GDPR

1. OBIECTIVE ȘI SCOP

OBIECTIVE

Obiectul major al politicii de protecția datelor cu caracter personal este de a asigura conformitatea cu legislația în domeniul protecției datelor cu caracter personal și de a minimiza riscurile prin prevenirea incidentelor de protecția datelor cu caracter personal și reducerea impactului lor potențial.

Obiectivele generale privind protecția datelor cu caracter personal sunt:

  • Creșterea încrederii beneficiarilor și partenerilor în serviciile oferite de ȘCOALA GIMNAZIALĂ INTERNAȚIONALĂ SPECTRUM, persoană juridică cu sediul în Cluj-Napoca str. Calea Mănăștur nr. 22-24, jud. Cluj, CUI 36789135, act de autorizare 106082 / 26.06.2019, (denumită în continuare “Școala” şi/sau “Operatorul);
  • Creșterea competitivității serviciilor prin utilizarea de tehnologii și echipamente performante pentru activitatea privind protecția datelor cu caracter personal;
  • Dezvoltarea competențelor profesionale ale angajaților privind protecția datelor cu caracter personal;
  • Identificarea, analizarea și evaluarea realistă a riscurilor privind datele cu caracter personal;
  • Reducerea impactului negativ al unor potențiale riscuri privind protecția datelor cu caracter personal asupra activității Școlii;
  • Asigurarea demonstrării responsabilității Școlii privind protecția datelor cu caracter personal, în special în ceea ce privește implementarea măsurilor tehnice și organizatorice adecvate pentru a demonstra conformitatea cu RGPD – Regulamentul General pentru Protectia Datelor nr. 679/2016 (“GDPR”);
  • Îndeplinirea integrală a cerințelor privind protecția datelor cu caracter personal aplicabile solicitate de parteneri contractuali, după caz;
  • Creșterea gradului de conștientizare a importanței protecției datelor cu caracter personal în rândul angajaților;
  • Asigurarea de planuri și resurse pentru asigurarea continuității și revenirea la activitatea curentă în cazul unor situații de urgență;
  • Asigurarea unor canale eficiente de notificare a ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) și a persoanelor vizate privind incidente de securitate în domeniul protecției datelor.

SCOP

Politica de protecție a datelor cu caracter personal are ca scop stabilirea cadrului  de reglementare internă a activităților și fluxurilor care implică prelucrări de date cu caracter personal, precum și asigurarea conformității cu normele și regulamentele în vigoare aplicabile.

În acest sens, în activitatea de prelucrare a datelor cu caracter personal ale persoanelor vizate, Școala asigură principiile de bază pe care le aplică atunci când prelucrează datele personale ale beneficiarilor, reprezentanților beneficiarilor, furnizorilor și partenerilor, (persoane fizice, de exemplu elevi, părinți, reprezentanți legali, reprezentanți convenționali), angajaților și altor persoane fizice și indică responsabilitățile departamentelor și angajaților săi cu privire la prelucrările de date personale.

Astfel, Școala asigură:

  • Prelucrarea datelor cu caracter personal ale persoanelor vizate ale căror date sunt colectate de către Școală și ale angajaților săi, în conformitate cu prevederile legale;
  • Respectarea principiilor de protecția datelor în activitățile operaționale ale Școlii;
  • Transparența în legătură cu categoriile de date cu caracter personal prelucrate în cadrul Școlii, precum și în legătură cu scopurile prelucrărilor, destinatarii datelor cu caracter personal;
  • Drepturile persoanelor vizate: dreptul la informare, dreptul de acces, dreptul la rectificare, dreptul la ștergerea datelor, dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul la opoziție, dreptul de a nu face obiectul unei decizii individuale bazate exclusiv pe prelucrare automată, dreptul de a depune plângere la o autoritate de supraveghere și dreptul de a se adresa justiției;
  • Implementarea unor măsuri tehnice și organizatorice adecvate pentru garantarea drepturilor și libertăților persoanelor fizice.

Persoana responsabilă din cadrul Școlii cu gestionarea guvernanței și exercitarea controlului asupra activității de prelucrare a datelor cu caracter personal este responsabilul cu protecția datelor. Orice informare sau solicitare privind aspecte în legătură cu protecția datelor personale, se va efectua către acesta la adresa de e-mail dedicată [email protected]  În absența acestei persoane și în orice situație în care informarea acesteia nu a fost posibilă, angajații vor transmite către șeful de departament (secretariat) care va avea sarcina informării conducerii.

2. DOMENIUL DE APLICARE

Respectarea prevederilor prezentei politici este obligatorie pentru întreg personalul Școlii, temporar și/sau permanent, precum și pentru toți colaboratorii și subcontractanții care lucrează în numele Școlii.

Aceasta politică este completată de politici și proceduri suplimentare ale Școlii și acte interne care prevăd aspecte specifice cu privire la protecția datelor.

În cazul în care un angajat, indiferent de statutul său, are cunoștință de legi sau reglementări care îl împiedică să respecte aceasta politică sau de orice încălcare a prezentei Politici, inclusiv cu referire la încălcarea securității datelor, acesta va informa imediat seful de departament (secretariatul), care va avea sarcina informării conducerii. (Raman aplicabile competentele de la Capitolul 1.)

