1.                  Prezentaregenerală

1.1.              Introducere

Societatea VG ARCHITECTURE R&D S.R.L., având sediul social în Bucuresti,Sector 2, Str. C.A. Rosetti, nr. 25, apart. 1, parter, cu număr de ordine în Registrul Comerțului J27/957/2017, cod unic deînregistrare fiscală 33000910, în calitate de persoană împuternicită a operatorului SPECIFIC URBAN S.R.L., colectează și procesează datele personale ale vizitatorilor site-ului www.uberhause.ro, în baza acordului de prelucrare încheiat. În vederea realizării acestuitip de prelucrare a datelor cu caracter personal, această politică descrie modul în care datele personaletrebuie colectate, utilizate și stocate pentru a fi în concordanță custandardele noastre referitoare la protecția datelor și, deasemenea, să îndeplinească condiția legalității.

VG ARCHITECTURER&D S.R.L. este și titularul mărcii înregistrate UberHause(nr. 137136 – OSIM).

1.2.             Existența politicii

Această politică privitoare la protecția datelor asigură informarea persoanelor vizate cu privirela conduita noastră cu privire la conformarea noastră la cerințele legislative privind protecția datelor cu caracter personal și practicile adoptate.

1.2.1          Legislația privitoare la protecția datelor cu caracter personal

La dataîntocmirii prezentei politici, operatorul împuternicit VG ARCHITECTURE R&D S.R.L. are obligațiarespectării legislației în vigoare în materie de protecție a datelor cucaracter personal, după cum urmează:

@  REGULAMENT nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea cepriveşte prelucrarea datelor cu caracter personal şi privind libera circulaţiea acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul generalprivind protecţia datelor) – GDPR;

@  LEGE  nr.  190 din  18  iulie 2018  privind măsuri  de  punere în  aplicare  a Regulamentului (UE) 2016/679 alParlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţiapersoanelor fizice în ceea ce priveşte prelucrarea  datelor cu  caracter  personal şi  privind  libera circulaţie  a acestor date şi deabrogare a Directivei 95/46/CE (Regulamentul general privind protecţiadatelor);

@  LEGE nr. 102 din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii  Naţionale de  Supraveghere  a Prelucrării  Datelor  cu Caracter Personal - Republicare*);

@  LEGE nr. 129 din 15 iunie 2018 pentru modificarea şi completarea Legii nr. 102/2005 privind înfiinţarea,organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a PrelucrăriiDatelor cu Caracter Personal, precum şi  pentru  abrogarea Legii  nr. 677/2001  pentru protecţia persoanelor  cu  privire la  prelucrarea  datelor cu  caracter  personal şi libera circulaţie a acestor date;

@  LEGE nr. 506 din 17 noiembrie 2004 privind prelucrarea datelor cu caracter personalşi protecţia vieţii private în sectorul comunicaţiilor electronice.

1.2.2         Definiții

(1)    Date cu caracter personal înseamnă orice informații privind o persoană fizicăidentificată sau identificabilă (persoana vizată); o persoană fizicăidentificabilă este o persoană care poate fi identificată, direct sau indirect,în special prin referire la un element de identificare, cum ar fi un nume, unnumăr de identificare, date de localizare, un identificator online, sau la unulsau mai multe elemente specifice, proprii identității sale fizice, fiziologice,genetice, psihice, economice, culturale sau sociale;

(2)  Prelucrare înseamnă orice operațiune sau set de operațiuniefectuate asupra datelor cu caracter personal sau asupra seturilor de date cucaracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar ficolectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea saumodificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere,diseminarea sau punerea la dispoziție in orice alt mod, alinierea saucombinarea, restricționarea, ștergerea sau distrugerea;

(3)   Restricționarea prelucrării înseamnă marcarea datelor cu caracter personal stocatecu scopul de a limita prelucrarea viitoare a acestora;

(4)  Creare de profiluri înseamnă orice forma de prelucrare automată a datelor cucaracter personal care constă în utilizarea datelor cu caracter personal pentrua evalua anumite aspecte personale referitoare la o persoană fizică, în specialpentru a analiza sau prevedea aspecte privind performanța la locul de muncă,situaţia economică, sănătatea, preferințele personale, interesele,fiabilitatea, comportamentul, locul în care se află persoana fizică respectivăsau deplasările acesteia;

