Termeni si conditii

REGULAMENTUL PRIVIND PRELUCRAREA SI PROTECTIA DATELOR CU CARACTER PERSONAL

CAP. 1 DISPOZITII GENERALE

    •   Obiect si obiective
      • Prezentul regulament stabileste normele referitoare la protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestora;
      • Prezentul regulament asigura protectia drepturilor si libertatilor fundamentale ale persoanelor fizice si in special a dreptului acestora la protectia datelor cu caracter personal;
      • Exercitarea drepturilor prevazute in prezentul regulament nu poate fi restransa decat in cazurile expres si limitativ prevazute de lege.
      • Libera circulatie a datelor cu caracter personal in interiorul Uniunii Europene nu poate fi restrictionata sau interzisa din motive legate de protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal.

 

1.2.      Domeniu de aplicare

      • Prezentul regulament se aplica personalului contractual din cadrul COSR cu atributii de prelucrare a datelor cu caracter personal si/sau dupa caz persoanelor imputernicite ale COSR.
      • Prezentul regulament se aplica prelucrarii datelor cu caracter personal, efectuata total sau partial prin mijloace automatizate, precum si prelucrarii prin alte mijloace decat cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta a datelor sau care sunt destinate sa faca parte dintr-un sistem de evidenta a datelor.

1.3.      Termeni si definitii
In sensul prezentului regulament:

  •  "Date cu caracter personal" inseamna orice informatii privind o persoana fizica identificata sau identificabila ("Persoana vizata"). O persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
  • "Prelucrare" inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi:
  • colectarea - strangerea, adunarea ori primirea datelor cu caracter personal prin orice mijloace legale si din orice sursa;
  • inregistrarea - consemnarea datelor cu caracter personal intr-un sistem de evidenta automat ori neautomat, care poate fi registru, fisier automat, baza de date sau orice forma de evidenta organizata, structurata ori ad-hoc sau intr-un text, insiruire de date ori document, indiferent de modalitatea in care se inscriu datele;
  • organizarea - ordonarea, structurarea sau sistematizarea datelor cu caracter personal, conform unor criterii prestabilite, potrivit atributiilor legale ale operatorului, in scopul eficientizarii/optimizarii activitatilor de prelucrare a acestora;
  • stocarea - pastrarea pe orice fel de suport a datelor cu caracter personal culese, inclusiv prin efectuarea copiilor de siguranta;
  • adaptarea - transformarea datelor cu caracter personal colectate initial, conform criteriilor prestabilite si scopurilor pentru care au fost colectate;
  • modificarea - actualizarea, completarea, schimbarea, corectarea ori refacerea datelor cu caracter personal, in scopul mentinerii caracteristicilor de exactitate, realitate, actualitate;
  • extragerea - scoaterea unei parti din categoria specifica de date cu caracter personal, in scopul utilizarii acesteia, separat si distinct de prelucrarea initiala;
  • consultarea - examinarea, vizualizarea, interogarea ori cercetarea datelor cu caracter personal, fara a fi limitate la acestea, in scopul efectuarii unei operatiuni sau set de operatiuni de prelucrare ulterioara;
  • utilizarea - folosirea datelor cu caracter personal, in tot sau in parte, de catre si in interiorul operatorului, imputernicitilor operatorului ori destinatarului, dupa caz, inclusiv prin tiparire, copiere, multiplicare, scanare sau orice alte procedee similare;
  • dezvaluirea/divulgarea - a face disponibile date cu caracter personal catre terti prin comunicare, transmitere, diseminare sau punerea la dispozitie in orice alt mod;
  • alaturarea - adaugarea, alipirea sau anexarea unor date cu caracter personal la cele deja existente, pe care nu le modifica;
  • combinarea/alinierea - imbinarea, unirea sau asamblarea unor date cu caracter personal separate initial, intr-o forma noua, pe baza unor criterii prestabilite, pentru scopuri anume determinate;
  • blocarea - intreruperea prelucrarii datelor cu caracter personal;
  • restrictionarea - marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
  • stergerea - eliminarea sau inlaturarea, in tot sau in parte, a datelor cu caracter personal din evidente sau inregistrari, prin implinirea termenului de pastrare, la atingerea scopului pentru care au fost introduse, caducitatea, inexistenta, inexactitatea;
  • transformarea - operatiunea efectuata asupra datelor cu caracter personal avand ca scop anonimizarea ori utilizarea acestora in scopuri exclusiv statistice;
  • distrugerea - aducerea la stare de neintrebuintare, in conditiile legii, definitiva si irecuperabila, prin mijloace mecanice sau termice, a suportului fizic pe care au fost prelucrate date cu caracter personal.
  • "Creare de profiluri" inseamna orice forma de prelucrare automata a datelor cu caracter personal care consta in utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizica, in special pentru a analiza sau prevedea aspecte privind performanta la locul de munca, situatia economica, sanatatea, preferintele personale, interesele, fiabilitatea, comportamentul, locul in care se afla persoana fizica respectiva sau deplasarile acesteia;
  • "Pseudonimizare/date anonime" inseamna prelucrarea datelor cu caracter personal intr-un asemenea mod incat acestea sa nu mai poata fi atribuite unei anume persoane vizate fara a se utiliza informatii suplimentare, cu conditia ca aceste informatii suplimentare sa fie stocate separat si sa faca obiectul unor masuri tehnice si organizatorice care sa asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
  • "Sistem de evidenta a datelor" inseamna orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate dupa criterii functionale sau geografice;
  • "Operator" inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; daca scopul si mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau in baza unui act normativ, operator este persoana fizica sau juridica, de drept public ori de drept privat, care este desemnata ca operator prin acel act normativ sau in baza acelui act normativ. In sensul prezentului regulament au calitatea de Operator, COSR cu toate entitatile functionale, precum Federatiile Nationale, Cluburile Sportive, si alte entitati cu care COSR colaboreaza, daca stabilesc scopul si mijloacele de prelucrare a datelor cu caracter personal, conform statutului COSR. 
  • "Persoana imputernicita de operator/procesator" inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului;
  • "Destinatar" inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism careia (caruia) ii sunt divulgate datele cu caracter personal, indiferent daca este sau nu o parte terta.;
  • "Parte terta" inseamna o persoana fizica sau juridica, autoritate publica, agentie sau organism altul decat persoana vizata, operatorul, persoana imputernicita de operator si persoanele care, sub directa autoritate a operatorului sau a persoanei imputernicite de operator, sunt autorizate sa prelucreze date cu caracter personal;
  • "Consimtamant" al persoanei vizate inseamna orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate;
  • "Incalcarea securitatii datelor cu caracter personal" inseamna o incalcare a securitatii care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, sau la accesul neautorizat la acestea;
  • "Date privind sanatatea" inseamna date cu caracter personal legate de sanatatea fizica sau mentala a unei persoane fizice, inclusiv prestarea de servicii de asistenta medicala, care dezvaluie informatii despre starea de sanatate a acesteia;
  • "Autoritate de supraveghere/ANSPDCP" inseamna Autoritatea Nationala de Supraveghere a Datelor cu Caracter Personal;
  • Codul numeric personal (CNP)”inseamna un numar semnificativ care individualizeaza in mod unic o persoana fizica, constituind un instrument de verificare a starii civile a acesteia si de identificare in anumite sisteme informatice de catre persoanele autorizate;
  • „Utilizator”  inseamna orice persoana care actioneaza sub autoritatea operatorului, a persoanei imputernicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal; are calitatea de utilizator al datelor cu caracter personal, personalul Operatorului – COSR sau al imputernicitului acestuia ale carei atributii de serviciu presupun operatiuni de prelucrare a datelor cu caracter personal.
  • „Responsabilul de protectia datelor” inseamna persoana din cadrul COSR cu sarcini/responsabilitati specifice privind functionarea corespunzatoare a sistemului  de protectie a datelor cu caracter personal, in conformitate cu prevederile GDPR precum si elaborarea, implementarea si monitorizarea respectarii prevederilor prezentului Regulament. 

1.4.      Documente de referinta
- Regulamentul (UE) 679/2016 al Parlamentului European si al Consiliului  privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date (GDPR);
- Regulamentul de organizare si functionare;

 

 

CAP.2 PRINCIPII LEGATE DE PRELUCRAREA DATELOR CU CARACTER PERSONAL

  • Legalitate, echitate si transparenta – un principiu esential, strans asociat cu drepturile fundamentale ale omului. Datele cu caracter personal trebuie sa fie prelucrate „in mod legal, echitabil si transparent fata de persoana vizata.”;
  • Limitari legate de scop – datele personale trebuie sa fie colectate in scopuri bine determinate, explicite si legitime, iar prelucrarile ulterioare nu trebuie sa se abata de la aceste scopuri. Prelucrarea ulterioara in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica/ istorica ori in scopuri statistice nu se considera incompatibila de la scopurile initiale;
  • Minimizarea/Reducerea la minimum a datelor – orice colectare de date personale trebuie foarte bine analizata inainte de obtinerea efectiva a datelor, care trebuie sa fie cele mai adecvate, relevante si strict limitate la ceea ce este absolut necesar pentru scopurile in care sunt prelucrate;
  • Exactitatea informatiilor – datele cu caracter personal trebuie sa fie exacte, si, in cazul in care este necesar, trebuie sa fie actualizate; operatorii trebuie sa ia toate masurile pentru a se asigura ca datele cu caracter personal care sunt inexacte, avand in vedere scopurile pentru care sunt prelucrate, sunt sterse sau rectificate fara intarziere;
  • Limitarea stocarii – datele trebuie pastrate fix atat timp cat sunt necesare pentru prelucrarea asumata. Perioadele mai lungi de stocare sunt exceptii asociate cu activitati  de prelucrare in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, conform art. 89, alin. 1 din GDPR, sub rezerva punerii in aplicare a masurilor tehnice si organizatorice adecvate prevazute de GDPR in vederea garantarii drepturilor si libertatilor persoanei vizate;
  • Integritate si confidentialitate – prelucrarea datelor personale trebuie facuta in cele mai adecvate conditii de siguranta, care sa includa „protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare”.

Nerespectarea acestui principiu expune direct la brese de securitate si confidentialitate si, implicit, la penalitatile extrem de severe prevazute de GDPR;

In consecinta:

  • Orice prelucrare de date cu caracter personal trebuie sa fie legala si echitabila;
  • Ar trebui sa fie transparent pentru persoanele fizice vizate ca sunt colectate, utilizate, consultate sau prelucrate datele cu caracter personal care le privesc si in ce masura datele sunt sau vor fi prelucrate;
  • Principiul transparentei prevede ca orice informatii si comunicari referitoare la prelucrarea respectivelor date cu caracter personal trebuie sa fie usor accesibile si usor de inteles si ca trebuie sa se utilizeze un limbaj simplu si clar; acest principiu se refera in special la informarea persoanei vizate privind identitatea operatorului si scopurile prelucrarii, precum si la oferirea de informatii suplimentare, pentru a asigura o prelucrare echitabila si transparenta in ceea ce priveste persoanele fizice vizate si dreptul acestora de a li se confirma si comunica datele cu caracter personal care sunt prelucrate;
  • Persoanele fizice trebuie informate cu privire la riscurile, normele, garantiile si drepturile in materie de prelucrare a datelor cu caracter personal si cu privire la modul in care sa isi exercite drepturile in legatura cu prelucrarea;
  • Scopurile specifice in care datele cu caracter personal sunt prelucrate trebuie sa fie explicite si legitime si sa fie determinate la momentul colectarii datelor respective;
  • Datele cu caracter personal trebuie sa fie adecvate, relevante si limitate la ceea ce este necesar pentru scopurile in care sunt prelucrate. Aceasta necesita, in special, asigurarea faptului ca perioada pentru care datele cu caracter personal sunt stocate este limitata strict la minimum;
  • Datele cu caracter personal ar trebui prelucrate doar daca scopul prelucrarii nu poate fi indeplinit in mod rezonabil prin alte mijloace;
  • Operatorul trebuie sa stabileasca termene pentru stergere sau revizuirea periodica. Operatorul trebuie sa ia toate masurile rezonabile pentru a se asigura ca datele cu caracter personal care sunt inexacte sunt rectificate sau sterse;
  • Datele personale trebuie prelucrate intr-un mod care sa asigure in mod adecvat securitatea si confidentialitatea, inclusiv in scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizata a datelor cu caracter personal si a echipamentului utilizat pentru prelucrare.

