Versiunea 1.1 - mai 2018
S.C. Compania de Utilitati Publice Dunarea Braila, este persoana juridica romana si functioneaza pe baza de gestiune economica si autonomie financiara sub autoritatea Consiliului Local Municipal Braila, avand ca obiect de activitate producerea si distributia apei, evacuarea apelor uzate, constructii si alte prestatii.
1. Categorii de date cu caracter personal vizate
1.1 “Date Personale" înseamnă orice informație privind o persoană fizică identificată sau identificabilă; o persoana fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturare sau sociale. Datele cu caracter personal, avute în vedere de Compania de Utilităţi Publice “Dunărea” Brăila., reprezintă orice informaţie referitoare la reprezentantul persoana fizică a Afiliatului persoana juridică, a Clientului, a Afiliatului persoana fizica şi a oricărui utilizator a website-ului www.apabraila.ro care întelege să ne transmită aceste date, ca de exemplu: nume, prenume, codul numeric personal, adresa de corespondenţă, adresa locului de consum, numărul de telefon, adresa de e-mail, contul bancar, numărul contractului de furnizare, codul de abonat, informaţii privind consumul de apa, date legate de facturare, etc.
1.2 Prelucrarea datelor cu caracter personal de către Compania de Utilităţi Publice “Dunărea” Brăila. presupune orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea. Compania de Utilităţi Publice “Dunărea” Brăila. utilizează diverse măsuri tehnice şi organizatorice pentru a asigura securitatea datelor dumneavoastră personale împotriva manipulării, pierderii, distrugerii, accesării de către persoane neautorizate, în mod accidental sau intenţionat.
2. Scopul colectării datelor cu caracter personal pentru clienti
2.1 : - Ofertarea, încheierea şi executarea contractelor de furnizare apa evacuarea apelor uzate, constructii, prestări servicii de asistenţă tehnică, asigurarea beneficiilor aferente ofertelor de furnizare apa, asigurarea plații facturilor, etc). În vederea executării contractelor se are în vedere orice comunicare către client prin care furnizorul transmite informaţii privind facturarea, emiterea de notificări sau preavize, date legate de intervalul de autocitire, plăţi, etc.;
- derularea activităţilor de furnizare apa;
- prestarea altor servicii la care compania s-a obligat prin contract faţă de clienţii săi;
- activităţi de marketing, reclamă şi publicitate;
- în vederea comunicării, prin mijloace electronice sau tradiţionale,către clienţi sau potenţiali clienţi, a unor oferte comerciale de vânzare servicii sau produse;
- în vederea colectării eventualelor debite şi recuperare a creanţelor atât pe cale amiabilă cât şi prin intermediul acţiunilor în instanţă;
- în legătură cu servicii de comunicaţii electronice;
- în vederea comunicării de informaţii privind concursurile de angajare organizate ;
- în vederea realizării de campanii/sondaje având ca obiectiv principal măsurarea gradului de mulţumire al clienţilor raportat la prestarea serviciilor de către furnizor. Astfel de campanii pot fi gestionate intern de către angajaţii furnizorului, dar şi de companii terţe, specializate în colectarea de feedback de la clienţi;
- în vederea distribuirii de corespondenţă către clienţi utilizând diferiţi prestatori de servicii poştale;
3. Scopul colectării datelor cu caracter personal pentru angajati
- Aceste prelucrări decurg firesc din relația de muncă, deoarece Compania de Utilităţi Publice “Dunărea” Brăila trebuie să poată identifica în mod corect angajatul, să îi poată vira salariul într-un cont bancar, să îl înscrie în Revisal, să monitorizeze activitatea și folosirea echipamentelor de lucru, iar toate aceste acțiuni presupun prelucrarea de date personale.
- Documentele și comunicațiile personale nu sunt monitorizate, la fel nici anumite zone sensibile (e.g. spațiile de recreere, grupurile sanitare, utilizarea camerei web pentru a înregistra activitatea angajatului ce lucrează la domiciliu, geolocalizarea nu se monitorizeaza in continuu, în cazul în care mașina este la dispoziția angajatului 24/24, ci doar în timpul programului de lucru). Se apeleaza la verificarea prin sondare la anumite intervale de timp în cadrul programului de lucru în locul verificării prin înregistrare continuă.