(5)   Pseudonimizare înseamnă prelucrarea datelor cu caracter personalîntr-un asemenea mod încât acestea să nu mai poată fi atribuite unei anumepersoane vizate fără a se utiliza informații suplimentare, cu condiția caaceste informații suplimentare să fie stocate separat și să facă obiectul unormăsuri de natură tehnică și organizatorică care să asigure neatribuirearespectivelor date cu caracter personal unei persoane fizice identificate sauidentificabile;

(6)  Sistem de evidență adatelor înseamnă orice set structurat de datecu caracter personal accesibile conform unor criterii specifice, fie elecentralizate, descentralizate sau repartizate după criterii funcționale saugeografice;

(7)   Operator înseamnă persoana fizică sau juridică, autoritateapublică, agenția sau alt organism care, singur sau împreună cu altele,stabilește scopurile și mijloacele de prelucrare a datelor cu caracterpersonal; atunci când scopurile și mijloacele prelucrării sunt stabilite prindreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentrudesemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;

(8)  Persoana împuternicită deoperator înseamnă persoana fizică sau juridică,autoritatea publică, agenția sau alt organism care prelucrează datele cucaracter personal în numele operatorului;

(9)  Destinatar înseamnă persoana fizică sau juridică, autoritateapublică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cucaracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea,autoritățile publice cărora li se pot comunica date cu caracter personal încadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptulintern nu sunt considerate destinatari; prelucrarea acestor date de cătreautoritățile publice respective respectă normele aplicabile în materie deprotecție a datelor, în conformitate cu scopurile prelucrării;

(10)  Parte terță înseamnă o persoana fizică sau juridică, autoritatepublică, agenție sau organism altul decât persoana vizată, operatorul, persoanaîmputernicită de operator și persoanele care, sub directa autoritate aoperatorului sau a persoanei împuternicite de operator, sunt autorizate săprelucreze date cu caracter personal;

(11)  Consimțământ al persoanei vizate înseamnă orice manifestare de voință liberă,specifică, informată și lipsită de ambiguitate a persoanei vizate prin careaceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, cadatele cu caracter personal care o privesc sa fie prelucrate;

(12) Încălcarea securităţii datelorcu caracter personal înseamnă o încălcare a securităţii care duce, înmod accidental sau ilegal, la distrugerea, pierderea, modificarea, saudivulgarea neautorizata a datelor cu caracter personal transmise, stocate sauprelucrate într-un alt mod, sau la accesul neautorizat la acestea;

(13) Date genetice înseamnă datele cu caracter personal referitoare la caracteristicilegenetice moștenite sau dobândite ale unei persoane fizice, care oferăinformații unice privind fiziologia sau sănătatea persoanei respective și carerezultă în special în urma unei analize a unei mostre de material biologicrecoltate de la persoana în cauză;

(14)  Date biometrice înseamnă o dată cu caracter personal care rezultă înurma unor tehnici de prelucrare specifice referitoare la caracteristicilefizice, fiziologice sau comportamentale ale unei persoane fizice care permitsau confirmă identificarea unică a respectivei persoane, cum ar fi imaginilefaciale sau datele dactiloscopice;

(15) Date privind sănătatea înseamnă date cu caracter personal legate de sănătatea fizică sau mentalăa unei persoane fizice, inclusiv prestarea de servicii de asistență medicală,care dezvăluie informații despre starea de sănătate a acesteia;

(16)  Sediuprincipal înseamnă:

a.      în cazul unui operator cu sedii în cel puțindoua state membre, locul în care se află administrația centrală a acestuia înUniune, cu excepția cazului în care deciziile privind scopurile și mijloacelede prelucrare a datelor cu caracter personal se iau într-un alt sediu aloperatorului din Uniune, sediu care are competența de a dispune punerea înaplicare a acestor decizii, caz în care sediul care a luat deciziile respectiveeste considerat a fi sediul principal;

b.     în cazul unei persoane împuternicite deoperator cu sedii în cel puțin două state membre, locul în care se aflăadministrația centrală a acesteia în Uniune, sau, în cazul în care persoanaîmputernicită de operator nu are o administrație centrală în Uniune, sediul dinUniune al persoanei împuternicite de operator în care au loc activităţileprincipale de prelucrare, în contextul activităţilor unui sediu al persoaneiîmputernicite de operator, în măsura în care aceasta este supusă unor obligaţiispecifice în temeiul prezentului regulament;

(17)  Reprezentant înseamnă opersoana fizică sau juridică stabilită în Uniune, desemnată în scris de cătreoperator sau persoana împuternicită de operator în temeiul articolului 27, carereprezintă operatorul sau persoana împuternicită în ceea ce priveşteobligațiile lor respective care le revin în temeiul prezentului regulament;

