POLITICA PRIVIND CADRUL GENERAL DE PROTECȚIE A DATELOR CU CARACTER PERSONAL RENAULT GROUP ROMANIA

PREAMBUL

Prin Renault Group România (denumit în continuare RGR) se înțeleg toate și oricare din entităţile de naționalitate română afiliate la RENAULT SA Franța, cu sediul în Franța, 92100 Boulogne-Billancourt, Quai Alphonse le Gallo, 13/15, după cum urmează : Automobile Dacia SA, Renault Technologie Roumanie SRL și Renault Commercial Roumanie SRL., Organizaţia Patronală Auto Industrial, Organizaţia Patronală Auto Inginerie Comercială, Federaţia Patronatelor din Industria Auto.

RGR se angajează să păstreze confidențialitatea datelor personale obținute în cursul activităților sale și să respecte legile și reglementările aplicabile privind prelucrarea acestor date ("Datele cu caracter personal") inclusiv date sensibile ("date sensibile"). Acestea includ, dar nu se limitează la Legea română nr. 677 din 21 noiembrie 2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, Directiva UE privind protecția datelor 95/46/CE și Regulamentul privind protecția datelor ("GDPR") 2016/679.

RGR a decis să adopte o Politică privind Cadrul General de Protecție a Datelor cu Caracter Personal prin care stabilește măsuri tehnice și organizatorice adecvate de prevenire a procesării neautorizate și ilegale a datelor cu caracter personal și de prevenire a pierderii sau distrugerii accidentale sau a deteriorării acestor date.

Întrebările cu privire la legislația aplicabilă, procedurile care implică colectarea sau utilizarea unor tipuri speciale de date cu caracter personal pot fi adresate responsabilului pentru protecția datelor sau DPO, care este responsabil pentru supravegherea respectării acestei Politici privind Cadrul General de Protecție a Datelor cu Caracter Personal prin rețeaua de ambasadori pentru protecția datelor, după caz.

RGR își rezervă dreptul de a actualiza Politica privind Cadrul General de Protecție a Datelor cu Caracter Personal în orice moment fără notificare prealabilă, pentru a asigura respectarea celor mai adecvate standarde în materie.

ARTICOLUL I - DEFINIȚII

Urmatorii termeni și expresii, atunci când sunt scrise cu majusculă, au următoarele semnificații stabilite mai jos:

„Grupul de lucru pentru articolul 29" este alcătuit din reprezentantul autorității de protecție a datelor din fiecare stat membru al UE, al Autorității Europene de supraveghere pentru Protecția Datelor și al Comisiei Europene. Grupul de lucru este independent și acționează în calitate de consultant.

"Comitetul director al RGR" este un comitet special dedicat protecției datelor, alcătuit din reprezentanți ai conducerii RGR și DPO.

„Angajat RGR" este orice salariat al unei societăți din RGR, inclusiv manageri, manageri de proiect, salariați cu funcții de execuție, stagiari, voluntari, ucenici, precum și colaboratori permanenți sau temporari cu statut de persoană fizică autorizată.

„Operator de date cu caracter personal” = poate fi orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autoritățile publice, instituțiile si structurile teritoriale ale acestora, care stabileste scopul si mijloacele de prelucrare a datelor cu caracter personal sau care este astfel desemnată intr-un act normativ.

„Ambasador pentru Protecția Datelor“ sau „APD“ înseamnă persoana din fiecare direcție executivă din cadrul entităților RGR care este responsabilă, sub îndrumarea DPO, pentru asigurarea conformității direcției executive din aria de responsabilitate cu Politica privind Cadrul General de Protecție a Datelor cu Caracter Personal și cu cerințele legale / reglementare aplicabile.

„Persoana imputernicita de operator” = persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului.

„Autoritatea pentru Protecția Datelor" înseamnă Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP, autoritatea administrativă responsabilă oficial de protecția datelor cu caracter personal în România. Termenul include orice înlocuitor sau succesor al ANSPDCP.