- Orice monitorizare, indiferent de temei și modalitate de desfășurare, este complet transparentă față de angajat. Angajatul are dreptul de a se opune unei astfel de prelucrări în cazul în care monitorizarea este întemeiată pe interes legitim.
4. Destinatarii datelor cu caracter personal prelucrate
4.1 Datele cu caracter personal sunt prelucrate în scopurile mai sus menţionate de către furnizor. De asemenea, prelucrarea datelor se poate face şi de către alte societăţi cu care furnizorul a încheiat contracte de prestări servicii pentru asigurarea beneficiilor aferente ofertelor contractate de către Client, administrarea din punct de vedere tehnic a website-ul www.apabraila.ro si a aplicatiei informatice folosita pentru prelucrarea datelor , pentru realizarea de campanii publicitare, campanii de comunicare cu clienţii pe reţelele de socializare, campanii/sondaje pentru măsurarea gradului de mulţumire al clienţilor şi feedback pentru îmbunătăţirea serviciilor furnizorului, prestarea de servicii de imprimare a facturilor şi distribuire a acestora, servicii de comunicare electronică şi telefonică cu clienţii în vederea executării contractelor deja încheiate cu aceştia sau în vederea încheierii unor contracte noi, oricare alte servicii ce fac obiectul contractelor încheiate de furnizor unde beneficiarii sunt clienţi persoane fizice.
4. Utilizatorii datelor personale
4.1 Datele înregistrate sunt utilizate de către furnizor şi partenerii contractuali ai Companiei de Utilităţi Publice “Dunărea” Brăila. cu bună-credinţă, în scopuri legitime şi cu respectarea cerinţelor tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, precum şi împotriva oricărei alte forme de prelucrare ilegală. În acest sens, Compania de Utilităţi Publice “Dunărea” Brăila.. se asigură de respectarea şi de către partenerii săi contractuali a clauzelor privind prelucrarea corectă a datelor cu caracter personal şi confidenţialitatea informaţiilor.
4.2 Toate datele personale colectate, stocate şi prelucrate se supun principiilor de prelucrare stipulate în Regulament 679/2016.
4.3 Această responsabilitate se extinde asupra datelor cu caracter personal prelucrate, în tot sau în parte, prin mijloace automate, dar şi asupra celor care fac obiectul unui sistem de evidenţă manual sau care sunt destinate să fie incluse într-un asemenea sistem.
4.4 Ca parte a instruirii şi pregătirii profesionale, personalul desemnat va fi informat asupra circumstanţelor în care le este permisă accesarea, prelucrarea şi dezvăluirea datelor cu caracter personal, conform sarcinilor şi atribuţiilor ce le revin prin fişa postului.
4.4 Personalul desemnat va prelucra date cu caracter personal doar în scopul/scopurile declarate de operator, care trebuie să fie determinate, explicite şi legitime.
4.5 Respectarea Politicii privind prelucrarea datelor cu caracter personal este o condiţie în atribuirea accesului la datele cu caracter personal, iar personalul desemnat este obligat să cunoască prevederile politicii şi să participe la seminariile de instruire, conform cerinţelor.
4.6 Accesul persoanei vizate la datele personale care o privesc şi sunt prelucrate de CUP BRAILA este un drept fundamental stabilit prin Regulament 679/2016.
4.7 Datele colectate vor fi exacte si, daca este cazul, actualizate; in acest scop se vor lua masurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate si pentru care vor fi ulterior prelucrate, sa fie sterse sau rectificate.
4.8 Datele vor fi stocate intr-o forma care sa permita identificarea persoanelor vizate strict pe durata necesara realizarii scopurilor in care datele sunt colectate si in care vor fi ulterior prelucrate; stocarea datelor pe o durata mai mare decat cea mentionata, in scopuri statistice, de cercetare istorica sau stiintifica, se va face cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevazute in normele care reglementeaza aceste domenii, si numai pentru perioada necesara realizarii acestor scopuri.