CAP. 3 LEGALITATEA PRELUCRARII DATELOR CU CARACTER PERSONAL
Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele conditii:

  • persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
  • prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;
  • prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului;
  • prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
  • prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;
  • prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in special atunci cand persoana vizata este un copil.

 Nota: Interesele legitime ale unui operator”, inclusiv cele ale unui operator caruia ii pot fi divulgate datele cu caracter personal sau ale unei terte parti, pot constitui un temei juridic pentru prelucrare, cu conditia sa nu prevaleze interesele sau drepturile si libertatile fundamentale ale persoanei vizate, luand in considerare asteptarile rezonabile ale persoanelor vizate bazate pe elatia acestora cu operatorul. Prelucrarea de date cu caracter personal strict necesara in scopul prevenirii fraudelor poate constitui un interes legitim al operatorului de date in cauza

CAP. 4 CONSIMTAMANTUL PERSOANEI VIZATE SI CONDITIILE PRIVIND CONSIMTAMANTUL

  • In cazul in care prelucrarea se bazeaza pe consimtamant, operatorul trebuie sa fie in masura sa demonstreze ca persoana vizata si-a dat consimtamantul expres, neechivoc, liber si informat pentru prelucrarea datelor sale cu caracter personal.
  • In cazul in care consimtamantul persoanei vizate este dat in contextul unei declaratii scrise care se refera si la alte aspecte, cererea privind consimtamantul trebuie sa fie prezentata intr-o forma care o diferentiaza in mod clar de celelalte aspecte, intr-o forma inteligibila si usor accesibila, utilizand un limbaj clar si simplu.
  • Persoana vizata are dreptul sa isi retraga in orice moment consimtamantul. Retragerea consimtamantului nu afecteaza legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia. Inainte de acordarea consimtamantului, persoana vizata este informata cu privire la acest lucru. Retragerea consimtamantului se face la fel de simplu ca acordarea acestuia.
  • Atunci cand se evalueaza daca consimtamantul este dat in mod liber, se tine seama cat mai mult de faptul ca, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este conditionata sau nu de consimtamantul cu privire la prelucrarea datelor cu caracter personal care nu este necesara pentru executarea acestui contract.
  • La nivelul COSR, ca Operator de date cu caracter personal, consimtamantul persoanelor vizate este acordat :
  • In cazul in care datele cu caracter personal ale persoanelor fizice incluse in programele COSR sunt colectate direct de catre COSR;
  • In cazul persoanelor care efectueaza stagii de practica;
  • In cazul persoanelor care se cazeaza in unitatile de cazare ale COSR;
  • In cazul pacientilor.
  • In cadrul procesului de colectare in mod direct a datelor cu caracter personal ale persoanelor fizice incluse in programele COSR, Reprezentantul COSR cu atributii in ceea ce priveste colectarea datelor va solicita acordarea consimtamantului persoanei prin semnarea de catre aceasta a Acordului de prelucrare a datelor cu caracter personal (Anexa 1) prin care declara ca a fost informata in legatura cu prelucrarea datelor cu caracter personal la nivelul COSR, precum si in legatura cu drepturile de care beneficiaza, potrivit legislatiei specifice. Acordul se va semna in doua exemplare, dintre care unul va ramane la persoana vizata iar celalalt se va pastra distinct in evidentele fizice si/sau electronice ale Reprezentantului COSR.
  • In ceea ce priveste procesul de colectare a datelor cu caracter personal ale persoanelor vizate care se inscriu la stagii de practica, care se cazeaza in unitatile de cazare ale COSR si a pacientilor care beneficiaza de ingrijiri medicale, asemenea procedurii de mai sus, Reprezentantii cu atributii in ceea ce priveste colectarea datelor cu caracter personal vor solicita acordarea consimtamantului persoanelor prin semnarea de catre aceastea a Acordului de prelucrare a datelor cu caracter personal prin care persoana vizata declara ca este de acord cu prelucrarea datelor in scopurile prevazute in Politica de confidentialitate, ca a fost informata in legatura cu prelucrarea datelor cu caracter personal la nivelul COSR, precum si in legatura cu drepturile de care beneficiaza, potrivit legislatiei specifice. Acordurile de prelucrare se vor semna in doua exemplare dintre care unul va ramane la persoana vizata iar celalalt se va pastra distinct in evidentele fizice si/sau electronice ale Reprezentantului COSR.

Acordurile privind prelucrarea datelor cu caracter personal sunt prevazute in Anexa nr. 2 (clienti unitati cazare); Anexa nr. 3 (practicanti) si Anexa nr. 1 (persoane fizice incluse in programele COSR -pacienti- se va bifa doar casuta prin care se solicita acordul cu privire la prelucrarea datelor privind starea de sanatate).

  • Daca prelucrarea datelor personale se bazeaza pe consimtamant, prelucrarea datelor unui minor este legala daca acesta are cel putin varsta de 16 ani. Daca minorul are sub varsta de 16 ani, respectiva prelucrare este legala numai daca si in masura in care consimtamantul respectiv este acordat sau autorizat de titularul raspunderii parintesti asupra copilului. Ori de cate ori persoana vizata este un minor sub 16 ani, Anexele prevazute la pct. 4.6. si 4.7. se vor semna de reprezentantul legal al minorului.

CAP. 5 REGULI SPECIALE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL
5.1 Prelucrarea unor categorii speciale de date cu caracter personal

  • COSR nu va prelucra date cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice, cu urmatoarele exceptii:
    • Prelucrarea datelor cu caracter personal privind starea de sanatate a personalului contractual in conditiile precizate la art. 9 alin. (2) lit. (b) din Regulament, respectiv prelucrarea este necesara in scopul indeplinirii obligatiilor si al exercitarii unor drepturi specifice ale COSR sau ale persoanei vizate in domeniul ocuparii fortei de munca si al securitatii sociale si protectiei sociale;
    • Prelucrarea datelor cu caracter personal privind starea de sanatate a persoanelor fizice incluse in programele COSR pentru efectuarea controlului medical la Institutul National de Medicina Sportiva, anterior cooptarii sportivilor in sistem, in vederea obtinerii avizului medical favorabil pentru practicarea sportului de performanta precum si pentru acordarea de ingrijiri medicale in cazul unor accidente din timpul antrenamentelor sau competitiilor;

5.2.      Prelucrarea care nu necesita identificarea

      • In cazul in care scopurile pentru care COSR (operatorul) prelucreaza date cu caracter personal nu necesita sau nu mai necesita identificarea unei persoane vizate de catre operator, operatorul nu are obligatia de a pastra, obtine sau prelucra informatii suplimentare pentru a identifica persoana vizata in scopul unic al respectarii legislatiei specifice.
      • Daca, in cazurile mentionate anterior, operatorul poate demonstra ca nu este in masura sa identifice persoana vizata, operatorul informeaza persoana vizatain mod corespunzator, in cazul in care este posibil. In astfel de cazuri, prevederile legale privind dreptul de acces, de rectificare, de stergere, la restrictionarea prelucrarii,  dreptul la portabilitatea datelor nu se aplica, cu exceptia cazului in care persoana vizata, in scopul exercitarii drepturilor sale mentionate anterior, ofera informatii suplimentare care permit identificarea sa.
    • Prelucrarea datelor cu caracter personal prin mijloace de supraveghere video
      • COSR, prin intermediul sistemelor de supraveghere video, prelucreaza datele cu caracter personal, respectiv imaginea si alte informatii ce permit identificarea persoanelor vizate. Imaginile referitoare la persoane identificate sau identificabile, prelucrate prin mijloace de supraveghere video, constituie date cu caracter personal:
    • chiar daca nu sunt asociate cu datele de identificare ale persoanei, sau
    • chiar daca nu contin imaginea persoanei filmate, ci alte informatii de natura sa conduca la identificarea acesteia (ex: numarul de inmatriculare al vehiculului)

Scopul si temeiul prelucrarii datelor personale consta in: monitorizarea/securitatea persoanelor, spatiilor si/sau bunurilor private, prevenirea si combaterea infractiunilor, indeplinirea obligatiilor legale si realizarea intereselor legitime.

      • Procedura:

Prelucrarea datelor cu caracter personal prin mijloace de supraveghere video se realizeaza numai de catre persoane autorizate de COSR.
Informatiile inregistrate sunt destinate utilizarii de catre COSRsi pot fi comunicate numai urmatorilor destinatari: persoana vizata, reprezentantii legali/imputernicitii persoanei vizate, reprezentantii autorizati COSR, organele de urmarire/cercetare penala, instante judecatoresti, in conformitate cu prevederile legislatiei interne si comunitare aplicabile activitatii desfasurate de COSR.
Durata de stocare a datelor obtinute prin intermediul sistemului de supraveghere video este de aproximativ 30 de zile, cu exceptia situatiilor expres reglementate de lege sau a cazurilor temeinic justificate. La expirarea termenului inregistrarile se distrug sau se sterg.
Persoanele vizate, respectiv candidatii, personalul contractual, persoanele fizice incluse in programele COSR, reprezentantii partenerilor contractuali, vizitatorii si alte persoane care intrain sediul COSR – imobilul COSR, situat in Bucuresti, sector 1, Str. Marasti, nr. 20 A si Complex Olimpic Sydney 2000,sunt informate in legatura cu prelucrarea datelor personale prin intermediul sistemelor de supraveghere video.
Informarile in cauza, precum si indicatoarele de marcare a existentei sistemului de supraveghere video (Anexa 4) vor fi aplicate in toate locurile unde sunt amplasate camere de supraveghere video-CCTV. Personalul de paza din cadrul COSR va verifica periodic starea fizica a informarilor si a indicatoarelor anterior mentionate si va raspunde de siguranta si confidentialitatea datelor personale stocate in sistemul de supraveghere/monitorizare video.

