POLITICA DE CONFIDENȚIALITATE ȘI SECURITATE A PRELUCĂRII DATELOR CU CARACTER PERSONAL

Dragi prieteni, stimați colegi, stimați vizitatori,

Suntem ferm angajați în protejarea datelor cu caracter personal. Vă rugăm să parcurgeți cu atenție această politică de confidențialitate, care conține informații importante cu privire la protecția datelor cu caracter personal, motivele și modul în care colectăm și utilizăm datele cu caracter personal și vă oferă informații referitoare la drepturile dumneavoastră.

Utilizarea datelor cu caracter personal pe care ni le-ați transmis se face potrivit acestei politici de confidențialitate sau potrivit informării pe care ați avut-o la dispoziție în momentul colectării lor sau înscrierii pe site-ul conferinței.

Securitatea tuturor datelor este un aspect foarte important. De aceea, serverul https://nutriterra.org/ se află în Uniunea Europeană, iar împuterniciții noștri cu privire la suportul tehnic, hardware și software, se află în Uniunea Europeană.

Procedurile noastre cu privire la protecția datelor cu caracter personal, măsurile organizatorice și tehnice, sunt structurate în scopul de a asigura confidențialitate și securitatea datelor cu caracter personal și a tuturor informațiilor aflate în grija noastră. Verificăm periodic caracterul adecvat al măsurilor implementate.

Prezenta politică de securitate a fost creată având în vedere:

 Faptul că MEDICAL PR AGENCY SRL, persoană juridică română, cu sediul social în București, Șoseaua Ghe. I. Sisești nr. 225C, sc. 1, parter, ap. 102, Sector 1, înregistrată la Registrul Comerțului sub nr. J40/1872/2018, cod unic de înregistrare (CUI) RO38833067, legal reprezentată prin Andreea Cristea, în calitate de administrator (denumită în continuare “Agenția” sau “Noi”) desfășoară o activitate care presupune procesarea unor categorii de date cu caracter personal,

 intrarea în vigoare începând cu data de 25 mai 2018 a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (denumit în continuare “GDPR”),

 obligația impusă de GDPR de a asigura măsuri de securitate tehnice și organizatorice adecvate tuturor activităților de procesare a datelor cu caracter personal;

 dedicarea noastră în vederea asigurării celor mai înalte standarde de securitate, având în vedere datele sensibile prelucrate.

  1. ANGAJAMENT

Agenția prelucrează date cu caracter personal în scopuri legitime, cu respectarea tuturor principiilor impuse de GDPR și de practicile comerciale etice. Protejarea siguranței și securității datelor personale este importantă pentru Agenție și această politică descrie cadrul organizatoric implementat pentru asigurarea conformității prelucrării.

Obiectivul principal al acestei Politici de Confidențialitate si Securitate este de a contribui la desfășurarea activității societății cu respectarea prevederilor legale specifice si de a minimiza riscurile prin prevenirea incidentelor si, in cazul improbabil al unor astfel de incidente, reducerea impactului lor asupra persoanei vizate.
Ne propunem să avem o relație bazată pe încredere, transparentă, buna-credință și etică în relația cu toți partenerii, colaboratorii și angajații noștri.

  1. DEFINIȚII, SEMNIFICAȚII ȘI TERMENI UTILIZAȚI

“Date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

„Prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

„Pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.

„Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern.
„Persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.

„Parte terță” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.

„Destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării.

„Consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

„Restricționarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora.

  1. PRINCIPIILE POLITICII DE SECURITATE

Agenția procesează datele cu caracter personal cu care vine în contact cu respectarea următoarelor principii:

 Protejarea drepturilor și libertăților fundamentale ale persoanelor vizate;

 Legalitate, echitate și transparență – datele cu caracter personal sunt prelucrate cu bună credință și în conformitate cu dispozițiile legale în vigoare, într-un mod echitabil și transparent față de persoana vizată;

 Scopuri determinate, explicite și legitime – Prelucrarea datelor cu caracter personal de către Agenție se face în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri;

 Temei legal – Agenția se va asigura că orice procesare a datelor cu caracter personal va avea un temei bine determinat, precum prevederi legale, consimțământul persoanei vizate, executarea contractelor, interesul legitim al Agenției (care nu va contraveni intereselor superioare ale persoanei vizate);

 Limitare prin raportare la scop – Agenția procesează datele cu caracter personal numai dacă sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;

 Limitare prin raportare la timp – Agenția păstrează datele persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele;

 Exactitate și acuratețe – Agenția procesează date cu caracter personal într-un mod precis și ia măsuri rezonabile pentru a se asigura că datele inexacte de care ia cunoștință sunt șterse sau rectificate;

 Securitate – Agenția este dedicată asigurării securității tuturor datelor cu caracter personal pe care le prelucrează și face demersuri constante pentru a atinge acest scop, inclusiv prin instruirea angajaților, colaboratorilor și partenerilor săi.

