Site-ul nostru foloseste cookie-uri. Continuand navigarea va exprimati acordul pentru folosirea cookie-urilor, asa cum este detaliat in politica noastra de confidentialitate.
Accept
eCom
despre noi știri contact
1. Scopul, obiectul și utilizatorii
ELKO Grupa AS, denumită în continuare "ELKO", face toate eforturile pentru a respecta legile și reglementările aplicabile privind protecția datelor cu caracter personal în țările în care ELKO operează. Această Politică stabilește principiile de bază prin care ELKO prelucrează datele personale ale clienților, furnizorilor, partenerilor de afaceri, angajaților și ale altor persoane și indică responsabilitățile departamentelor sale de afaceri și ale angajaților în procesul de prelucrare a datelor cu caracter personal.
Această politică se aplică societății ELKO și filialelor sale controlate direct sau indirect, care desfășoară activități în Spațiul Economic European (SEE) sau care prelucrează datele cu caracter personal ale subiecților vizați din cadrul SEE.
Utilizatorii acestui document sunt toți angajați, permanenți sau temporari, și contractanții care lucrează în numele ELKO.
2. Documentele de referință
  • Regulamentul UE GDPR 2016/679 (Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46 / CE)
  • Legile sau reglementările naționale relevante pentru implementarea GDPR în fiecare țară în care este reprezentată ELKO
  • Politica de protecție a datelor cu caracter personal a angajatului
  • Politica de păstrare a datelor
  • Instrucțiuni pentru activitățile de inventariere și prelucrare a datelor
  • Procedura de solicitare a accesului de către subiectul vizat
  • Instrucțiuni privind evaluarea impactului privind protecția datelor
  • Procedura de transfer a datelor personale transfrontaliere
  • Politica de securitate IT
  • Politica de control al accesului
  • Proceduri de securitate pentru departamentul IT
  • Politica „Aduceți-vă propriul dispozitiv” (BYOD)
  • Dispozitivele mobile și politica de lucru la distanță
  • Politica de anonimizare și pseudonimizare
  • Politica privind utilizarea criptării
  • Procedura de notificare a încălcării
3. Definiții
Următoarele definiții ale termenilor utilizați în acest document sunt extrase din articolul 4 din Regulamentul UE privind protecția generală a datelor:
Date personale: Orice informație referitoare la o persoană fizică identificată sau identificabilă ("subiectul vizat") care poate fi identificată, direct sau indirect, în special prin referire la un identificator, cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale a acelei persoane fizice.
Datele cu caracter personal sensibile: Datele personale care, prin natura lor, sunt deosebit de sensibile în raport cu drepturile și libertățile fundamentale, merită o protecție specifică, deoarece contextul prelucrării lor ar putea crea riscuri semnificative pentru drepturile și libertățile fundamentale. Aceste date cu caracter personal includ date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, credințele religioase sau filosofice sau calitatea de membru al unui sindicat, datele genetice, datele biometrice în scopul identificării unice a unei persoane fizice, datele privind sănătatea sau datele referitoare la viața sexuală sau orientarea sexuală a unei persoane.
Operatorul de date: Persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau în comun cu alții, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.
Procesatorul de date: O persoană fizică sau juridică, o autoritate publică, o agenție sau orice alt organism care prelucrează date cu caracter personal în numele unui operator de date.
Prelucrare: o operațiune sau un set de operațiuni care se efectuează asupra datelor personale sau seturilor de date cu caracter personal, indiferent dacă se face prin mijloace automate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, recuperarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea datelor, sau nu.
Anonimizarea: Datele cu caracter personal care nu pot fi identificate în mod ireversibil, astfel încât persoana să nu poată fi identificată într-un timp rezonabil, cu un cost și o tehnologie rezonabile, fie de către operator, fie de către orice altă persoană pentru a identifica persoana respectivă. Principiile de prelucrare a datelor cu caracter personal nu se aplică datelor anonime, deoarece acestea nu mai sunt date cu caracter personal.