„Responsabil de Protecție a Datelor" sau "DPO" înseamnă persoana responsabilă de supravegherea globală a respectării Politicilor de Protecție a Datelor printr-o rețea de Ambasadori pentru Protecția Datelor.

„Date cu caracter personal” = orice informatii privind o persoana fizica identificata sau identificabila («persoana vizata») ; o persoana identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice culturale sau sociale.

Prelucrare = orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi : colectarea, inregistrarea, organizarea, structurarea, stocarea (pastrarea pe orice fel de suport a datelor cu caracter personal), adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea lor.

"Jurisdicția reglementată" înseamnă statele membre ale UE și Spațiul Economic European (SEE). La data intrării în vigoare a prezentei Politici, aceasta include Austria, Belgia, Bulgaria, Cipru, Republica Cehă, Danemarca, Estonia, Finlanda, Franța, Germania, Grecia, Ungaria, Islanda, Irlanda, Italia, Letonia, Liechtenstein, Lituania, Luxembourg, Malta, Olanda, Norvegia, Polonia, Portugalia, România, Slovacia, Slovenia, Spania, Suedia și Regatul Unit. Jurisdicția reglementată include Elveția. Transferurile de date cu caracter personal către Elveția nu necesită autorizarea ANSPDCP.

„Persoana vizata din punct de vedere al jurisdicției reglementate" înseamnă orice persoana care era rezident al unei jurisdicții reglementate în momentul colectării datelor sale cu caracter personal.

„Date cu caracter special" înseamnă datele menționate la art. 9 din GDPR.

„Terță parte” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.

ARTICOLUL II - SCOP

Scopul Politicii privind Cadrul General privind Protecția Datelor cu Caracter Personal este de a defini regulile cheie, privind asigurarea celui mai adecvat nivel de protecție datelor cu caracter personal, care sunt aplicabile în cadrul entităților RGR și vizează orientarea entităților RGR în stabilirea programelor de protecție a datelor și respectarea reglementărilor aplicable pentru protecția datelor.

ARTICOLUL III - DOMENIUL DE APLICARE

1. Aria teritorială de aplicare

Prezenta Politica privind Cadrul General de protecție a datelor se aplica Procesării datelor cu caracter personal colectate în România, indiferent dacă prelucrarea are loc în România sau nu.

2. Domeniul de aplicare material

Prezenta politică de protecție a datelor se aplică activităților de prelucrare realizate de către entitățile RGR.

Toate tipurile și categoriile de date cu caracter personal prelucrate de entitățile RGR în cursul activităților lor vor intra în domeniul de aplicare al acestei Politici privind Cadrul General de Protecție a Datelor cu Caracter Personal. Aceste tipuri și categorii includ: Datele personale colectate de la clienți, potențiali clienți, vizitatori, angajați RGR, candidați solicitanți de locuri de muncă, agenți, furnizori și alte părți terțe (enumerarea este doar cu titlu de exemplu).

Politica privind Cadrul General de Protecție a Datelor cu Caracter Personal acoperă atât tipurile automate, cât și cele manuale de procesare.

ARTICOLUL IV - PRINCIPII DE PRELUCRARE

Principii generale

Prelucrarea datelor cu caracter personal sub controlul entităților RGR va fi realizată în conformitate cu legile în vigoare, precum și cu dispozițiile Politicii privind Cadrul General de Protecție a Datelor cu Caracter Personal și, în special, cu respectarea următoarele reguli minime:

Datele personale ar trebui prelucrate numai dacă o astfel de prelucrare are temeiuri legitime, incluzând, de exemplu:

Datele sensibile

Datele sensibile includ toate datele personale referitoare la:

Procesarea datelor sensibile este interzisă cu excepția cazului în care:

Subcontractarea

Atunci când prelucrarea este efectuată de un subcontractant in numele unei entități RGR, aceasta din urmă alege un subcontractant care să ofere suficiente măsuri tehnice de securitate și măsuri organizatorice pentru a se asigura că procesarea va fi efectuată în conformitate cu Politica privind Cadrul General de Protecție a Datelor cu Caracter Personal iar entitatea RGR trebuie să se asigure că subcontractantul va respecta aceste măsuri. Entitatea RGR care alege subcontractantul se asigură că subcontractantul va fi de acord cu aceste măsuri tehnice de securitate și măsuri organizatorice în scris prin executarea unui contract care prevede în special că subcontractantul va acționa numai conform instrucțiunilor entității RGR.