    •   Prelucrarea in contextul ocuparii unui loc de munca
      • Prin lege sau prin acorduri colective, se pot prevedea norme mai detaliate pentru a asigura protectia drepturilor si a libertatilor cu privire la prelucrarea datelor cu caracter personal ale candidatilor si ale personalului contractualin contextul ocuparii unui loc de munca, in special in scopul recrutarii, al indeplinirii clauzelor contractului de munca, inclusiv descarcarea de obligatiile stabilite prin lege sau prin acorduri colective, al gestionarii, planificarii si organizarii muncii, al egalitatii si diversitatii la locul de munca, al asigurarii sanatatii si securitatii la locul de munca, al protejarii proprietatii Angajatorului precum si in scopul exercitarii si beneficierii, in mod individual sau colectiv, de drepturile si beneficiile legate de ocuparea unui loc de munca, precum si pentru incetarea raporturilor de munca.
      • Procedura:

Atat in cazul candidatilor cat si in cazul personalului contractual COSR va proceda la informarea acestor persoane in ceea ce priveste conditiile prelucrari datelor cu caracter personal.
In acest sens, Reprezentantul COSR cu responsabilitati in procedura de recrutare va inmana candidatului, la data prezentarii depunerii CV-ului sau la data prezentarii la interviu Nota de informare (Anexa nr. 5) spre a fi semnata si luata la cunostinta de candidat. Nota de informare va fi semnata in dublu exemplar, dintre care unul va ramane la Reprezentnantul COSR si unul se va inmana candidatului. In cazul in care CV-ul se depune prin intermediul unor platforme de recrutare online (de ex. E-job), Nota de informare se va transmite candidatului in situatia in care acesta a fost selectionat pentru interviu. In aceasta situatie, Nota de informare, fie se va transmite pe e-mail cu confirmare de primire, fie se va inmana candidatului la date prezentarii la interviu.
In ceea ce priveste informarea personalului contractual cu privire la prelucrarea datelor cu caracter personal, Nota de informare (Anexa nr. 6), fie se va transmite prin e-mail cu confirmare de primire, pentru a putea face dovada luarii la cunostinta, fie se va semna de persoana vizata in dublu exemplar, dintre care unul se va atasa la dosarul acesteia iar unul se va inmana salariatului.

    • Prelucrarea datelor cu caracter personal ale persoanelor fizice incluse in programele COSR
      • COSR colecteaza datele cu caracter personal ale persoanelor fizice incluse in programele COSR (sportivi, antrenori, alti membrii ai colectivului tehnic precum: medic, metodist, statician, armurier) fie direct, fie in mod indirect atunci cand datele sunt primite de la Federatii, Cluburi sportive, CIO, CNOPJ, CNOPT, Miscarea Olimpica Internationala/Europeana, ANAD, WADA, Persoanele Fizice Autorizate carte trimit rapoarte de activitate.
      • Procedura:

In cazul in care datele cu caracter personal ale persoanelor fizice incluse in programele COSR sunt colectate in mod direct,Reprezentantul COSR cu atributii in ceea ce priveste colectarea datelor va solicita acordarea consimtamantului persoanei prin semnarea de catre aceasta a Acordului de prelucrare a datelor cu caracter personal (Anexa nr. 1) prin care declara ca a fost informata in legatura cu prelucrarea datelor cu caracter personal la nivelul COSR, precum si in legatura cu drepturile de care beneficiaza, potrivit legislatiei specifice. Acordurile de prelucrare se vor pastra distinct in evidentele fizice si/sau electronice aleReprezentantul COSR cu atributii de colectare a datelor.

In cazul in care datele cu caracter personal ale persoanelor fizice incluse in programele COSR sunt colectate in mod indirect, Operatorii asociati (Federatiile Nationale, Cluburile Sportive si alte entitati care au calitatea de Operator asociat cu COSR si care colecteaza in mod direct datele de la persoanele vizate) vor fi direct raspunzatori de colectarea datelor cu caracter personal in conformitate cu prevederile Regulamentului nr. 679/2016. In acest sens se va transmite acestora spre semnare Acordul de prelucrare a datelor cu caracter personal (Anexa nr.7) prin care se vor stabili obligatiile fiecarui Operator asociat in parte.
Totodata, in scopul informarii reprezentantilor Operatorilor asociati, COSR va transmite Nota de informare care va fi atasata Acordului si care va fi semnata in doua exemplare, dintre care un exemplar se va transmite semnat de reprezentantul Operatorului odata cu Acordul privind prelucrarea datelor cu caracter personal.

In ceea ce priveste informarea persoanelor fizice incluse in programele COSR, in Politica de confidentialitate postata pe site-ul COSR sunt prevazute conditiile in care sunt prelucrate datele cu caracter personal. Aceasta poate fi oricand consultata de persoanele vizate, asigurandu-se astfel respectarea principiului transparentei prelucrarii datelor cu caracter personal.

Procedura:
Datele cu caracter personal constand in imaginea persoanelor fizice incluse in programele COSRvor putea fi prelucrate de COSR in urmatoarele situatii si cu indeplinirea unor conditii, dupa cum urmeaza:

  • in temeiul Legii nr. 69/2000 a Educatiei Fizice si Sportului, COSR are dreptul de a prelucra datele cu caracter personal constand in imaginile persoanelor incluse in programele COSR in urmatoarele scopuri: promovarea sportului, concursuri, evenimente precum si alte activitati cu specific in domeniul sportului organizate de COSR, individual sau in parteneriate. 

Cu exceptia cazurilor prevazute de lege, in cazul in care persoana vizata va dori ca datele cu caracter personal sa nu mai fie prelucrate de COSR, poate solicita in mod expres incetarea oricarei prelucrari de date din partea COSR.

  • doar cu consimtamantul persoanelor vizate, expres, neechivoc, liber, informat si anterior exprimat(anexa nr. 1), cu respectarea drepturilor acestora, in special a dreptului de informare si opozitie, in urmatoarele scopuri: marketing (inclusiv marketing direct) si publicitate. Datele cu caracter personal furnizate de persoanele vizate vor putea fi folosite in scop de marketing si publicitate si pentru produsele sau serviciile altor parteneri ai COSR, cu respectarea drepturilor persoanelor vizate.

In aceasta situatie, ori de cate ori COSR va utiliza imaginile in scopurile mentionate mai sus, anterior folosirii imaginii, Reprezentantul COSR care urmeaza a utiliza aceste imagini va solicita acordul expres al persoanei vizate. In acest sens, Reprezentantul va transmite pe e-mail Acordul privind prelucrarea datelor cu caracter personal, cu mentiunea ca persoana vizata va trebui sa transmita prin posta/e-mail (scanat) la adresa indicata in e-mail, Acordul privind prelucrarea datelor cu caracter personal semnat, acesta facand dovada obtinerii in mod legal a acordului persoanei vizate.
Reprezentantul are obligatia de a tine evidenta tuturor acordurilor obtinute in acest scop, acestea facand dovada obtinerii in mod legal al consimtamantului persoanei vizate.

    • Prelucrarea datelor cu caracter personal ale reprezentantilor partenerilor contractuali ai COSR

Procedura:
COSR prelucreaza datele cu caracter personal ale reprezentantilor partenerilor contractuali (furnizori, prestatori de servicii etc.). Avand in vedere ca reprezentantii partenerilor contractuali sunt persoane fizice, acestea vor fi informate cu privire la prelucrarea datelor cu caracter personal.
In acest sens, Reprezentantul COSR anume desemnatva intocmi o lista care va cuprinde denumirea fiecarui partener contractual al COSR si va transmite prin e-mail/posta, cu confirmare de primireContractul privind prelucrarea datelor cu caracter personal si Nota de informare prvind prelucrarea datelor cu caracter personal (Anexa nr. 8 ) catre fiecare dintre reprezentantii partenerilor contractuali.
Transmiterea Contractului si  a Notei de informare privind prelucrarea datelor cu caracter personal prin e-mail/posta cu semnatura si stampila partenerului contractual al COSR va face dovada informarii reprezentantului persoana fizica.

    • Prelucrarea datelor cu caracter personal colaboratori PFA

Procedura:
COSR prelucreaza datele cu caracter personal ale colaboratorilor Persoane Fizice Autorizate. Pentru respectarea prevederilor Regulamentului nr. 679/2016 COSR va lua toate masurile necesare in scopul informarii acestora.
In acest sens, Reprezentantul COSR cu responsabilitati privind incheierea contractelor de prestari servcii cu PFA va proceda la informarea persoanelor vizate prin transmiterea catre acestea a Notei de informare (Anexa nr. 6) spre a fi semnata si luata la cunostinta reprezentantul PFA. Nota de informare va fi semnata in dublu exemplar, dintre care unul va ramane la Reprezentnantul COSR si unul se va inmana reprezentantului PFA.
Totodata, pentru asigurarea prelucrarii datelor de catre PFA in conditiile prevazute de Regulamentul nr. 679/2016, COSR va incheia cu acestea Acte aditionale la Contractele de prestari servicii in care se vor stabili obligatiile PFA in ceea ce priveste prelucrarea datelor cu caracter personal. Actul aditional se va semna in doua exemplare dintre care unul se va inmana PFA iar celalalt va ramane la Reprezentantul COSR.
Modelul Actului aditional este prevazut in Anexa nr. 9.

    • Prelucrarea datelor cu caracter personal ale practicantilor

Procedura:
COSR prin Departamentul Complex Olimpic Sydney 2000 organizeaza sesiuni de practica pentru elevi in cadrul Departamentului de Alimentatie Publica. Prelucrarea datelor cu caracter personal ale practicantilor se va face in temeiul obtinerii consimtamantului acestora.
In acest sens, Reprezentantul COSR cu atributii privind organizarea stagiilor de practica va inmana persoanei vizate, spre semnare, anterior inceperii stagiului Acordul de prelucrare al datelor cu caracter personal (Anexa nr. 3).
Acordul se va semna de persoana vizata in cazul in care are cel putin 16 ani, in caz contrar, Acordul se va semna de reprezentantul legal al minorului in doua exemplare, dintre care unul va ramane la Reprezentantul COSR iar celalalt la persoana vizata (practicant).
Informarea persoanei vizate se face prin Politica de confidentialitate postata pe site-ul COSR.

    • Prelucrarea datelor cu caracter personal ale clientilor

Procedura:
COSR prelucreaza datele clientilor atunci cand acestia se cazeaza in hoteluri, servesc masa in restaurante apartinand COSR sau beneficiaza de alte servicii sportive. Prelucrarea datelor clientilor se va face in temeiul obtinerii consimtamantului acestora.
In acest sens, la data cazarii, Receptionistii hotelurilor sau angajatii implicati cu prestarea serviciilor de masa si alte servicii sportive vor inmana persoanei vizate spre semnare Acordul de prelucrare date cu caracter personal.
Acordul se va semna de client in doua exemplare, dintre care unul va ramane la receptia hotelului iar celalalt la persoana vizata.
Modelul Acordului de prelucrare a datelor cu caracter personal este prevazut in Anexa nr. 2.
Informarea persoanei vizate se face prin Politica de confidentialitate postata pe site-ul COSR.

CAP.6 DREPTURILE PERSOANEI VIZATE IN CONTEXTUL PRELUCRARII DATELOR CU CARACTER PERSONAL
6.1.      Transparenta informatiilor, a comunicarilor si a modalitatilor de exercitare a drepturilor persoanei vizate

  • COSR (Operatorul)ia masuri adecvate pentru a furniza persoanei vizate informatiile legale solicitate, precum si orice notificari si comunicari (in situatia exercitarii drepturilor de care beneficiaza potrivit legii) referitoare la prelucrare, intr-o forma concisa, transparenta, inteligibilasi usor accesibila, utilizand un limbaj clar si simplu, in special pentru orice informatii adresate in mod specific unui copil. Informatiile se furnizeazain scris sau prin alte mijloace, inclusiv, atunci cand este oportun, in format electronic. La solicitarea persoanei vizate, informatiile pot fi furnizate verbal, cu conditia ca identitatea persoanei vizate sa fie dovedita prin alte mijloace.
  • COSRfaciliteaza exercitarea drepturilor persoanei vizate.
  • Procedura:

COSRfurnizeaza persoanei vizate informatii privind actiunile intreprinse in urma unei cereri prin care isi exercita drepturile de care beneficiazain baza legii, faraintarzieri nejustificate si in orice caz in cel mult o luna de la primirea cererii. Aceasta perioada poate fi prelungita cu doua luni atunci cand este necesar, tinandu-se seama de complexitatea si numarul cererilor.
COSR informeaza persoana vizata cu privire la orice astfel de prelungire, in termen de o luna de la primirea cererii, prezentand si motivele intarzierii. In cazul in care persoana vizata introduce o cerere in format electronic, informatiile sunt furnizate in format electronic acolo unde este posibil, cu exceptia cazului in care persoana vizata solicita un alt format.