4.9 Clientii, persoane fizice au dreptul de a primi, în urma unei solicitări, informaţii gratuite despre datele personale salvate. Conform Regulament 679/2016 privind protecţia datelor, beneficiaţi de dreptul de acces, de intervenţie asupra datelor (respectiv, aveţi dreptul de a corecta, de a bloca şi de a şterge aceste date personale) şi de dreptul de a nu fi supus unei decizii individuale. Pentru exercitarea acestui drept Persoana vizata va înainta SC CUP DUNAREA BRAILA SA – Registraturii companiei , o cerere întocmita în forma scrisa, datata si semnata adresata Compartimentului Protectia Datelor cu Caracter Personal. În cerere se va arata daca informatiile sa fie comunicate la o anumita adresa, care poate fi si de posta electronica (email), sau printr-un serviciu de corespondenta care sa asigure ca predarea se va face numai personal. De asemenea, vă este recunoscut dreptul de a vă adresa justiţiei, precum şi Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal în caz de reclamaţii.
4.10 Folosirea şi prelucrarea datelor cu caracter personal se va face atâta timp cât se vor presta serviciile indicate la articolul Scopul colectării datelor.
4.11 Refuzul clientului cu privire la prelucrarea datelor cu caracter personal se va reflecta numai asupra prelucrării datelor în scop de marketing, reclamă şi publicitate, măsurarea gradului de mulţumire faţă de serviciile prestate de Compania de Utilităţi Publice “Dunărea” Brăila. Refuzul nu se poate aplica în ceea ce priveşte executarea contractelor încheiate, colectarea debitelor, recuperarea creanţelor atât pe cale amiabilă cât şi prin intermediul acţiunilor în instanţă, ori distribuirea de corespondenţă către client.
5 . Regulile generale de protecție a datelor cu caracter personal in cadrul SC CUP BRAILA SA:
5.1 Întocmirea, primirea, păstrarea, accesarea, transmiterea, transportul, utilizarea și predarea documentelor care conțin date cu caracter personal se fac exclusiv de către salariați instruiți cu privire la regulile de protecție a datelor cu caracter personal.
5.2 Întocmirea, primirea, păstrarea, accesarea, transmiterea, transportul, utilizarea și predarea documentelor care conțin date cu caracter personal se fac cu respectarea strictă a regulilor de protecție a datelor cu caracter personal.
5.3 Întocmirea, primirea, păstrarea, accesarea, transmiterea, transportul, utilizarea și predarea documentelor care conțin date cu caracter personal se fac exclusiv în scopul realizării atribuțiilor de serviciu sau îndeplinirii cerințelor legale.
5.4 Este interzisă orice divulgare a documentelor care conțin date cu caracter personal, precum și orice informație cu caracter personal cuprinsă în acestea.
5.5 Întocmirea. Documentele întocmite pentru salariați la nivelul serviciilor au regimul documentelor care conțin date personale și sunt supuse regulilor de protecție a datelor cu caracter personal.
5.6 Primirea. Primirea documentelor care conțin date cu caracter personal se face cu promptitudine și cu îndeplinirea imediată a procedurilor de păstrare sau utilizare.
5.7 Păstrarea. Documentele care conțin date cu caracter personal se păstrează în spațiu închis cu cheie, cu excepția situațiilor în care este necesară utilizarea lor firească, potrivit necesităților activității.
5.8 Accesarea. Accesarea documentelor care conțin date cu caracter personal se face doar în momentul și doar câtă vreme este necesară utilizarea lor. Accesarea documentelor cu caracter personal pentru buna desfășurare a activității, precum și pentru asigurarea realizării drepturilor și intereselor clientului/furnizorilor, cumpărătorilor etc., la nivelul fiecărui serviciu, prin solicitarea acestor date de la persoana/serviciul care răspunde de ele.
5.9 Transmiterea. Transmiterea documentelor fizice care conțin date personale între salariații cu atribuții în gestionarea lor se face personal sau prin curier intern special.
5.10 Transportul documentelor fizice care conțin date personale se face în plic închis sau în suport închis.
5.11 Transmiterea și transportul pe dispozitive de stocare pe suport electronic (exemplu: stick USB) a imaginilor documentelor care conțin date cu caracter personal se fac respectând regulile transmiterii și transportului documentelor care conțin date cu caracter personal.