(18)  Întreprindere înseamnă opersoana fizică sau juridică ce desfășoară o activitate economică, indiferentde forma juridică a acesteia, inclusiv parteneriate sau asociații caredesfășoară în mod regulat o activitate economică;

(19)  Grup de întreprinderi înseamnă o întreprindere care exercită controlul șiîntreprinderile controlate de aceasta;

(20) Reguli corporatiste obligatorii înseamnă politicile în materie de protecție a datelor cucaracter personal care trebuie respectate de un operator sau de o persoanăîmputernicită de operator stabilită pe teritoriul unui stat membru, în ceea cepriveşte transferurile sau seturile de transferuri de date cu caracter personalcătre un operator sau o persoană împuternicită de operator în una sau mai multețări terţe în cadrul unui grup de întreprinderi sau al unui grup deîntreprinderi implicate într-o activitate economica comună;

(21) Autoritate de supraveghere înseamnă o autoritate publică independentă instituită de un stat membru întemeiul articolului 51;

(22)  Autoritate de supraveghere vizata înseamnă o autoritate de supraveghere care este vizatăde procesul de prelucrare a datelor cu caracter personal deoarece:

a.      operatorul sau persoanaîmputernicită de operator este stabilită pe teritoriul statului membru alautorității de supraveghere respective;

b.     persoanele vizate care îşiau reședința în statul membru în care se află autoritatea de supraveghere respectivăsunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în modsemnificativ de prelucrare;

c.      la autoritatea desupraveghere respectivă a fost depusă o plângere;

(23)  Prelucraretransfrontaliera înseamnă:

a.      fie prelucrarea datelor cucaracter personal care are loc în contextul activităţilor sediilor din maimulte state membre ale unui operator sau ale unei persoane împuternicite deoperator pe teritoriul Uniunii, daca operatorul sau persoana împuternicita deoperator are sedii in cel puțin doua state membre; sau

b.     fie prelucrarea datelor cucaracter personal care are loc în contextul activităţilor unui singur sediu alunui operator sau al unei persoane împuternicite de operator pe teritoriulUniunii, dar care afectează în mod semnificativ sau este susceptibila de aafecta în mod semnificativ persoane vizate din cel puțin două state membre;

(24)  Obiecție relevantă și motivată înseamnă o obiecție la un proiect de decizie în scopulde a stabili dacă există o încălcare a prezentului regulament sau dacă măsurilepreconizate în ceea ce priveşte operatorul sau persoana împuternicită deoperator respecta prezentul regulament, care demonstrează în mod clarimportanța riscurilor pe care le prezintă proiectul de decizie în ceea cepriveşte drepturile și libertățile fundamentale ale persoanelor vizate și, dupăcaz, libera circulație a datelor cu caracter personal în cadrul Uniunii;

(25)  Serviciilesocietăţii informaționale înseamnă un serviciuastfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva98/34/CE a Parlamentului European și a Consiliului (19);

(26)  Organizaţie internațională înseamnă o organizaţie și organismele sale subordonate reglementate dedreptul internațional public sau orice alt organism care este instituitprintr-un acord încheiat între două sau mai multe țări sau în temeiul unuiastfel de acord.

(27)  Colectarea - strângerea, adunarea ori primirea datelor cu caracter personal prinorice mijloace legale şi din orice sursă;

(28)  Înregistrarea - consemnarea datelor cu caracter personal într-unsistem de evidenţă automat ori neautomat, care poate fi registru, fişierautomat, bază de date sau orice altă formă de evidenţă organizată, structuratăori ad-hoc sau într-un text, înşiruire de date ori document, indiferent demodalitatea în care se înscriu datele;

(29)  Organizarea - ordonarea, structurarea sau sistematizarea datelor cucaracter personal, conform unor criterii prestabilite, potrivit atribuţiilorlegale ale operatorului, în scopul eficientizării/optimizării activităţilor deprelucrare a acestora;

(30)  Stocarea -păstrarea pe orice fel de suport a datelor cu caracter personal culese,inclusiv prin efectuarea copiilor de siguranţă;

(31)  Adaptarea -transformarea datelor cu caracter personal colectate iniţial, conformcriteriilor prestabilite şi scopurilor pentru care au fost colectate;

(32)  Modificarea -actualizarea, completarea, schimbarea, corectarea ori refacerea datelor cucaracter personal, în scopul menţinerii caracteristicilor de exactitate,realitate, actualitate;