3. TERMENI ȘI DEFINIȚII

ȘCOALA GIMNAZIALĂ INTERNAȚIONALĂ SPECTRUM, persoană juridică cu sediul în Cluj-Napoca str. Calea Mănăștur nr. 22-24, CUI 36789135, act de autorizare 106082 / 26.06.2019, reprezentată prin Colak Hasan – Manager  

Datele cu caracter personal (DCP sau Date) – orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizată); exemple de date cu caracter personal: nume, prenume, data nașterii, locul nașterii, CNP, adresa de domiciliu, adresă de reședință, număr de telefon, adresa de e-mail, cont bancar, funcție, post, fotografii, seria și numărul cărții de identitate, pașaportului și/sau permisului de conducere, semnătura olografă sau electronică; alte DCP din formulare; date privind sănătatea; informații financiare din statele de plata sau din documentele financiar-contabile; identificatori online (IP, nume de utilizator); date de localizare GPS, fotografii, imaginile video, înregistrările sonore, unul sau mai mulți factori specifici – fizic, fiziologic, genetic, mental, economic, cultural sau social al unei persoane fizice etc. 

Categorii speciale de date cu caracter personal (date sensibile) – orice informație care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, date genetice, date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

Prelucrarea datelor cu caracter personal (Prelucrare)  orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Sistem de evidență a datelor cu caracter personal – orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice.

Persoana vizată – o persoană fizică identificabilă, care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. 

GDPR –  Preambul (38) – ”Copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. Această protecție specifică ar trebui să se aplice în special utilizării datelor cu caracter personal ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator și la colectarea datelor cu caracter personal privind copiii în momentul utilizării serviciilor oferite direct copiilor. Consimțământul titularului răspunderii părintești nu ar trebui să fie necesar în contextul serviciilor de prevenire sau consiliere oferite direct copiilor.”

GDPR Preambul (75) – ”Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de probabilitate de materializare și de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identității, pierdere financiară, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile și libertățile lor sau împiedicate să-și exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenența sindicală; sunt prelucrate date genetice, date privind sănătatea sau date privind viața sexuală sau privind condamnările penale și infracțiunile sau măsurile de securitate conexe; sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal și afectează un număr larg de persoane vizate.”

 

În cadrul Școlii se pot prelucra date personale aparținând următoarelor persoane vizate:

  1. Beneficiari, potențiali beneficiari, foști beneficiari și/sau reprezentanții acestora (elevi, părinți, vizitatori, foști elevi, inclusiv copii minori, părinți, reprezentanți legali), angajați – persoane fizice, pentru datele prelucrate în scopul prestării serviciilor Școlii;
  2. Angajații și colaboratorii Școlii/membrii familiilor acestora – pentru datele prelucrate în scopul gestionării de resurse umane;
  3. Vizitatori angajați – pentru datele prelucrate în scopul monitorizării/asigurării securității persoanelor, spatiilor si/sau bunurilor publice/private;
  4. Persoanele fizice, reprezentanți ai persoanelor juridice cu care Școala intră în contact în calitate de parteneri / potențiali parteneri.
  5. Persoane fizice, reprezentanți ai personelor juridice cu care Școala intră în contact în calitate de colaboratori / potențiali colaboratori.

Operator – persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. 

Împuternicit – persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului. 

Persoana autorizată – Operatorul sau Împuternicitul sau persoanele care, sub autoritatea directă a Operatorului sau a Împuternicitului, sunt autorizate să prelucreze Date. 

Parte Terță – o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, este autorizată să prelucreze date cu caracter personal.

Restricționarea prelucrării – marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;

Creare de profiluri – orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;

Pseudonimizare – prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.

Consimțământ – orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

ANSPDCP – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

DPO – persoana contractată care are atribuții în domeniul protecției datelor personale în cadrul Școlii.

Număr de identificare național – numărul prin care se identifică o persoană fizică în anumite sisteme de evidență și care are aplicabilitate generală, cum ar fi: codul numeric personal, seria și numărul actului de identitate, numărul pașaportului, al permisului de conducere, numarul de asigurare socială de sănătate.

4. DOCUMENTE DE REFERINȚĂ
  • GDPR – Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE;
  • Avizul Grupului de Lucru Art. 29 nr. 2/2017;
  • Avizul Grupului de Lucru Art. 29 nr. 6/2014 privind noțiunea de interese legitime aleoperatorului de date prevăzută la articolului 7 din Directiva 95/46/CE;
  • Opinia nr. 2/2009 al Grupului de lucru art. 29 privind protecția datelor cu caracter personal ale copiilor, (Orientări generale și cazul special al școlilor),
  • Legislația secundara – decizii ANSPDCP;
  • Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice;
  • Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/64/EC (Regulamentul General privind protecția datelor).
  • Legea nr. 53/2003 – Codul Muncii;
  • Legea nr. 1/2011 a educatiei nationale;
  • Constituția României – art. 26 – Viața intimă, familială și privată;
  • Standardul ISO/IEC 27001;
5. PRINCIPIILE PRELUCRĂRII DATELOR

Prelucrarea datelor cu caracter personal se supune următoarelor principii:

  • Legalitate, echitate și transparență – datele vor fi prelucrate în mod legal, echitabil și transparent față de persoana vizată.

Temeiul legal al tuturor proceselor de prelucrare a datelor personale este asigurat de legislația specifică în materie, respectiv Regulamentul GDPR, împreună cu prevederile Codului Muncii și ale Constituției, precum și prevederile legislației secundare aplicabile.