5.12 Transmiterea pe cale electronică a imaginilor documentelor care conțin date cu caracter personal se face respectând regulile de securitate informatică ale companiei.
5.13 Utilizarea. Documentele care conțin date cu caracter personal părăsesc spațiul în care sunt păstrate doar în intervalul de timp necesar pentru utilizarea lor firească, potrivit necesităților activității.
5.14 Predarea. Predarea-primirea documentelor fizice care conțin date cu caracter personal se face cu întocmirea unui proces-verbal de predare-primire, care are același regim ca documentele care conțin date cu caracter personal.
5.15 În cazul în care un document fizic care conține date cu caracter personal nu este reglementat în Procedura privind protecția datelor cu caracter personal, va fi înștiințat de îndată responsabilul cu protecția datelor cu caracter personal, dacă este cazul.
5.16 În cazul în care o sursă de informații care conține sau este de natură să determine colectarea de date cu caracter personal nu este reglementată în Procedura privind protecția datelor cu caracter personal, va fi înștiințat de îndată responsabilul cu protecția datelor cu caracter personal.
6. Principii privind calitatea datelor
6.1 Toate compartimentelor trebuie sa ia masurile necesare pentru asigurarea in permanenta a corectitudinii datelor cu caracter personal, iar acolo unde este necesar, pastrarea acestora in forma actualizata (Calitatea Datelor).
6.2 Compartimentele CUP Dunarea Braila trebuie sa ia masurile necesare si pentru a se asigura ca datele incorecte sau incomplete sunt sterse sau corectate.
6.3 Datele cu caracter personal vor fi corespunzatoare, adecvate si neexcesive raportate la scopul pentru care au fost folosite. Datele vor fi colectate numai in anumite scopuri, bine definite si legitime in baza unei solicitari relevante si trebuie prelucrate numai conform acestor scopuri.
6.4 Datele cu caracter personal trebuie pastrate intr-o forma care permite identificarea persoanelor vizate numai pe parcursul perioadei cat sunt necesare in scopul pentru care acestea au fost colectate sau pentru care urmeaza a fi prelucrate. Ulterior, compartimentele vor distruge sau sterge caracteristicile de identificare ale persoanelor vizate (anonimizarea). Anonimizarea va fi realizata astfel incat identitatile originale ale subiectilor sa nu poata fi dezvaluite
7. Responsabilitatea privind manipularea datelor cu caracter personal
7.1 Compartimentele garanteaza respectarea legislatiei cu privire la protectia datelor cu caracter personal si la renuntarea la caracterul secret precum si a prevederilor acestei Politici
7.2 Responsabilul cu competente pentru protectia datelor personale din cadrul societatii respective va fi informat fara intarziere in legatura cu orice incalcari (inclusiv suspiciunea de incalcare) ale prevederilor privind protectia datelor si ale acestei Politici. In cazul unor incidente cu relevanta pentru cel putin una dintre societati, trebuie informat si Directorul Grupului cu competente pentru protectia datelor personale.
7.3 Directorul cu competente pentru protectia datelor personale din cadrul societatii
respective va fi informat in legatura cu orice modificari ale legislatiei privind protectia datelor cu caracter personal.
7.4 Conducatorii fiecarui compartiment a CUP Braila trebuie sa-si coordoneze activitatile astfel incat sa respecte politica privind Protectia Datelor cu carcater personal.
8. Activitatile de coordonare ale COMPARTIMENTULUI PROTECTIA DATELOR CU CARACTER PERSONAL
8.1 Responsabilul cu competente pentru protectia datelor cu caracter personal va coordona activitatile conducatorilor fiecarui compartiment, in cazul situatiilor generalizate de incalcare a prevederilor referitoare la protectia datelor, care pericliteaza scopul acestei Politici
8.2 Indatoririle Responsabilului cu competente pentru protectia datelor cu caracter personal, privesc dezvoltarea politicii CUP Dunarea Braila referitoare la protectia datelor. In vederea indeplinirii acestui scop, toti conducatorii de compartimente trebuie sa coopereze.
