Politica de confidențialitate

Principiile prelucrărilor de date cu caracter personal efectuate de către angajații ASE

Legalitatea şi transparenţa

1. Angajații ASE, denumiţi în continuare angajați, recunosc şi respectă dreptul la viaţă intimă, familială şi privată.
2. Prelucrarea datelor cu caracter personal de către angajați se desfăşoară în conformitate cu prevederile legale în vigoare.
3. Angajații sunt obligaţi să asigure transparenţa prelucrărilor de date cu caracter personal.

Responsabilitatea

1. Angajații sunt responsabili pentru datele cu caracter personal aflate sub controlul lor, precum şi pentru datele transferate către terţi.
2. Conducătorii / șefii compartimentelor stabilesc categoriile de date cu caracter personal pe care le prelucrează angajații aflați în subordinea acestora.

Legitimitatea scopului colectării

1. Colectarea de date cu caracter personal prin mijloace frauduloase, neloiale sau ilegale este interzisă.
2. Conducătorii / șefii compartimentelor definesc scopurile pentru care sunt colectate datele cu caracter personal înainte de momentul colectării acestora.
3. Comunicarea scopurilor către persoanele vizate se realizează în scris sau în formă electronică, într‐un limbaj cât mai simplu pentru a fi accesibil pentru persoanele vizate.
4. Datele cu caracter personal nu pot fi prelucrate ulterior în alte scopuri incompatibile cu scopul în care datele au fost iniţial colectate.
5. Angajații prelucrează datele cu caracter personal numai pentru scopurile pentru care au fost colectate.

Consimţământul

1. Consimţământul persoanelor vizate este necesar în cazul prelucrării datelor cu caracter personal, în afara cazurilor în care legea dispune altfel.
2. Angajații vor folosi exclusiv mijloacele puse la dispoziție de către ASE pentru a informa persoanele vizate în legătură cu prelucrarea datelor cu caracter personal şi pentru a solicita consimţământul acestora la momentul colectării datelor cu caracter personal.
3. Persoana vizată îşi poate retrage consimţământul în orice moment, sub condiţia avizării prealabile a operatorului. Acesta va informa persoana vizată în legătură cu procedura şi efectele retragerii consimţământului.

Legitimitatea stocării

1. Angajații sunt obligaţi să păstreze datele cu caracter personal exacte, complete şi actualizate, pentru realizarea scopurilor pentru care sunt utilizate.
2. Datele inexacte sau incomplete trebuie şterse sau rectificate la solicitarea persoanei vizate.
3. Datele cu caracter personal se stochează numai pentru perioada necesară atingerii scopurilor stabilite.
4. Conducătorii / șefii compartimentelor trebuie să argumenteze perioadele minime şi maxime necesare pentru stocarea datelor colectate, având în vedere obligația de respectare a drepturilor persoanei vizate, în special a dreptului de acces, de intervenţie şi de a fi uitat.
5. În urma verificărilor periodice, datele cu caracter personal deţinute de operator, care nu mai servesc realizării scopurilor sau îndeplinirii unor obligaţii legale, vor fi distruse, şterse sau transformate în date anonime într‐un interval de timp rezonabil, potrivit procedurilor stabilite de lege sau, în lipsa unor astfel de dispoziţii legale, de către angajați.

Securitatea prelucrărilor

1. În cadrul operațiunilor efectuate asupra datelor cu caracter personal se asigură un nivel de protecție și securitate adecvat în următoarele scopuri:
   – pentru a limita accesul la bazele de date, pentru a interzice copierea datelor
   – în afara locurilor în care acestea sunt gestionate și pentru a împiedica orice
   – circulaţie necontrolată a datelor.
2. În aplicarea alin. (1), Direcția Tehnologia Informației și Comunicații propune măsurile tehnice adecvate spre avizarea prorectorului coordonator de resort.
3. În aplicarea alin. (1), conducătorii / șefii compartimentelor propun directorului general administrativ sau prorectorului coordonator de resort spre avizare măsurile organizatorice pe care le consideră adecvate.
4. Măsurile tehnice avizate potrivit alin. (2) și respectiv măsurile organizatorice avizate potrivit alin. (3) se supun spre aprobare rectorului ASE.
5. Accesul la datele prelucrate va fi permis angajaţilor care au nevoie de acest acces în îndeplinirea obligaţiilor de serviciu, precum şi persoanelor autorizate în mod expres de către conducerea ASE.