Principiul echității se aplică în sensul în care toate activitățile de prelucrare a datelor personale, indiferent de categoria de persoane asupra cărora se aplică, tratează cu același respect și în aceleași condiții de deplină echitate persoanele vizate și datele personale ale acestora.

În ceea ce privește transparența, aceasta se reflectă în faptul că toate și orice informații și comunicări cu privire la prelucrarea datelor personale sunt întocmite într-un limbaj simplu și clar, accesibil oricărei persoane.

  • Limitări legate de scop – datele vor fi colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri;
  • Reducerea la minimum a datelor – datele vor fi adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate. Destinatarii datelor personale vor fi limitați ca număr, vor fi doar persoanele către care este necesară transmiterea în vederea asigurării scopului prelucrării.
  • Exactitate – datele vor fi exacte și, în cazul în care este necesar să fie actualizate, trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere;
  • Limitări legate de stocare – datele vor fi păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate;
  • Integritate, disponibilitate și confidențialitate – datele vor fi prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare;
  • Responsabilitate – datele vor fi prelucrate cu respectarea principiilor sus-menționate, iar responsabilitatea cu privire la respectarea acestor principii revine Școlii.
6. REGULI GENERALE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

6.1. Scopul prelucrării:

Operatorul prelucrează date cu caracter personal pentru următoarele scopuri, după cum urmează:

  1. În vederea îndeplinirii obligațiilor legale, Școala prelucrează datele cu caracter personal pentru: îndeplinirea obligațiilor legale ce revin Școlii în relația cu elevii și reprezentanții acestora; îndeplinirea obligațiilor legale ce revin în sarcina Școlii, ca angajator în relația acesteia cu angajații, îndeplinirea obligațiilor de păstrare a documentelor fiscale și de evidență contabilă;  cunoașterea beneficiarilor în vederea prevenirii spălării banilor și combaterii finanţării terorismului; prevenirea fraudelor; realizarea de audituri și investigatii interne; gestiune administrativ–financiară; gestionarea conflictelor de interese; gestionarea controalelor efectuate de autorităţi; asigurarea securităţii în incintele Școlii; păstrarea, depozitarea (premergătoare arhivării) și arhivarea documentelor; implementarea măsurilor de securitate a datelor cu caracter personal. Pentru îndeplinirea scopurilor anterior mentionate, Școala se va baza, în măsura în care este necesar, și pe interesul său legitim în desfășurarea obiectului său de activitate din domeniul educațional.
  2. În vederea încheierii și executării contractului dintre Beneficiar și Școala, aceasta prelucrează datele cu caracter personal pentru: derularea și gestionarea relației contractuale cu Beneficiarul, în vederea prestării serviciilor din sfera sa de activitate; derularea în bune condiţii a tranzacţiilor comerciale; gestionarea calitătii datelor; colectare de debite/recuperare creante și activitățile premergătoare acestora; constatarea, exercitarea sau apărarea unor drepturi ale Șolii în instanţă; gestionarea reclamaţiilor și sesizărilor primite cu privire la serviciile prestate de Școală.
  3. În vederea îndeplinirii intereselor legitime ale Școlii, în contextul desfășurării obiectului său de activitate, Școala prelucrează datele cu caracter personal pentru: îmbunătățirea serviciilor, prin optimizarea fluxurilor și a reglementărilor interne (inclusiv optimizarea costurilor și a bugetelor, adaptarea, perfecționarea și/sau extinderea serviciilor în domeniul educațional), segmentarea beneficiarilor; proiectarea, dezvoltarea, testarea și utilizarea sistemelor informatice și a serviciilor IT (inclusiv stocarea bazelor de date în țară sau în străinătate); reclamă, marketing online, marketing simplu și publicitate; statistică; gestionarea reclamațiilor și sesizărilor, managementul organizației.

6.2. Temeiul legal al prelucrării:

Școala prelucrează datele personale în baza unuia dintre următoarele temeiuri legale: [În baza propunerilor si recomandărilor de DPO, se vor include și exemple concrete de  cazuri ptr . temeiurile de la literele a-f de mai jos]

  1. Consimțământul – persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice. Consimţământul trebuie să fie în scris sau prin alte mijloace legale permise, persoana vizată având dreptul de a-şi retrage oricând acordul asupra prelucrării datelor.
  2. Executarea/Încheierea unui contract – prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract, inclusiv contracte sub forma comenzii urmate de executare;
  3. Obligație legală – prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine Școlii;
  4. Interese legitime – prelucrarea este necesară în scopul intereselor legitime urmărite de Școala sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate.
  5. Interes vital – prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice.
  6. Interes public – prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit Operatorul.

6.3. Obligația de informare a persoanei vizate: [În baza propunerilor si recomandărilor de DPO, se vor include și exemple concrete de  cazuri când este necesară obligația de informare]

În toate cazurile, anterior colectării și prelucrării datelor personale, Școala va informa Persoana vizată despre:

  • identitatea Operatorului şi a reprezentantului acestuia, dacă este cazul;
  • scopul în care se face Prelucrarea datelor, precum şi temeiul juridic (dacă prelucrarea se face în temeiul intereselor legitime, se va face referire la acestea);
  • existenţa dreptului de a-şi retrage consimțământul atunci când prelucrarea se întemeiază pe consimțământ si nu mai există alt temei de prelucrare;
  • destinatarii sau categoriile de destinatari ai datelor;
  • dacă furnizarea tuturor datelor cerute este obligatorie și consecințele refuzului de a le furniza;
  • existența drepturilor prevăzute de lege pentru Persoana vizată, precum şi condițiile în care pot fi exercitate;
  • intenţia de a transfera datele în afara SEE sau către o organizație internațională, precum şi menționarea garanțiilor aplicabile. În acest caz, în conformitate cu cerinţele UE privind protecţia datelor, un astfel de transfer este interzis în cazul în care ţara importatoare de date, din afara SEE, nu asigură un nivel adecvat de protecţie, cu excepţia următoarelor cazuri:

(a) persoana vizată și-a dat acordul pentru transferul propus;

(b) transferul este necesar pentru executarea unui contract între persoana vizată și controlor sau pentru punerea în aplicare a măsurilor precontractuale luate ca răspuns la solicitarea persoanei vizate;

(c) transferul este necesar pentru încheierea sau executarea unui contract încheiat în interesul persoanei fizice între operator și o terță parte;

(d) transferul este necesar sau cerut din punct de vedere juridic din motive de interes public important sau pentru stabilirea, exercitarea sau apărarea revendicărilor legale;

(e) transferul este necesar pentru protejarea intereselor vitale ale subiectului datelor;

(f) exportatorul de date din SEE și importatorul de date din afara SEE au încheiat clauzele contractuale standard ale Uniunii Europene (“Contractele-model”); sau

(g) importatorul de date din Statele Unite este certificat în conformitate cu cadrul US Privacy Shield (“Privacy Shield”). [A se acorda atentie speciala cazului si exceptiilor aferente, dar si contextului actual privind recunoasterea la nivel statal a US Privacy Shield. DPO considera utila revenirea cu mentiuni suplimentare]

  • perioada de stocare a datelor sau criteriile utilizate pentru a o determina;
  • informații despre existența unui proces decizional automatizat, dacă este cazul, precum și informații utile legate de logica utilizată şi importanţa prelucrării;
  • orice alte informații a căror furnizare este impusă prin dispoziție a ANSPDCP, ținând seama de specificul Prelucrării. 

În cazul în care Școala nu obține datele direct de la Persoana vizată, Școala va furniza acesteia informațiile prevăzute mai sus, cu respectarea următoarelor termene:

  • într-un termen rezonabil după obținerea Datelor, dar nu mai mare de o lună, ținându-se seama de circumstanțele specifice în care sunt prelucrate Datele;
  • dacă Datele urmează să fie utilizate pentru comunicarea cu Persoana vizată, cel târziu în momentul primei comunicări către persoana respectivă;
  • dacă se intenționează divulgarea Datelor către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

Durata de Prelucrare este limitată în funcție de termenele de retenție ale datelor raportate la scopul pentru care au fost colectate datele pentru activitățile de prelucrare.

6.4.        Reguli speciale de Prelucrare

6.4.1.   Prelucrarea având ca temei consimțământul – prelucrarea în scop de reclamă / marketing / publicitate

Participarea Persoanelor Vizate (potențiali beneficiari, beneficiari, parteneri etc.) la programe de loializare, concursuri, chestionare, sondaje, studii de satisfacție privind Școala, primirea de diverse materiale promoţionale, tichete etc. presupune prelucrarea Datelor în baza consimţământului expres acordat Operatorului de Persoana Vizată anterior transmiterii de oferte promoţionale.

DCP prelucrate în acest scop: nume, prenume, date contact (e-mail, telefon, adresa domiciliu) , date CI, semnătura

Persoane vizate: potențiali beneficiari, beneficiari, parteneri etc., persoane care si-au dat consimtamantul in mod expres.

Reguli de prelucrare:  

  • Datele prelucrate vor fi păstrate doar pe durata şi în măsura în care este necesar pentru realizarea scopurilor menționate mai sus sau dacă există o obligație legală în acest sens (spre exemplu, în cazul concursurilor cu premii). Pentru prelucrările de date care necesită consimțământul Persoanei Vizate, datele vor fi prelucrate și păstrate până la data retragerii consimțământului.
  • Școala a informat Persoana vizată prin documente specifice de intrare în relație cu școala, iar persoana vizată și-a exprimat consimțământul expres și neechivoc (obținut prin bifarea opțiunii „Da” în format letric sau în format electronic) pentru primirea de comunicări din partea Școlii în astfel de scopuri. 
  • Persoana vizată are dreptul de a se opune în orice moment, în mod gratuit și fără nicio justificare, ca Datele care o vizează să fie prelucrate în scop de marketing de către Operator sau să fie transmise unor Terți (inclusiv din cadrul Grupului din care face parte Școala) într-un asemenea scop.
  • Înaintea Prelucrării în scop de reclamă/marketing/publicitate, Școala va verifica să existe consimțământul valabil al Persoanei vizate în acest sens pe toată durata Prelucrării (de ex: Persoana vizată să nu își fi exercitat dreptul de opoziție). Anterior inițierii oricăror prelucrări de date cu caracter personal ale beneficiarilor, altele decât cele incluse în Registrul de activități de prelucrare a datelor cu caracter personal, se va solicita avizul DPO, privind condițiile de legalitate a acestor prelucrări.
  • Prelucrarea datelor cu caracter personal în scopuri de marketing direct va înceta în cazul în care persoana vizată solicită acest lucru.