(33)  Extragerea - scoaterea unei părţi din categoria specifică de date cu caracterpersonal, în scopul utilizării acesteia, separat şi distinct de prelucrareainiţială;

(34)  Consultarea - examinarea, vizualizarea, interogarea ori cercetareadatelor cu caracter personal, fără a fi limitate la acestea, în scopulefectuării unei operaţiuni sau set de operaţiuni de prelucrare ulterioară;

(35)  Utilizarea - folosirea datelor cu caracter personal, în tot sau în parte, de către şiîn interiorul operatorului, împuterniciţilor operatorului ori destinatarului,după caz, inclusiv prin tipărire, copiere, multiplicare, scanare sau orice alteprocedee similare;

(36)  Dezvăluirea- a face disponibile date cu caracter personal către terți prin comunicare,transmitere, diseminare sau în orice alt mod;

(37)  Alăturarea - adăugarea, alipirea sau anexarea unor date cu caracter personal la celedeja existente, pe care nu le modifică;

(38)  Combinarea - îmbinarea, unirea sau asamblarea unor date cu caracterpersonal separate iniţial, într-o formă nouă, pe baza unor criteriiprestabilite, pentru scopuri anume determinate;

(39)  Blocarea -întreruperea prelucrării datelor cu caracter personal;

(40)  Ştergerea -eliminarea sau înlăturarea, în tot sau în parte, a datelor cu caracter personaldin evidenţe sau înregistrări, prin împlinirea termenului de păstrare, laatingerea scopului pentru care au fost introduse, caducitatea, inexistenţa,inexactitatea;

(41) Transformarea - operațiunea efectuată asupra datelor cu caracterpersonal având ca scop anonimizarea ori utilizarea acestora în scopuri exclusivstatistice;

(42)  Distrugerea - aducerea la stare de neîntrebuințare, în condiţiilelegii, definitivă şi irecuperabilă, prin mijloace mecanice sau termice, asuportului fizic pe care au fost prelucrate date cu caracter personal.

1.3.             Principii privind prelucrarea datelor cu caracterpersonal

Principiilefundamentale pe care se bazează prelucrarea datelor personale sunt cuprinse în Regulamentul GDPR învigoare din 25/05/2018.

Astfel, datele personale în cadrul VG ARCHITECTURE R&D S.R.L. sunt:

(a)    prelucrate înmod legal, echitabil și transparent față de persoana vizatăprincipiul legalității,echității și transparenței;

(b)   colectate înscopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un modincompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nueste considerată incompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1) – principiul limitări legate de scop;

(c)    adecvate,relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate – principiulreducerii la minimum a datelor;

(d)   exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurilepentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere – principiulexactității;

(e)   păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care suntprelucrate datele; datele cu caracter personal pot fi stocate pe perioade mailungi în măsura în care acestea vor fi prelucrate exclusiv înscopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1),sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoricadecvate prevăzute în prezentulregulament în vederea garantării drepturilor și libertăților persoanei vizate –principiul limitări perioadei de stocare;

(f)     prelucrateîntr-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sauorganizatorice corespunzătoare - principiul integralitățiiși confidențialității.

VG ARCHITECTURE R&D S.R.L. se va asigura că respectă toate aceste principii atât în procesul de prelucrare pe care îldesfășoară în prezent, câtșica parte a introducerii de noi metode de procesare, cum ar fi noile sistemeinformatice.

1.4.            Drepturile persoanei vizate

Persoana vizată are, de asemenea,drepturi în temeiul Regulamentului GDPR. Acestea nu sunt drepturi absolute șiconstau în:

@  Dreptul de retragere a consimțământului –  atuncicând prelucrarea se întemeiază pe consimțământul dumneavoastră, vi-l putețiretrage oricand, aceasta urmând să aiba efecte doar pentru viitor;

@  Dreptul la informare –  puteti solicita sa confirmam caprocesam datele dvs. personale si sa va informam cu privire la modul in careacestea sunt utilizate;

@  Dreptul de acces– în baza unei cereri, operatorul de date, aplicând principiul transparenței șivă facilitează accesul la datele dvs. personale prelucrate în sistemul săuinformațional, putându-vă comunica, la nevoie inclusiv copii ale acestora;

@  Dreptul la rectificare –  puteti solicita oricând rectificareasau completarea dator personale inexacte;

@  Dreptul la ștergerea datelor(dreptul de a fi uitat) – puteti obtine stergerea datelor, în cazul în care datele cu caracterpersonal nu mai sunt necesare pentru scopurile în care au fost colectate sausunt prelucrate și acest lucru nu presupune încălcrea vreunei norme legale însarcina noastră sau dacă prelucrarea datelor cu caracter personal nu este conformăacu Regulamentul UE 2016/679;