Transferuri de date în afara jurisdicției reglementate

Entitățile RGR trebuie să se asigure că transferurile de date cu caracter personal în afara UE se bazează pe un mecanism aprobat de autoritatea competentă pentru protecția datelor. În funcție de jurisdicția locală a entității afiliate RGR, aceste mecanisme aprobate pot include:

Responsabilitate

Toate entitățile RGR și direcțiile executive au obligația să demonstreze măsurile pe care le-au luat pentru a asigura conformitatea cu GDPR, precum și pentru a demonstra eficacitatea acestor măsuri ("principiul responsabilității").

ARTICOLUL V - DREPTURILE INDIVIDUALE PRIVIITOARE LA DATELE PERSONALE

Legislația privind protecția datelor prevede că persoanele vizate trebuie să primească informații cu privire la prelucrarea datelor lor personale în momentul colectării datelor. Deși pot exista excepții de la această regulă, acestea sunt rare. Aceste informațiile sunt:

În conformitate cu GDPR, consimțământul expres al persoanei vizate devine regula, inclusiv în ceea ce privește prelucrarea datelor personale fără caracter special.

Consimțământul trebuie să fie dat printr-un răspuns afirmativ clar, care să indice un acord gratuit, specific, informat și lipsit de ambiguitate al persoanei vizate cu privire la prelucrarea datelor cu caracter personal care o privesc, cum ar fi printr-o declarație scrisă, inclusiv prin mijloace electronice sau o declarație orală. În toate cazurile dovada consimțământului trebuie să fie fixată în scopul probațiunii. Tăcerea, « căsuțele » pre-bifate sau inactivitatea nu pot fi luate în considerare drept formă de exprimare a unui consimțământ valabil.

Consimțământul trebuie să acopere toate activitățile de prelucrare a datelor cu caracter personal efectuate în același scop sau scopuri. Atunci când prelucrarea datelor cu caracter personal are scopuri multiple, consimțământul trebuie acordat pentru toate acestea. În cazul în care consimțământul persoanei vizate urmează a fi dat în urma unei cereri prin mijloace electronice, cererea trebuie să fie clară, concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care este furnizat.

În conformitate cu GDPR, în cazul în care operatorul de date cu caracter personal intenționează să prelucreze în continuare datele cu caracter personal într-un alt scop decât cel pentru care au fost colectate, acesta furnizează persoanei respective, înainte de această prelucrare diferită și nouă, informații cu privire la acest nou scop și orice informații suplimentare relevante.

În cazul prelucrării datelor cu caracter personal, persoanele vizate au dreptul, pe baza unei solicitări scrise:

ARTICOLUL VI - ACȚIUNI PENTRU IMPLEMENTARE

Program de Training/formare

Entitățile RGR se angajează să implementeze programe de formare privind protecția datelor cu caracter personal pentru angajații RGR implicați în prelucrarea acestor date și să dezvolte instrumentele utilizate pentru prelucrarea datelor cu caracter personal cu privire la principiile conținute în prezenta Politica privind Cadrul General de Protecție a Datelor cu Caracter Personal.

Principiile generale de formare și de sensibilizare vor fi elaborate la nivelul DPO, în timp ce dezvoltarea finală și punerea în aplicare a sesiunilor de formare și de sensibilizare (e-learning, față-în-fata ...) vor fi efectuate de către fiecare direcție executivă din entitățile RGR, în conformitate cu procesele aplicabile.