Daca nu ia masuri cu privire la cererea persoanei vizate, operatorul informeaza persoana vizata, faraintarziere si in termen de cel mult o luna de la primirea cererii, cu privire la motivele pentru care nu ia masuri si la posibilitatea de a depune o plangere in fata unei autoritati de supraveghere si de a introduce o cale de atac judiciara.

Informatiile furnizate in temeiul legislatiei specifice si orice comunicare si orice masuri luate in baza exercitarii drepturilor de care beneficiaza, potrivit legii, persoana vizata, sunt oferite gratuit.In cazul in care cererile din partea unei persoane vizate sunt in mod vadit nefondate sau excesive, in special din cauza caracterului lor repetitiv, operatorul poate:

    • fie sa perceapa o taxa rezonabilatinand cont de costurile administrative pentru furnizarea informatiilor sau a comunicarii sau pentru luarea masurilor solicitate;
    • fie sa refuze sa dea curs cererii.

In aceste cazuri, operatorului ii revine sarcina de a demonstra caracterul vadit nefondat sau excesiv al cererii.
In cazul in care are indoieli intemeiate cu privire la identitatea persoanei fizice care inainteaza cererea prin intermediul careia isi exercita drepturile de care beneficiaza, potrivit legii, persoana vizata, operatorul poate solicita furnizarea de informatii suplimentare necesare pentru a confirma identitatea persoanei vizate.

Pentru exercitarea drepturilor prevazute de legislatia specificasi de prezentul Regulament, persoanele vizate se pot adresa Responsabilului cu protectia datelor din cadrul COSR cu o cerere scrisa, datatasi semnata la adresa de e-mail: dpo@cosr.rosau la urmatoarea adresa de corespondenta: COSR, str. Marasti, nr. 20 A, sector 1, Bucuresti.
Tipizatele cererilorse pot gasi la secretariatul COSR la adresa mai sus mentionata sau pe site-ul COSR la sectiunea „Protectia datelor”. COSR poate, daca este cazul, sa solicite persoanei vizate sa puna la dispozitie informatii suplimentare pentru a stabili identitatea acesteia.

6.2.      Dreptul la informare
Informatii care se furnizeazain cazul in care datele cu caracter personal sunt colectate direct de la persoana vizata
6.2.1.In cazul in care datele cu caracter personal referitoare la o persoana vizata sunt colectate de la aceasta, COSR, in momentul obtinerii acestor date cu caracter personal, furnizeaza persoanei vizate urmatoarele informatiile:identitatea si datele de contact ale operatorului si, dupa caz, ale reprezentantului acestuia;datele de contact ale responsabilului cu protectia datelor, scopurile in care sunt prelucrate datele cu caracter personal, precum si temeiul juridic al prelucrarii; interesele legitime urmarite de operator sau de o parte terta, dupa caz;destinatarii sau categoriile de destinatari ai datelor cu caracter personal;daca este cazul, intentia operatorului de a transfera date cu caracter personal in afara Spatiului UE si al Zonei Economice Europene si existenta sau absenta unei decizii a Comisiei Europene privind caracterul adecvat al nivelului de protectie sau, o trimitere la garantiile adecvate sau corespunzatoare si la mijloacele de a obtine o copie a acestora, in cazul in care acestea au fost puse la dispozitie; perioada pentru care vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;existenta dreptului de a solicita operatorului, in ceea ce priveste datele cu caracter personal referitoare la persoana vizata, accesul la acestea, rectificarea sau stergerea acestora sau restrictionarea prelucrarii sau a dreptului de a se opune prelucrarii, precum si a dreptului la portabilitatea datelor;atunci cand prelucrarea se bazeaza pe consimtamantul persoanei vizate, existenta dreptului de a retrage consimtamantul in orice moment, fara a afecta legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia;dreptul de a depune o plangere in fata unei autoritati de supraveghere;daca furnizarea de date cu caracter personal reprezinta o obligatie legala sau contractualasau o obligatie necesara pentru incheierea unui contract, precum si daca persoana vizata este obligata sa furnizeze aceste date cu caracter personal si care sunt eventualele consecinte ale nerespectarii acestei obligatii;existenta unui proces decizional automatizat incluzand crearea de profiluri, precum si, cel putin, informatii pertinente privind logica utilizatasi privind importanta si consecintele preconizate ale unei astfel de prelucrari pentru persoana vizata.
6.2.2. In cazul in care operatorul intentioneaza sa prelucreze ulterior datele cu caracter personal intr-un alt scop decat cel pentru care acestea au fost colectate, operatorul furnizeaza persoanei vizate, inainte de aceasta prelucrare ulterioara, informatii privind scopul secundar respectiv si orice informatii suplimentare relevante;
6.2.3. Prevederile precedente nu se aplica dacasi in masura in care persoana vizata detine deja informatiile respective.

6.2.4.   Informarea persoanelor vizate in contextul activitatilor specifice COSR
In contextul realizarii atributiilor stabilite de lege si desfasurarii activitatii curente a COSR inclusiv derularii raporturilor de munca, activitatii comerciale/contractuale si /sau participarii laconcursurisi/sau alte evenimente specializate organizate de COSR individual sau in parteneriat cu alte entitati, precum si in contextul indeplinirii obligatiilor legale, informarea persoanelor vizate se poate realiza, dupa cum urmeaza:

  • In cadrul procesului de recrutare/selectie de personal, Reprezentantul Resurse Umane - COSR va pune la dispozitia candidatului o Nota de Informare, pe care acesta/aceasta o va citi si o va semna si prin care declara ca a fost informat/a in legatura cu prelucrarea datelor cu caracter personal la nivelul COSR, precum si in legatura cu drepturile de care beneficiaza, potrivit legislatiei specifice. Nota de informare se va semna in doua exemplare, dintre care una se va inmana candidatului iar cealalta se va pastra distinct in evidentele Reprezentantului de Resurse Umane. Modelul Notei de Informare a candidatului este prevazut inAnexanr. 5 ;
  • In contextul derularii raporturilor de munca, Reprezentantul de Resurse Umane- COSR va pune la dispozitia personalului salariat din cadrul COSR o Nota de Informare, pe care fiecare dintre acestia o va citi si o va semna si prin care declara ca a fost informat/a in legatura cu prelucrarea datelor cu caracter personal la nivelul COSR precum si in legatura cu drepturile de care beneficiaza, potrivit legislatiei specifice. Notele de Informare se vor pastra distinct in evidentele Reprezentantului de Resurse Umane. Modelul Notei de informare a personalului contractual este prevazut in Anexa nr. 6;
  • In cadrul derularii raporturilor contractuale cu furnizorii/prestatorii de servicii, Derulatorii de contracte ai COSR vor avea responsabilitatea/obligativitatea inserarii in contractele incheiate si gestionate de catre acestia a clauzelor specifice cu privire la protectia datelor cu caracter personal. Pentru Contractele deja incheiate, acestia au responsabilitatea de a transmite Contractul privind prelucrarea datelor cu caracter personal si Nota de informare privind prelucrarea datelor cu caracter personal ale reprezentantilor furnizorilor catre societatile prestatoare de servicii care vor  avea obligatia de a semna Contractul in doua exemplare si de transmite un exemplar semnat catre COSR si totodata de a sprijini Operatorul in procesul de informare a reprezentantilor furnizorilor. In aces sens, Nota de informare se va semna de catre reprezentant in doua exemplare, dintre care un exemplar va fi trimis catre COSR odata cu Contractul privind prelucrarea datelor cu caracter personal. Pastrarea in evidenta Derulatorilor de contracte ai COSR a Contractului privind prelucrarea datelor cu caracter personal si a Notei de informare semnate si stampilate de prestator vor face dovada respectarii dispozitiilor Regulamentului nr. 679/2016.

Modelul Contractului si a Notei de informare este prevazut in Anexa nr. 8.

  • In contextul derularii raporturilor contractuale cu furnizorii/prestatorii de servicii carora COSR le transmite date cu caracter personal ale persoanelor vizate, (personal contractual, persoane fizice incluse in programele COSR etc.), acestia au calitatea de Persoane imputernicite de COSR sa prelucreze date cu caracter personal in scopul si in numele COSR. Derulatorii de contracte ai COSR vor avea responsabilitatea/obligativitatea de a transmite catre Prestatori Acordul de prelucrare date cu caracter personal furnizori imputerniciti si Nota de informare pentru reprezentantii persoanelor imputernicite.Acordul si Nota de informare se vor semna in doua exemplare, dintre care un exemplar din fiecare vor fi trimise catre COSR. Pastrarea in evidenta Derulatorilor de contracte ai COSR a Acordului privind prelucrarea datelor cu caracter personal si a Notei de informare semnate si stampilate de prestator vor face dovada respectarii dispozitiilor Regulamentului nr. 679/2016.

Modelul Acordului si a Notei de informare este prevazut in Anexa nr. 7.

  • In contextul drularilor parteneriatelor cu Operatorii asociati ai COSR(Federatiile Nationale, Cluburile Sportive precum si alte entitati cu care COSR colaboreaza pentru indeplinirea scopurilor prevazute de Charta Olimpica, Statulul COSR, Legea nr. 69/2000 a educatiei fizice si sportului si alte prevederi in materie) Responsabilii cu organizarea si derularea parteneriatelor vor avea responsabilitatea/obligativitatea de a transmite catre Partenerii COSR (Operatorii asociati) Acordul privind prelucrarea datelor cu caracter personal si Nota de informare pentru reprezentantii partenerilor persoane fizice. Nota de informare se va semna de catre reprezentant in doua exemplare, dintre care un exemplar va fi trimis catre COSR odata cu Acordul privind prelucrarea datelor cu caracter personal. Pastrarea in evidenta Responsabililor cu organizarea si derularea parteneriatelor a Acordului privind prelucrarea datelor cu caracter personal si a Notei de informare semnate si stampilate de prestator vor face dovada respectarii dispozitiilor Regulamentului nr. 679/2016.

Modelul Acordului si a Notei de informare este prevazut in Anexa nr. 7.

  • In contextul prelucrarii datelor cu caracter personal prin mijloace se supraveghere videopersoanele vizate, respectiv candidatii,personalul contractual, reprezentantii furnizorilor/partenerilor COSR, persoanele fizice incluse in programele COSR, vizitatorii si alte persoane care intrain sediul COSR situat in Bucuresti, sector 1, Bd. Marasti, nr. 20 A si Complex Olimpic Sydney 2000,  ale caror date sunt prelucrate prin intermediul sistemelor de supraveghere video sunt informate in acest sens prin intermediul unor Note de Informare. Modelul Notei de Informare cu privire la prelucrarea datelor prin sistemele de supraveghere video este prevazut in Anexa nr. 4.

Procedura:
Informarile in cauza, precum si indicatoarele de marcare a existentei sistemului de supraveghere video vor fi aplicate in locurile unde sunt amplasate camere de supraveghere video-CCTV. Personalul de paza va verifica periodic starea fizica a informarilor si a indicatoarelor anterior mentionate si va raspunde de siguranta si confidentialitatea datelor personale stocate in sistemul de supraveghere/monitorizare video.

  • In cadrul derularii activitatiilorcu specific in domeniul sportului (evenimente, competitii, si alte activitati organizate sub egida COSR individual sau in parteneriat cu alte entitati), informarea persoanelor vizate incluse in programele COSR se realizeaza prin:
  • Politica de confidentialitate privind prelucrarea datelor cu caracter personal postata pe site-ul COSR, care contine prevederi referitoare la protectia datelor personale;

Politica de confidentialitate se va posta pe site-ul COSR la sectiunea Protectia datelor cu caracter personal.
Modelul Politicii de confidentialitate este prevazut in Anexa nr. 10.