@  Dreptul la restricționarea prelucrării – putetisolicita restrictionarea prelucrării în cazul în care contestați exactitateadatelor, precum și în alte situații prevăzute de lege;

@  Dreptul la portabilitatea datelor –  ne putetisolicita ca datele personale pe care ni le-ati furnizat sa fie transmise altuioperator, în măsura în care dispunem de mijloacele tehnice necesare;

@  Dreptul de a vă opune prelucrării –  aveti dreptul sa solicitati olimitare a procesarii datelor dvs. cu caracter personal în situații precum:

®    când contestati corectitudinea datelor;

®    când procesarea datelor contravineprevederilor legale;

®    cand nu mai sunt necesare datele dvs. cucaracter personal in scopul prevazut, insa dvs. mai aveti nevoie de aceste datein scopul executarii, exercitarii sau apararii unor pretentii legale.

@  Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrareaautomată, inclusiv crearea de profiluri –  puteticere și obține intervenția umană cu privire la respectiva prelucrare, va putetiexprima propriul punct de vedere cu privire la aceasta și puteți contestadecizia luată exclusiv prin mijloace automatizate;

@  Dreptul de a depune o plângere la Autoritate –  putețidepune plângere față de modalitatea de prelucrare a datelor personale laAutoritatea Națională de Supraveghere a Prelucrării Datelor cu CaracterPersonal, pe site-ul instituției – www.dataprotection.ro;

@  Dreptul de a se adresa justiției –  în mod independent de dreptuldepunerii unei plângeri la ANSPDCP, oricând considerați ca v-a fost încălcatdreptul la intimitate și viață privată prin interemediul datelor dvs. cucaracter personal, vă puteți adresa instanței de judecată cu o cerere dechemare în judecată.

Fiecare dintre aceste drepturi este susținut de formulareadecvate din SPECIFIC URBAN SRL care permit ca acțiunea necesară săfie luatăîntermenele stabilite de Regulamentul GDPR.

Persoanele vizateîși pot exercita o partedin drepturile de mai sus prin e-mail, adresate operatorului de date la dpo@uberhause.ro. Cererile vor fi scutite de vreo taxă. Operatorul va fi obligat să furnizeze răspuns în maxim o lună, iar în anumite cazuri excepționale în cel mult două luni de la primirea cererii.

Operatorul dedate va verifica întotdeauna identitatea oricărei persoane. În vederea răspunderii la cereri și permiterea exercitării drepturilor, departamentul juridic sauconsultanții juridici externi voravea un cuvânt despus cu privire la temeinicia cererii.

1.5.             Temeiurileprelucrării

Regulamentului GDPR reglementează șase modalități de prelucrare subînsemnul legalității prelucrărilor de date cu caracter personal. Dintreacestea, iată pe care anume le utilizăm în cadrul site-ului www.uberhause.ro, raportat la scopulprelucrării:

Legalitatea prelucrării

Scopul prelucrării

Datele prelucrate

Art. 6, alin. (1), lit. (a) - consimțământului liber exprimat

colectarea și stocarea în scop de marketing

nume, prenume, adresa de mail, conținutul mesajului furnizat de persoana care completează formularul de contact pe site, geolocalizarea, adrese IP, istoricul privind informațiile accesate de vizitatorul site-ului.

Art. 6, alin. (1), lit. (b) - încheierea și/sau executarea unui contract la care persoana vizată este parte

transmiterea datelor de către persoana împuternicită la operatorul de date, pentru îndeplinirea funcției de comunicare cu persoana vizată

Cu excepția cazului în care este necesardintr-un motiv admis în Regulamentul GDPR, vom obține întotdeaunaacordul explicit (consimțământul) din partea unei persoane vizate pentrucolectarea și prelucrarea datelor. În cazulcopiilor sub vârsta de 16 ani (o vârstă mai mică poate fi permisă în anumite state membre ale UE), va fi obținut consimțământul părinților/ tutorelui. Informații transmise despreutilizarea datelor noastre cu caracter personal vor fi furnizate persoanelorvizate în momentul obținerii consimțământului și explicării drepturilor acestora cu privire la datele lor, cum ar fi dreptul de retragerea consimțământului. Acesteinformații vor fi furnizate într-o formă accesibilă, scrise în limbaj clar și gratuit.