Fiecare direcție executivă din entitățile RGR trebuie să definească modul în care efectuează controlul asupra nivelului de formare realizat cu succes. În plus, fiecare direcție executivă din entitățile RGR va determina periodicitatea formărilor recapitulative, instruirea privind protecția datelor cu caracter personal a noilor angajați RGR, ca parte a sesiunii lor de inițiere după integrarea într-o entitate RGR, precum și o formare anuală dedicată în special angajaților RGR care sunt mai implicați în aspectele critice privind datele cu caracter personal.

Direcțiile executive din entitățile RGR pot considera ca următoarele aspecte să fie incluse în programul de instruire: (i) rezumate ale conceptelor cheie; (ii) prezentarea criteriilor pentru prelucrarea legală a datelor cu caracter personal; (iii) rezumate ale motivelor pentru prelucrarea datelor cu caracter personal; (iv) ilustrarea aplicării principiilor cheie în practică; (v) o prezentare generală a politicilor și procedurilor relevante ale entităților RGR; sau (vi) un studiu de caz interactiv prin care angajații trebuie să gestioneze o problemă de protecție a datelor, cum ar fi solicitarea unei persoane vizate de a accesa toate datele personale referitoare la el sau ea. În toate cazurile, formarea ar trebui să se concentreze asupra cerințelor din cadrul legilor privind protecția datelor aplicabile entităților RGR.

Asigurarea conformității cu regulile GDPR

RGR are:

DPO stabilește politica de protecție a datelor personale de către RGR, în conformitate cu obiectivele strategice ale grupului și se asigură că entitățile RGR aderă la prevederile aplicabile ale regulilor de protecție a datelor și a vieții private.

Direcțiile executive din entitățile RGR își aliniază în mod regulat activitățile la orientările emise de DPO, însă sunt responsabile de modul de exercitare a expertizei în domeniul protecției datelor personale.

DPO trebuie să fie sprijinit în îndeplinirea sarcinilor sale de către o rețea de Ambasadori pentru protecția datelor. DPO trebuie să fie sprijinit de această rețea de ambasadori pentru îndeplinirea sarcinilor sale și trebuie să îi fie furnizate orice alte informații solicitate, integral și fără întârzieri nejustificate.

Rețeaua de ambasadori este ținută de instrucțiunile DPO.

Atribuțiile Ofițerului pentru protecția datelor (DPO):

În îndeplinirea sarcinilor sale, responsabilul cu protecția datelor ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării.

Monitorizarea internă a activităților de prelucrare.

În vederea prevenirii oricăror consecințe grave ale încălcării legilor privind protecția datelor, entitățile RGR implementează programe de conformitate și controale conexe care sunt proiectate în mod rezonabil pentru a preveni, a detecta, a monitoriza și a aborda încălcările potențiale ale legilor privind protecția datelor.

ARTICOLUL VII - PLÂNGERI

Entitățile RGR au un proces intern de soluționare a plângerilor. Persoanele vizate din jurisdicția reglementată pot depune plângere cu privire la orice prelucrare ilegală sau inadecvată a datelor lor personale, care este incompatibilă cu politica de protecție a datelor. Plângerea se depune la:

Entitățile RGR vor avea pe site-ul internet instrumente practice care să permită persoanelor vizate să depună plângerile, inclusiv cel puțin una dintre următoarele:

Cu excepția cazului în care se dovedește deosebit de dificil să se găsească informațiile necesare desfășurării investigației, plângerile trebuie investigate în termen de o (1) lună de la data depunerii.

ARTICOLUL VIII - ASISTENȚA RECIPROCĂ ȘI COOPERAREA CU AUTORITĂȚILE DE PROTECȚIE A DATELOR

Entitățile RGR vor coopera cu Autoritatea pentru Protecția Datelor cu privire la orice aspecte legate de protecția datelor, astfel:

Dacă Autoritatea pentru Protecția Datelor solicită informații sau își exercită în alt mod dreptul de investigație, DPO trebuie informat fără întârziere de către rețeaua de Ambasadori pentru protecția datelor. În acest caz, DPO va acționa în calitate de coordonator pentru a formula un răspuns adecvat la solicitare, după consultarea cu rețeaua de ambasadori pentru protecția datelor, după caz, precum și cu alți responsabili și / sau corespondenți (de exemplu: avocat, consilier juridic, ofițer de etică și conformitate și / sau responsabil securitate IT).