  • In cadrul derularii raporturilor cu practicantii si clientii, acestia vor fi informati prin Politica de confidentialitate postata pe site-ul COSR la sectiunea Protectia datelor.

Modelul Politicii de confidentialitate este prevazut in Anexa nr. 10.

 

Elementele de continut ale Notelor de Informare, ale clauzelor contractuale si ale celorlalte instrumente de informare referitoare la protectia datelor personale sunt  stabilite/actualizate, pe baza legislatiei specifice, de catre Responsabilul cu protectia datelor alCOSRsi aprobate in prealabil de catre conducerea COSR.

6.3.      Dreptul de acces al persoanei vizate

  • Persoana vizata are dreptul de a obtine din partea operatorului o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc si, in caz afirmativ, acces la datele respective si la urmatoarele informatii:
    • scopurile prelucrarii;
    • categoriile de date cu caracter personal vizate;
    • destinatarii sau categoriile de destinatari carora datele cu caracter personal le-au fost sau urmeaza sa le fie divulgate, in special destinatari din tari terte sau organizatii internationale;
    • acolo unde este posibil, perioada pentru care se preconizeaza ca vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
    • existenta dreptului de a solicita operatorului rectificarea sau stergerea datelor cu caracter personal ori restrictionarea prelucrarii datelor cu caracter personal referitoare la persoana vizata sau a dreptului de a se opune prelucrarii;
    • dreptul de a depune o plangere in fata unei autoritati de supraveghere;
    • in cazul in care datele cu caracter personal nu sunt colectate de la persoana vizata, orice informatii disponibile privind sursa acestora;
    • existenta unui proces decizional automatizat incluzand crearea de profiluri, precum si, cel putin in cazurile respective, informatii pertinente privind logica utilizata si privind importanta si consecintele preconizate ale unei astfel de prelucrari pentru persoana vizata.
  • In cazul in care datele cu caracter personal sunt transferate catre o tara terta sau o organizatie internationala, persoana vizata are dreptul sa fie informata cu privire la garantiile adecvate, prevazute de lege referitoare la transfer.
  • Operatorul furnizeaza o copie a datelor cu caracter personal care fac obiectul prelucrarii. Pentru orice alte copii solicitate de persoana vizata, operatorul poate percepe o taxa rezonabila, bazata pe costurile administrative. In cazul in care persoana vizata introduce cererea in format electronic si cu exceptia cazului in care persoana vizata solicita un alt format, informatiile sunt furnizate intr-un format electronic utilizat in mod curent.
  • Dreptul de a obtine o copie mentionata anterior nu aduce atingere drepturilor si libertatilor altora.

Pentru exercitarea dreptului, persoana vizata poate utiliza modelul cererii prevazut in Anexa       nr. 11.

6.4.      Dreptul la rectificare
Persoana vizata are dreptul de a obtine de la operator, faraintarzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Tinandu-se seama de scopurile in care au fost prelucrate datele, persoana vizata are dreptul de a obtine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaratii suplimentare.
Pentru exercitarea dreptului, persoana vizata poate utiliza modelul cererii prevazut in Anexa       nr. 12.

6.5.      Dreptul la stergerea datelor ("dreptul de a fi uitat")

  • Persoana vizata are dreptul de a obtine din partea operatorului stergerea datelor cu caracter personal care o privesc, faraintarzieri nejustificate, iar operatorul are obligatia de a sterge datele cu caracter personal faraintarzieri nejustificate in cazul in care se aplica unul dintre urmatoarele motive:
  • datele cu caracter personal nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost colectate sau prelucrate;
  • persoana vizata isi retrage consimtamantul pe baza caruia are loc prelucrarea, si nu exista niciun alt temei juridic pentru prelucrarea;
  • persoana vizata se opune prelucrarii si nu exista motive legitime care sa prevaleze in ceea ce priveste prelucrarea sau persoana vizata se opune prelucrarii, in cazul prelucrarii in scop de marketing direct;
  • datele cu caracter personal au fost prelucrate ilegal;
  • datele cu caracter personal trebuie sterse pentru respectarea unei obligatii legale care revine operatorului in temeiul dreptului Uniunii sau al dreptului intern sub incidenta caruia se afla operatorul;
  • datele cu caracter personal au fost colectate in legatura cu oferirea de servicii ale societatii informationale mentionate in legislatia specifica.
  • Alineatele anterioare nu se aplicain masura in care prelucrarea este necesara:
    • pentru exercitarea dreptului la libera exprimare si la informare;
    • pentru respectarea unei obligatii legale care prevede prelucrarea in temeiul dreptului Uniunii sau al dreptului intern care se aplica operatorului sau pentru indeplinirea unei sarcini executate in interes public sau in cadrul exercitarii unei autoritati oficiale cu care este investit operatorul;
    • din motive de interes public in domeniul sanatatii publice;
    • in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, in masura in care dreptul la stergere este susceptibil sa faca imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective; sau
    • pentru constatarea, exercitarea sau apararea unui drept in instanta.

Pentru exercitarea dreptului, persoana vizata poate utiliza modelul cererii prevazut in Anexa       nr. 13.

6.6.      Dreptul la restrictionarea prelucrarii

  • Persoana vizata are dreptul de a obtine din partea operatorului restrictionarea prelucrarii in cazul in care se aplica unul din urmatoarele cazuri:
    • persoana vizata contesta exactitatea datelor, pentru o perioada care ii permite operatorului sa verifice exactitatea datelor;
  • prelucrarea este ilegala, iar persoana vizata se opune stergerii datelor cu caracter personal, solicitand in schimb restrictionarea utilizarii lor;
  • operatorul nu mai are nevoie de datele cu caracter personal in scopul prelucrarii, dar persoana vizata le solicita pentru constatarea, exercitarea sau apararea unui drept in instanta; sau
  • persoana vizata s-a opus prelucrarii, pentru intervalul de timp in care se verifica daca drepturile legitime ale operatorului prevaleaza asupra celor ale persoanei vizate.
  • In cazul in care prelucrarea a fost restrictionata conform prevederilor anterioare, astfel de date cu caracter personal pot, cu exceptia stocarii, sa fie prelucrate numai cu consimtamantul persoanei vizate sau pentru constatarea, exercitarea sau apararea unui drept in instanta sau pentru protectia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.
  • O persoana vizata care a obtinut restrictionarea prelucrarii este informata de catre operator inainte de ridicarea restrictiei de prelucrare.

Pentru exercitarea dreptului, persoana vizata poate utiliza modelul cererii prevazut in Anexa       nr. 14.
6.7.      Obligatia de notificare cu privire la rectificarea, stergerea datelor cu caracter personal sau restrictionarea prelucrarii
Operatorul comunica fiecarui destinatar caruia i-au fost divulgate datele cu caracter personal orice rectificare sau stergere a datelor cu caracter personal sau restrictionare a prelucrarii, cu exceptia cazului in care acest lucru se dovedeste imposibil sau presupune eforturi disproportionate.
Operatorul informeaza persoana vizata cu privire la destinatarii respectivi daca persoana vizata solicita acest lucru.

6.8.      Dreptul la portabilitatea datelor

  • Persoana vizata are dreptul de a primi datele cu caracter personal care o privesc si pe care le-a furnizat operatorului intr-un format structurat, utilizat in mod curent si care poate fi citit automat si are dreptul de a transmite aceste date altui operator, fara obstacole din partea operatorului caruia i-au fost furnizate datele cu caracter personal, in cazul in care:
  • prelucrarea se bazeaza pe consimtamant sau pe un contract; si
  • prelucrarea este efectuata prin mijloace automate.
  • Dreptul la portabilitatea datelor nu aduce atingere drepturilor si libertatilor altora.

Pentru exercitarea dreptului, persoana vizata poate utiliza modelul cererii prevazut in Anexa       nr. 15.

6.9.      Dreptul la opozitie si procesul decizional individual automatizat
6.9.1.   Dreptul la opozitie
6.9.1.1. In orice moment, persoana vizata are dreptul de a se opune, din motive legate de situatia particularain care se afla, prelucrarii datelor cu caracter personal care o privesc, inclusiv crearii de profiluri. Operatorul nu mai prelucreaza datele cu caracter personal, cu exceptia cazului in care operatorul demonstreaza ca are motive legitime si imperioase care justifica prelucrarea si care prevaleaza asupra intereselor, drepturilor si libertatilor persoanei vizate sau ca scopul este constatarea, exercitarea sau apararea unui drept in instanta.
6.9.1.2. Atunci cand prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizata are dreptul de a se opune in orice moment prelucrarii in acest scop a datelor cu caracter personal care o privesc, inclusiv crearii de profiluri, in masura in care este legata de marketingul direct respectiv.
6.9.1.3 In cazul in care persoana vizata se opune prelucrarii in scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate in acest scop.
Pentru exercitarea dreptului, persoana vizata poate utiliza modelul cererii prevazut in Anexa       nr. 16.
6.9.2.   Procesul decizional automatizat, crearea de profiluri
6.9.2.1. Persoana vizata are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizata sau o afecteazain mod similar intr-o masura semnificativa.
6.9.2.2. Prevederile anterioare nu se aplicain cazul in care decizia:

    • este necesara pentru incheierea sau executarea unui contract intre persoana vizatasi un operator de date;
    • este autorizata prin dreptul Uniunii sau dreptul intern care se aplica operatorului si care prevede, de asemenea, masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate; sau
    • are la baza consimtamantul explicit al persoanei vizate.

Orice cerere, plangere, reclamatie introdusa de persoana vizata de va mentiona in Registrul cereri, reclamatii, plangeri formulate de persoanele vizate. Modelul Registrului este prevazut in Anexa nr. 17.

CAP. 7 OPERATORUL SI PERSOANA IMPUTERNICITA DE OPERATOR
7.1.      Responsabilitatea Operatorului

      • Tinand seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, costurile implementarii precum si de riscurile cu grade diferite de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, COSR pune in aplicare masuri tehnice si organizatorice adecvate pentru a garanta si a fi in masura sa demonstreze ca prelucrarea se efectueazain conformitate cu legislatia specifica.

De asemenea, masurile tehnice si organizatorice adoptate de COSR sunt necesare protejarii datelor cu caracter personal impotriva distrugerilor accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat. Respectivele masuri se revizuiesc si se actualizeaza daca este necesar.
Pentru indeplinirea cerintelor legale specifice protectiei datelor cu caracter personal COSR implementeaza masuri tehnice si organizatorice orientate pe diferite directii de actiune, precum: alocarea/stabilirea responsabilitatilor pentru Responsabilul de protectia datelor, alocarea/responsabilitatilor pentru personalul salariat care prelucreaza date cu caracter personal, elaborarea regulamentului privind protectia datelor, adaptarea activitatilor organizatiei la cerintele legale specifice, elaborarea/implementarea unor politici/proceduri IT adecvate pentru securitatea datelor personale, instruirea personalului, monitorizarea conformitatii, etc.

      • Masurile tehnice si organizatorice includ punerea in aplicare de catre COSR a unor politici/proceduri IT adecvate de protectie/securitate a datelor cu caracter personal.

Personalul de la IT al COSR are responsabilitatea/obligativitatea elaborarii/ actualizarii si implementarii politicilor/procedurilor adecvate de protectie/securitate a datelor cu caracter personal.