6.4.2.  Prelucrarea datelor având ca temei executarea unui contract/demersuri precontractuale

Operatorul va prelucra datele Persoanei Vizate în scopul executării contractului încheiat între aceasta și Operator sau pentru efectuarea unor demersuri pre-contractuale la cerere. (de exemplu, formulare de pre – înscriere). Temeiul juridic al prelucrării Datelor personale este reprezentat de contractul încheiat între părți, de protejarea intereselor legitime urmărite de Operator pentru realizarea scopurilor menționate, dar și desfășurarea de activității periodice de analiza a percepției beneficiarilor (elevi, părinți) asupra activității desfășurate de Școală și de identificare a nevoilor acestora spre îmbunătățirea educației elevilor.

Interesul legitim urmărit este de a întreprinde demersuri în scopul îmbunătățirii constante a serviciilor educaționale prestate beneficiarilor și a oferirii unei educații complete și armonioase elevilor; operaționalizarea instrumentelor de comunicare puse la dispoziția Beneficiarilor și a terților în vederea transmiterii sesizărilor referitoare la încălcarea de către salariații Operatorului a reglementărilor RGPD.

DCP prelucrate în acest scop: nume, prenume, date contact (e-mail, telefon, adresa domiciliu) [Se va detalia conform formularelor, contractelor de scolarizare revizuite și în baza recomandarilor DPO.]

Persoane vizate: beneficiari existenți și potențiali.

Reguli de prelucrare:  Datele vor fi prelucrate în conformitate cu regulile stabilite prin prezenta procedură, pe toată durata derulării contractului existent între părți.

6.4.3. Prelucrarea având ca temei legal respectarea de către Școală a unei obligații prevăzute de lege. Prelucrarea datelor elevilor și părinților prevăzute ca obligatorii de către legislația specifică educației. Prelucrarea datelor angajaților

Persoanele vizate în acest capitol sunt elevii și părinții, cu privire la prelucrarea de date personale prevăzute ca obligatorii de către legislația specifică educației; angajații permanenți și temporari ai Operatorului, precum și colaboratorii acestuia, potențialii angajați, alți beneficiari persoane fizice și reprezentanții beneficiarilor persoane juridice.

Școala va prelucra Datele elevilor și părinților în vederea îndeplinirii obligațiilor legale și contractuale, precum și pentru atingerea intereselor legitime în vederea îndeplinirii relațiilor privind școlarizarea. În acest sens, neprelucrarea Datelor sau prelucrarea acestora într-un mod necorespunzător (integral sau parțial) ar pune Școala în imposibilitatea de a-și îndeplini unele sau toate obligațiile cu privire la actul educațional.

ȘCOALA prelucrează următoarele tipuri de Date ale elevilor și părinților: [Se va detalia conform formularelor, contractelor de scolarizare revizuite și în baza recomandărilor DPO.]

Școala va prelucra Datele angajaților în vederea îndeplinirii obligațiilor legale și contractuale, precum și pentru atingerea intereselor legitime în vederea îndeplinirii relațiilor de muncă. În acest sens, neprelucrarea Datelor sau prelucrarea acestora într-un mod necorespunzător (integral sau parțial) ar pune Școala în imposibilitatea de a-și îndeplini unele sau toate obligațiile cu privire la relația de muncă.

6.4.3.1. ȘCOALA prelucrează următoarele tipuri de Date ale Angajaților:

  1. datele de identificare (nume, prenume, CNP, număr telefon, date contact, adresa domiciliu etc.);
  2. data, locul nașterii și naționalitatea;
  3. starea civilă;
  4. informații privind compensațiile, bonusurile sau stimulentele și primele de securitate socială (inclusiv sumele plătite, frecvența și moneda plăților);
  5. informații privind beneficiiile (asigurări de sănătate, contribuții la pensie), inclusiv informații despre persoanele aflate în întreținere și beneficiari;
  6. istoricul profesional și educațional;
  7. înregistrări ale performanței;
  8. date organizatorice generale (departament, post, vechime);
  9. date IT (parole, drept de acces, date utilizator);
  10. imaginea video
  11. alte informații divulgate voluntar de angajat.

6.4.3.2. Prelucrarea Datelor sensibile ale Angajaților

Dintre datele sensibile, datele privind starea de sănătate vor fi prelucrate doar în scopul respectării prevederilor Codului Muncii și doar cu consimțământul explicit și expres al angajatului sau în cazul în care o astfel de prelucrare este autorizată în mod specific sau este prevazută de lege.

6.4.3.3. Scopurile prelucrării Datelor Angajaților

Sub rezerva respectării cerințelor de protecție a Datelor, Școala poate prelucra Datele angajatului în scopurile prevăzute mai jos:

  1. gestionarea recrutării angajaților;
  2. gestionarea funcțiilor de resurse umane;
  3. administrarea salarizării, plata cheltuielilor, remunerației și altor beneficii ale angajaților;
  4. gestionarea comunicațiilor angajaților;
  5. efectuarea de audituri și investigarea și soluționarea plângerilor, prejudiciilor sau abaterilor;
  6. pregătirea și acționarea în legătură cu anchetele, investigațiile și procedurile de către autoritățile guvernamentale, administrative, judiciare sau de reglementare, inclusiv litigiile civile;
  7. monitorizarea angajaților pentru verificarea respectării procedurilor impuse, investigarea și detectarea utilizării neautorizate a sistemului și prevenirea sau detectarea infracțiunilor;
  8. în legatură cu un potențial activ sau achiziție de acțiuni ale ȘCOALA sau externalizarea sau incorporarea de servicii furnizate de angajați, furnizarea unui material rezonabil de diligență către o terță parte sau îndeplinirea oricărei obligații de dezvăluire conform legii;
  9. orice alte scopuri legate de cele de mai sus.