Dreptul la informare

1. Procedurile folosite de angajați în legătură cu prelucrarea datelor cu caracter personal vor fi puse la dispoziţie persoanelor vizate, sub formă de informaţii furnizate într‐un limbaj accesibil, prin mijloace fizice (de exemplu, prin broşuri) sau electronice.
2. La solicitarea persoanelor vizate, angajații sunt obligaţi să comunice informaţii în legătură cu datele cu caracter personal pe care le prelucrează, sursele din care au colectat datele cu caracter personal, scopurile prelucrării, terţii cărora le‐au fost dezvăluite aceste date, cu excepţia cazurilor în care legea nu interzice o astfel de informare.
3. În cazul în care dezvăluirea datelor este impusă de lege (cum ar fi de exemplu:
   – în vederea executării unei hotărâri judecătoreşti, pentru desfășurarea unei anchete / cercetări penale), angajații se vor asigura că terţul care solicită dezvăluirea acţionează în conformitate cu dispoziţiile legale aplicabile, iar cererea are ca obiect numai datele cu caracter personal neexcesive prin raportare la scopul dezvăluirii. Persoana vizată va fi informată în legătură cu dezvăluirea, numai dacă legea permite.
4. Aducerea la cunoştinţă persoanelor vizate a drepturilor de care beneficiază se poate face prin materiale scrise sau prin mijloace electronice.

Dreptul de acces

1. Angajații sunt obligaţi să permită accesul persoanelor vizate la datele cu caracter personal care le privesc, prin cele mai facile mijloace, pe care le pot pune la dispoziţie, în mod rezonabil.
2. Accesul persoanei vizate nu poate fi permis, cu excepţia cazurilor prevăzute de lege, sau stabilite de autoritatea de supraveghere, în situaţii precum: în cazul în care sunt solicitate date despre o altă persoană; în cazul în care ar putea fi afectate viaţa şi siguranţa altei persoane; în cazul în care sunt solicitate date care pot privi informaţii comerciale confidenţiale; în cazul în care s‐ar aduce atingere soluţionării unui litigiu sau a unui proces penal.
3. Angajații sunt obligaţi să motiveze refuzul de a permite accesul la anumite date cu caracter personal.

Dreptul de intervenţie

1. Persoanele vizate au dreptul de a solicita verificarea exactităţii şi a caracterului complet al datelor cu caracter personal care le privesc, precum şi de a solicita rectificarea datelor inexacte sau incomplete, prin formularea unor contestaţii.
2. Angajații vor păstra o evidenţă a contestaţiilor privind caracterul exact sau complet al datelor, care nu au fost rezolvate, iar în cazul în care datele vor fi transferate către alţi operatori, vor fi precizate datele care au fost rectificate sau în privinţa cărora există contestaţii nerezolvate.
3. Dispoziţiile alin. (2) se aplică şi în cazul dezvăluirii de date către terţi, dacă este cazul.
4. Actualizarea bazelor de date se face pe baza informaţiilor transmise de persoanele vizate, precum şi a informaţiilor furnizate de orice sursă externă autorizată de lege.

Dreptul de a fi uitat

1. Prin exercitarea dreptului de a fi uitat, persoana vizată solicită ștergerea tuturor datelor cu caracter personal care îi aparțin și care se află în evidențele și/sau în bazele de date gestionate de angajații ASE.
2. Persoanele vizate îşi pot exercita dreptul de a fi uitat în orice moment ulterior scurgerii perioadei stabilite de lege pentru păstrarea datelor cu caracter personal care se referă, după caz, la:
   a) salarizare;
   b) achitarea contribuțiilor de asigurări sociale, asigurări de sănătate și impozitelor reținute la nivelul angajatorului;
   c) durata școlarizării;
   d) durata / perioadele în care persoana vizată a fost școlarizată fiind finanțată de stat;
   e) durata / perioadele în care persoana vizată a beneficiat de burse sau de ajutoare;
   f) rezultatele școlarizării în temeiul cărora s‐au emis diplome de licență,
   diplome de studii postuniversitare, doctorale sau postdoctorale.
3. În cazul prelucrărilor ulterioare, precum şi al transferului către alţi operatori al datelor cu caracter personal, angajații se vor asigura că acestea se fac în baza unor obligații legale exprese.