      • Suplimentar masurilor anterior precizate, in vederea asigurarii unui nivel adecvat de protectie/securitate a datelor cu caracter personal, la nivelul COSRse adopta/stabilesc masuri organizatorice si reguli, precum:
  • Functionarea sistemelor de supraveghere video din spatiile COSR;
  • Personalul COSR  este instruit in legatura cu aspectele legale privind protectia datelor personale si cu privire la riscurile pe care le comporta prelucrarea datelor personale;
  • Conducerea COSR, prin responsabilul IT, stabileste fiecarui utilizator tipurile de acces si operatiunile permise acestuia, strict necesare pentru indeplinirea atributiilor de serviciu;
  • Utilizatorul/personalul salariat alCOSR  poate prelucra date cu caracter personal doar pe perioada in care ocupa functia respectiva. Extinderea sau restrangerea atributiilor de prelucrare a datelor cu caracter personal se dispune de COSR atunci cand utilizatorul/personalul salariat se afla in una dintre urmatoarele situatii:
    • la modificarea raporturilor de munca;
    • la modificarea atributiilor privind prelucrarea datelor cu caracter personal, prevazute in fisa postului.

Dreptul de acces al utilizatorului la sistemul de evidenta a datelor cu caracter personal se suspenda pe perioada in care acesta se afla in una dintre urmatoarele situatii:

    • se aflain concediu fara plata, concediu medical, concediu pentru cresterea sau ingrijirea copilului minor, pentru o perioada mai mare de 3 luni;
    • se afla in concediu de maternitate sau concediu pentru incapacitate temporara de munca;
    • urmeaza un curs sau o specializare cu scoatere din program, pentru o perioada mai mare de 3 luni;
    • pe perioada cercetarii disciplinare, in situatia in care fata de utilizator se efectueaza cercetari referitoare la prelucrarea datelor cu caracter personal cu incalcarea dispozitiilor legale;
    • alte cazuri prevazute de lege.
  • Cu ocazia proiectarii, intretinerii, actualizarii aplicatiilor de gestiune a bazelor de date, se interzice accesul providerilor/programatorilor/personalului de intretinere a sistemelor informatice la orice fel de date cu caracter personal detinute/create/accesate de personalul din structura respectiva a COSR. In aceste situatii, se pun la dispozitia providerilor/programatorilor/personalului de intretinere numai date anonime/pseudonimizate;
  • Pentru cazuri exceptionale, numai pe durata interventiei si circumstantiat limitativ la datele strict necesare, persoanele care asigura suportul tehnic pot avea acces la datele cu caracter personal numai in prezenta unui utilizator desemnat de operator, in aceasta situatie, raspunderea pentru pastrarea confidentialitatii datelor apartine persoanelor in cauza, sens in care trebuie sa semneze un Angajament de confidentialitate;
  • Operatiunile de colectare, introducere, modificare si actualizare a datelor cu caracter personal se realizeaza numai de personalul anume desemnat de catre conducatorii operatorului, conform actelor de reglementare interna;
  • COSR dispune masurile tehnice necesare care sa permita identificarea utilizatorului care a introdus, modificat sau actualizat datele cu caracter personal;
  • Bazele de date cu caracter personal detinute/create si programele folosite de operatori/utilizatori sunt salvate, prin copii de siguranta, la un interval de timp stabilit de conducerea COSR, in functie de marimea, volumul si importanta acestor baze de date;
  • Accesul in incaperile in care se afla documente ce contin date cu caracter personal si/sau  terminale de acces/echipamente care prelucreaza date cu caracter personal este limitat la utilizatorii stabiliti de conducatorii operatorului si numai pentru indeplinirea atributiilor de serviciu (acces restrictionat/controlat);
  • Documentele, terminalele de acces/echipamentele care contin date cu caracter personal vor fi tinute/pastrate in fisete sau dulapuri inchise cu cheie sau cu un alt mecanism de securizare si/sau in incaperi/spatii care se pot incuia. Documentele care contin date cu caracter personal, folosite pentru realizarea anumitor operatiuni se vor preda persoanelor abilitate sau se vor inchide imediat dupa terminarea acestora. Terminalele de acces/echipamentele se securizeaza cu parola;
  • Aplicatiile informatice care gestioneaza date cu caracter personal trebuie prevazute cu facilitatea inchiderii automate a sesiunii de lucru daca utilizatorul nu actioneaza asupra datelor afisate pe ecran pe o perioada de timp stabilita, prin proceduri de lucru/diagrame flux, in functie de operatiunile care trebuie executate.
  • Terminalele de acces trebuie sa aiba setate functia de inchidere automata a ecranului si functia  „lock screen - screen saver” la o temporizare prestabilita, prin proceduri de lucru/diagrame flux, iar daca acest lucru nu este posibil din punct de vedere tehnic, dupa trecerea intervalului de timp stabilit, datele afisate trebuie ascunse sau sesiunea de lucru va fi inchisa.
  • Accesul utilizatorilor/personalului salariat alCOSR la datele cu caracter personal care se regasesc in Reteaua COSR – serverele si statiile de lucru, se face controlat/restrictionat pe baza de user si parola, setate exclusiv de responsabilul IT, utilizatorii avand drept de acces limitat, conform procedurilor interne (ex: read only, write, execute, modify, full control  etc.);
  • Nu este permisa scoaterea din organizatie a mediilor de stocare mobile (CD/DVD, USB Stick, Portable HDD etc.) care contin date cu caracter personal, decat cu aprobarea prealabila a conducerii COSR;
  • Utilizatorii/personalul salariat nu vor deschide email-uri de tip SPAM/Malware si/sau orice alte comunicatii electronice care nu au legatura cu activitatea desfasuratain calitate de personal salariat. Totodata, personalul salariat alCOSR nu are voie sa gazduiasca sau sa permita gazduirea site-urilor sau informatiilor a caror publicitate este facuta prin emailuri SPAM. Nerespectarea politicii anti-spam constituie abatere disciplinarasi se sanctioneaza potrivit Regulamentului Intern.
  • Utilizatorii/personalul salariat din cadrul COSR care prelucreaza date cu caracter personal sunt obligati saisi inchida sesiunea de lucru, sa blocheze ecranul terminalelor de acces atunci cand parasesc locul de munca, iar la sfarsitul programului de lucru sainchida terminalele de acces;
  • Scoaterea la imprimanta a datelor cu caracter personal se va realiza numai de utilizatori autorizati, si, acolo unde echipamentul de imprimare permite, aceasta operatiune se va realiza controlat, pe baza de parola.

 

Prezentele reguli si masuri se completeaza cu Politica e-mail si sisteme informatice (Anexa nr. 18).

    • Asigurarea protectiei datelor incepand cu momentul conceperii si in mod implicit
      • Avand in vedere stadiul actual al tehnologiei, costurile implementarii, si natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si riscurile cu grade diferite de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice pe care le prezinta prelucrarea, operatorul, atat in momentul stabilirii mijloacelor de prelucrare (mijloace manuale si/sau automate - ex: sisteme de operare, servere, statii de lucru, solutii de securitate, de backup, de stocare, programe/solutii software/aplicatii IT achizitionate sau dezvoltate in-house etc.), cat si in cel al prelucrarii in sine, pune in aplicare masuri tehnice si organizatorice adecvate (ex: pseudonimizarea), care sunt destinate sa punain aplicare in mod eficient principiile de protectie a datelor, precum reducerea la minimum a datelor, si sa integreze garantiile necesare in cadrul prelucrarii, pentru a indeplini cerintele prezentului regulament si a proteja drepturile persoanelor vizate.
      • Operatorul pune in aplicare masuri tehnice si organizatorice adecvate pentru a asigura ca, in mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrarii. Respectiva obligatie se aplica volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare si accesibilitatii lor. In special, astfel de masuri asigura ca, in mod implicit, datele cu caracter personal nu pot fi accesate, fara interventia persoanei, de un numar nelimitat de persoane si ca acestea nu sunt stocate pe o perioada nelimitata.

Proceduri:
Politica de stocare a datelor cu caracter personal se gaseste in Anexa nr. 19.

    • Persoana imputernicita de Operator
      • In cazul in care prelucrarea urmeaza sa fie realizatain numele operatorului, acesta  contracteaza exclusiv persoane imputernicitecare ofera garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate, astfel incat prelucrarea sa respecte cerintele prevazute in prezentul regulament si sa asigure protectia drepturilor persoanei vizate.
      • Persoana imputernicita de operator nu recruteaza o alta persoana imputernicita fara a primi in prealabil o autorizatie scrisa, specifica sau generala, din partea operatorului. In cazul unei autorizatii generale scrise, persoana imputernicita de operator informeaza operatorul cu privire la orice modificari preconizate privind adaugarea sau inlocuirea altor persoane imputernicite de operator, oferind astfel posibilitatea operatorului de a formula obiectii fata de aceste modificari.
      • Prelucrarea de catre o persoanaimputernicita de un operator este reglementataprintr-un contract sau alt act juridic in temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana imputernicita de operator in raport cu operatorulsi care stabileste obiectul si durata prelucrarii, natura si scopul prelucrarii, tipul de date cu caracter personal si categoriile de persoane vizate, obligatiile si drepturile operatorului.
      • In cazul in care o persoana imputernicita de un operator recruteaza o alta persoana imputernicita pentru efectuarea de activitati de prelucrare specifice in numele operatorului, aceleasi obligatii privind protectia datelor prevazute in contractul sau in alt act juridic incheiat intre operator si persoana imputernicita de operator, astfel cum sunt prevazute anterior, revin celei de a doua persoane imputernicite, prin intermediul unui contract sau al unui alt act juridic, in temeiul dreptului Uniunii sau al dreptului intern, in special furnizarea de garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate. 

In cazul in care aceasta a doua persoana imputernicita nu isi respecta obligatiile privind protectia datelor, persoana imputernicita initiala ramane pe deplin raspunzatoare fata de operator in ceea ce priveste indeplinirea obligatiilor persoanei imputernicite subsecvent.

      • In cazul in care o persoana imputernicita de operator incalca prezentul regulament, prin stabilirea scopurilor si mijloacelor de prelucrare a datelor cu caracter personal, persoana imputernicita de operator este considerata a fi un operator in ceea ce priveste prelucrarea respectiva.
      • In situatiile in care sunt prelucrate date cu caracter personal in numele COSR de catre persoane imputernicite (procesatori de date - ex: institutii de credit, societati de asigurari, emitente de tichete de masa tiparite sau electronice, societati de curierat etc.) Derulatorii de contract ai COSR vor avea responsabilitatea/obligativitatea de incheia cu fiecare dintre aceste persoane imputernicite Acorduri de prelucrare a datelor cu caracter personal, care vor avea in continut elementele prevazute in prezentul Regulament si legislatia specifica, stabilite in prealabil de Responsabilul cu protectia datelor si aprobate de conducerea COSR.Modelul Acordului de prelucrare a datelor de catre persoanele imputernicite este prevazut in Anexa nr. 7.
      • Desfasurarea activitatii de prelucrare sub autoritatea Operatorului sau a Persoanei Imputernicite de Operator

Persoana imputernicita de operator si orice persoana care actioneaza sub autoritatea operatorului sau a persoanei imputernicite de operator care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, cu exceptia cazului in care dreptul Uniunii sau dreptul intern il obliga sa faca acest lucru.