De asemenea, datele sunt procesate şi stocate şi pentru îndeplinirea obligaţiilor legale de documentare şi păstrare: în scopuri de gestiune financiar-contabilă, conform legislației fiscale; în scopuri de audit intern sau audit financiar; în scopuri de raportare către autorități conform reglementărilor în vigoare și scopuri de controale și/ sau răspuns la solicitarile venite din partea autorităților, în scopuri de asigurare a continuității activității, a securității datelor în sisteme și a documentelor, precum și a securității fizice în incintele noastre.

6.4.3.   Prelucrarea Datelor aparținând părților terțe

În cazul operațiunilor desfășurate de Școală cu părți terțe, Școala va obține consimțământul persoanelor vizate/furniza informațiile cu privire la Prelucrare prin clauzele specifice inserate pe documentele utilizate de Școala pentru operațiunile desfășurate de acest tip de persoane vizate, anterior inițierii oricăror prelucrări de Date. [De exemplu, in cazul excursiilor sau concursurilor organizate de Scoala. Se vor mentiona exemple concrete in baza propunerilor si recomandarilor DPO.]

6.4.4. Prelucrarea Datelor Sensibile

Prelucrarea datelor cu caracter personal sensibile trebuie să fie redusă la minimum și să se aplice doar în limitele strict necesare. Este de preferat ca prelucrarea datelor personale cu caracter sensibil să se facă în mod anonim sau ca date agregate, dacă acest lucru este posibil.

Din cauza caracterului lor, datele personale sensibile trebuie să fie procesate în conformitate cu cele mai înalte standarde de securitate, iar accesul la respectivele date să fie limitat numai la acei angajați care au nevoie de astfel de date pentru a-și îndeplini sarcinile de muncă.

Colectarea şi prelucrarea datelor cu caracter personal având o funcţie de identificare de aplicabilitate generală, inclusiv dezvăluirea acestora, prin efectuarea şi reţinerea de copii de pe cartea de identitate sau de pe documente care le conţin, sunt interzise.

În cazul în care transmiterea copiei documentelor care atestă identitatea (carte de identitate, pașaport, permis de conducere etc.) sau a datelor sensibile este absolut necesară, transmiterea acestora se va face exclusiv prin e-mail (nu prin whatsapp sau prin alte aplicatii de tip OTT “over the top technologies”), prin fișiere criptate și parolate, iar parola de acces se va transmite fie printr-un e-mail separat, fie prin SMS la numărul de contact al destinatarului, dacă acesta este cunoscut.

6.5.      Metode de monitorizare în cadrul Școlii

  1. Supravegherea video:
  • Are ca scop asigurarea pazei și protecției persoanelor, bunurilor și valorilor, a imobilelor și a instalațiilor si echipamentelor Școlii si/sau folosite de Școală, prevenirea și combaterea săvârșirii abaterilor, contraventiilor, infracțiunilor, precum și a împrejmuirilor afectate acestora;
  • Prelucrarea vizează orice imagine care permite identificarea directă sau indirectă a persoanelor fizice;
  • Camerele de supraveghere video sunt amplasate în locuri vizibile și sunt semnalizate corespunzător prin autocolante cu pictogramă, în incintele situate în:
    • […]
  • Camerele de supraveghere video nu captează și sunetul ambiental. Excepție face camera de supraveghere video amplasată la secretariatul Școlii.
  • Mentiuni privind Evaluarea interesului legitim al scolii si al Evaluarii impactului asupra protectiei datelor cu caracter personal [Se vor include in baza propunerilor si recomandarilor trimise de DPO]
  1. Asigurarea securității sistemului informațional și a comunicărilor electronice în cadrul Școlii [DPO considera utile rapoartele misiunilor anterioare de audit de securitate IT]:
  • Are ca scop protejarea informațiilor confidențiale, securitatea sistemelor informatice, prevenirea și/sau detectarea fraudelor, preîntâmpinarea scurgerii informației care conține informații confidențiale sau date cu caracter personal prin metoda excluderii accesului neautorizat la aceasta; preîntâmpinarea distrugerii, modificării, copierii, blocării neautorizate a datelor cu caracter personal în rețelele de  telecomunicații și resursele informaționale; respectării cadrului normativ de folosire a sistemelor informaționale și a programelor de prelucrare a datelor cu caracter personal; asigurării caracterului complet, integru, veridic al datelor cu caracter personal în rețelele de telecomunicații și resurselor informaționale; păstrării posibilităților de gestionare a procesului de prelucrare și păstrare a datelor cu caracter personal, precum și protecția reputației Școlii. Prelucrările vizează doar datele de trafic și datele de acces/transmitere a corespondenței. Cu toate acestea, accesarea /monitorizarea datelor de conținut este realizată numai în circumstanțe excepționale temeinic justificate precum și în cazurile determinate de necesitatea îndeplinirii unor prevederi legale;
  • Angajații vor fi informați la angajare, precum și ori de câte ori este cazul, despre modul de utilizare a conexiunii la internet și e-mail, precum și despre excepțiile aplicabile. 

       6.6. Durata de prelucrare a Datelor monitorizate în cadrul Școlii

      În vederea scopurilor menționate la punctele a și b de mai sus, Școala va prelucra Datele pe parcursul relației cu Persoana Vizată sau pe perioada impusă de prevederile legale. 