În cazul în care datele cu caracter personal sunt necesare pentru aproteja interesele vitale ale persoanei vizate, VG ARCHITECTURE R&D S.R.L. va păstra dovezi rezonabile, documentate că acest lucru este cazul, ori de câte ori acestmotiv este utilizat ca bază legală pentru prelucrarea datelor cu caracter personal.

Dat fiind obiectul deactivitate autorizat, este puțin probabil ca VG ARCHITECTURE R&D S.R.L. să îndeplinească o sarcină pe care o consideră a fi în interesul public sauca parte a unei obligații oficiale, însă, dacăva fi cazul, evaluarea interesului public va fi documentată și pusă la dispoziție ca dovezi atunci când este necesar.

Dacă se va pune problema prelucrării datelor cu caracter personal în interesul legitim al VG ARCHITECTURE R&D S.R.L., ne vomasigura că această prelucrare suplimentară nuafectează în mod semnificativ drepturile și libertățile persoanei vizate, iar raționamentul din spatele acestui punct devedere va fi documentat corespunzător prin efectuarea unui test de echilibru.

2.                 Persoanefizice, riscuri șiresponsabilități

2.1.             Domeniulpoliticii

Prezenta politică se aplică:

@ Tuturor mediilor de prelucrare - online și offline- a datelor cu caracter personal colectate prin intermediul site-ului  

@  Întregului personal și voluntarilor VG ARCHITECTURE R&D S.R.L.

@  Tuturor contractanților, furnizorilor și altor persoane ce sunt implicați înorice fel în efectuarea acestui tip de prelucrări de date în conexiune directăsau indirectă cu site-ul.

Aceste date vor consta, fără a avea un caracterlimitativ, în: nume,prenume, adresa de mail, adrese IP, conținutul mesajului furnizat de persoanacare completează formularul de contct pe site – comunicare prininternet și orice alte datereferitoare la o persoană fizică identificată sau identificabilă.

2.2.            Responsabilități

VG ARCHITECTURE R&D S.R.L. operează site-ul în numele și pentruactivitatea desfășurată de  SPECIFIC URBAN S.R.L. și își angajează răspunderea pentru a asigura colectarea,stocarea și utilizarea datelor înmod corespunzător. VG ARCHITECTURE R&D S.R.L. vă garantează confidențialitatea datelor dvs..Informațiile furnizate de dumneavoastră nu vor fi trimise sau vandute altorentitati în scopuri de reclamă, marketing și publicitate.

Fiecare echipă/ partener/colaborator care utilizează datele personale trebuie să asigure faptul că acestea sunt utilizate și prelucrate în concordanță cu politica și principiile generale ale protecției datelor.

Aceste persoaneau următoarele atribuții:

@  Administrația este responsabilă cu privire la adoptarea deciziilor șipunere la dispoziție a resurselor necesare pentru asigurarea îndepliniriiobligațiilor în materie deprelucrare a datelor cu caracter personal de către VG ARCHITECTURE R&D S.R.L.

@  Responsabilul cu protecția datelor (DPO) este responsabil cu:

®    să monitorizeze respectarea GDPR și a normelor naționaleprivind protecțiadatelor cu caracter personal în interiorul organizației;

®    să asigure informarea șiconsilierea operatorului, a persoanelor împuternicite de acesta, autilizatorilor (salariațiioperatorului) cu privire la obligațiile ce le revin în temeiul normelor privind protecția datelor;

®    să inițieze acțiuni de sensibilizare și de formare a personalului implicat înoperațiunile de prelucrare adatelor cu caracter personal;

®    să coopereze cu  Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal(A.N.S.P.D.C.P.);

®    să-și asume rolul de punctde contact pentru Autoritatea de Supraveghere privind aspectele legate deprelucrare, inclusiv consultarea prealabilă mentionata la art. 36 din Regulamentul(UE) 2016/679, precum și, dacă este cazul, consultarea cu privire laorice altă chestiune;

®    să ofere sprijin și asistență la cerere în cadrul procedurilor privindevaluarea impactului asupra protecției datelor șimonitorizarea funcționării acesteia;

®    să țină seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, la îndeplinireasarcinilor sale.

@  ServiciulIT este responsabilpentru:

ü  Asigurarea tuturor sistemelor, serviciilorși echipamentului folositpentru a stoca datele, în condițiile unor standarde adecvate de Securitate, asigurând confidențialitatea,integritatea, disponibilitatea și rezistența continue alesistemelor și serviciilor de prelucrare;

ü  Efectuarea verificărilor și scanărilor în mod constant pentru a asiguranivelul înalt de securitate al hardware-ului și software-ului, precum și funcționarea decentă a lor;

ü  Evaluarea fiecărui serviciu al terțului pe care instituția îl consideră că utilizează saustochează date. De exemplu, servicii de cloud computing.

