PLAN DE CONFORMARE


al Asociatiei Club Sportiv OBSWIM
la Regulamentul UE 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE
 
Asociatia Club Sportiv OBSWIM, cu sediul în București, str. Carei nr. 1, bloc A11, Scara A, apartament 15, sector 2, CUI 34108709, inregistrata in Registrul Asociatiilor si Fundatiilor al Judecatoriei Sectorului 2 Bucuresti, sub nr. 167 din 18.12.2014 (denumită în continuare „OBSWIM” sau „Asociatia”)  se aliniază Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului – privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (denumit în continuare în prezentul plan “Regulamentul” sau „GDPR” ) aplicabil din data de 25 mai 2018.
Prezentul plan vizează protecția datelor cu caracter personal, cu care OBSWIM intră în contact și se aplică:
Sediilor și locatiilor unde isi desfasoara activitatea OBSWIM
Tuturor structurilor organizatorice din cadrul OBSWIM
Întregului personal aparținând OBSWIM
Tuturor contractanților, furnizorilor și altor persoane care lucrează în numele OBSWIM
NOȚIUNI:
Operator – entitatea – în cazul de față – OBSWIM sau orice altă persoană fizică sau juridică, autoritate publică, agenție sau organizație non-guvernamentală, care prelucrează sau stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal;
Date cu caracter personal -orice informații privind o persoană fizică indentificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată – direct sau indirect, prin referire la un element de identificare: nume/prenume, adresă, cod numeric personal, e-mail, telefon, venituri, date biometrice, imaginea, adresa de IP sau prin referire la datele medicale, genetice, datele privind originea etică sau rasială, convingeri politice, religioase, filosofice, culturale sau apartenența sindicală;
Prelucrare – orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal (colectare, înregistrare, organizare, structurare, stocare, consultare, modificare, extragere, divulgare, restricționare, ștergere sau distrugere);
Date privind sănătatea – înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia;
Persoana vizată – orice persoană fizică ale cărei date cu caracter personal pot fi sau sunt prelucrate de operator;
Persoana împuternicită de operator – terța parte ( persoană fizică sau juridică) autoritate publică, agenție sau organizație non-guvernamentală, care efectuează operațiuni de prelucrare a datelor cu caracter personal în numele operatorului;
Destinatar – persoana fizică sau juridică, autoritatea publică, agenția sau organizația non-guvernamentală, căreia îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o terță parte;
Parte terță – persoana fizică sau juridică, autoritatea publică, agenția sau organizația non-guvernamentală, care intră sub directa autoritate a operatorului sau a persoanei împuternicite de operator și care sunt autorizate să prelucreze date cu caracter personal;
Consimțământ – aparține persoanei vizate și înseamnă orice manifestare liberă de voință, specifică, lipsită de ambiguitate a persoanei vizate, prin care acceptă ca datele cu caracter personal care îi aparțin să fie prelucrate;
Încălcarea securității datelor cu caracter personal – reprezintă o încălcare a securității care duce în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal transmise stocate sau prelucrate, sau accesul neautorizat la acestea;
Politici tehnice și organizatorice (politici corporatiste) – politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator
Autoritate de supraveghere – autoritatea publică independentă stabilită într-un stat membru, în Romania – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.)
IMPLICAȚIILE REGULAMENTULUI (UE) 2016/679:
Noul Regulament european stabilește norme referitoare la protecția persoanelor fizice pentru prelucrarea datelor cu caracter personal și norme referitoare la libera circulație a datelor cu caracter personal.
OBSWIM prelucrează date cu caracter personal referitoare la persoanele fizice. Acestea pot reprezenta date în legătură cu persoanele aflate în procesul de recrutare, angajații, reprezentații legali ai clienților, furnizorilor, contacte pentru afaceri, și orice alte persoane cu care Compania, a încheiat un contract sau cu care aceasta se află într-o legătură.
De asemenea, OBSWIM – având în vedere obiectul de activitate – prelucrează date de la persoanele vizate, date care sunt considerate potrivit Regulamentului, date speciale – date sensibile.
Compania OBSWIM va adopta politici ( tehnice și organizatorice) în care vor fi descrise modul în care datele personale trebuie colectate, utilizate și stocate pentru a fi în concordanță cu standardele companiei referitoare la protecția datelor – și, de asemenea, să îndeplinească condiția legalității.
Compania OBSWIM instituie măsuri corespunzătoare și specifice pentru garantarea demnității umane, a intereselor legitime și drepturilor fundamentale ale persoanelor vizate.
Compania OBSWIM înțelege că încălcările obligațiilor prevăzute de Regulament pot atrage amenzi administrative de până la 2% sau 4 % din cifra de afaceri la nivel anual, diferențierea fiind făcută în funcție de obligațiile încălcate.
În spiritul respectării Regulamentului OBSWIM efectuează activitățile de prelucrare a datelor personale, în conformitate cu principiile Regulamentului General privind protecția datelor:
Prelucrează datele  cu caracter personal, în mod legal, echitabil și transparent – Legalitate, echitate și transparență;
Colectează datele  cu caracter personal în scopurile determinate, explicite și legitime – Limitări legate de scop;
Prelucrează datele  cu caracter personal în mod adecvat, relevant și limitat la ceea ce este necesar în raport cu scopurile în care sunt prelucrate – Reducerea la minimum a datelor;
Datele prelucrate să fie exacte și în cazul în care este necesar sa fie actualizate – Exactitate
Datele să fie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele – Limitări legate de scop
Datele cu caracter personal să fie prelucrate într-un mod care asigură securitatea adecvată, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare – Integritate și confidențialitate
Să se poată demonstra conformitatea cu principiile menționate – Responsabilitate
MĂSURILE ORGANIZATORICE DE CONFORMARE:
OBSWIM înțelege că Regulamentul obligă operatorii și persoanele împuternicite să țină o evidență a activităților de prelucrare în următoarele situații:
atunci când entitatea are mai mult de 250 angajați;
prelucrarea este susceptibilă să genereze un risc pentru drepturile și libertățile persoanei vizate prelucrarea include categorii speciale de date;
prelucrarea nu este ocazională.
Având în vedere că, în cazul de față, în activitatea OBSWIM prelucrarea nu este ocazională, se prelucrează date considerate datele sensibile – speciale de către Regulament, este necesară existența unei evidențe interne a activităților care să fie revizuită periodic.
OBSWIM  – va întocmi Registrul intern al activităților de prelucrare, care va înlocui procedura notificării Autorității de Supraveghere cu privire la prelucrările de date cu caracter personal (aplicabil începând cu 25 mai 2018).
Registrul va fi actualizat periodic, pe măsură ce intervin modificări (de exemplu: se colectează date suplimentare, se decide transferarea datelor către state terțe, se instituie măsuri suplimentare de securitate). Este recomandat să se stabilească revizuirea periodică a registrului (de exemplu, o dată la trei luni sau ori de câte ori intervine vreo schimbare în activitățile desfășurate) .
Registrul prelucrărilor poate constitui baza pentru redactarea notelor de informare către persoana vizată. Este recomandat să se păstreze o arhivă a versiunilor anterioare. Pe măsură ce intervin modificări în activitatea de prelucrare, persoana vizată va fi informată asupra modificărilor.
Conținutul evidenței activităților de prelucrare ale operatorului!
numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;
scopurile prelucrării;
o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale;
acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 32 alineatul (1)
Conținutul evidenței activităților de prelucrare ale persoanei împuternicite!
numele și datele de contact ale persoanei sau persoanelor împuternicite de operator și ale fiecărui operator în numele căruia acționează această persoană (aceste persoane), precum și ale reprezentantului operatorului sau al persoanei împuternicite de operator, după caz;
categoriile de activități de prelucrare desfășurate în numele fiecărui operator;
dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective;
acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 32 alineatul (1).
Raporturile de muncă:
OBSWIM asigură conformitatea cu GDPR în cadrul raporturilor de muncă, respectând viața privată a tuturor salariaților/colaboratorilor, datele cu caracter personal, securitatea și confidențialitatea datelor personale așa cum Regulamentul prevede.
OBSWIM se asigură că personalul angajat/colaborator sau persoanele care aplică pentru angajare/colaborare, înțeleg importanța protejării datelor cu caracter personal și au cunoștință de toate Politicile interne ale companiei privind gestionarea datelor cu caracter personal.
În acest sens, OBSWIM va:
Informa salariații/colaboratorii privind importanța Regulamentului – prin întocmirea unui ghid care să explice salariaților consecințele acțiunilor lor; Ghidul trebuie adus la cunoștința tuturor salariaților inclusiv a noilor salariați; Va întocmi un proces-verbal de instruire cu privire la confidențialitatea datelor;
Stabili persoana din cadrul OBSWIM care se ocupă cu asigurarea  conformității GDPR a politicilor și procedurilor legate de raporturile de muncă;
În cadrul OBSWIM principalele activități de resurse umane sunt: recrutarea de personal, planificarea resurselor umane, evaluarea performanțelor, motivarea angajaților, integrarea noilor angajați, training și specializare, clarificarea responsabilităților, evaluarea satisfacției angajaților, relația cu reprezentanții salariaților, comunicare internă, legislația muncii, gestiunea documentelor, gestiune bază de date angajați.
Astfel, OBSWIM pentru conformarea la Regulament:
Va întocmi formulare de informare a noilor angajați;
Va incheia contractele individuale de muncă conforme Regulamentului; Va informa salariații despre monitorizare acolo unde este cazul;
Va încheia cu salariații un acord pentru folosire imaginii acestora – dacă este cazul;
Va întocmi politica de prelucrare a datelor cu caracter personal (inclusiv modificări Regulament intern);
Va modifica fișele de post pentru pozițiile care prelucrează si au acces la datele cu caracter personal;
Va întocmi decizii interne de numire a persoanelor si dacă este cazul de numire a responsabililor care prelucrează date cu caracter personal.
În cazul persoanelor care se află în etapa de recrutare în cadrul OBSWIM – organizatia – care colectează date cu caracter personal cu prilejul acestui proces de recrutare și selecție – respectă prevederile Regulamentului care este aplicabil în această situație ( de ex – obține date cu caracter personal ca urmare a solicitării completării unui formular dintr-o aplicație sau prin transmiterea unui CV – prin e-mail). OBSWIM aduce la cunoștința solicitanților datele personale care le vor fi colectate, scopul în care sunt colectate și cum vor fi utilizate.
OBSWIM se asigură că, personalul implicat în procesul de recrutare și selecție este conștient de faptul că regulile privind protecția datelor se aplică și acestor date personale ale candidaților.
În acest sens, OBSWIM va întocmi:
Informarea candidaților;
Acordul acestora de prelucrare a datelor lor personale.
Măsuri financiar – contabile:
În desfășurarea activității specifice financiar – contabile, acest departament nu poate evita regimul juridic instituit de GDPR deoarece în mod frecvent sunt prelucrate date personale ca parte a activității desfășurate, de exemplu:
Completarea declarațiilor fiscale ale persoanelor vizate,
Efectuarea de audituri sau furnizarea de servicii – soluții de salarizare,
În acest sens, OBSWIM va întocmi un set de Reguli / Politici privind documentele financiar – contabile.
Măsuri care vizează împuterniciții OBSWIM
OBSWIM înțelege că este entitatea/operatorul care stabilește scopul și mijloacele prelucrării datelor. OBSWIM decide ce date să colecteze și cum să colecteze aceste  date despre angajații, clienții săi, etc.
Persoana împuternicită este entitatea, persoana fizică sau juridică, alta decât angajatul operatorului, care prelucrează datele pe seama operatorului. În practică, aceste persoane împuternicite pot fi: firmele de resurse umane, contabilitate, IT până la clinicile medicale care au acces la datele medicale ale angajaților.
 