    • Evidentele activitatilor de prelucrare
      • Organizatiile care au mai putin de 250 de angajati nu au obligatia de a tine evidenta prelucrarii de date cu caracter personal, cu exceptia cazului in care prelucrarea pe care o efectueaza este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor vizate, prelucrarea nu este ocazionala sau prelucrarea include categorii speciale de date, sau date cu caracter personal referitoare la condamnari penale si infractiuni, astfel cum sunt prevazute in legislatia specifica.
      • Avand in vedere ca COSR intra sub incidenta prevederilor anterior mentionate, intrucat prelucrarea nu este ocazionala si include categorii speciale de date, acesta  pastreaza o evidenta a activitatilor de prelucrare desfasurate sub responsabilitatea lor. Respectiva evidenta cuprinde urmatoarele informatii:
    • numele si datele de contact ale operatorului si, dupa caz, ale operatorului asociat, ale reprezentantului operatorului si ale responsabilului cu protectia datelor;
    • scopurile prelucrarii;
    • o descriere a categoriilor de persoane vizate si a categoriilor de date cu caracter personal;
    • categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din tari terte sau organizatii internationale;
    • daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, inclusiv identificarea tarii terte sau a organizatiei internationale respective si documentatia care dovedeste existenta unor garantii adecvate;
    • acolo unde este posibil, termenele-limita preconizate pentru stergerea diferitelor categorii de date;
    • acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate adecvate;

Registrul de evidenta se va completa de catre Responsabilul cu protectia datelor ori de cate ori are loc vreo modificare in ceea ce priveste activitatea de prelucrare a datelor cu caracter personal.
Registrul de evidenta privind activitatile de prelucrare a datelor cu caracter personal este prevazut in Anexa nr. 20.

      • Evidentele mentionate anterior se formuleazain scris, inclusiv in format electronic.
      • Operatorul pune evidentele la dispozitia Autoritatii de supraveghere, la cererea acesteia, cu notificarea prealabila a Operatorului;
    • Masuri tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal
      • Aspecte generale privind securitatea prelucrarii
        • Avand in vedere stadiul actual al dezvoltarii, costurile implementarii si natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si riscul cu diferite grade de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul si persoana imputernicita de acesta implementeaza masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator acestui risc, incluzand printre altele, dupa caz:
    • pseudonimizarea si criptarea datelor cu caracter personal;
    • capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continua ale sistemelor si serviciilor de prelucrare;
    • capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util in cazul in care are loc un incident de natura fizica sau tehnica;
    • un proces pentru testarea, evaluarea si aprecierea periodica a eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.

 

La nivelul COSR, in calitate de Operator de date cu caracter personal, masurile tehnice IT si organizatorice mentionate in legislatia specifica, necesare asigurarii unui nivel adecvat de protectie sunt implementate prin:

  • Identificarea, ca urmare a unor activitati de audit de specialitate si implementarea/utilizarea in activitatea COSR a unor solutii tehnice IT adecvate, tinand cont de costurile implementarii, natura, domeniul de aplicare, contextul, scopurile prelucrarii si riscurile aferente, solutii care sa acopere aspecte prevazute de legislatia specifica, precum:
  • Cerinte de securitate de baza: testarea securitatii sistemului, intarirea sistemului, codificarea securizata, protectia impotriva programelor malware;
  • Politica privind parolele: autentificarea utilizatorului, autentificare cu doi factori;
  • Securitatea datelor: criptarea datelor, securitatea datelor in ciclul lor de viata;
  • Back-up: back-up copies, programul de back-up, back-up security,verificarea back-up-urilor, viabilitatea back-up-urilor;
  • Pseudominimizarea, minimizarea, integritatea datelor personale (computere, servere, terminale de acces, imprimarea datelor), disponibilitatea datelor, stergerea si portabilitatea datelor, evidentele activitatilor de prelucrare etc.
  • Elaborarea/implementarea/monitorizarea permanenta de catre responsabilul IT  al COSR a unor politici/proceduri specifice de protectie/securitate a datelor cu caracter personal.

Datele trebuie sa fie adecvate, relevante si strict limitate la ce este absolut necesar pentru scopurile in care sunt necesare pentru prelucrarea asumata.
Fiecare Reprezentant al departamentului din cadrul COSR, cu suportul responsabilului IT, va identifica si inventaria, mentine in reteaua organizatiei, inclusiv in statiile de lucru individuale, doar bazele de date care sunt utile in mod efectiv pentru desfasurarea activitatii curente a COSR, precum si eliminarea acelora care nu mai au relevanta pentru activitatea COSRsi/sau a expirat termenul de arhivare.

Lista bazelor de date gestionate de fiecare departament/directie va contine minim: denumirea bazei de date, locatia de pastrare, responsabilul de gestionare (elaborare, modificare), persoanele cu drepturi de acces, perioada de pastrare, etc.
Fiecare Reprezentant al COSR care gestioneaza baze de date in reteaua COSR si pe statiile de lucru individuale, cu suportul responsabilului IT, vor stabili reguli de acces controlat/restrictionat (ex. Read only, write, execute, modify etc.) pentru utilizatorii/personalul contractual acestor baze de date, revizuite in sensul celor de mai sus, pe baza de user si parola, la niveluri de acces (daca este posibil).

In reteaua COSR, Reprezentantii departamentelor, cu suportul responsabilului IT, vor mentine doar documentele care contin date cu caracter personal care sunt relevante, utile in mod efectiv pentru desfasurarea activitatii curente a COSRsi eliminarea tuturor acelora care nu au relevanta, sau sunt documente personale.
Responsabilul IT va realiza/asigura in permanenta, conform programelor aprobate, salvarea bazelor de date cu caracter personal precum si a altor documente ce contin date cu caracter personal in reteaua COSR, prin copii de siguranta (backul), la intervalul stabilit.

Planul de actiune privind incidentele de securitate este prevazut in Anexa nr. 21.
Notificarea adresata Autoritatii cu privire la incalcarea securitatii datelor personale este prevazuta in Anexa nr. 22.

 

COSR va tine un Registru privind incidentele de securitate in care se vor mentiona toate situatiile in care a avut loc un incident de securitate. Modelul Registrului se gaseste in Anexa nr. 23.

Responsabilul cu protectia datelor analizeaza informatiile comunicate, iar daca este cazul, solicita entitatilor functionale date si informatii suplimentare.
In cazul in care situatia de incalcare a securitati datelor cu caracter personal este fundamentata rezonabil, Responsabilul cu protectia datelor intocmeste Notificarea si solicita avizul Secretarului General  si acordul  Presedintelui pentru a fi transmisa la Autoritatea de Supraveghere.
Notificarea se transmite catre Autoritatea de Supraveghere pe suport de hartie sau in format electronic, conform cerintelor stabilite de Autoritate.

Notificarea privind incalcarea securitatii datelor persoanelor vizate este prevazuta in Anexa nr. 24.

    • Informarea persoanei vizate nu este necesarain cazul in care oricare dintre urmatoarele conditii este indeplinita:
  • operatorul a implementat masuri de protectie tehnice si organizatorice adecvate, iar aceste masuri au fost aplicate in cazul datelor cu caracter personal afectate de incalcarea securitatii datelor cu caracter personal, in special masuri prin care se asigura ca datele cu caracter personal devin neinteligibile oricarei persoane care nu este autorizata sa le acceseze, cum ar fi criptarea;
  • operatorul a luat masuri ulterioare prin care se asigura ca riscul ridicat pentru drepturile si libertatile persoanelor vizate nu mai este susceptibil sa se materializeze;
  • ar necesita un efort disproportionat. In aceasta situatie, se efectueazain loc o informare publica sau se ia o masura similara prin care persoanele vizate sunt informate intr-un mod la fel de eficace.

CAP. 8 RESPONSABILUL DE PROTECTIA DATELOR

La nivelul COSR sarcinile/responsabilitatile Responsabilului cu protectia datelor au fost alocate conform legii (Anexa nr. 25).

  • Conducerea COSR se va asigura ca Responsabilul cu protectia datelor este implicat corespunzator si in timp util in toate aspectele legate de protectia datelor cu caracter personal;
  • Conducerea COSRva acorda intregul sprijin Responsabilului de date personale, asigurandu-i resursele necesare pentru executarea atributiilor sale;
  • In desfasurarea activitatii, Responsabilul de protectia datelor nu va primi niciun fel de instructiuni in ceea ce priveste indeplinirea atributiilor sale in legatura cu GDPR.
  • Persoanele vizate pot contacta si solicita asistenta de specialitate din partea Responsabilului cu protectia datelor cu privire la toate aspectele legate de prelucrarea datelor si de exercitarea drepturilor lor;
  • Conducerea COSRsi Responsabilul cu protectia datelor se vor asigura ca niciuna din sarcinile celui din urma nu genereaza un conflict de interese.

 

CAP. 9 TRANSFERURILE DE DATE CU CARACTER PERSONAL CATRE TARI TERTE SAU ORGANIZATII INTERNATIONALE

Transferurile de date in afara spatiului UE si al Zonei Economice-Europene se pot face:

  • In temeiul unei decizii a Comisiei Europene privind caracterul adecvat al nivelului de protectie;
  • In baza unor garantii adecvate oferite de COSR sau persoana imputernicita a COSR.

Garantiile adecvate pot fi furnizate prin:

    • un instrument obligatoriu din punct de vedere juridic si executoriu intre autoritatile sau organismele publice;
    • reguli corporatiste obligatorii;
    • clauze standard de protectie a datelor adoptate de Comisia Europeana;
    • clauze standard de protectie a datelor adoptate de o autoritate de supraveghere si aprobate de Comisia Europeana;
    • Sub rezerva autorizarii din partea autoritatii de supraveghere, garantiile adecvate pot fi furnizate, in special, prin:
  • clauze contractuale intre COSR, persoana imputernicita de COSRsi operatorul, persoana imputernicita de operator sau destinatarul datelor cu caracter personal din tara terta sau organizatia internationala; sau
  • dispozitii care urmeaza sa fie incluse in acordurile administrative dintre autoritatile sau organismele publice, care includ drepturi opozabile si efective pentru persoanele vizate.
    • In absentaunei decizii privind caracterul adecvat al nivelului de protectie sau a unor garantii adecvate,un transfer de date catre o tara terta sau o organizatie internationala poate avea locnumai in una dintre conditiile urmatoare:
  • persoana vizatasi-a exprimat in mod explicit acordul cu privire la transfer, dupa ce a fost informata asupra posibilelor riscuri pe care transferurile le pot implica pentru persoana vizata;
  • transferul este necesar pentru executarea unui contract intre persoana vizatasi COSR sau pentru aplicarea unor masuri precontractuale adoptate la cererea persoanei vizate;
  • transferul este necesar pentru incheierea sau pentru executarea unui contract incheiat in interesul persoanei vizate intre COSRsi o alta persoana fizica sau juridica;
  • transferul este necesar din considerente importante de interes public;
  • transferul este necesar pentru stabilirea, exercitarea sau apararea unui drept in instanta;
  • transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci cand persoana vizata nu are capacitatea fizica sau juridica de a-si exprima acordul.

 

    • In lipsa unei decizii a Comisiei, a unor garantii adecvate dar si in lipsa conditiilor precizate anterior, un transfer catre o tara terta sau o organizatie internationala poate avea loc numai in cazul in care:
  • transferul nu este repetitiv;
  • se refera doar la un numar limitat de persoane vizate;
  • este necesar in scopul realizarii intereselor legitime majore urmarite de operator (COSR) asupra caruia nu prevaleaza interesele sau drepturile si libertatile persoanei vizate si
  • operatorul a evaluat toate circumstantele aferente transferului de date si, pe baza acestei evaluari, a prezentat garantii corespunzatoare in ceea ce priveste protectia datelor cu caracter personal.Operatorul informeaza autoritatea de supraveghere cu privire la transfer.

