POLITICĂ DE CONFIDENȚIALITATE
Nota de informare privind prelucrarea datelor cu caracter personal în cadrul
UNIVERSITĂȚII DE VARĂ ȘI TABĂRĂ STUDENȚEASCĂ BÁLVÁNYOS – TUSVÁNYOS
FEDERAȚIA CONSILIUL TINERETULUI MAGHIAR DIN ROMÂNIA, în continuare TUSVÁNYOS prelucrează date cu caracter personal în cadrul organizării și desfășurării evenimentului Universitatea de Vară și Tabără Studențească Bálványos – Tusványos, astfel cum este prevăzut în prezenta Notă de informare.
Scopul acestei informări este de a stabili principiile de protecție și de prelucrare a datelor cu caracter personal în contextul organizării și desfășurării Evenimentului, obținute direct de la persoana vizată, astfel încât persoana vizată să poată fi informată în mod corespunzător cu privire la: datele prelucrate de TUSVÁNYOS sau de persoana împuternicită, scopurile, temeiul juridic și durata prelucrării, numele și adresa oricărei persoane împuternicite de către operator implicate în prelucrare și activitățile acesteia în legătură cu prelucrarea, precum și, în cazul unui transfer de date cu caracter personal ale persoanei vizate, temeiul juridic și destinatarul transferului.
Legislație utilizată și luată în considerare la elaborarea dispozițiilor prezentului ghid:
GDPR:
- Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (denumit în continuare “GDPR”;).
- Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
Definiții
Definițiile din prezenta informare corespund definițiilor interpretative prevăzute la articolul 4 din GDPR.
În cazul în care definițiile din actualul GDPR diferă de definițiile din prezenta informare, prevalează definițiile stabilite în legislație.
- Operatorul de date, persoana împuternicită de către operator și datele de contactale acestora
Operator de date
FEDERAȚIA CONSILIUL TINERETULUI MAGHIAR DIN ROMÂNIA, cu sediul în Cluj Napoca, str. David Ferenc, nr. 21., ap. 8., CIF 14752780, nr. înreg. 5/PJ/2002, cont bancar RO53 OTPV 2000 0108 4868 RO01, deschis la OTP Cluj-Napoca;
- Persoanele vizate, datele prelucrate, scopul prelucrării datelor, temeiul juridic, metoda, sursa datelor, durata de stocare a datelor
Persoanele vizate: participanți la eveniment, eventual reprezentantului legal și/sau însoțitor
Domeniul de aplicare al datelor prelucrate | Scopul prelucrării datelor | Temeiul juridic al prelucrării |
Durata de prelucrare |
Nume, prenume, adresa de email, număr de telefon și domiciliu Datele contului bancar |
Participarea la Eveniment în calitate de vizitator, organizator, invitat, parteneri, comercianți. Achiziționarea biletelor | Articolul 6 alineatul (1) litera (a) din GDPR (consimțământ) | până la retragerea consimțământului, dar nu mai târziu de 2 luni de la terminarea evenimentului |
Nume, prenume, serie și număr carte de identitate, e-mail, adresă de domiciliu, data nașterii, sex, cetățenie, țară, original sau fotografia după act de identitate, în cazul în care participantul este minor: nume prenume al reprezentantului legal și al însoțitorului, CNP, seria și numărului actului de identitatea al reprezentantului legal și al însoțitorului, numărul de telefon al reprezentantului legal și al însoțitorului, adresa de e-mail a reprezentantului legal |
Asigurarea accesului și securitate în perimetrul evenimentului, respectiv prestarea serviciilor la care participantul este îndreptățit în baza biletului/ Înregistrare ziua de sâmbătă a Evenimentului |
Articolul 6 alineatul (1) litera (b) din GDPR – executarea contractului |
până la retragerea consimțământului, dar nu mai târziu de 2 luni de la terminarea evenimentului |
Înregistrarea foto și video | scopuri jurnalistice, de informare, comerciale, de marketing și de promovare Tusványos | Articolul 6 alineatul (1) litera (f) din GDPR- interes legitim | până la retragerea consimțământului, dar nu mai târziu de 3 ani |
Nume, prenume, adresa de email, număr de telefon | scop comercial de promovare a produselor și serviciilor Tusványos și scop statistic | Articolul 6 alineatul (1) litera (f) din GDPR- interes legitim | până la retragerea consimțământului, dar nu mai târziu de 10 ani |
Declarație în legătură cu articolul 13 alineatul (1) litera (f) din GDPR | datele cu caracter personal nu vor fi transferate către o țară terță sau o organizație internațională |
Destinatarii și categoriile de date cu caracter personal: | datele cu caracter personal nu sunt transferate în afara personalului Tusvanyos împuternicit și ai operatorului de date |
Modul în care sunt prelucrate datele: | electronic, pe hârtie |
Declarație în legătură cu articolul 13 alineatul (2) litera (e) din GDPR: | furnizarea de date cu caracter personal nu se bazează pe o obligație legală sau contractuală, nu este o condiție prealabilă pentru încheierea unui contract, iar persoana vizată nu este obligată să furnizeze datele cu caracter personal. Dacă nu sunt furnizate date cu caracter personal, participarea la eveniment nu poate fi garantată. |
Declarație în legătură cu articolul 13 alineatul (2) litera (f) din GDPR: procesul decizional automatizat nu este utilizat.