Pseudonimizarea: prelucrarea datelor cu caracter personal în așa fel încât datele personale să nu mai poată fi atribuite unui anumit subiect vizat fără utilizarea unor informații suplimentare, cu condiția ca aceste informații suplimentare să fie păstrate separat și să facă obiectul unor măsuri tehnice și organizatorice care să asigure că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau identificabile. Pseudonimizarea reduce, dar nu elimină complet, capacitatea de a lega date personale de un subiect vizat. Deoarece datele pseudonime sunt în continuare date cu caracter personal, prelucrarea datelor pseudonime ar trebui să respecte principiile de prelucrare a datelor personale.
Prelucrarea transfrontalieră a datelor cu caracter personal: prelucrarea datelor cu caracter personal care are loc în cadrul activităților unităților din mai multe state membre ale operatorului sau procesatorului în Uniunea Europeană în cazul în care operatorul sau procesatorul este stabilit în mai mult de un stat membru; sau prelucrarea datelor cu caracter personal care are loc în contextul activităților unei singure unități a unui operator sau procesator în Uniune, dar care afectează în mod substanțial sau sunt susceptibile de a afecta în mod substanțial persoanele vizate în mai multe state membre;
Autoritatea de supraveghere: o autoritate publică independentă stabilită de un stat membru în conformitate cu articolul 51 din GDPR UE;
Autoritatea principală de supraveghere: autoritatea de supraveghere cu responsabilitatea principală pentru gestionarea unei activități de prelucrare a datelor transfrontaliere, de exemplu atunci când un subiect vizat depune o plângere privind prelucrarea datelor sale cu caracter personal; este responsabilă, printre altele, pentru primirea notificărilor privind încălcarea datelor, trebuie să fie notificată cu privire la activitatea de prelucrare riscantă și va avea autoritatea deplină în ceea ce privește obligațiile care îi revin pentru a asigura respectarea dispozițiilor GDPR UE;
Fiecare "autoritate locală de supraveghere" va continua să se mențină în propriul teritoriu și va monitoriza orice prelucrare locală de date care afectează persoanele vizate sau care este efectuată de un operator sau de un procesator din UE sau din afara UE atunci când prelucrarea lor vizează subiecți care locuiesc pe teritoriul său. Sarcinile și competențele acesteia includ desfășurarea de investigații și aplicarea măsurilor administrative și a amenzilor, promovarea gradului de conștientizare a publicului asupra riscurilor, regulilor, securității și drepturilor în ceea ce privește prelucrarea datelor cu caracter personal, precum și obținerea accesului la orice sediu al operatorului și al procesatorului, inclusiv la orice echipament și mijloace de prelucrare a datelor.
"Sediul principal în ceea ce privește un operator" cu sedii în mai multe state membre, locul administrației sale centrale în Uniune, cu excepția cazului în care deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter personal sunt luate într-o altă unitate a operatorului în Uniune și aceasta din urmă are puterea de a pune în aplicare astfel de decizii, caz în care sediul care a luat astfel de decizii trebuie considerată a fi sediul principal;
"Sediul principal în ceea ce privește un procesator" cu sedii în mai multe state membre, locul administrației sale centrale în Uniune sau, în cazul în care operatorul nu are o administrație centrală în Uniune, sediul procesatorului în Uniune unde activitățile principale de prelucrare în contextul activităților unui sediu al prelucrătorului au loc în măsura în care procesatorul este supus unor obligații specifice în temeiul prezentului Regulament;
Grupul ELKO: ELKO Grupa AS și filialele sale în teritoriile UE și SEE.
Biroul de vânzări: orice filială cu sediul în teritoriile UE și SEE ale ELKO.
Echipa ELKO pentru confidențialitatea datelor: Un grup de profesioniști instruiți în mod avansat în cadrul ELKO Grupa AS, care se pot schimba periodic, dar care va include în orice moment persoane desemnate din departamentul juridic și departamentul IT și care pot fi contacte oricând prin intermediul e-mail: Data_Privacy@elkogroup.com.
Paznicii de date ELKO: Persoane desemnate din fiecare țară din Spațiul Economic European (SEE), în care este reprezentat Grupul ELKO, care în majoritatea cazurilor includ manageri ai departamentelor RU și IT locale, dar și reprezentanți ai altor departamente și care sunt profesioniști avansați în cadrul Grupul ELKO în domeniul prelucrării datelor cu caracter personal. Pentru detalii de contact cu privire la date specifice legate de Paznicii de date, vă rugăm să trimiteți o cerere prin e-mail: Data_Privacy@elkogroup.com.
4. Principii de bază privind prelucrarea datelor cu caracter personal
Principiile de protecție a datelor definesc responsabilitățile de bază ale organizațiilor care manipulează datele cu caracter personal. Articolul 5 alineatul (2) din GDPR prevede că "operatorul este responsabil și poate să demonstreze respectarea principiilor."

