6. REGULI GENERALE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL
6.1. Scopul prelucrării:
Operatorul prelucrează date cu caracter personal pentru următoarele scopuri, după cum urmează:
- În vederea îndeplinirii obligațiilor legale, Școala prelucrează datele cu caracter personal pentru: îndeplinirea obligațiilor legale ce revin Școlii în relația cu elevii și reprezentanții acestora; îndeplinirea obligațiilor legale ce revin în sarcina Școlii, ca angajator în relația acesteia cu angajații, îndeplinirea obligațiilor de păstrare a documentelor fiscale și de evidență contabilă; cunoașterea beneficiarilor în vederea prevenirii spălării banilor și combaterii finanţării terorismului; prevenirea fraudelor; realizarea de audituri și investigatii interne; gestiune administrativ–financiară; gestionarea conflictelor de interese; gestionarea controalelor efectuate de autorităţi; asigurarea securităţii în incintele Școlii; păstrarea, depozitarea (premergătoare arhivării) și arhivarea documentelor; implementarea măsurilor de securitate a datelor cu caracter personal. Pentru îndeplinirea scopurilor anterior mentionate, Școala se va baza, în măsura în care este necesar, și pe interesul său legitim în desfășurarea obiectului său de activitate din domeniul educațional.
- În vederea încheierii și executării contractului dintre Beneficiar și Școala, aceasta prelucrează datele cu caracter personal pentru: derularea și gestionarea relației contractuale cu Beneficiarul, în vederea prestării serviciilor din sfera sa de activitate; derularea în bune condiţii a tranzacţiilor comerciale; gestionarea calitătii datelor; colectare de debite/recuperare creante și activitățile premergătoare acestora; constatarea, exercitarea sau apărarea unor drepturi ale Șolii în instanţă; gestionarea reclamaţiilor și sesizărilor primite cu privire la serviciile prestate de Școală.
- În vederea îndeplinirii intereselor legitime ale Școlii, în contextul desfășurării obiectului său de activitate, Școala prelucrează datele cu caracter personal pentru: îmbunătățirea serviciilor, prin optimizarea fluxurilor și a reglementărilor interne (inclusiv optimizarea costurilor și a bugetelor, adaptarea, perfecționarea și/sau extinderea serviciilor în domeniul educațional), segmentarea beneficiarilor; proiectarea, dezvoltarea, testarea și utilizarea sistemelor informatice și a serviciilor IT (inclusiv stocarea bazelor de date în țară sau în străinătate); reclamă, marketing online, marketing simplu și publicitate; statistică; gestionarea reclamațiilor și sesizărilor, managementul organizației.
6.2. Temeiul legal al prelucrării:
Școala prelucrează datele personale în baza unuia dintre următoarele temeiuri legale: [În baza propunerilor si recomandărilor de DPO, se vor include și exemple concrete de cazuri ptr . temeiurile de la literele a-f de mai jos]
- Consimțământul – persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice. Consimţământul trebuie să fie în scris sau prin alte mijloace legale permise, persoana vizată având dreptul de a-şi retrage oricând acordul asupra prelucrării datelor.
- Executarea/Încheierea unui contract – prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract, inclusiv contracte sub forma comenzii urmate de executare;
- Obligație legală – prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine Școlii;
- Interese legitime – prelucrarea este necesară în scopul intereselor legitime urmărite de Școala sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate.
- Interes vital – prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice.
- Interes public – prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit Operatorul.