Legitimitatea transferului

1. În cazul transferului de date cu caracter personal către alţi operatori, persoanele vizate vor fi informate cu privire la transfer, menționându‐se temeiul legal al efectuării transferului.
2. Garanţiile pentru asigurarea protecţiei datelor cu caracter personal în cadrul transferului de date către alţi operatori vor fi prevăzute prin acorduri tehnice și procedurale încheiate cu aceștia.

Soluţionarea plângerilor / reclamațiilor

1. Procedura de primire, înregistrare și soluționare a plângerilor, reclamațiilor și a celorlalte cereri ale persoanelor vizate va fi conformă cu prevederile Regulamentului de Organizare și Funcționare ASE și ale Regulamentului Intern ASE, în termenele și condițiile prevăzute de lege.
2. Responsabilul cu protecția datelor are obligația de a organiza, coordona, monitoriza și comunica soluționarea plângerilor, reclamațiilor și petițiilor adresate ASE legate de prelucrarea datelor cu caracter personal, în termenele și condițiile prevăzute de lege.
3. În acest scop, responsabilul cu protecția datelor va colabora cu toate structurile organizatorice din cadrul ASE, conform prevederilor Regulamentului de Organizare și Funcționare și ale Regulamentului Intern.

Colaborarea cu autoritatea de supraveghere

1. Anual sau ori de câte ori se va solicita, responsabilul cu protecția datelor va prezenta autorităţii de supraveghere a prelucrărilor de date cu caracter personal rapoarte sau sinteze cu privire la reclamațiile primite şi la modul de soluţionare a acestora.
2. Rapoartele şi sintezele la care se referă alin. (1) vor putea conţine şi alte informaţii privind aspecte din activitatea angajaților în domeniul protecţiei datelor cu caracter personal, precum şi propuneri de îmbunătăţire a activităţii acestora.
3. Responsabilul cu protecția datelor are obligația de a notifica autoritatea națională de supraveghere cu privire la incidentele de securitate în urma cărora datele  persoanelor vizate au devenit accesibile unui număr nelimitat de persoane sau pentru care există o probabilitate ridicată să ajungă accesibile unui număr nelimitat de persoane.
4. Termenul în care se face notificarea, precum și conținutul acesteia se conformează prevederilor Regulamentului general privind protecția datelor.

Cheltuielile suportate de către persoanele vizate

1. Angajații vor lua măsuri pentru asigurarea unui nivel rezonabil al cheltuielilor ocazionate de exercitarea drepturilor prevăzute de lege şi de codul de conduită, cheltuieli care sunt în sarcina persoanei vizate, cu excepţia cazului în care aceste drepturi pot fi exercitate în mod gratuit.

Sancțiuni

1. Încălcarea cu vinovăție a normelor din prezenta Politică de către angajații ASE constituie abatere disciplinară, care va atrage răspunderea disciplinară a angajatului, în condițiile prevederilor Regulamentului Intern ASE.
2. Dacă faptele sunt săvârșite în astfel de condiții încât, potrivit legii penale, constituie infracțiuni, făptuitorii acestora vor fi sancționați conform legii penale.  Răspundererea penală nu exclude răspunderea disciplinară pentru fapta săvârșită.
3. Dacă în conținutul unei plângeri/reclamații/sesizări în formă scrisă sau electronică se descriu fapte ale angajaților ASE, de natură să contravină normelor din prezenta Politică, va fi sesizat responsabilul cu protecția datelor.
4. Acesta va informa conducătorul structurii organizatorice din care face parte angajatul, urmând ca, în urma analizării situației de fapt și de drept, să se stabilească dacă faptele semnalate se înscriu în prevederile alineatelor (1) și/sau (2) de mai sus.
5. Stabilirea abaterilor disciplinare și sancțiunile disciplinare aplicabile acestora se face conform dispozițiilor Regulamentului Intern ASE, în condițiile legii.