4.1. Legalitatea, corectitudinea și transparența
Datele cu caracter personal trebuie prelucrate în mod legal, corect și transparent în raport cu subiectul vizat.

4.2. Limitarea scopului
Datele cu caracter personal trebuie colectate în scopuri specificate, explicite și legitime și nu trebuie prelucrate într-o manieră incompatibilă cu aceste scopuri.

4.3. Minimizarea datelor
Datele cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate. Grupul ELKO trebuie să aplice anonimizarea sau pseudonimizarea datelor personale, dacă este posibil, pentru a reduce riscurile pentru subiecții vizați.

4.4. Precizia
Datele cu caracter personal trebuie să fie exacte și, dacă este necesar, să fie actualizate; trebuie luate măsuri corespunzătoare pentru a ne asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate în timp util.

4.5. Perioada de păstrare limitată
Datele cu caracter personal nu trebuie păstrate decât în măsura necesară scopurilor pentru care datele cu caracter personal sunt prelucrate.

4.6. Integritate și confidențialitate
Luând în considerare stadiul tehnologic și alte măsuri de securitate disponibile, costul de punere în aplicare și probabilitatea și severitatea riscurilor legate de datele cu caracter personal, Grupul ELKO trebuie să utilizeze măsuri tehnice sau organizatorice adecvate pentru prelucrarea datelor cu caracter personal într-o manieră care să asigure o securitate adecvată a datelor cu caracter personal, inclusiv protecția împotriva distrugerii accidentale sau ilegale, pierderii, alternării, accesului neautorizat sau divulgării.

4.7. Responsabilitatea
Operatorii de date trebuie să fie responsabili și să poată demonstra conformitatea cu principiile enunțate mai sus.
5. Construirea protecției datelor în activitățile de afaceri
Pentru a demonstra conformitatea cu principiile protecției datelor, o organizație ar trebui să creeze o protecție a datelor în activitățile sale de afaceri.

5.1. Notificarea către subiecții vizați
(Consultați secțiunea Instrucțiuni de prelucrare corectă.)

5.2. Alegerea și consimțământul subiectului vizat
(Consultați secțiunea Instrucțiuni de procesare corectă.)

5.3. Colectarea
Grupul ELKO trebuie să depună eforturi pentru a colecta cel mai mic număr de date cu caracter personal posibil. În cazul în care datele cu caracter personal sunt colectate de la o terță parte, Echipa ELKO pentru confidențialitatea datelor trebuie să se asigure că datele cu caracter personal sunt colectate în mod legal.

5.4 Utilizarea, păstrarea și eliminarea
Scopurile, metodele, limitarea stocării și perioada de păstrare a datelor cu caracter personal trebuie să fie în concordanță cu informațiile conținute în Comunicarea privind confidențialitatea. Grupul ELKO trebuie să mențină acuratețea, integritatea, confidențialitatea și relevanța datelor personale în funcție de scopul prelucrării. Mecanisme de securitate adecvate pentru protejarea datelor cu caracter personal trebuie utilizate pentru a preveni furtul, utilizarea necorespunzătoare sau abuzul datelor personale și prevenirea încălcării datelor cu caracter personal. Echipa ELKO pentru confidențialitatea datelor este responsabilă de respectarea cerințelor enumerate în această secțiune.

5.5 Divulgarea către terți
Ori de câte ori Grupul ELKO utilizează un furnizor terț sau un partener de afaceri pentru prelucrarea datelor cu caracter personal în numele său, echipa ELKO pentru protecția datelor trebuie să se asigure că acest procesator va oferi măsuri de securitate pentru a proteja datele personale față de riscurile asociate. În acest scop, trebuie utilizat chestionarul ELKO de conformitate al procesatorului GDPR.
Grupul ELKO trebuie să solicite contractual furnizorului sau partenerului de afaceri să ofere același nivel de protecție a datelor. Furnizorul sau partenerul de afaceri trebuie să prelucreze numai datele personale pentru a-și îndeplini obligațiile contractuale față de Grupul ELKO sau pe baza instrucțiunilor Grupului ELKO și nu în alte scopuri. Atunci când Grupul ELKO prelucrează datele personale împreună cu o terță parte independentă, Grupul ELKO trebuie să precizeze în mod explicit responsabilitățile sale și ale părții terțe în contractul corespunzător sau în orice alt document obligatoriu, cum ar fi modelul Acordului de prelucrare a datelor personale ELKO.

5.6. Transferul transfrontalier de date cu caracter personal
Înainte de a transfera date cu caracter personal din Spațiul Economic European (SEE), trebuie să se utilizeze garanții adecvate, inclusiv semnarea unui Acord de transfer de date, conform cerințelor Uniunii Europene și, dacă este necesar, trebuie obținută autorizația autorității competente pentru protecția datelor. Entitatea care primește datele cu caracter personal trebuie să respecte principiile de prelucrare a datelor cu caracter personal prevăzute în Procedura de transfer transfrontalier de date.

