. Operatorul furnizează informaţiile menţionate anterior: 

a) într-un termen rezonabil după obţinerea datelor cu caracter personal, dar nu mai mare de o lună, ţinându-se seama de circumstanţele specifice în care sunt prelucrate datele cu caracter personal; 

b) dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; 

sau c) dacă se intenţionează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară. 

6.2.2.4. În cazul în care operatorul intenţionează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost obţinute, operatorul furnizează persoanei vizate, înainte de aceasta prelucrare ulterioară, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante. 

6.2.2.5 Prevederile precedente nu se aplică dacă şi în măsura în care: 

a) persoana vizată deţine deja informaţiile; 

b) furnizarea acestor informaţii se dovedeşte a fi imposibilă sau ar implica eforturi disproporţionate, în special în cazul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, sub rezerva condiţiilor şi a garanţiilor prevăzute de lege, sau în măsura în care obligaţia furnizării informaţiilor este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective. În astfel de cazuri, operatorul ia măsuri adecvate pentru a proteja drepturile, libertăţile şi interesele legitime ale persoanei vizate, inclusiv punerea informaţiilor la dispoziţia publicului; 

c) obţinerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii Europene sau de dreptul intern sub incidenţa căruia intră operatorul şi care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate; 

sau d) în cazul în care datele cu caracter personal trebuie să rămână confidenţiale în temeiul unei obligaţii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligaţii legale de a păstra secretul. 

6.3. Dreptul de acces al persoanei vizate 

6.3.1. Persoana vizată are dreptul de a obţine din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc şi, în caz afirmativ, acces la datele respective şi la următoarele informaţii: 

a) scopurile prelucrării; 

b) categoriile de date cu caracter personal vizate; 

c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din ţări terţe sau organizaţii internaţionale; 

d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioadă; 

e) existenţa dreptului de a solicita operatorului rectificarea sau ştergerea datelor cu caracter personal ori restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării; 

f) dreptul de a depune o plângere în fața unei autorităţi de supraveghere; 

g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informaţii disponibile privind sursa acestora; 

h) existenţa unui proces decizional automatizat incluzând crearea de profiluri, precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată. 

6.3.2. În cazul în care datele cu caracter personal sunt transferate către o ţară terţă sau o organizaţie internaţională, persoana vizată are dreptul să fie informată cu privire la garanţiile adecvate, prevăzute de lege referitoare la transfer. 

6.3.3. Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative. În cazul în care persoana vizată introduce cererea în format electronic şi cu excepţia cazului în care persoana vizată solicită un alt format, informaţiile sunt furnizate într-un format electronic utilizat în mod curent. 

6.3.4. Dreptul de a obţine o copie menţionată anterior nu aduce atingere drepturilor şi libertăţilor altora. Pentru exercitarea dreptului, persoana vizată poate utiliza modelul cererii prevăzut în Anexa nr. 10. 

6.4. Dreptul la rectificare 

Persoana vizată are dreptul de a obţine de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ţinându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obţine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare. Pentru exercitarea dreptului, persoana vizată poate utiliza modelul cererii prevăzut în Anexa nr. 11. 

6.5. Dreptul la ştergerea datelor („dreptul de a fi uitat”) 

6.5.1. Persoana vizată are dreptul de a obţine din partea operatorului ştergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligaţia de a şterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplica unul dintre următoarele motive: 

a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate; 

b) persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea, şi nu exista niciun alt temei juridic pentru prelucrarea; 

c) persoana vizată se opune prelucrării şi nu există motive legitime care să prevaleze în ceea ce priveşte prelucrarea sau persoana vizată se opune prelucrării, în cazul prelucrării în scop de marketing direct; 

d) datele cu caracter personal au fost prelucrate ilegal;

e) datele cu caracter personal trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidenţa căruia se află operatorul; 

f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societăţii informaţionale menţionate în legislaţia specifică. 