8.3 Responsabilul cu protecția datelor are îndatorirea de a se implica în mod corespunzător și util în toate aspectele legate de protecția datelor cu caracter personal. Acest tip de implicare traduce, de fapt, prezența sa efectivă in toate activitatile CUP Dunarea Braila. Ceea ce presupune informarea în timp util a responsabilului cu protecția datelor, cu privire la toate operațiunile de prelucrare preconizate la nivelul instituției sau organizației. În mod special, la momentul deciziilor ce implică aspecte de prelucrare a datelor cu caracter personal, este recomandabil să existe un aviz al responsabilului cu protecția datelor. În mod cert, informarea persoanei responsabile cu protecția datelor trebuie să aibă loc ori de câte ori are
loc încălcarea securității datelor. Informarea completă este premisa îndeplinirii obligației de consiliere ce revine responsabilului cu protecția datelor, conform prevederilor Regulamentului.
8.4 Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator. Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini, responsabilul cu protecția datelor nu este demis sau sancționat de către operator și nici de persoana împuternicită de operator, pentru îndeplinirea atribuțiilor sale. Aceste prevederi sunt o garanție a faptului că, în toate cazurile, responsabilul cu protecția datelor funcționează independent.
8.5 Responsabilul cu protecția datelor are obligația de a respecta secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern.
9. Indatoriri de supervizare si consultare
9.1 Compartimentul cu Protectia Datelor Cu Caracter Personal va fi raspunzator cu monitorizarea indeplinirii reglementarilor nationale si internationale privind protectia datelor si ale Politicilor in domeniu.
9.2 Compartimentul cu Protectia Datelor Cu Caracter Personal va examina in teren toate tehnicile de prelucrare ce implica utilizarea datelor cu caracter personal.
10. Informare pentru angajati si angajamentul acestora
10.1 Compartimentul cu protectia datelor cu caracter personal va organiza seminarii pentru angajati cu privire la manipularea legala a datelor cu caracter personal precum si implementarea acestei Politici.
11. Colaborarea cu Autoritatile de Supervizare
11.1. Compartimentul cu protectia datelor cu caracter personal din cadrul CUP Braila va da curs intrebarilor si se va conforma recomandarilor Autoritatii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, institutie autorizata sa supervizeze modul de aplicare al legislatiei cu privire la protectia datelor cu caracter personal .
12. Responsabilitatea operatorului
12.1 Tinand seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de riscurile cu grade diferite de probabilitate si gravitate pentru drepturile şi libertătile persoanelor fizice, operatorul pune in aplicare masuri tehnice si organizatorice adecvate pentru a garanta si a fi in masura sa demonstreze ca prelucrarea se efectueaza in conformitate cu prezentul regulament. Respectivele masuri se revizuiesc si se actualizeaza daca este necesar.
12.2 Atunci cand sunt proportionale in raport cu operatiunile de prelucrare, masurile mentionate la alineatul (1) includ punerea in aplicare de catre operator a unor politici adecvate de protectie a datelor.
12.3 Sa stabileasca includerea de clauze de confidentialitate in contractele individuale de munca ale persoanelor autorizate sa colecteze si sa prelucreze date personale (de regula pentru personalul din departamentele de resurse umane si salarizare/contabilitate/IT, serviciul clienti, etc);
12.4 Sa stabileasca , pentru ce categorii de activitati profesionale, pentru ce ocupatii pot fi relevante informatiile continute in certificatul de cazier judiciar, mai ales ca orice persoana, chiar daca are fapte inscrise in cazierul judiciar, are dreptul la munca si acest drept nu poate fi ingradit decat daca prin lege i se interzice exercitarea anumitor profesii.
13. Asigurarea protecţiei datelor începând cu momentul conceperii şi în mod implicit
13.1 Având în vedere stadiul actual al tehnologiei, costurile implementării, şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, pune în aplicare
măsuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecţie a datelor, precum reducerea la minimum a datelor, şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentului regulament şi a proteja drepturile persoanelor vizate.
13.2 Operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligaţie se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare şi accesibilităţii lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenţia persoanei, de un număr nelimitat de persoane.
Procedura realizata de
Compartimentul Protectia Datelor cu Caracter Personal
21.05.2018