III. Principii de gestionare a datelor
- Operatorul de date va prelucra datele cu caracter personal în conformitate cu principiile bunei-credințe, corectitudinii și transparenței, precum și în conformitate cu legile aplicabile și cu dispozițiile prezentei Note de informare.
- Operatorul de date va prelucra datele cu caracter personal numai în baza scopurilor și în scopurile stabilite în prezenta notificare și nu va depăși scopurile stabilite în prezenta notificare.
- În cazul în care operatorul de date intenționează să utilizeze datele cu caracter personal într-un alt scop decât cel pentru care au fost colectate inițial, va informa persoana vizată și, cu excepția cazului în care există un alt temei juridic pentru prelucrare, astfel cum este prevăzut în GDPR, va obține în prealabil consimțământul explicit al persoanei vizate și îi va oferi posibilitatea de a se opune utilizării.
- Singurul responsabil pentru corectitudinea datelor cu caracter personal furnizate este persoana care le furnizează.
- Operatorul de date transferă datele cu caracter personal pe care le prelucrează către terți numai cu consimțământul expres și neechivoc al persoanei vizate, dat în deplină cunoștință de cauză cu privire la sfera datelor transferate și la destinatarul transferului de date, înțelegând că operatorul de date are dreptul și obligația de a transfera autorităților competente orice date cu caracter personal de care dispune și pe care le stochează în conformitate cu legea, pe care este obligată prin lege sau printr-o obligație definitivă și obligatorie a unei autorități publice să le transfere. Operatorul de date nu este răspunzător pentru un astfel de transfer și pentru consecințele acestuia.
- Operatorul de date asigură securitatea datelor cu caracter personal, ia măsuri tehnice și organizatorice, și stabilește reguli procedurale pentru a asigura securitatea datelor colectate, stocate, prelucrate, și pentru a preveni pierderea accidentală, distrugerea, accesul neautorizat, utilizarea neautorizată, modificarea neautorizată și divulgarea neautorizată.
- Operatorul de date păstrează o evidență a datelor pe care le prelucrează în conformitate cu legile aplicabile, asigurându-se că datele sunt puse la dispoziția personalului Tusvanyos și a altor persoane care acționează în interesul operatorului de date și care au nevoie să le cunoască pentru a-și îndeplini sarcinile sau atribuțiile. Toate persoanele care acționează în interesul operatorului de date au dreptul de a avea acces numai la datele a căror prelucrare este necesară pentru îndeplinirea sarcinilor persoanei menționate.
- Drepturile persoanei vizate
- Persoana vizată își poate exercita drepturile în următoarele moduri:
- prin e-mail
- prin poștă
- în persoană
- Drepturile persoanei vizate
2.1. Dreptul la informare și la acces
Persoana vizată poate solicita în orice moment ca operatorul de date să o informeze cu privire la datele prelucrate de către ea sau de către o persoană împuternicită de către operatorul de date căreia i-a delegat prelucrarea, scopul, temeiul juridic și durata prelucrării, numele și adresa persoanei împuternicite de către aceasta și activitățile sale legate de prelucrare, circumstanțele încălcării datelor cu caracter personal, efectele acesteia și măsurile luate pentru remedierea ei, precum și temeiul juridic și destinatarul transferului de date, în cazul în care datele cu caracter personal ale persoanei vizate sunt transferate.