6.5.2. Alineatele anterioare nu se aplică în măsura în care prelucrarea este necesară: 

a) pentru exercitarea dreptului la liberă exprimare şi la informare; 

b) pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este investit operatorul; 

c) din motive de interes public în domeniul sănătăţii publice; 

d) în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în măsura în care dreptul la ştergere este susceptibil să facă imposibilă sau sa afecteze în mod grav realizarea obiectivelor prelucrării respective; 

sau e) pentru constatarea, exercitarea sau apărarea unui drept în instanţă. Pentru exercitarea dreptului, persoana vizată poate utiliza modelul cererii prevăzut în Anexa nr. 12. 

6.6. Dreptul la restricţionarea prelucrării 

6.6.1. Persoana vizată are dreptul de a obţine din partea operatorului restricţionarea prelucrării în cazul în care se aplică unul din următoarele cazuri: a) persoana vizată contestă exactitatea datelor, pentru o perioada care îi permite operatorului să verifice exactitatea datelor; 

b) prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor; 

c) operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanţă; 

sau d) persoana vizată s-a opus prelucrării, pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate. 

6.6.2. În cazul în care prelucrarea a fost restricţionată conform prevederilor anterioare, astfel de date cu caracter personal pot, cu excepţia stocării, să fie prelucrate numai cu consimţământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanţă sau pentru protecţia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru. 

6.6.3. O persoană vizată care a obţinut restricţionarea prelucrării este informată de către operator înainte de ridicarea restricţiei de prelucrare. 

6.7. Obligaţia de notificare cu privire la rectificarea, ştergerea datelor cu caracter personal sau restricţionarea prelucrării Operatorul comunică fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice rectificare sau ştergere a datelor cu caracter personal sau restricţionare a prelucrării, cu excepţia cazului în care acest lucru se dovedeşte imposibil sau presupune eforturi disproporţionate. Operatorul informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru. 

6.8. Dreptul la portabilitatea datelor 

6.8.1. Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent şi care poate fi citit automat şi are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care: 

a) prelucrarea se bazează pe consimţământ sau pe un contract; 

şi b) prelucrarea este efectuată prin mijloace automate. 

6.8.2. În exercitarea dreptului său la portabilitatea datelor, persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic. 

6.8.3. Exercitarea dreptului la portabilitatea datelor nu aduce atingere dreptului la ştergerea datelor. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este investit operatorul. 

6.8.4. Dreptul la portabilitatea datelor nu aduce atingere drepturilor şi libertăţilor altora. 

6.9. Dreptul la opoziţie şi procesul decizional individual automatizat 

6.9.1. Dreptul la opoziţie 

6.9.1.1. În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situaţia particulară în care se afla, prelucrării datelor cu caracter personal care o privesc, inclusiv creării de profiluri. Operatorul nu mai prelucrează datele cu caracter personal, cu excepţia cazului în care operatorul demonstrează că are motive legitime şi imperioase care justifică prelucrarea şi care prevalează asupra intereselor, drepturilor şi libertăţilor persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanţă. 6.9.1.2. Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv. 6.9.1.3 În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop. 

6.9.1.4. Cel târziu în momentul primei comunicări cu persoana vizată, dreptul la opoziţie menţionat este adus în mod explicit în atenţia persoanei vizate şi este prezentat în mod clar şi separat de orice alte informaţii. 

6.9.1.5. În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare ştiinţifică sau istorică sau în scopuri statistice, persoana vizată, din motive legate de situaţia sa particulară, are dreptul de a se opune prelucrării datelor cu caracter personal care o privesc, cu excepţia cazului în care prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public. 

6.9.2. Procesul decizional automatizat, crearea de profiluri 

6.9.2.1. Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă. 

6.9.2.2. Prevederile anterioare nu se aplică în cazul în care decizia: 

a) este necesară pentru încheierea sau executarea unui contract între persoana vizată şi un operator de date; 

b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplica operatorului şi care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate; sau c) are la baza consimţământul explicit al persoanei vizate. 