În plus, DPO va acționa ca prim și direct contact cu respectivele Autoritatea pentru Protecția Datelor.

ARTICOLUL IX - DATA INTRĂRII ÎN VIGOARE ȘI TERMENUL

Politica privind Cadrul General de protecție a datelor va intra în vigoare la 25 mai 2018 pentru o perioadă nedeterminată.

ARTICOLUL X - IMPLEMENTARE - NOTIFICAREA BREȘELOR DE SECURITATE - REVIZUIRE - RAPORTARE

Punerea în aplicare

Fiecare direcție executivă din entitățile RGR este responsabilă pentru asigurarea unui program adecvat și eficient de protecție a datelor. Pentru a facilita buna funcționare a acestor programe, RGR va supraveghea implementarea și funcționarea continuă a programelor de conformitate a entităților RGR pentru protecția datelor. Programele de conformitate pentru protecția datelor ale entităților RGR vor face obiectul unor audituri interne periodice care vor testa eficacitatea controalelor de conformitate a protecției datelor.

Notificare privind încălcarea normelor de protecție a datelor cu caracter personal

Când datele cu caracter personal sunt susceptibile de a fi afectate de o breșă de securitate, Ambasadorul din direcția executivă în cauză trebuie imediat să notifice DPO. Apoi, entitatea RGR din care face parte direcția executivă în cauză, împreună cu DPO, trebuie să notifice Autoritatea de Protecție a datelor, fără întârzieri nejustificate și, acolo unde este posibil, în termen de 72 de ore de la momentul in care entitatea RGR devine conștientă de încălcarea securității datelor cu caracter personal, în activitatea direcției executive în cauză.

Entitatea RGR (entitățile) care ar putea acționa în calitate de Operator de date cu caracter personal trebuie să notifice entitățile afiliate care ar putea acționa în calitate de împuterniciți ai operatorului de date cu caracter personal, fără întârzieri nejustificate, după ce au luat cunoștință de breșa de securitate.

Rețeaua de ambasadori pentru protecția datelor documentează orice breșă de securitate, , efectele sale și măsurile de remediere luate pentru a informa printr-un raport în acest sens DPO. Această documentație trebuie să permită DPO să verifice respectarea cerințelor legate de Notificarea unui breșe de securitate Autorității de supraveghere pentru protecția datelor.

Daca breșa de securitate este de natură să conducă la un grad ridicat de risc pentru drepturile și libertățile persoanelor vizate, entitatea RGR în cauză trebuie să notifice, de asemenea, persoanele vizate afectate de breșă, fără întârzieri nejustificate, cu excepția cazului în care se aplică anumite excepții (de exemplu, compania RGR a luat măsuri pentru a reduce riscul pentru persoanele vizate și / sau notificarea ar implica eforturi disproporționate și / sau persoanele vizate au fost informate prin intermediul comunicărilor publice).

Revizuire

DPO va asigura revizuirea și actualizarea periodică a Politicii privind Cadrul General de Protecție a Datelor cu Caracter Personal, de exemplu ca o consecință a unor schimbări majore în structura corporativă și în mediul de reglementare.

În această privință, DPO va ajuta la definirea și actualizarea măsurilor organizatorice și tehnice care urmează să fie puse în aplicare atunci când se colectează, prelucrează, și / sau utilizează date cu caracter personal în conformitate cu cerințele legale. Astfel de măsuri organizatorice și / sau tehnice pot intra în vigoare imediat după ce DPO a revizuit și aprobat compatibilitatea acestora cu această Politică privind Cadrul General de Protecție a Datelor cu Caracter Personal.

Raportarea

Entitățile RGR raportează informații privind încălcările securității datelor, orice audit sau examinare de către Autoritatea pentru Protecția Datelor sau orice comunicare cu Autoritatea pentru Protecția Datelor către RGR.