CAP.10 CAI DE ATAC, RASPUNDERI, MASURI SI SANCTIUNI SPECIFICE

 

    • Dreptul la despagubiri si raspunderea operatorului sau a persoanei imputernicite de operator
      • Orice persoana care a suferit un prejudiciu material sau moral ca urmare a unei incalcari a legislatiei specifice are dreptul sa obtina despagubiri de la operator sau de la persoana imputernicita de operator pentru prejudiciul suferit.
      • Operatorul sau persoana imputernicita de operator este exonerat(a) de raspundere daca dovedeste ca nu este raspunzator (raspunzatoare) in niciun fel pentru evenimentul care a cauzat prejudiciul.
    • Conditii generale pentru impunerea amenzilor administrative
      • Autoritatea de supraveghere asigura faptul ca impunerea unor amenzi administrative pentru incalcarile prevederilor legislatiei specifice este, in fiecare caz, eficace, proportionalasi disuasiva.
      • In functie de circumstantele fiecarui caz in parte, amenzile administrative sunt impuse in completarea sau in locul masurilor mentionate de legislatia specifica.

Autoritatea poate:
- sa emita avertizari;
- sa emita mustrari;
- sa dea dispozitii;
- sa oblige operatorul sa informeze persoana vizata cu privire la o incalcare a protectiei datelor;
- sa limiteze sau sa interzica prelucrarea;
- sa dispuna rectificarea sau stergerea datelor sau restrictionarea prelucrarii.
In cazul in care operatorul va fi sanctionat administrativ pentru nerespectarea legislatiei privind protectia datelor cu caracter personal, Responsabilul de protectia datelor va analiza oportunitatea contestarii sanctiunii administrative si va formula propuneri in legatura cu in legatura promovarea caii de atac, precum si, daca este cazul, va elabora contestatia.
Responsabilul de date personale va reprezenta operatorul in cadrul procedurii administrative in fata Autoritatii de Supraveghere cat si in situatia in care se va contesta decizia autoritatii in fata instantelor judecatoresti.

      • Neconformarea fata de prevederile GDPR poate atrage aplicarea de amenzi administrative cuprinse intre 10.000.000 EUR si 20.000.000 EUR sau intre 2% si 4%  din cifra de afaceri mondiala totala anuala corespunzatoare exercitiului  financiar anterior, luandu-se in calcul valoarea cea mai mare.  

 

CAP.11 RESPONSABILITATI IN CADRUL COSR

      • COSR (cu toate structurile organizatorice), in calitate de Operator:
  • asigura implementarea legislatiei comunitare-UE si nationale privind protectia datelor cu caracter personal la nivelul COSR, prin prezentul Regulament  si Anexele sale sau alte acte interne;
  • asigura conformarea tuturor activitatilor de prelucrare cu prevederile legislatiei comunitare-UE si nationale privind protectia datelor cu caracter personal;
  • asigura informarea persoanelor vizate si respecta drepturile acestora;
  • ia masurile necesare pentru a asigura securitatea prelucrarii datelor cu caracter personal;
  • asigura respectarea prezentului Regulament privind masurile de protectie a persoanelor cu privire la prelucrarea datelor cu caracter personal.

 

      • Secretarul General al COSR:
  • aproba prezentul Regulament privind protectia datelor cu caracter personal. Secretarul General al COSR va supraveghea implementarea Regulamentului privind protectia datelor cu caracter personal, inclusiv prin asigurarea ca problemele de conformare sunt rezolvate eficient si prompt;
  • aproba prin acte de reglementare interna/acte decizionale masuri de implementare a prevederilor legale incidente si ale Regulamentului COSR privind prelucrarea datelor cu caracter personal;
  • asigura prin instrumentele de control si/sau audit intern/extern evaluarea proceselor  aferente prezentului Regulament si aplicarea legislatiei in domeniul protectiei datelor;
  • aproba modificari ale prezentului Regulament, in situatia in care schimbarile legislative impun acest lucru in regim de urgenta, pana la aprobarea de catre Secretarul General.
      • Organele de Conducere ale COSR sunt responsabile cu protectia datelor cu caracter personal pentru activitatile coordonate si au in acest sens urmatoarele responsabilitati specifice:
    • stabilesc scopul si mijloacele de prelucrare a datelor cu caracter personal atunci cand acestea sunt necesarein contextul derularii activitatilor contractuale, parteneriatesi/sau participarii la evenimentele specializate organizate de COSRsi/sau in incinta imobilului COSR, inclusiv desfasurarii activitatii curente a COSR, precum si in contextul indeplinirii obligatiilor legale;
    • asigura elaborarea/actualizarea procedurilor proprii si, dupa aprobarea acestora de catre Secretarul General al COSR le pun in aplicare;
    • asigura implementarea si monitorizeaza respectarea actelor de reglementare internasi a legislatiei specifice, in materia prelucrarii datelor cu caracter personal de catre utilizatorii (personalul contractual) din subordine;
    • coordoneazasi monitorizeaza activitatea personalului pe linia protectiei datelor cu caracter personal la nivelul operatorului;
    • asigura desfasurarea pregatirii de specialitate si instruirea utilizatorilor in acest domeniu;
    • dispun masuri de completare sau, dupa caz, de modificare a fisei posturilor utilizatorilor;
    • analizeazasi dispun in ceea ce priveste suspendarea sau revocarea dreptului de acces al utilizatorilor la sisteme de evidenta a datelor cu caracter personal, in conditiile legii;
    • dispun masuri organizatorice pentru exercitarea drepturilor de catre persoana vizata;
    • coordoneaza procesul de furnizare a datelor si informatiilor necesare in vederea solutionarii cererilor persoanelor vizate;
    • analizeaza periodic activitatea utilizatorilor;
    • informeaza operativ Responsabilul de protectia datelor despre vulnerabilitatile si riscurile semnalate in sistemul de securitate a prelucrarii datelor cu caracter personal al structurii si propune masuri pentru inlaturarea acestora;
    • informeaza operativ Responsabilul cu protectia datelor in legatura cu orice incalcare a normelor de protectie a datelor cu caracter personal de natura a prejudicia drepturile persoanei vizate, cu privire la masurile dispuse pentru identificarea persoanei responsabile si limitarea efectelor unei diseminari neautorizate a datelor, precum si cu privire la situatiile in care au fost emise recomandari sau aplicate sanctiuni de catre Autoritatea nationala de supraveghere sau cand aceasta a dispus efectuarea unui control prealabil ori a unor investigatii.

 

      • Utilizatorii, respectiv personalul salariatCOSR care prelucreaza date cu caracter personal au urmatoarele responsabilitati specifice:
    • sa cunoascasi sa aplice prevederile actelor normative din domeniul prelucrarii datelor cu caracter personal precum si ale prezentului regulament;
    • sa informeze persoana vizata atunci cand datele cu caracter personal sunt colectate direct de la aceasta, in conditiile legii, cu privire la: identitatea operatorului, scopul in care se face prelucrarea datelor, destinatarii sau categoriile de destinatari ai datelor, obligativitatea furnizarii tuturor datelor cerute si consecintele refuzului de a le pune la dispozitie, drepturile prevazute de lege, conditiile in care pot fi exercitate aceste drepturi etc.;
    • sa prelucreze numai datele cu caracter personal necesare indeplinirii atributiilor de serviciu si sa acorde sprijin sefilor ierarhici, organelor de conducere ale COSR, pentru realizarea activitatilor specifice ale acestora;
    • sa pastreze confidentialitatea datelor prelucrate, a contului de utilizator, a parolei/codului de acces la sistemele informatice/ baze de date prin care sunt gestionate date cu caracter personal;
    • sa respecte masurile de securitate, precum si celelalte reguli stabilite la nivelul COSR
    • sa informeze de indata seful ierarhic si Responsabilul de protectia datelor(Ex: se va utiliza adresa de e-mail:dpo@cosr.rodespre imprejurari de natura a conduce la o diseminare neautorizata de date cu caracter personal sau despre o situatie in care au fost accesate/ prelucrate date cu caracter personal prin incalcarea normelor legale, despre care a luat la cunostinta.

In sensul respectarii obligatiilor, personalul salariat al COSR va semna Anexa la ROI (Anexa nr. 26) care prevede obligatiile in ceea ce priveste prelucrarea datelor cu caracter personal si sanctiunile nerespectarii acestor obligatii de catre personalul salariat.

      • Derulatorii de contracte din cadrul COSR
  • au  responsabilitatea/obligativitatea inserarii in contractele incheiate si gestionate de catre acestia a clauzelor specifice sau, dupa caz a Acordurilor de prelucrare a datelor cu caracter personal (elaborate de Responsabilul de protectia datelor, cu titlu general Anexele 7 si 8) cu privire la protectia datelor cu caracter personal;
  • in situatiile in care sunt prelucrate date cu caracter personal in numele COSR de catre persoane imputernicite (procesatori de date-ex: institutii de credit, societati de asigurari, emitente de tichete de masa tiparite, societati de curierat etc.) derulatorii de contract vor avea responsabilitatea/obligativitatea de incheia cu fiecare dintre aceste persoane imputernicite Acorduri de prelucrare a datelor cu caracter personal, care vor avea in continut elementele prevazute in prezentul Regulament si legislatia specifica, stabilite in prealabil de Responsabilul de protectia datelor si aprobate de conducerea COSR.
  • in situatia prelucrarii datelor personale in scop de marketing direct sau publicitate derulatorii de contract,  precum si salariatii responsabili de operatiunile de marketing direct (inclusiv serviciile aferente IT) vor avea in vedere in mod obligatoriu consimtamantul exprimat anterior prelucrarii  de catre persoana vizata, pentru evitarea unor situatii de neconformare fata de prevederile legale privind protectia datelor personale.

 

      • Responsabilul de protectia datelor responsabil cu elaborarea Regulamentului si controlul procesului, incluzand: monitorizarea si controlul aplicarii unitare a Regulamentului, testarea conformitatii, audituri de specialitate si informarea conducerii COSR; participa la organizarea si administrarea programelor de pregatire continua a personalului salariatin domeniul cunoasterii prevederilor GDPR;
      • Reprezentantul Resurse Umane:
  • asigura informarea candidatilorsi a personalului salariat alCOSR cu privire la prelucrarea datelor cu caracter personal si la drepturile de care beneficiaza potrivit legii in conditiile prevazute la pct. 5.4. si 5.5. din prezentul Regulament;

 

      • Departamentul Logistica, Prezentare si Protocol si Departamentul Complex Olimpic Sydney 2000 sunt responsabile cu:
  • cu suportul tehnic, respectiv cu afisarea Notelor de Informare privind protectia datelor si aplicarea indicatoarelor de marcare a existentei sistemului de supraveghere video, in locurile unde sunt amplasate camere de supraveghere video-CCTV. Personalul de paza va verifica periodic starea fizica a informarilor si a indicatoarelor anterior mentionate si va raspunde de siguranta si confidentialitatea datelor personale stocate in sistemul de supraveghere/monitorizare video;
  • luarea masurilor tehnice si organizatorice, specifice zonei IT, prevazute de prezentul Regulament;
  • elaborarea/implementarea/monitorizarea permanenta a politicilor/procedurilor specifice de protectie/securitate a datelor cu caracter personal la nivelul COSR;
  • instruirea utilizatorilor/personalului salariat cu privire la politicile/procedurilor specifice de protectie/securitate a datelor cu caracter personal la nivelul COSR.

CAP. 12          TRAINING

Instruirile se efectueaza periodic si in mod obligatoriu la modificarea cadrului legal in materie, iar prelucrarea incidentelor se va realiza cu intregul personal al COSR implicat in activitatea de prelucrare a datelor cu caracter personal.

CAP. 13 DISPOZITII FINALE

Prezentul Regulament se aplica incepand cu data de 25 Mai 2018.