6.9.2.3. În cazurile în care decizia este necesară pentru încheierea sau executarea unui contract între persoana vizată şi un operator de date sau are la bază consimţământul explicit al persoanei vizate, operatorul de date pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate, cel puţin dreptul acesteia de a obţine intervenţie umană din partea operatorului, de a-şi exprima punctul de vedere şi de a contesta decizia. 

6.9.2.4. Deciziile menţionate anterior nu au la baza categoriile speciale de date cu caracter personal, cu excepţiile prevăzute de lege (ex: persoana vizată şi-a dat consimţământul explicit) şi în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate. 

6.10 Dreptul la imagine

6.10.1 Participarea la evenimentele, campaniile și proiectele organizate de Asociația Institutul ACUM implică acceptarea necondiționată, exclusivă și irevocabilă a Participanților ca imaginea (fotografii, filme, statistici) din timpul desfășurării evenimentelor și în legătură cu evenimentele să poată fi făcute publice și exploatate în orice scop inclusiv publicitar de către Asociația Institutul ACUM, în scopul promovării evenimentelor și a activităților legate de acestea, fără nici un fel de pretenții din partea Participanților.

6.10.2 Evenimentele pot fi înregistrate în scopuri de comunicare publică/ informare, în orice modalitate, dar în special prin fotografii, înregistrări video pentru comunicare națională sau internațională, inclusiv în scop de publicitate și comercial. Urmare acestui demers, fiecare Participant acordă Asociației Institutul ACUM permisiunea de a înregistra și de a reproduce, fără nicio remunerație, numele, vocea, imaginea și informații referitoare la activitatea desfășurată în contextul evenimentelor.

6.10.3 Participanții recunosc dreptul Asociației Institutul ACUM de a efectua prelucrări ale imaginii, modificări, adăugiri, suprimări, precum și de a include sau a combina imaginea lor în stare de repaus sau alergare, cu expresii, semnături, semnale, sloganuri, legende, denumiri asociate evenimentelor, mărci, efecte vizuale, în materialele de comunicare în care acestea sunt utilizate și difuzate în diverse medii online.

Durata de stocare a datelor obţinute prin intermediul sistemului de supraveghere video trebuie să fie proporţională cu scopul pentru care se prelucrează datele, dar nu va depăși termenul maxim prevăzut de lege.

6.10.4 Participanții sunt informați asupra faptului că imaginea lor, înregistrată de către Asociația Institutul ACUM poate fi accesată de orice persoană pe site-urile evenimentelor/campaniilor/proiectelor, site-ul Asociației Institutul ACUM sau a paginilor de social media care se referă la evenimentele respective sau paginile Asociației Institutul ACUM.

CAP. 7 RESTRICŢII 

Prin legislaţia specifică care se aplică operatorului de date sau persoanei împuternicite de operator se poate restricţiona domeniul de aplicare al obligaţiilor şi al drepturilor prevăzute în actuala legislaţie în măsura în care dispoziţiile acesteia corespund drepturilor şi obligaţiilor menţionate anterior, atunci când o astfel de restricţie respectă esenţa drepturilor şi libertăţilor fundamentale şi constituie o măsură necesară şi proporţională într-o societate democratică, pentru a asigura: 

a) securitatea naţională; 

b) apărarea; 

c) securitatea publică; 

d) prevenirea, investigarea, depistarea sau urmărirea penală sau executarea sancţiunilor penale, inclusiv protejarea împotriva ameninţărilor la adresa securităţii publice şi prevenirea acestora; 

e) alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar şi fiscal şi în domeniul sănătăţii publice şi al securităţii sociale; 

f) protejarea independenţei judiciare şi a procedurilor judiciare; g) prevenirea, investigarea, depistarea şi urmărirea penală a încălcării eticii în cazul profesiilor reglementate; 

h) funcţia de monitorizare, inspectare sau reglementare legată, chiar şi ocazional, de exercitarea autorităţii oficiale; 

i) protecţia persoanei vizate sau a drepturilor şi libertăţilor altora; 

j) punerea în aplicare a pretenţiilor de drept civil. 

