certSIGN prelucrează date cu caracter personal în scopul derulării activităților societății, cu respectarea prevederilor legale referitoare la acestea din tarile in care opereaza. Prelucrarea datelor cu caracter personal se realizează în condiţii care să asigure securitatea, confidenţialitatea şi respectarea drepturilor persoanelor vizate cu respectarea următoarelor principii:

• legalitate, echitate şi transparenţă
• scop determinat, explicit şi legitim
• minimizarea datelor (date adecvate, relevante și limitate)
• exactitate, actualitate
• stocare limitată
• integritate şi confidenţialitate
• responsabilitate

CAPITOLUL I

Scop

Scopul Politicii generale de protecție a datelor cu caracter peronal („Politica GDPR”) este acela de a stabili regulile și practicile care reglementează modul în care certSIGN asigură conformarea cu principiile şi regulile stabilite de GDPR în activitățile sale de prelucrare a datelor cu caracter personal ale clienților, furnizorilor, partenerilor, angajaților și ale altor persoane fizice.

CAPITOLUL II

Domeniul de aplicare

Prezenta politică se aplică tuturor activităților desfășurate de certSIGN care implică prelucrarea de date cu caracter personal în calitate de operator, precum și a celor desfășurate în calitate de împuternicit al unui operator, activități care intră sub incidența dreptului Uniunii.

CAPITOLUL III

Definiții și abrevieri

• consimţământ al persoanei vizate înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
• date cu caracter personal înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă („persoana vizată”) direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale
• DPD departament protecția datelor cu caracter personal
• DPO responsabil cu protecția datelor
• GDPR înseamnă REGULAMENT nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date
• operator înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
• persoană împuternicită de operator înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
• persoană vizată înseamnă persoana fizică ale cărei date cu caracter personal sunt prelucrate;
• prelucrare înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea.

CAPITOLUL IV

Obiectivele politicii GDPR

1. Asigurarea legalității prelucrării datelor

În derularea activităților sale, certSIGN prelucrează date cu caracter personal în următoarele condiții:

1. persoana vizată şi-a dat consimţământul
2. prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte
3. prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine
4. prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane fizice
5. prelucrarea este necesară în scopul intereselor legitime urmărite de certSIGN sau de operator (în cazul în care certSIGN acționează ca împuternicit)

2. Asigurarea drepturilor persoanei vizate

certSIGN respectă dreptul persoanelor fizice la viață privata.

Atunci când prelucrează date cu caracter personal, societatea comunică persoanei vizate ce date colectează, scopul colectării, destinatarii sau categoriile de destinatari ai datelor cu caracter personal, durata stocării datelor, ștergerea acestora la finalul periodei de stocare. În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și orice informații suplimentare relevante.

Prelucrarea datelor se face doar de personalul autorizat în acest sens.

Datele cu caracter personal prelucrate şi utilizate de către certSIGN se vor stoca pe suport electronic sau arhiva pe suport hârtie, pentru perioada necesară pentru realizarea scopurilor în care au fost colectate și în conformitate cu prevederile legale aplicabile activităților derulate de societate.

La încheierea operațiunilor de prelucrare a datelor cu caracter personal, datele cu caracter personal prelucrate se distrug.

În cazul în care certSIGN în derularea activităților din obiectul de activitate al societății acționează ca împuternicit al unui operator, va încheia cu operatorul un acord privind prelucrarea datelor cu caracter personal prin care se va asigura că sunt respectate drepturile persoanelor vizate.

În cazul în care persoana vizată dorește să-și exercite un drept sau să facă o reclamație, se poate adresa DPD la următoarele date de contact:

• adresă: Bd. Tudor Vladimirescu, nr. 29 A, AFI Tech Park 1, Sector 5, Bucureşti, România, CP 050881
• adresă de e-mail: dpd@certsign.ro
• fax: (+4021)3119905

certSIGN furnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cereri în temeiul articolelor 15-22, fără întârzieri nejustificate și în orice caz în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ținându-se seama de complexitatea și numărul cererilor. certSIGN informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii,prezentând și motivele întârzierii.

Dacă nu ia măsuri cu privire la cererea persoanei vizate, certSIGN informează persoana vizată, fără întârziere și în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri și la posibilitatea de a depune o plângere în fața unei autorități de supraveghere și de a introduce o cale de atac judiciară.

3. Asigurarea securității datelor

certSIGN are implementat un sistem de management al securității informației, certificat ISO 27001. De asemenea, certSIGN a obținut statutul de prestator de servicii de încredere calificat în conformitate cu Regulamentul UE nr. 910/2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă.

Obținerea și păstrarea certificării ISO 27001 și a statutului de prestator de servicii de încredere calificat presupune parcurgerea anuală, respectiv o dată la doi ania unor audituri externe, audituri în care evaluarea securității informatice și a informațiilor, în general, reprezintă o componentă foarte importantă.

1. întocmirea și menținerea evidențelor activităților de prelucrare a datelor
   Societatea menține Registrul de evidență a prelucrării datelor cu caracter personal. Registrul este întocmit și gestionat de DPD. Registrul conține cel puțin informațiile prevăzute de GDPR.
2. instruirea personalului în vederea respectării prevederilor GDPR
   Personalul certSIGN este instruit periodic cu privire la prevederile GDPR, la cerinţele minime de securitate a prelucrărilor de date cu caracter personal, precum şi cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal.
   Angajații care au acces la date cu caracter personal sunt informați asupra caracterului special al acestor date și au luat la cunoștință regulile care li se aplică. Toate prevederile interne privind obligația angajaților din punct de vedere al securității informației sunt aplicabile.
3. verificarea conformității activităților societății cu cerințele GDPR.
   Prin intermediul DPO din cadrul DPD si a auditurilor externe, certSIGN va verifica respectarea și implementarea regulilor interne, a prevederilor GDPR și a dispozițiilor legale în domeniu, precum și a recomandărilor făcute privind prelucrarea datelor cu carater personal.