În acest context, persoana vizată are dreptul de a solicita o copie a datelor prelucrate. În cazul unei cereri transmise în format electronic, operatorul de date va îndeplini cererea în principal în format electronic (în format pdf), cu excepția cazului în care cererea persoanei vizate nu conține o solicitare explicită în sens contrar.
Prin prezenta, operatorul de date atrage atenția persoanei vizate asupra faptului că, în cazul în care dreptul de acces, astfel cum este descris mai sus, afectează în mod negativ drepturile și libertățile altora, în special secretele comerciale sau proprietatea intelectuală a altora, operatorul de date are dreptul de a refuza să dea curs cererii în măsura în care acest lucru este necesar și proporțional.
2.2. Dreptul la rectificare, modificare
Persoana vizată are dreptul de a solicita rectificarea, modificarea sau integrarea datelor cu caracter personal prelucrate.
2.3. Dreptul la portabilitatea datelor
Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc, furnizate către operator de date într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat, precum și dreptul de a transmite aceste date către un alt operator, fără ca operatorul de date să o împiedice.
Persoana vizată are, de asemenea, dreptul de a solicita, în cazul în care acest lucru este fezabil din punct de vedere tehnic, transferul direct de date cu caracter personal între operatori.
2.4. Dreptul la ștergere („dreptul de a fi uitat”)
Persoana vizată are dreptul de a solicita ștergerea unora sau a tuturor datelor sale cu caracter personal.
În acest caz, operatorul de date va șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care:
- datele cu caracter personal nu mai sunt necesare pentru scopurile pentru care au fost colectate sau prelucrate în alt mod;
- prelucrarea care s-a bazat pe consimțământul persoanei vizate, dar persoana vizată și-a retras acest consimțământ și nu există niciun alt temei juridic pentru prelucrare;
- prelucrarea care s-a bazat pe interesele legitime ale operatorului de date sau ale unei terțe părți, dar persoana vizată s-a opus prelucrării și nu există niciun motiv legitim superior pentru prelucrare, cu excepția unei obiecții la prelucrarea în scopuri de marketing direct;
- datele cu caracter personal au fost prelucrate în mod ilegal de către operatorul de date;
- ștergerea datelor cu caracter personal este necesară pentru a respecta o obligație legală.
În orice caz, operatorul de date va informa persoana vizată cu privire la orice refuz de ștergere a datelor (de exemplu, în cazul în care prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unor pretenții legale), precizând motivele refuzului. Ștergerea datelor cu caracter personal se efectuează astfel încât, după ce cererea de ștergere a fost îndeplinită, datele anterioare (șterse) să nu mai poată fi restabilite.
Pe lângă exercitarea dreptului la ștergere, operatorul de date va șterge datele cu caracter personal în cazul în care prelucrarea este ilegală, scopul prelucrării a încetat sau perioada legală de stocare a datelor a expirat, sau în cazul în care este ordonată de o instanță sau de o autoritate publică.
2.5. Dreptul la restricționarea prelucrării
Persoana vizată poate solicita restricționarea prelucrării datelor sale cu caracter personal în cazul în care:
- persoana vizată contestă exactitatea datelor cu caracter personal – în acest caz, restricția se aplică pentru perioada de timp care permite operatorul de date să verifice exactitatea datelor cu caracter personal;
- prelucrarea este ilegală, dar persoana vizată se opune ștergerii datelor și solicită, în schimb, restricționarea utilizării acestora;
- operatorul de date nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată are nevoie de acestea pentru constatarea, exercitarea sau apărarea unor drepturi legale;
- persoana vizată s-a opus prelucrării – caz în care restricția se aplică pentru perioada până când se stabilește dacă motivele legitime ale operatorului de date prevalează asupra motivelor legitime ale persoanei vizate.
În cazul unei limitări a prelucrării, operatorul de date nu prelucrează datele cu caracter personal vizate de restricție, cu excepția stocării, sau le prelucrează numai în măsura în care persoana vizată și-a dat consimțământul sau, în absența unui astfel de consimțământ, în măsura în care datele sunt necesare pentru constatarea, exercitarea sau apărarea unui drept în justiție sau pentru protecția drepturilor unei alte persoane fizice sau juridice sau a unui interes public important al Uniunii sau al unui stat membru al Uniunii Europene. Operatorul de date informează în prealabil persoana vizată cu privire la ridicarea restricției.