CAP. 8 CĂI DE ATAC, RĂSPUNDERI, MĂSURI ŞI SANCŢIUNI SPECIFICE 

8.1. Dreptul de a depune o plângere la o autoritate de supraveghere. 

8.1.1. Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care îşi are reşedinţa obişnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încălca prezentul regulament. 

8.1.2. Autoritatea de supraveghere la care s-a depus plângerea informează reclamantul cu privire la evoluţia şi rezultatul plângerii, inclusiv posibilitatea de a exercita o cale de atac judiciară în temeiul legislaţiei specifice. 

8.2. Dreptul la o cale de atac judiciară eficientă împotriva unei autorităţi de supraveghere. 

8.2.1. Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorităţi de supraveghere care o vizează. 

8.2.2. Fără a aduce atingere oricăror alte cai de atac administrative sau nejudiciare, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care autoritatea de supraveghere competentă nu tratează o plângere sau nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluţionarea plângerii depuse. 

8.2.3. Acţiunile introduse împotriva unei autorităţi de supraveghere sunt aduse în faţa instanţelor din statul membru în care este stabilită autoritatea de supraveghere. 

8.2.4. În cazul în care acţiunile sunt introduse împotriva unei decizii a unei autorităţi de supraveghere care a fost precedata de un aviz sau o decizie a Comitetului european pentru protecţia datelor în cadrul mecanismului pentru asigurarea coerenţei, autoritatea de supraveghere transmite curţii avizul respectiv sau decizia respectivă. 

8.3. Dreptul la o cale de atac eficientă împotriva unui operator sau a unei persoane împuternicite de operator 

8.3.1. Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul legii au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prevederile legale specifice. 

8.3.2. Acţiunile introduse împotriva unui operator sau unei persoane împuternicite de operator sunt prezentate în fata instanţelor din statul membru unde operatorul sau persoana împuternicită de operator îşi are un sediu. Alternativ, o astfel de acţiune poate fi prezentată în faţa instanţelor din statul membru în care persoana vizată îşi are reşedinţa obişnuită, cu excepţia cazului în care operatorul sau persoana împuternicită de operator este o autoritate publică a unui stat membru ce acţionează în exercitarea competențelor sale publice. 

8.4. Dreptul la despăgubiri şi răspunderea operatorului sau a persoanei împuternicite de operator 

8.4.1. Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a legislaţiei specifice are dreptul să obţină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit. 8.4.2. Orice operator implicat în operaţiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operaţiunile sale de prelucrare care încalcă prevederile legislaţiei specifice. Persoana împuternicită de operator este răspunzătoare pentru prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligaţiile din legislaţia specifică care revin în mod specific persoanelor împuternicite de operator sau a acţionat în afara sau în contradicţie cu instrucţiunile legale/contractuale ale operatorului. 

8.4.3. Operatorul sau persoana împuternicită de operator este exonerat(ă) de răspundere dacă dovedeşte că nu este răspunzător (răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul. 

8.5. Condiţii generale pentru impunerea amenzilor administrative 

8.5.1. Autoritatea de supraveghere asigură faptul că impunerea unor amenzi administrative pentru încălcările prevederilor legislaţiei specifice este, în fiecare caz, eficace, proporţională şi disuasivă. 

8.5.2. În funcţie de circumstanţele fiecărui caz în parte, amenzile administrative sunt impuse în completarea sau în locul măsurilor menţionate de legislaţia specifică. Autoritatea poate: 

– să emită avertizări; 

– să emită mustrări; 

– să dea dispoziţii; 

– să oblige operatorul să informeze persoana vizată cu privire la o încălcare a protecţiei datelor; 

– să limiteze sau să interzică prelucrarea; 

– să dispună rectificarea sau ştergerea datelor sau restricţionarea prelucrării. 

Asociația Institutul, cu sediul social în Comuna Ghiroda, Sat Ghiroda, Str. Piatra Craiului, Nr 2, Ap 2. , înscrisă la Judecătoria Timișoara, Registrul special – Secțiunea I cu nr. 2974/A/2022, cod de identificare fiscală 47006689.

E-mail: contact@institutulacum.ro