6.3. Obligația de informare a persoanei vizate: [În baza propunerilor si recomandărilor de DPO, se vor include și exemple concrete de cazuri când este necesară obligația de informare]
În toate cazurile, anterior colectării și prelucrării datelor personale, Școala va informa Persoana vizată despre:
- identitatea Operatorului şi a reprezentantului acestuia, dacă este cazul;
- scopul în care se face Prelucrarea datelor, precum şi temeiul juridic (dacă prelucrarea se face în temeiul intereselor legitime, se va face referire la acestea);
- existenţa dreptului de a-şi retrage consimțământul atunci când prelucrarea se întemeiază pe consimțământ si nu mai există alt temei de prelucrare;
- destinatarii sau categoriile de destinatari ai datelor;
- dacă furnizarea tuturor datelor cerute este obligatorie și consecințele refuzului de a le furniza;
- existența drepturilor prevăzute de lege pentru Persoana vizată, precum şi condițiile în care pot fi exercitate;
- intenţia de a transfera datele în afara SEE sau către o organizație internațională, precum şi menționarea garanțiilor aplicabile. În acest caz, în conformitate cu cerinţele UE privind protecţia datelor, un astfel de transfer este interzis în cazul în care ţara importatoare de date, din afara SEE, nu asigură un nivel adecvat de protecţie, cu excepţia următoarelor cazuri:
(a) persoana vizată și-a dat acordul pentru transferul propus;
(b) transferul este necesar pentru executarea unui contract între persoana vizată și controlor sau pentru punerea în aplicare a măsurilor precontractuale luate ca răspuns la solicitarea persoanei vizate;
(c) transferul este necesar pentru încheierea sau executarea unui contract încheiat în interesul persoanei fizice între operator și o terță parte;
(d) transferul este necesar sau cerut din punct de vedere juridic din motive de interes public important sau pentru stabilirea, exercitarea sau apărarea revendicărilor legale;
(e) transferul este necesar pentru protejarea intereselor vitale ale subiectului datelor;
(f) exportatorul de date din SEE și importatorul de date din afara SEE au încheiat clauzele contractuale standard ale Uniunii Europene (“Contractele-model”); sau
(g) importatorul de date din Statele Unite este certificat în conformitate cu cadrul US Privacy Shield (“Privacy Shield”). [A se acorda atentie speciala cazului si exceptiilor aferente, dar si contextului actual privind recunoasterea la nivel statal a US Privacy Shield. DPO considera utila revenirea cu mentiuni suplimentare]
- perioada de stocare a datelor sau criteriile utilizate pentru a o determina;
- informații despre existența unui proces decizional automatizat, dacă este cazul, precum și informații utile legate de logica utilizată şi importanţa prelucrării;
- orice alte informații a căror furnizare este impusă prin dispoziție a ANSPDCP, ținând seama de specificul Prelucrării.
În cazul în care Școala nu obține datele direct de la Persoana vizată, Școala va furniza acesteia informațiile prevăzute mai sus, cu respectarea următoarelor termene:
- într-un termen rezonabil după obținerea Datelor, dar nu mai mare de o lună, ținându-se seama de circumstanțele specifice în care sunt prelucrate Datele;
- dacă Datele urmează să fie utilizate pentru comunicarea cu Persoana vizată, cel târziu în momentul primei comunicări către persoana respectivă;
- dacă se intenționează divulgarea Datelor către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.
Durata de Prelucrare este limitată în funcție de termenele de retenție ale datelor raportate la scopul pentru care au fost colectate datele pentru activitățile de prelucrare.
6.4. Reguli speciale de Prelucrare
6.4.1. Prelucrarea având ca temei consimțământul – prelucrarea în scop de reclamă / marketing / publicitate
Participarea Persoanelor Vizate (potențiali beneficiari, beneficiari, parteneri etc.) la programe de loializare, concursuri, chestionare, sondaje, studii de satisfacție privind Școala, primirea de diverse materiale promoţionale, tichete etc. presupune prelucrarea Datelor în baza consimţământului expres acordat Operatorului de Persoana Vizată anterior transmiterii de oferte promoţionale.
DCP prelucrate în acest scop: nume, prenume, date contact (e-mail, telefon, adresa domiciliu) , date CI, semnătura
Persoane vizate: potențiali beneficiari, beneficiari, parteneri etc., persoane care si-au dat consimtamantul in mod expres.
Reguli de prelucrare:
- Datele prelucrate vor fi păstrate doar pe durata şi în măsura în care este necesar pentru realizarea scopurilor menționate mai sus sau dacă există o obligație legală în acest sens (spre exemplu, în cazul concursurilor cu premii). Pentru prelucrările de date care necesită consimțământul Persoanei Vizate, datele vor fi prelucrate și păstrate până la data retragerii consimțământului.
- Școala a informat Persoana vizată prin documente specifice de intrare în relație cu școala, iar persoana vizată și-a exprimat consimțământul expres și neechivoc (obținut prin bifarea opțiunii „Da” în format letric sau în format electronic) pentru primirea de comunicări din partea Școlii în astfel de scopuri.
- Persoana vizată are dreptul de a se opune în orice moment, în mod gratuit și fără nicio justificare, ca Datele care o vizează să fie prelucrate în scop de marketing de către Operator sau să fie transmise unor Terți (inclusiv din cadrul Grupului din care face parte Școala) într-un asemenea scop.
