Procedura de Raspuns la Solicitari

Această Procedură de răspuns la solicitările persoanelor fizice pentru exercitarea drepturilor acestora cu privire la datele cu caracter personal („Procedura”) stabilește cadrul și explică procedurile societății SOUNDNET INTERNATIONAL SRL („Societatea”) pentru respectarea drepturilor persoanelor, în conformitate cu legislația în vigoare.

Introducere

Această Procedură conține normele aplicabile în Societate pentru a răspunde solicitărilor primite de la persoanele fizice  cu privire la datele cu caracter personal.

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului, din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (Regulamentul general privind protecția datelor denumit în continuare ”GDPR”) prevede pentru persoanele fizice următoarele drepturi:

(i)         Dreptul la informare

(ii)         Dreptul de acces

(iii)        Dreptul de rectificare

(iv)        Dreptul de ștergere

(v)         Dreptul de restricționare a prelucrării datelor

(vi)        Dreptul la portabilitatea datelor

(vii)       Dreptul de opunere (opoziție)

(viii)      Drepturi privind procesul decizional automatizat și crearea de profiluri.

Procedura de exercitarea drepturilor persoanelor fizice

Societatea trebuie să răspundă fără întârzieri nejustificate și în termen de cel târziu o lună de la primirea acestora.

Timpul de răspuns poate fi prelungit cu încă două luni atunci când cererile sunt complexe sau numeroase. În acest caz, trebuie să informăm persoana  vizată  în termen de o lună de la primirea solicitării, prezentând și motivele întârzierii.

(i) Procedura de exercitare a Dreptului la informare

Persoanele fizice au dreptul de a fi informate cu privire la colectarea și prelucrarea datelor lor personale. Societatea furnizeaza persoanelor informații cu privire, printre altele, la scopul prelucrării datelor cu caracter personal, la perioada de stocare a acestora, la beneficiarii datelor, precum și la drepturile care le revin în temeiul Regulamentului General.

Furnizarea de informații corecte este o obligație a Societății noastre. Informațiile sunt furnizate în scris sau prin alte mijloace, inclusivîn format electronic. La solicitarea persoanei vizate, acestea pot fi date și pe cale orală, cu condiția ca identitatea persoanei vizate să fie dovedită prin alte mijloace.

Dacă intenționăm să folosim date personale în alte scopuri decât cele inițiale, trebuie să intervale regulate revizuim și actualizăm Nota de Informare pe care o oferim persoanelor vizate. Auditul și actualizarea sunt efectuate de departamentul relevant de fiecare dată când este vorba de procesare și de Persoana Responsabilă cu protecția datelor.

(ii) Procedura de exercitare a Dreptului de acces

Persoanele vizate au dreptul de a accesa informațiile lor personale și informațiile suplimentare. Astfel, persoana are dreptul de a primi de la operator, Societatea, o confirmare a faptului dacă sunt sau nu prelucrate datele personale legate de aceasta.

Dreptul de acces permite persoanelor să cunoască și să verifice legitimitatea prelucrării.

Cum trebuie furnizate informațiile?

Trebuie să verificăm identitatea solicitantului folosind „mijloace rezonabile”. Dacă solicitarea este depusă în format electronic, va trebui să furnizăm informațiile în format electronic. Dreptul de a obține o copie a informațiilor nu trebuie să afecteze drepturile și libertățile celorlalți.

Ce se întâmpla cu cererile pentru un volum mare de date cu caracter personal?

În cazul în care Societatea prelucrează un volum mare de informații privind persoana vizată, Regulamentul General ne permite să solicităm persoanei să precizeze informațiile sau activitățile de prelucrare la care se referă cererea sa.

În cazul în care Societatea procesează o cantitate mare de informații despre o persoană, GDPR ne permite să solicităm persoanei să determine informațiile sau activitățile de procesare implicate în solicitare.

Restricții privind dreptul la acces

În mod excepțional, legea aplicabilă prevede anumite circumstanțe speciale în care Societatea poate refuza în totalitate sau parțial exercitarea dreptului de acces (de exemplu, pentru a proteja persoana sau pentru a proteja drepturile sau libertățile terților sau în cazul în care exercitarea acestor drepturi ar submina sau ar face imposibilă îndeplinirea acestor scopuri).