  1. CATEGORII DE PERSOANE VIZATE

Agenția procesează date cu caracter personal ale următoarelor categorii de persoane vizate:
– Persoane fizice;

– Angajații/colaboratorii proprii;

– Angajații/colaboratorii partenerilor comerciali;

– După caz, alte persoane fizice care interacționează cu societatea în cursul activității acesteia.

  1. DATELE COLECTATE

În funcție de specificul fiecărei relații, Agenția poate procesa următoarele categorii de date cu privire la persoanele vizate:

 Nume și prenume;

 Date de contact: telefon, adresă de e-mail;

 Date de identificare, conform cărții de identitate / pașaportului;

 Date privind studiile;

 Date profesionale: loc de muncă, poziție, vechime, experiență profesională;

 Date furnizate direct prin e-mail sau prin alte modalități de către persoanele vizate;

 Date colectate despre angajați și familiile acestora, în scopul respectării contractului de muncă și a prevederilor legale în domeniul muncii;

 Date de localizare prin sisteme GPS;

 Imagine și voce.

Datele cu caracter personale menționați mai sus au caracter exemplificativ.

Aceste date pot fi colectate din următoarele surse:

– De la clienții Agenției în momentul în care doresc să acceseze serviciile noastre;

– Din contracte și documente auxiliare acestora, inclusiv în executarea relațiilor de muncă/colaborare;

– ca urmare a furnizării acestora direct de către persoana vizată – cu obținerea consimțământului în cazurile prevăzute de lege; în unele cazuri, prin faptul că persoana vizată ne transmite anumite informații de bună voie către noi prin orice canal de comunicare, vom procesa datele primite în scopul de a răspunde la solicitarea respectivă;

– ca urmare a interacțiunii angajaților noștri cu persoanele vizate (e.g. cărți de vizită); – din surse publice;

  • ca urmare a înscrierii pe site ori ca urmare a participării dumneavoastră la conferința realizată
  • ca urmare a pre-înregistrării pe site, la rubrica afișată în acest sens;
  • ca urmare a rezervării unui loc în cadrul conferinței.
  1. SCOPURILE ȘI TEMEIURILE PRELUCRĂRII

Agenția Medical PR este unul dintre cei mai cunoscuți furnizori de servicii de promovare, comunicare și marketing în zona medicală din România.

Astfel, colectăm date cu caracter personal în următoarele scopuri:
a) Prestarea serviciilor către clienții care doresc să acceseze serviciile Agenției;

  1. b) Promovarea produselor și serviciilor Agenției;
  2. c) Executarea contractelor cu furnizorii, clienții și partenerii;
  3. d) În procesul de recrutare și gestionare a angajaților/colaboratorilor noștri.
  4. e) posibilitatea informării viitoare a persoanelor vizate despre serviciile oferite de companie și despre eventuale viitoare alte proiecte ale Agenției sau ale UMF „Carol Davila”, București.
  5. f) acordarea de către UMF „Carol Davila” București a materialelor / atestatelor / certificatelor necesare acordării punctelor de pregătire profesională.

Colectăm date cu caracter personal în următoarele temeiuri:
a) Consimțământul persoanelor vizate;

  1. b) Executarea contractelor. În executarea contractelor cu furnizorii/partenerii/colaboratorii noștri putem să procesăm date cu caracter ale reprezentanților sau ale clienților acestora, în funcție de specificul fiecărui contract în parte;
  2. c) Publicarea lucrărilor științifice în volumul Congresului NutriTerra - ISI Proceedings Filodiritto;
  3. d) Îndeplinirea unor obligații legale;
  4. e) Îndeplinirea intereselor legitime ale Agenției care nu se vor opune drepturilor superioare ale persoanei vizate.
  1. DESTINATARI

Agenția nu transferă date cu caracter personal către destinatari din afara spațiului Uniunii Europene.

Agenția nu vinde, nu oferă și nu pune la dispoziția terților în interes comercial datele cu caracter personal pe care le prelucrează. Agenția poate avea anumite relații cu parteneri și colaboratori, situație în care este posibil ca anumite date să fie transferate către și de la aceștia.

Informațiile persoanelor vizate pot fi stocate într-o bază de date din Uniunea Europeana (UE).