- Înaintea Prelucrării în scop de reclamă/marketing/publicitate, Școala va verifica să existe consimțământul valabil al Persoanei vizate în acest sens pe toată durata Prelucrării (de ex: Persoana vizată să nu își fi exercitat dreptul de opoziție). Anterior inițierii oricăror prelucrări de date cu caracter personal ale beneficiarilor, altele decât cele incluse în Registrul de activități de prelucrare a datelor cu caracter personal, se va solicita avizul DPO, privind condițiile de legalitate a acestor prelucrări.
- Prelucrarea datelor cu caracter personal în scopuri de marketing direct va înceta în cazul în care persoana vizată solicită acest lucru.
6.4.2. Prelucrarea datelor având ca temei executarea unui contract/demersuri precontractuale
Operatorul va prelucra datele Persoanei Vizate în scopul executării contractului încheiat între aceasta și Operator sau pentru efectuarea unor demersuri pre-contractuale la cerere. (de exemplu, formulare de pre – înscriere). Temeiul juridic al prelucrării Datelor personale este reprezentat de contractul încheiat între părți, de protejarea intereselor legitime urmărite de Operator pentru realizarea scopurilor menționate, dar și desfășurarea de activității periodice de analiza a percepției beneficiarilor (elevi, părinți) asupra activității desfășurate de Școală și de identificare a nevoilor acestora spre îmbunătățirea educației elevilor.
Interesul legitim urmărit este de a întreprinde demersuri în scopul îmbunătățirii constante a serviciilor educaționale prestate beneficiarilor și a oferirii unei educații complete și armonioase elevilor; operaționalizarea instrumentelor de comunicare puse la dispoziția Beneficiarilor și a terților în vederea transmiterii sesizărilor referitoare la încălcarea de către salariații Operatorului a reglementărilor RGPD.
DCP prelucrate în acest scop: nume, prenume, date contact (e-mail, telefon, adresa domiciliu) [Se va detalia conform formularelor, contractelor de scolarizare revizuite și în baza recomandarilor DPO.]
Persoane vizate: beneficiari existenți și potențiali.
Reguli de prelucrare: Datele vor fi prelucrate în conformitate cu regulile stabilite prin prezenta procedură, pe toată durata derulării contractului existent între părți.
6.4.3. Prelucrarea având ca temei legal respectarea de către Școală a unei obligații prevăzute de lege. Prelucrarea datelor elevilor și părinților prevăzute ca obligatorii de către legislația specifică educației. Prelucrarea datelor angajaților
Persoanele vizate în acest capitol sunt elevii și părinții, cu privire la prelucrarea de date personale prevăzute ca obligatorii de către legislația specifică educației; angajații permanenți și temporari ai Operatorului, precum și colaboratorii acestuia, potențialii angajați, alți beneficiari persoane fizice și reprezentanții beneficiarilor persoane juridice.
Școala va prelucra Datele elevilor și părinților în vederea îndeplinirii obligațiilor legale și contractuale, precum și pentru atingerea intereselor legitime în vederea îndeplinirii relațiilor privind școlarizarea. În acest sens, neprelucrarea Datelor sau prelucrarea acestora într-un mod necorespunzător (integral sau parțial) ar pune Școala în imposibilitatea de a-și îndeplini unele sau toate obligațiile cu privire la actul educațional.
ȘCOALA prelucrează următoarele tipuri de Date ale elevilor și părinților: [Se va detalia conform formularelor, contractelor de scolarizare revizuite și în baza recomandărilor DPO.]
Școala va prelucra Datele angajaților în vederea îndeplinirii obligațiilor legale și contractuale, precum și pentru atingerea intereselor legitime în vederea îndeplinirii relațiilor de muncă. În acest sens, neprelucrarea Datelor sau prelucrarea acestora într-un mod necorespunzător (integral sau parțial) ar pune Școala în imposibilitatea de a-și îndeplini unele sau toate obligațiile cu privire la relația de muncă.
6.4.3.1. ȘCOALA prelucrează următoarele tipuri de Date ale Angajaților:
- datele de identificare (nume, prenume, CNP, număr telefon, date contact, adresa domiciliu etc.);
- data, locul nașterii și naționalitatea;
- starea civilă;
- informații privind compensațiile, bonusurile sau stimulentele și primele de securitate socială (inclusiv sumele plătite, frecvența și moneda plăților);
- informații privind beneficiiile (asigurări de sănătate, contribuții la pensie), inclusiv informații despre persoanele aflate în întreținere și beneficiari;
- istoricul profesional și educațional;
- înregistrări ale performanței;
- date organizatorice generale (departament, post, vechime);
- date IT (parole, drept de acces, date utilizator);
- imaginea video
- alte informații divulgate voluntar de angajat.