Dacă decidem să nu răspundem solicitării, trebuie să informăm persoana vizată despre această decizie.

(iii) Procedura de exercitare a Dreptului de  rectificare

Regulamentul General le conferă persoanelor vizate dreptul de a-și corecta datele cu caracter personal. Datele personale pot fi corectate dacă sunt inexacte sau incomplete.

Când trebuie corectate datele personale?

Persoanele vizate au dreptul de a solicita corectarea datelor lor personale dacă acestea sunt inexacte sau incomplete.

Dacă aceste date personale au fost transmise altor operatori, Societatea va trebui să contacteze fiecare operator și să îl informeze despre rectificare- cu excepția cazului în care acest lucru se dovedește imposibil sau implică un efort disproporționat. Dacă este necesar, trebuie să informăm persoanele vizate despre acești operatori.

(iv) Procedura de respectare a dreptului de ștergere („dreptul de a fi uitat”)

Dreptul la ștergere este cunoscut de asemenea și ca „dreptul de a fi uitat”. Scopul acestui drept este de a permite persoanei să solicite ștergerea sau eliminarea datelor cu caracter personal atunci când nu există motive întemeiate pentru a continua procesarea.

Când este aplicabil dreptul la ștergere?

Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:

- Când datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate inițial.

- Când persoana vizată își retrage consimțământul. 

- Când persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea.

- Când datele cu caracter personal au fost prelucrate ilegal (adică încălcând Regulamentul General).

- Când Datele cu caracter personal trebuie șterse pentru a fi în conformitate cu obligațiile legale.

- Persoana vizată se opune prelucrării datelor sale personale în scopuri de marketing direct, inclusiv în cea de comunicare directă promoțională.

- Datele personale au fost colectate prin intermediul tranzacțiilor electronice sau al altor servicii electronice.

- Datele cu caracter personal au fost colectate în legătură cu furnizarea de servicii ale societății informaționale în mod direct unui copil.

(v) Procedura de asigurare a dreptului la restricționarea prelucrării

Persoanele vizate au dreptul să "blocheze" sau să restricționeze prelucrarea datelor lor personale. Atunci când prelucrarea a fost restricționată, este permisă salvarea datelor personale, dar nu prelucrarea ulterioară a acestora. Putem păstra suficiente informații despre persoana vizată pentru a ne asigura că restricționarea este îndeplinită pe viitor.

Când este aplicabil dreptul la restricționarea prelucrării?

Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării în cazul în care se aplică unul din următoarele cazuri:

- Persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor,

- Prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;

- Nu mai avem nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată ni le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță;

- Persoana vizată s-a opus prelucrării pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.

Când prelucrarea a fost restricționată, este posibil să avem datele personale stocate și să le folosim numai:

-       cu consimtământul persoanei vizate;

-       pentru stabilirea, exercitarea și susținereaunui drept în instanță;

-       pentru protejarea drepturilor altei persoane fizice sau juridice;

-       din motive de interes public important al Uniunii sau al unui stat membru.

În cazul în care Societatea decide să ridice restricțiile  prelucrării, trebuie să informăm persoanele despre această decizie.

(vi) Procedura de exercitare a dreptului la portabilitatea datelor

Portabilitatea datelor oferă persoanelor posibilitatea de a primi și utiliza în continuare "datele" lor în scopuri proprii și pentru diferite servicii. Acest drept facilitează capacitatea lor de a muta, copia sau transfera cu ușurință date personale dintr-un mediu în altul fără obiecții.

Dreptul la portabilitatea datelor se aplică atunci când  exista  toate cele trei condiții:

  • datele personale provin de la persoana vizată;
  • în cazul în care prelucrarea se bazează pe consimțământul persoanei sau atunci când prelucrarea este necesară pentru executarea unui contract la care persoana este parte și
  • când procesarea se face prin mijloace automate (care exclude fișierele tipărite).