Agenția își asumă respectarea confidențialității informațiilor personale procesate. Agenția, direct sau prin împuterniciții săi, va procesa datele în calitate de operator de date cu caracter personal, iar aceste date pot fi accesibile și folosite numai de către angajații/colaboratorii Agenției, direct sau prin împuterniciții acestora, precum și de către partenerii contractuali ai Agenției, direct sau prin împuterniciții acesteia.

În cazul în care se solicită Agenției dezvăluirea informațiilor persoanelor vizate printr-un ordin judecătoresc sau pentru a se conforma altor cerințe legale sau de reglementare, societatea va da curs acestor solicitări în conformitate cu prevederile legale în vigoare.

Față de specificul evenimentul la care veți participa, în orice calitate (vizitator, participant, speaker, etc.) datele cu caracter personal, în condiții de confidențialitate, pot face obiectul unei limitate prelucrări și din partea UMF „Carol Davila” din București, în scopul acordării diplomei de participare și a punctelor obținute ca efect al participării la conferință.

  1. DREPTURILE PERSOANELOR VIZATE

Conform GDPR, toate persoanele fizice cărora le prelucram date cu caracter personal au drepturi specifice, printre care menționăm:

  1. a) Dreptul la informare: dreptul de a afla ce date sunt procesate, scopurile și temeiurile prelucrării, destinatarii datelor, perioada de stocare, existența drepturilor persoanelor vizate, dreptul de a se adresa autorității de supraveghere etc.;
  2. b) Dreptul de acces: dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care privesc și, în caz afirmativ, acces la datele respective și la informații privind prelucrarea detaliate anterior;
  3. c) Dreptul la rectificare: dreptul de a obține corectarea datelor inexacte sau completarea datelor lipsă;
  4. d) Dreptul la ștergerea datelor: dreptul de a solicita ștergerea datelor procesate, în situațiile prevăzute de lege;
  5. e) Dreptul de a solicita restricționarea prelucrării, în limitele prevăzute de lege;
  6. f) Alte drepturi care pot fi exercitate în limitele prevăzute de lege: dreptul la portabilitatea datelor, dreptul de a obiecta la prelucrarea datelor, dreptul de a se opune proceselor decizionale automate, dreptul de a se adresa autorităților competente cu solicitări privind prelucrările efectuate de Agenție etc.
  1. SECURITATEA DATELOR COLECTATE

În conformitate cu prevederile legale în vigoare și cu stadiul actual al tehnologiei, Agenția a implementat măsuri tehnice și organizatorice adecvate pentru asigurarea securității datelor cu caracter personal în decursul activității noastre, conform regulilor detaliate mai jos.

În activitatea noastră urmărim în primul rând prevenirea oricăror incidente de securitate, precum acces neautorizat la date, scurgeri de informații, ștergere accidentală a datelor și altele asemenea, întreaga structură a prelucrărilor de date fiind construită în jurul principiului prevenției.
Totuși, având în vedere că în societatea informațională securitatea prelucrărilor nu poate fi 100% garantată, Agenția a luat, de asemenea, măsuri ca, în cazul improbabil în care apar incidente de securitate, întinderea și gravitatea acestora să fie diminuate.
Având în vedere că unele dintre informațiile colectate pot avea caracter sensibil, ne asumăm impunerea unor standarde suplimentare de securitate pentru aceste informații.

  1. REGULI GENERALE

Pentru a asigura protecția adecvată a datelor cu caracter personal la care Agenția are acces, am implementat măsuri organizatorice și tehnice, precum:
a) semnarea unor documente suplimentare cu angajații, colaboratorii și partenerii noștri pentru asigurarea confidențialității datelor cu caracter personal la care au acces cel puțin la un nivel similar cu cel impus de compania noastră;

  1. b) implementarea unor măsuri de securitate fizice cu privire la documentele care conțin date cu caracter personal, cum ar fi, de exemplu, stocarea documentelor în dulapuri închise cu cheie la care are acces doar personalul autorizat, implementarea unor sisteme de acces restricționat (de exemplu, chei) exclusiv pentru persoanele care justifică un interes pentru accesul respectivelor date.
  2. c) implementarea unor măsuri de securitate în ceea ce privește sistemele informatice, cum ar fi, de exemplu, asigurarea că toate echipamentele noastre dispun de programe de securitate corespunzătoare, asigurarea unor copii de rezervă etc.
  3. d) implementarea unor programe de instruire a personalului cu privire la cerințele GDPR.
  1. REGULI SPECIFICE

Agenția a implementat următoarele reguli specifice pentru protecția datelor cu caracter personal:

  1. a) Reguli de securitate tehnică:
  2. Interzicerea folosirii de către utilizatorii de sisteme a unor programe software nelicențiate sau care provin din surse nesigure;
  3. Implementarea unui sistem de autentificare bazat pe user și parole securizate, unice pentru fiecare utilizator autorizat; astfel, pe de o parte se împiedică accesul terților la terminale/bazele de date și, pe de altă parte, la introducerea greșită a userului/parolei de un anumit număr de ori, sistemul se blochează automat, conform procedurilor tehnice interne;

iii. Implementarea unor măsuri de securitate adecvate ale echipamentelor IT și software-ului utilizat în activitatea noastră, după cum urmează:

 informarea utilizatorilor în privința pericolului privind virușii informatici;

 implementarea unor software-uri de protecție adecvate pe terminalele utilizate, precum programe antivirus și informarea salariaților asupra obligativității de scanare periodică a sistemelor pentru prevenirea oricăror programe neautorizate (e.g. malware, phishing) sau, după caz, implementarea unor sisteme automate de devirusare și de securitate a sistemelor informatice;

 dezactivarea pe cât posibil tastei “Print screen”, atunci când sunt afișate pe monitor date cu caracter personal, limitându-se astfel posibilitatea de scoatere la imprimantă a acestora de către alți utilizatori decât aceia autorizați în acest sens;

 limitarea drepturilor de printare (imprimare), prin implementarea unor sisteme bazate pe user/parolă;

 monitorizarea accesului la baza de date și logarea (autentificarea) accesului și a parcursului utilizatorului;

 verificarea efectivă a existenței consimțământului dumneavoastră prin solicitarea unei acțiuni în sensul consimțământului, constând în bifarea activă, și nu pasivă, a rubricii prin care îl acordați.

 schimbarea periodică a parolelor de acces la baza de date și la sistemele informatice;

 obligația angajatilor de a securiza accesul în terminalele proprii atunci când nu le utilizează și de a închide terminalele la finalul programului de muncă;

 limitarea drepturilor de acces la bazele de date de la distanță (i.e. din afara firmei) / cu utilizarea altor dispozitive decât cele puse la dispoziție de societate;

 interzicerea utilizării unor rețele publice (cu acces deschis) de conexiune la internet.

  1. b) Reguli de securitate organizatorică
  2. Limitarea numărului de destinatari/utilizatori care au acces la datele cu caracter personal și corelarea drepturilor de acces cu necesitatea justificată de fiecare utilizator – e.g. prin împărțirea pe arii geografice a informațiilor despre persoanele vizate, prin transmiterea către împuterniciți doar a datelor necesare pentru executarea contractului etc.;
  3. Introducerea unor condiții și obligații de confidențialitate și protecție a datelor cu caracter personal suplimentare pentru angajați, colaboratori, furnizori și parteneri;

iii. Introducerea unor reguli specifice privind copierea și diseminarea documentelor pentru a preveni răspândirea și accesul unor persoane neautorizate la datele cu caracter personal;

  1. Introducerea unor reguli prin care angajații, colaboratorii și partenerii noștri au acces numai la acele date cu caracter personal necesare îndeplinirii fișei postului său, după caz, a obligațiilor asumate față de Agenție;
  2. Instalarea unor sisteme de asigurare a securității fizice a documentelor care cuprind date cu caracter personal, precum dulapuri închise sub cheie;

vii. Realizarea unor copii de siguranță a datelor stocate;

viii. Restricționarea accesului persoanelor neautorizate în spatiile unde sunt stocate datele cu caracter personal sau echipamentele pe care acestea sunt stocate, decât cu asigurarea unor condiții de confidențialitate corespunzătoare;

  1. Interzicerea copierii datelor cu caracter personal pe medii de stocare mobile, fără acordul prealabil al conducerii societății, cu excepția situației când aceasta este necesară pentru îndeplinirea unor obligații asumate contractual față de clienți;
  2. Asigurarea instruirii periodice a personalului cu privire la cerințele GDPR, precum și cele de securitate și riscurile privind datele cu caracter personal.
  3. Desemnarea unei persoane responsabile cu protecția datelor cu caracter personal.
  1. DISPOZIȚII FINALE

Pentru mai multe detalii, informații și solicitări, orice persoană interesată se poate adresa printr-un e-mail la adresa dedicată date@medicalpr.ro, prin telefon la numărul +400767600279 sau direct la sediul nostru din Str. Tudor Vianu nr. 5-7, et. 3, ap. 7, Sector 1, București. În acest sens este împuternicită ca ofițer responsabil cu protecția datelor, colega noastră, Ionela Mândruță. Pentru exercitarea anumitor drepturi ne rezervăm dreptul de a solicita ca cererea să fie depusă în scris, semnată de persoana vizată și ca solicitantul să prezinte dovezi suficiente de identificare cu persoana vizată (care exercită dreptul conferit de lege).