OBSWIM înțelege că majoritatea obligațiilor impuse de GDPR cad în sarcina sa. Acesta trebuie să realizeze informarea persoanei vizate, să se asigure că prelucrarea este legală și că drepturile persoanei sunt respectate.
 
Persoanele împuternicite de OBSWIM au și ele niște obligații specifice, cum ar fi să nu subcontracteze o altă persoană fără a avea acordul prealabil al operatorului, să își asigure norme de securitate adecvate, să notifice operatorului o  breșă de securitate în sistemele proprii, să nu folosească datele în alte scopuri decât pentru executarea contractului cu operatorul.
Între operator OBSWIM și persoana împuternicită există un contract care să asigure protecția datelor.
În acest sens, OBSWIM va întocmi:
Informarea împuterniciților; și va
Completa contractele existente prin încheierea unui act adițional. Contractele noi, urmează a fi întocmite cu asigurarea conformității companiei cu Regulamentul UE 2016/679.
Măsuri care vizează clienții și partenerii (clienți/furnizori/colaboratori) ai OBSWIM
În cadrul sistemului intern – există un flux de acțiuni care au la bază anumite acorduri care sunt colectate de la clienți. În sistem sunt înregistrate date cu privire la acordurile semnate de clienți pentru prelucrarea datelor lor personale.
Mai mult decât atât, dreptul de acces al clientilor la datele stocate în cadrul sistemului intern și portabilitatea acestor date sunt asigurate în cadrul sistemului prin existența unui raport care va permite exportul acestor date într-un anumit format.
 