ü  Implementează măsuri pentru pseudonimizarea și criptarea datelor cu caracter personal;

ü  Implementează măsuri pentru a  restabili disponibilitatea datelor cu caracter personal și accesul laacestea în timp util în cazul în care are locun incident de natură fizică sau tehnică.

@  Angajațiipersoanei împuternicite suntresponsabili pentru:

ü  Respectarea permanentă a principiilor șimodalităților de prelucrare descrise în politicile, procedurile, formularelespecifice cu privire la care au fost instruiți;

ü  Asigurarea confidențialității deplineasupra prelucrărilor de date cu caracter personal în care sunt implicați.

3.                 Regulamentulgeneral al personalului

è Singurele persoane care sunt apte să acceseze datele prezentate în această politică ar trebui să fie cele cărora le este necesară pentru activitatea pe care o realizează.

è Datele personale ale persoanelor vizate artrebui să nu fie împărtășite către toți angajații. Când este necesar accesul la informații confidențiale, angajații pot solicita direct de la manageriilor.

è VG ARCHITECTURE R&D S.R.L. vaasigura trainingul aferent tuturor angajaților pentru a-i ajuta în procesul înțelegerii responsabilității pe care o au în momentul în care utilizează datele.

è Angajații ar trebui să asigure securitatea datelor luând precauții și folosind instrucțiunilede mai jos.

®    Vor trebui utilizate parole puternice, înconformitate cu recomandărilegrupurilor de lucru GDPR – 12 caractere (numere, litere mici, majuscule,caractere speciale), schimbate periodic.

®    Datele personale nu vor fi dezvăluite către persoane neautorizate, fie dininteriorul entității noastre  sau în afară.

®    Datele ar trebui să fie revizuite și actualizate dacă există situația în care datele nu sunt concordante cu realitatea. Dacă nu mai sunt necesare, datele vor fi șterse.

è Angajații vor cere ajutorul managerului lor sauresponsabilului cu protecțiadatelor (DPO) dacă nusunt siguri în legăturacu orice aspect al protecțieidatelor.

4.                Stocareadatelor

Aceste regulidescriu cum și undear trebui să fie stocate datele cucaracter personal. Întrebăriledespre stocarea datelor pot fi redirecționate însiguranță responsabilului cuprotecția datelor sau operatorului de date.

Când datele sunt stocate pe hârtie, ele trebuie păstrate într-un loc sigur unde persoanele neautorizate nu pot avea acces.

Aceste instrucțiuni se aplică, de asemenea, asupra datelor care suntstocate în mod obișnuit în format electronic, dar au fost printatedin anumite considerente:

®    Hârtiile sau fișierele ar trebui păstrate într-un loc închis sau într-unsertar închis;

®    Angajații ar trebui să se asigure că hârtia sau cele printate nu sunt lăsate către oameni neautorizați ce ar putea să le vadă, ca de exemplu pe imprimantă;

®    Printurile ar trebui distruse când nu maisunt necesare, cu ajutorului unui distrugător de documente.

Când datele sunt stocate în format electronic, eletrebuie să fie protejate deaccesul neautorizat, ștergeriloraccidentale sau atacurilor intenționate de hacking:

®    Datele ar trebui protejate de paroleputernice ce sunt schimbate regulat și niciodată împărtășite între angajați, întimp ce datele sensibile trebuiesc criptate;

®    Dacă datele sunt stocate pe suporturi amovibile (precum CD, DVD), acestea artrebui păstrate în siguranță atunci când nu sunt folosite;

®    Datele ar trebui stocate numai în serveresau unități specializate și ar trebui să fie încărcate într-un serviciu de cloud computingaprobat;

®    Serverele ce conțin informații personale ar trebui plasate într-un loc sigur, departe de spațiul general de birouri;

®    Datele nu ar trebui salvate direct pelaptopuri sau alte dispozitive mobile precum tablete sau smartphone-uri.

®    Datele au un back-up periodic.  Aceste backup-uri sunt jurnalizate și testate regulat.

®    Toate serverele și calculatoarele ce conțin date ar trebui protejate de software deSecuritate și firewall.