Ulterior încheierii operațiunilor de Prelucrare a Datelor, în scopurile pentru care au fost colectate, acestea vor fi arhivate de către Școală pe durata de timp prevăzută in documentele normative interne, ulterior, la împlinirea termenului de stocare, fiind distruse astfel cum este precizat în procedura aplicabilă.

6.7. Cerințele minime de Securitate a prelucrării de date cu caracter personal

6.7.1. Prelucrarea automată de Date

Prelucrarea automată de Date se face în conformitate cu principiile stabilite prin Procedura referitoare la securitatea IT.   

6.7.2. Prelucrarea manuală a Datelor

În cazul în care este necesară prelucrarea manuală, accesul utilizatorilor se va face în baza unei liste predefinite și aprobate anterior acordării accesului sau prin stabilirea atribuțiilor specifice în fișa postului.

6.7.2.1. Stocarea, procesarea, arhivarea, distrugerea Datelor

Documentele în format letric ce conțin Date vor fi păstrate în fișete sau dulapuri închise cu cheie sau alt mecanism de securizare.

Datele prelucrate şi utilizate de Școala se vor stoca pe suport electronic sau arhiva pe suport hârtie, pentru perioada necesară pentru realizarea scopurilor în care au fost colectate.

Retenția și ștergerea Datelor nu se poate realiza în afara prevederilor legale , care stabilesc următoarele termene de păstrare a documentelor de resurse umane:

  • Dosarele de personal, convențiile civile de prestări servicii, contractele de muncă – 75 de ani de la creare;
  • Statele de plată ale angajaților – 50 de ani de la crearea lor;
  • Documentele societăților comerciale cu capital privat – 50 de ani de la crearea lor;
  • Dosarele și evidențele medicale- 100 de ani de la crearea lor;
  • Registrele și documentele justificative și contabile se păstrează 10 ani, cu începere de la data încheierii exercițiului financiar în cursul căruia au fost întocmite.

Școala va distruge, șterge sau anonimiza în mod sistematic orice Date care nu sunt necesare pentru a fi reținute, îndeplinindu-și scopul pentru care au fost colectate.

Școala va deține un inventar al tuturor Datelor prelucrate și al echipamentelor pe care respectivele Date sunt stocate/prelucrate.

7. DREPTURILE PERSOANEI VIZATE

7.1. Dreptul de acces la Date

Orice Persoană vizată are dreptul de a obține de la ȘCOALA, atunci când aceasta acționează în calitatea sa de Operator, la cerere și în mod gratuit, confirmarea faptului că datele care o privesc sunt sau nu prelucrate de aceasta, iar în caz afirmativ, se vor furniza informațiile referitoare la: scopurile prelucrării; categoriile de date vizate; destinatarii sau categoriile de destinatari ale datelor, în special destinatari din țări terțe sau organizații internaționale; acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; existența unui proces decizional automatizat, precum și informații pertinente privind logica utilizată și importanța preconizate ale unei astfel de prelucrări pentru persoana vizată.

7.2. Dreptul de rectificare

Persoana vizată are dreptul de a obține de la ȘCOALA, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc.

De asemenea, persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.

7.3. Dreptul la ștergerea datelor

Persoana vizată are dreptul de a obține ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar ȘCOALA va avea obligația de a șterge datele fără întârzieri nejustificate în cazul în care:

  • datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
  • persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea;
  • datele cu caracter personal au fost prelucrate ilegal;
  • persoana vizată își exercită dreptul la opoziție în condițiile RGPD;
  • datele trebuie șterse pentru respectarea unei obligații legale a operatorului ȘCOALA, în calitate de operator de date; poate refuza cererea de ștergere a datelor în următoarele condiții:
  • prelucrarea este necesară pentru exercitarea dreptului la liberă exprimare și la informare;
  • prelucrarea este necesară pentru respectarea unei obligații legale aplicabile operatorului;
  • prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în condițiile Regulamentului General pentru Protecția Datelor, în măsura în care exercitarea dreptului poate face imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective;
  • prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță.

7.4. Dreptul la restricționarea prelucrării

Persoana vizată are dreptul de a obține din partea ȘCOLII restricționarea prelucrării în următoarele cazuri:

  • persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
  • prelucrarea este ilegală, dar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;
  • ȘCOALAnu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță;
  • persoana vizată s-a opus prelucrării, pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.

 7.5. Dreptul de opoziție

Persoana vizată are dreptul:

  • de a se opune în orice moment, din motive întemeiate și legitime legate de situația sa particulară, ca datele care o vizează sa facă obiectul unei Prelucrări, cu excepția cazurilor în care există dispoziții legale contrare. În caz de opoziție justificată, Prelucrarea nu mai poate viza datele în cauză decât dacă există motive legitime și imperioase care justifică prelucrarea și care prevalează asupra drepturilor persoanei vizate sau dacă scopul este constatarea, exercitarea sau apărarea unui drept în instanță;
  • de a se opune în orice moment, în mod gratuit și fără nici o justificare, ca datele care o vizează să fie Prelucrate în scop de marketing direct, inclusiv în ceea ce privește crearea de profiluri în acest scop.