În desfășurarea activității sale, OBSWIM intră în contact cu diferite entități – care au calitatea de clienți / furnizori / colaboratori.
Pentru respectarea prevederilor Regulamentului și din acest punct de vedere, OBSWIM își va informa toți partenerii că în cadrul OBSWI. au fost implementate măsurile tehnice și organizatorice necesare conformării la GDPR.
În plus, OBSWIM va  încheia acte adiționale la contractele încheiate cu colaboratorii săi aflate în derulare, prin care ambele părți se vor angaja să își desfășoare activitatea doar cu respectarea cerințelor referitoare la securitatea datelor cu caracter personal în conformitate cu Regulamentul GDPR.
Măsuri care vizează securitatea IT a OBSWIM
În desfășurarea activității sale, OBSWIM procesează date cu caracter personal așa cum va rezulta și din Registrul intern al activităților de prelucrare. O parte din aceste prelucrări se realizează folosind sisteme IT (echipamente, software, modalități de comunicație electronică).
În concordanță cu prevederile GDPR, OBSWIM are obligația să ia o serie de măsuri care să ofere datelor cu caracter personal prelucrate în cadrul activităților sale, un nivel de securitate adecvat acestora.
În acest sens se va crea o Politică de securitate IT în cadrul OBSWIM care să acopere toate elementele componente de infrastructură, utilizare, control acces, prevenție și detecție, backup și siguranță a datelor, și care să fie respectată de toți angajații și colaboratorii, în exploatarea sistemelor IT ale companiei.
Se vor avea în considerare următoarele:
acees la internet;
interconectare locații;
acces de la distanță;
acces rețea wired/wireless;
control aces fizic data center;
control access echipamente și software;
politici de protecție sisteme informatice (antivirus/antimalware/updates);
politică de utilizare smartphone;
sisteme de control acces fișiere;
modalități de securizare transferuri date (email/website/file sharing);
sisteme de backup/criptare etc.
 
Măsuri care vizează paginile de internet ale OBSWIM
Pentru paginile de internet (site-uri de prezentare sau magazin online) ale  OBSWIM se va realiza o evaluare a acestora din perspectiva GDPR și se vor emite informări și recomandări pentru modificarea acestora în vederea conformării. Aceste recomandări vor fi apoi transmise de către OBSWIM către departamentele sau colaboratorii care se ocupă de dezvoltarea acestora pentru implementare.
Se va concepe de asemenea o Politică de prelucrare a datelor cu caracter personal care va fi făcută publică pe fiecare site, în care se va prezenta viziunea OBSWIM cu privire la modalitatea de prelucrare a acestora, se vor expune transparent toate informațiile despre operațiunile de prelucrare, scopurile acestor prelucrări, durata stocării și modalitățile de retragere a consimțământului pentru persoanele vizate care solicită acest lucru.
 
Măsuri care vizează profilele pe rețelele de socializare :
În vederea respectării prevederilor Regulamentului, compania va întocmi un set de bune practici pentru utilizarea conformă cu GDPR a profilelor de companie pe rețelele de socializare.
Recomandări care vizează aplicațiile interne:
Pentru ca aplicațiile interne folosite de OBSWIM pentru gestionarea activității curente să respecte drepturile persoanelor vizate stipulate în Regulament, se va crea un set de recomandări privind funcționalitățile necesare pentru ca aplicațiile să permită exercitarea acestor drepturi.
Tratare incidente de securitate:
GDPR introduce obligativitatea ca orice incident de securitate care presupune un risc la adresa datelor cu caracter personal prelucrate de OBSWIM să fie raportat către Autoritatea de Supraveghere în maxim 72 de ore de la momentul în care s-a luat la cunoștință de producerea acestuia. Raportarea trebuie făcută respectând anumite reguli care vor fi cuprinse într-o Procedură de tratare a incidentelor de securitate.
 
Prezentul Plan de conformarereprezintă dovada demarării procesului de aliniere la prevederile Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului – privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE de către OBSWIM
 
Plan aprobat în data de:         _______________
 
Planul devine operațional din data de: __(planul devine operațional din ziua aprobării) ________
 
Următoarea revizuire va avea loc / se va face  în data de: ________________
 
Asociatia Club Sportiv OBSWIM                   Prin Presedinte
                                                                                    Obertin Marian
Semnătură _________________

 [RML1]Rog validati. Se va elimina ceea ce nu este aplicabil