5.                 Utilizareadatelor

Datele personalenu au nicio valoare pentru operator, decât dacă aceasta le poate folosi în activitateasa. Atunci când datele sunt accesate și folosite, acționeazî o expunere intrinsecă la numeroase riscuri, corupție sau chiar furt:

®    Când se lucrează cu date personale, angajații ar trebui să se asigure întotdeauna că au închisecranele calculatoarelor când le lasă nesupravegheate;

®    Datele personale nu ar trebui transmiseprin e-mail, având în vedere că aceasta cale de comunicare nu este sigură. Dar dacă, totuși,acest lucru se întâmplă ca o necesitate de optimizare a comunicării cu clietul,datele sensibile ar trebuicriptate înainte de a fi transferate electronic. Serviciul IT ar trebui să explice cum sunt trimise datele către contactele externe autorizate.

®    Datele personale nu ar trebui transferateîn afara SpațiuluiEconomic European, atunci când nu sunt oferite de receptorul acestuia garanțiiadecvate reglementărilor GDPR.

®    Angajații ar trebui să nu salveze datele personale îndispozitivele lor personale. Întotdeauna ar trebui să existe acces și actualizare a copiei centrale a tuturordatelor.

6.                Preciziadatelor

Legislația solicită operatorului să urmărească pașii în modrezonabil pentru a asigura precizia și actualitatea datelor.

Acuratețea datelor este foarte importantă și este necesar un efort considerabil din partea VG ARCHITECTURE R&D S.R.L. pentru a o asigura. Esteresponsabilitatea tuturor angajaților care lucrează cuaceste date să urmărească pașii redați în continuare pentru a asigura acuratețea și actualitatea datelor pe cât posibil:

®    Datele vor fi păstrate în puține locuri. Personalul nu trebuie să creeze alte locuri adiționale deloc necesare, ca de exemplu copiiinutile;

®    Personalul ar trebui să se folosească de fiecare oportunitate pentru a asiguraactualizarea datelor. De exemplu,prin confirmarea unor detalii în momentul în care clientul sună;

®    VG ARCHITECTURE R&D S.R.L. va depunetoate diligențelenecesare pentru ca proprietarii datelor să își poată actualiza informațiile pe care le deține, deexemplu, prin intermediul site-ului nostru web;

®    Datele sunt actualizate când se descoperă inadvertențe. De exemplu, când o persoană nu mai poate fi contactatăprin intermediul unui număr detelefon, se recomandăeliminarea din baza de date a acestuia.

7.                 Divulgareadatelor din alte motive

În anumite circumstanțe, legislația permite datelor personale să fie dezvăluite către organele legii fără consimțământul persoaneisubiect al datelor prelucrate, iar  SPECIFIC URBAN SRL sau VG ARCHITECTURE R&D S.R.L.  vor dezvălui datele necesare. Operatorul de date se va asigura de faptul că cererea este legitimă, căutând asistență dela un jurist/ consilier juridic, când acest lucru este necesar.

8.                Furnizareinformații

VG ARCHITECTURE R&D S.R.L. țintește spre a asigura faptul că persoanele vizate știucum sunt prelucrate datele, asigurându-se că ei înțeleg:

@  Cum sunt datele lor utilizate;

@  Cum își pot exercita drepturile.

În acest scop, instituțianoastră are întocmite mai multe Politici stabilind instituirea unei conduitebazate pe bune practici despre cum datele persoanelor vizate sunt utilizate încadrul acesteia.

9.                Consecințe

Nerespectareaprezentei Politici de cătreangajații noștri sau alți colaboratori externi poate conduce către sancțiuni disciplinare (inclusiv încetareacontractului de muncă),rezilierea contractelor și, în funcție de circumstanțe, acționarea în instanță pentru recuperarea integrală a prejudiciilor aduse organizației ca urmare a nerespectării prezentei Politici.

Când există suspiciunea unor activități ilegale (cum ar fi, exemplificativ,sustragerea documentelor, copierea, distribuirea, transferul bazelor de date),Societatea va denunțaactivitatea infracțională organelor legii pentru tragerea la răspundere penală a făptuitorului.

Prezenta Politică va fi adusă la cunoștința tuturorangajaților, colaboratorilor, partenerilor de afaceri sau aaltor terți, inclusiv prin publicarea pe site-ul nostru.

VG ARCHITECTURE R&D isi rezerva dreptul de a modifica propriilepolitici de confidentialitate in orice moment, în conformitate cu reglementărilelegale privind protectia datelor. Vom publica respectivele modificari pesite-ul www.uberhause.ro pentru a vainforma cu privire la tipurile de informatii pe care le colectam si modul incare le utilizăm.

Data ultimei revizii: 20/10/2020