6.4.3.2. Prelucrarea Datelor sensibile ale Angajaților
Dintre datele sensibile, datele privind starea de sănătate vor fi prelucrate doar în scopul respectării prevederilor Codului Muncii și doar cu consimțământul explicit și expres al angajatului sau în cazul în care o astfel de prelucrare este autorizată în mod specific sau este prevazută de lege.
6.4.3.3. Scopurile prelucrării Datelor Angajaților
Sub rezerva respectării cerințelor de protecție a Datelor, Școala poate prelucra Datele angajatului în scopurile prevăzute mai jos:
- gestionarea recrutării angajaților;
- gestionarea funcțiilor de resurse umane;
- administrarea salarizării, plata cheltuielilor, remunerației și altor beneficii ale angajaților;
- gestionarea comunicațiilor angajaților;
- efectuarea de audituri și investigarea și soluționarea plângerilor, prejudiciilor sau abaterilor;
- pregătirea și acționarea în legătură cu anchetele, investigațiile și procedurile de către autoritățile guvernamentale, administrative, judiciare sau de reglementare, inclusiv litigiile civile;
- monitorizarea angajaților pentru verificarea respectării procedurilor impuse, investigarea și detectarea utilizării neautorizate a sistemului și prevenirea sau detectarea infracțiunilor;
- în legatură cu un potențial activ sau achiziție de acțiuni ale ȘCOALA sau externalizarea sau incorporarea de servicii furnizate de angajați, furnizarea unui material rezonabil de diligență către o terță parte sau îndeplinirea oricărei obligații de dezvăluire conform legii;
- orice alte scopuri legate de cele de mai sus.
De asemenea, datele sunt procesate şi stocate şi pentru îndeplinirea obligaţiilor legale de documentare şi păstrare: în scopuri de gestiune financiar-contabilă, conform legislației fiscale; în scopuri de audit intern sau audit financiar; în scopuri de raportare către autorități conform reglementărilor în vigoare și scopuri de controale și/ sau răspuns la solicitarile venite din partea autorităților, în scopuri de asigurare a continuității activității, a securității datelor în sisteme și a documentelor, precum și a securității fizice în incintele noastre.
6.4.3. Prelucrarea Datelor aparținând părților terțe
În cazul operațiunilor desfășurate de Școală cu părți terțe, Școala va obține consimțământul persoanelor vizate/furniza informațiile cu privire la Prelucrare prin clauzele specifice inserate pe documentele utilizate de Școala pentru operațiunile desfășurate de acest tip de persoane vizate, anterior inițierii oricăror prelucrări de Date. [De exemplu, in cazul excursiilor sau concursurilor organizate de Scoala. Se vor mentiona exemple concrete in baza propunerilor si recomandarilor DPO.]
6.4.4. Prelucrarea Datelor Sensibile
Prelucrarea datelor cu caracter personal sensibile trebuie să fie redusă la minimum și să se aplice doar în limitele strict necesare. Este de preferat ca prelucrarea datelor personale cu caracter sensibil să se facă în mod anonim sau ca date agregate, dacă acest lucru este posibil.
Din cauza caracterului lor, datele personale sensibile trebuie să fie procesate în conformitate cu cele mai înalte standarde de securitate, iar accesul la respectivele date să fie limitat numai la acei angajați care au nevoie de astfel de date pentru a-și îndeplini sarcinile de muncă.
Colectarea şi prelucrarea datelor cu caracter personal având o funcţie de identificare de aplicabilitate generală, inclusiv dezvăluirea acestora, prin efectuarea şi reţinerea de copii de pe cartea de identitate sau de pe documente care le conţin, sunt interzise.
În cazul în care transmiterea copiei documentelor care atestă identitatea (carte de identitate, pașaport, permis de conducere etc.) sau a datelor sensibile este absolut necesară, transmiterea acestora se va face exclusiv prin e-mail (nu prin whatsapp sau prin alte aplicatii de tip OTT “over the top technologies”), prin fișiere criptate și parolate, iar parola de acces se va transmite fie printr-un e-mail separat, fie prin SMS la numărul de contact al destinatarului, dacă acesta este cunoscut.
6.5. Metode de monitorizare în cadrul Școlii
- Supravegherea video:
- Are ca scop asigurarea pazei și protecției persoanelor, bunurilor și valorilor, a imobilelor și a instalațiilor si echipamentelor Școlii si/sau folosite de Școală, prevenirea și combaterea săvârșirii abaterilor, contraventiilor, infracțiunilor, precum și a împrejmuirilor afectate acestora;
- Prelucrarea vizează orice imagine care permite identificarea directă sau indirectă a persoanelor fizice;
- Camerele de supraveghere video sunt amplasate în locuri vizibile și sunt semnalizate corespunzător prin autocolante cu pictogramă, în incintele situate în:
- Camerele de supraveghere video nu captează și sunetul ambiental. Excepție face camera de supraveghere video amplasată la secretariatul Școlii.