7.6. Dreptul la portabilitatea datelor 

Persoana vizată are dreptul de:

  • a primi datele cu caracter personal care o privesc și pe care le-a furnizat ȘCOLII într-un format structurat, utilizat în mod curent și care poate fi citit automat și
  • a transmite aceste date altui operator, fără obstacole din partea ȘCOLII căruia i-au fost furnizate datele cu caracter personal, în cazul în care: (a) prelucrarea se bazează pe consimțământ sau pe un contract; și (b) prelucrarea este efectuată prin mijloace automate. 

În exercitarea dreptului său la portabilitatea datelor, persoana vizată are dreptul ca datele sale să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic. 

În plus față de drepturile de mai sus, Persoana vizată mai are și următoarele drepturi:

  • de a nu fi supusă unei decizii individuale bazată pe un sistem automatizat;
  • de a se adresa justiției și ANSPDCP.

Scoala a implementat o Procedura de soluționare a petițiilor care stabilește modalitatea de răspuns la solicitările persoanelor vizate cu privire la respectarea drepturilor acestora, astfel cum sunt detaliate mai sus.

8. ACTIVITĂȚILE DE PRELUCRARE A DATELOR REALIZATE ÎN BAZA UNUI CONTRACT DE PRESTĂRI SERVICII ÎNCHEIAT CU UN PRESTATOR/FURNIZOR/PARTENER

În cazul activităților de prelucrare a datelor în baza unui Contract de prestări servicii încheiat între ȘCOALA și un prestator/ furnizor/ partener, este necesar să se respecte următoarele condiții:

  • contractul se încheie în scris;
  • contractul conține clauze specifice privind Prelucrarea Datelor, pentru următoarele situații:
  1. a) În cazul în care prestatorul are calitatea de Operator, în contract se vor insera clauze standard.
  2. b) În cazul în care prestatorul are calitatea de Împuternicit, în contract se vor insera clauze specifice; În situația în care există dificultăți în stabilirea calității furnizorului de Împuternicit, departamentele implicate se vor adresa și DPO.
  3. c) În cazul în care prelucrarea presupune un transfer al Datelor în țări din afara SEE care nu asigură un nivel adecvat de protecție, se va insera în contract clauza referitoare la transfer.

În relațiile contractuale pe care ȘCOALA le are cu diverși prestatori/furnizori de servicii, departamentele implicate în negocierea și încheierea contractelor trebuie să aibă în vedere:

  • optarea pentru un prestator care prezintă garanții în ceea ce privește măsurile de securitate tehnică și organizatorice cu privire la activitățile de prelucrare ce vor fi efectuate (locația serverelor, locația de back-up, dacă este cazul etc.);
  • să identifice dacă prestarea serviciilor ce fac obiectul contractului care urmează să fie încheiat presupune un transfer de date în afara SEE;
  • să introducă în contract clauzele specifice activităților de prelucrare de date cu caracter personal comunicate de DPO sau de conducere, dacă nu a fost desemnat un DPO;
  • să existe posibilitatea verificării conformității furnizorului cu privire la respectarea măsurilor de protecție a datelor (verificarea documentelor, expertiză, audit etc);
  • consultarea DPO sau a șefului de departament.
9. SECURITATEA DATELOR CU CARACTER PERSONAL. INCIDENTE DE SECURITATE ÎN DOMENIUL PROTECȚIEI DATELOR

Școala aplică măsurile tehnice și organizatorice adecvate pentru protejarea Datelor împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă Prelucrarea respectivă comportă transmisii de date în cadrul unei rețele, precum și împotriva oricărei alte forme de prelucrare ilegală. Aceste măsuri asigură un nivel de securitate adecvat în ceea ce privește riscurile pe care le reprezintă Prelucrarea, precum și în ceea ce privește natura datelor care trebuie protejate.

Operatorul a reglementat prin Procedura de securitate IT, precum și prin Procedura privind breșele de securitate, situațiile și soluțiile imediate aplicabile în cazul incidentelor de securitate, precum și modalitățile de protejare adecvată a Datelor.

10. IMPLEMENTARE

10.1 Această politică va fi pusă la dispoziția angajaților prin intermediul persoanelor desemnate în acest sens de către conducerea Școlii, precum sefilor/directorilor/managerilor de departamente din cadrul Școlii. De asemenea, terții cu care ȘCOALA colaborează, indiferent de forma colaborării, vor fi informați de existența acestei politici și de obligativitatea respectării ei prin mijloacele de notificare considerate adecvate pentru fiecare categorie de colaboratori.

10.2 Această politică poate fi revizuită oricând. Notificările privind revizuirile sunt furnizate prin canalele de comunicare uzuale din cadrul ȘCOALA.            

Politica se completează cu anexele care fac parte integrantă din ea:

Anexa 1 – Registrul/Evidenta de prelucrare date personale

Aceasta politică este completată de politici și proceduri suplimentare ale Școlii și acte/decizii interne care prevăd aspecte specifice cu privire la protecția datelor, precum:

  1. Politica de confidențialitate;
  2. Procedura de securitate IT;
  3. Procedura de notificare a breșelor de securitate (Procedura de investigare a incalcarilor securitatii datelor;
  4. Procedura/politica privind cererile persoanelor vizate de protectia datelor cu caracter personal;
  5. Procedura de evaluare a impactului asupra protecției datelor;
  6. Norme interne – Obligatii ale salariatilor privind protectia datelor personale;
  7. Recomandări referitoare la utilizarea platformelor prin care se asigură învățământul online (Recomandări referitoare la utilizarea plarformei Zoom) etc.