Dacă persoana solicită acest lucru, putem transmite datele direct unui alt operator, dacă acest lucru este fezabil din punct de vedere tehnic. Cu toate acestea, nu este necesar să adoptam sau să menținem sisteme de procesare compatibile din punct de vedere tehnic cu alți operatori.

Trebuie să se verifice dacă exercitarea dreptului la portabilitatea datelor ar afecta  drepturile și libertățile  oricărei alte persoane.

(vii) Procedura de exercitare a dreptului la opoziție

Persoanele vizate au dreptul de a se opune în orice moment la :

- prelucrarea bazată pe interesele legitime ale Societății sau ale unei terțe părți sau la exercitarea unei îndatoriri în interes public / exercitarea autorității publice (inclusiv creării de profiluri);

- marketingul direct (inclusive creării de profiluri);

- prelucrarea pentru cercetări științifice / istorice și statistici.

Persoanele fizice au dreptul de a se opune din cauza motivelor legate de situația particulară în care se află, la fiecare prelucrare bazată pe interesele legitime ale societății, a terților sau la îndeplinirea unei sarcini în interes public. În cazul exercitării dreptului la opoziție, va trebui să oprim procesarea datelor, cu excepția cazului în care:

-       există și suntem capabili să dovedim motive imperative și legitime pentru prelucrare, care primează asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate si

-       prelucrarea se referă la stabilirea, exercitarea sau apărarea unui drept în instanță.

Cum respectăm dreptul la opoziție  dacă procesăm date personale pentru marketingul direct (inclusiv crearea de profiluri)?

- Trebuie să întrerupem imediat prelucrarea datelor personale în scopuri de marketing direct de îndată ce se primește o solicitare de opoziție. Nu există excepții sau motive de refuz.

- Trebuie să ne ocupăm imediat și gratuit de solicitările de opoziție pentru marketing direct.

- Trebuie să informăm persoanele vizate cu privire la dreptul lor de opoziție în momentul primei comunicări cu acestea.

Când putem refuza o Solicitare de opoziție?

Societatea poate refuza să respecte o Solicitare  de opoziție  în măsura în care prelucrarea este necesară:

- pentru exercitarea dreptului la libertatea de exprimare și a dreptului la informare;

- pentru respectarea unei obligații legale care impune prelucrarea de date în conformitate cu legile Uniunii sau al statului membru de care operatorul aparține, sau pentru a îndeplini o sarcină efectuată în interes public încredințată operatorului;

- din motive de interes public în domeniul sănătății publice;

- în scopul arhivării în interes public pentru cercetări științifice sau istorice sau în scopuri statistice, în cazul în care dreptul la ștergere este de natură să facă în mare măsură imposibil sau sa împiedice scopul propus al prelucrării;

- pentru a stabili, a exercita și a susține drepturile legale. 

(viii) Exercitarea dreptului cu privire la procesul decizional individual automatizat, inclusiv crearea de profiluri

Regulamentul General conține dispoziții privind:

- luarea deciziei procesul decizional individual automatizat (luarea deciziilor exclusiv prin mijloace automatizate. fără participarea omului);

- crearea de profiluri (prelucrarea automată a datelor cu caracter personal pentru a evalua anumite elemente pentru o persoană fizică).

Crearea de profiluri poate face parte dintr-un proces automat de luare a deciziilor.

Regulamentul General se aplică tuturor proceselor decizionale individuale automatizate, inclusiv crearea de profiluri.

Articolul 22 din Regulamentul General prevede norme suplimentare pentru protecția persoanelor în cazul unui proces decizional automat care are efecte semnificative legale sau similare asupra persoanelor vizate.

Societatea poate lua decizii automate, inclusiv crearea de profiluri, doar atunci când este necesar:

  • pentru încheierea sau executarea unui contract;
  • este permisă de legislația în vigoare, care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate;
  • are la bază consimțământul explicit al persoanei vizate.

Dacă oricare dintre aceste condiții nu este îndeplinită, Soceiattea nu poate lua decizii automate, incluzând crearea de profiluri.

SOUNDNET INTERNATIONAL SR