- Mentiuni privind Evaluarea interesului legitim al scolii si al Evaluarii impactului asupra protectiei datelor cu caracter personal [Se vor include in baza propunerilor si recomandarilor trimise de DPO]
- Asigurarea securității sistemului informațional și a comunicărilor electronice în cadrul Școlii [DPO considera utile rapoartele misiunilor anterioare de audit de securitate IT]:
- Are ca scop protejarea informațiilor confidențiale, securitatea sistemelor informatice, prevenirea și/sau detectarea fraudelor, preîntâmpinarea scurgerii informației care conține informații confidențiale sau date cu caracter personal prin metoda excluderii accesului neautorizat la aceasta; preîntâmpinarea distrugerii, modificării, copierii, blocării neautorizate a datelor cu caracter personal în rețelele de telecomunicații și resursele informaționale; respectării cadrului normativ de folosire a sistemelor informaționale și a programelor de prelucrare a datelor cu caracter personal; asigurării caracterului complet, integru, veridic al datelor cu caracter personal în rețelele de telecomunicații și resurselor informaționale; păstrării posibilităților de gestionare a procesului de prelucrare și păstrare a datelor cu caracter personal, precum și protecția reputației Școlii. Prelucrările vizează doar datele de trafic și datele de acces/transmitere a corespondenței. Cu toate acestea, accesarea /monitorizarea datelor de conținut este realizată numai în circumstanțe excepționale temeinic justificate precum și în cazurile determinate de necesitatea îndeplinirii unor prevederi legale;
- Angajații vor fi informați la angajare, precum și ori de câte ori este cazul, despre modul de utilizare a conexiunii la internet și e-mail, precum și despre excepțiile aplicabile.
6.6. Durata de prelucrare a Datelor monitorizate în cadrul Școlii
În vederea scopurilor menționate la punctele a și b de mai sus, Școala va prelucra Datele pe parcursul relației cu Persoana Vizată sau pe perioada impusă de prevederile legale.
Ulterior încheierii operațiunilor de Prelucrare a Datelor, în scopurile pentru care au fost colectate, acestea vor fi arhivate de către Școală pe durata de timp prevăzută in documentele normative interne, ulterior, la împlinirea termenului de stocare, fiind distruse astfel cum este precizat în procedura aplicabilă.
6.7. Cerințele minime de Securitate a prelucrării de date cu caracter personal
6.7.1. Prelucrarea automată de Date
Prelucrarea automată de Date se face în conformitate cu principiile stabilite prin Procedura referitoare la securitatea IT.
6.7.2. Prelucrarea manuală a Datelor
În cazul în care este necesară prelucrarea manuală, accesul utilizatorilor se va face în baza unei liste predefinite și aprobate anterior acordării accesului sau prin stabilirea atribuțiilor specifice în fișa postului.
6.7.2.1. Stocarea, procesarea, arhivarea, distrugerea Datelor
Documentele în format letric ce conțin Date vor fi păstrate în fișete sau dulapuri închise cu cheie sau alt mecanism de securizare.
Datele prelucrate şi utilizate de Școala se vor stoca pe suport electronic sau arhiva pe suport hârtie, pentru perioada necesară pentru realizarea scopurilor în care au fost colectate.
Retenția și ștergerea Datelor nu se poate realiza în afara prevederilor legale , care stabilesc următoarele termene de păstrare a documentelor de resurse umane:
- Dosarele de personal, convențiile civile de prestări servicii, contractele de muncă – 75 de ani de la creare;
- Statele de plată ale angajaților – 50 de ani de la crearea lor;
- Documentele societăților comerciale cu capital privat – 50 de ani de la crearea lor;
- Dosarele și evidențele medicale- 100 de ani de la crearea lor;
- Registrele și documentele justificative și contabile se păstrează 10 ani, cu începere de la data încheierii exercițiului financiar în cursul căruia au fost întocmite.
Școala va distruge, șterge sau anonimiza în mod sistematic orice Date care nu sunt necesare pentru a fi reținute, îndeplinindu-și scopul pentru care au fost colectate.
Școala va deține un inventar al tuturor Datelor prelucrate și al echipamentelor pe care respectivele Date sunt stocate/prelucrate.