2.6. Dreptul de a protesta
În cazul în care temeiul juridic al prelucrării este interesul legitim al operatorului de date sau al unei terțe părți (cu excepția prelucrării obligatorii), persoana vizată are dreptul de a se opune prelucrării. Operatorul de date nu este obligat să dea curs obiecției dacă poate dovedi că:
- prelucrarea este justificată de motive legitime și imperioase care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate;
- prelucrarea se referă la constatarea, exercitarea sau apărarea unor pretenții legale de către operatorul de date.
Operatorul de date va examina legitimitatea obiecției persoanei vizate și, în cazul în care obiecția este justificată, va înceta prelucrarea.
În cazul în care datele cu caracter personal sunt prelucrate în scopuri de marketing direct, persoana vizată are dreptul de a se opune în orice moment prelucrării datelor cu caracter personal care o privesc în astfel de scopuri.
2.7. Cale de atac
A se vedea punctul VII.
2.8. Dreptul de a retrage consimțământul
Persoana vizată are dreptul de a-și retrage consimțământul pentru prelucrare în orice moment, cu condiția ca retragerea consimțământului să nu afecteze legalitatea prelucrării bazate pe consimțământul anterior retragerii acestuia.
- Operatorul de date examinează fără întârziere cererea depusă în conformitate cu cele descrise mai sus, decide dacă acceptă sau refuză cererea, ia măsurile necesare și informează persoana vizată. În cazul în care cererea este respinsă, informarea include temeiul juridic al refuzului, motivele refuzului și căile de atac disponibile pentru persoana vizată.
- Operatorul de date va informa toți destinatarii cărora sau cu care au fost divulgate datele cu caracter personal cu privire la rectificarea, ștergerea sau restricționarea prelucrării, cu excepția cazului în care acest lucru se dovedește imposibil sau implică un efort disproporționat.
- Incident privind protecția datelor
- Operatorul de date va notifica imediat incidentul privind protecția datelor către Autoritatea Națională pentru Protecția Datelor, cu excepția cazului în care incidentul privind protecția datelor este puțin probabil să reprezinte un risc pentru drepturile și libertățile persoanelor vizate. Operatorul de date păstrează o evidență a incidentelor de protecție a datelor, împreună cu acțiunile întreprinse în legătură cu incidentul. În cazul în care incidentul este grav (și anume, este probabil să conducă la un risc ridicat pentru drepturile și libertățile persoanei vizate), operatorul de date informează persoana vizată cu privire la încălcarea datelor cu caracter personal fără întârzieri nejustificate.
- Modificarea notei de informare
- Operatorul de date își rezervă dreptul de a modifica această politică în orice moment prin decizie unilaterală, informând persoana vizată prin intermediul datelor de contact furnizate.
- În cazul în care persoana vizată nu este de acord cu modificarea, aceasta poate solicita ștergerea datelor sale cu caracter personal, astfel cum se prevede la punctul IV.
VII. Căi de atac legale
- TUSVÁNYOS, în calitate de operator de date, poate fi contactat referitor la gestionarea datelor cu caracter personal prin intermediul datelor de contact indicate la punctul I.
- În cazul unei încălcări a datelor cu caracter personal privind prelucrarea datelor cu caracter personal, persoana vizată are dreptul de a depune o plângere la autoritatea competentă de supraveghere a protecției datelor din statul membru în care își are reședința obișnuită, locul de muncă sau locul presupusei încălcări.
Plângerea trebuie să fie transmisă la adresa: în România, la Autoritatea Națională pentru
Protecția Datelor, București, bd. G-ral Gheorghe Magheru, nr. 28-30, sector 1, 010336,
telefon: +40-318-059-211, e-mail: anspdcp@dataprotection.ro.
- Persoana vizată poate întreprinde acțiuni în justiție în următoarele cazuri:
- în caz de încălcare,
- împotriva unei decizii obligatorii din punct de vedere juridic a autorității de supraveghere care o privește,
- în cazul în care autoritatea de supraveghere nu soluționează plângerea sau nu informează persoana în cauză în termen de trei luni cu privire la evoluția procedurii sau la rezultatul plângerii.
Soluționarea conflictelor este de competenta instanțelor române din Cluj-Napoca.