5.7. Drepturile de acces ale subiecților vizați
Atunci când acționează în calitate de operator de date, Echipa ELKO pentru confidențialitatea datelor este responsabilă să furnizeze persoanelor vizate un mecanism de acces rezonabil care să le permită accesul la datele lor personale și trebuie să le permită să actualizeze, să rectifice, să șteargă sau să transmită datele lor personale, dacă este cazul sau dacă acest lucru este cerut de lege. Mecanismul de acces va fi detaliat în continuare în Procedura ELKO de solicitare a accesului la date.

5.8. Portabilitatea datelor
Subiecții vizați au dreptul să primească, la cerere, o copie a datelor pe care le-au furnizat într-un format structurat și să le transmită unui alt operator în mod gratuit. Echipa ELKO pentru confidențialitatea datelor este responsabilă pentru a se asigura că aceste cereri sunt procesate în termen de o lună, nu sunt excesive și nu afectează drepturile la datele personale ale altor persoane.

5.9. Dreptul de a fi uitat
La cerere, subiecții vizați au dreptul să obțină de la Grupul ELKO ștergerea datelor lor personale. Atunci când Grupul ELKO acționează în calitate de Operator, Echipa ELKO pentru confidențialitatea datelor trebuie să ia măsurile necesare (inclusiv măsurile tehnice) pentru a informa părțile terțe care utilizează sau prelucrează aceste date să se conformeze cererii.
6. Instrucțiuni privind prelucrarea corectă
Datele personale trebuie prelucrate numai când acest lucru este autorizat în mod explicit de Echipa ELKO pentru confidențialitatea datelor.
Compania trebuie să decidă dacă va efectua evaluarea impactului asupra protecției datelor pentru fiecare activitate de prelucrare a datelor în conformitate cu Instrucțiunile ELKO pentru cartografierea activităților de inventariere și prelucrare a datelor.

6.1. Notificări către subiecții vizați
La data colectării sau înainte de colectarea datelor personale pentru orice fel de activități de prelucrare, inclusiv, dar fără a se limita la vânzarea de produse, servicii sau activități de marketing, Echipa privind confidențialitatea datelor ELKO, în colaborare cu Paznicii de date ELKO din fiecare țară din Spațiul Economic European, în care Grupul ELKO este reprezentat, sunt responsabile să informeze în mod corespunzător persoanele vizate despre următoarele: tipurile de date cu caracter personal colectate, scopul prelucrării, metodele de prelucrare, drepturile subiecților vizați cu privire la datele lor personale, perioada de stocare, potențialele transferuri internaționale de date, în cazul în care datele vor fi comunicate terților și măsurile de securitate ale Grupului ELKO pentru protecția datelor cu caracter personal. Aceste informații sunt furnizate prin Notificarea privind confidențialitatea.

În cazul în care datele cu caracter personal sunt partajate cu o terță parte, Echipa privind confidențialitatea datelor ELKO trebuie să se asigure că persoanele vizate au fost notificate despre acest lucru printr-o Notificare privind confidențialitatea.

În cazul în care datele cu caracter personal sunt transferate către o țară terță în conformitate cu Politica privind transferul transfrontalier de date, notificarea privind confidențialitatea ar trebui să reflecte acest lucru și să precizeze în mod clar locul și entitatea către care sunt transferate datele personale.

În cazul colectării unor date personale sensibile, Echipa pentru protecția datelor ELKO trebuie să se asigure că notificarea privind confidențialitatea precizează explicit scopul pentru care sunt colectate aceste date personale sensibile.

6.2. Obținerea consimțământului
Ori de câte ori prelucrarea datelor personale se bazează pe consimțământul persoanei vizate sau pe alte motive legale, Echipa ELKO pentru confidențialitatea datelor este responsabilă pentru păstrarea unei înregistrări a unui astfel de consimțământ. Echipa ELKO pentru confidențialitatea datelor este responsabilă pentru furnizarea de informații persoanelor vizate cu opțiuni de acordare a consimțământului și trebuie să informeze și să se asigure că acordul lor (ori de câte ori consimțământul este utilizat drept temei legal pentru procesare) poate fi retras în orice moment.

Atunci când colectarea datelor cu caracter personal se referă la un copil cu vârsta sub 16 ani, Echipa ELKO pentru confidențialitatea datelor trebuie să se asigure că acordul părinților este acordat înainte de colectare, utilizând formularul de consimțământ parental.

Atunci când sunt primite cereri de corectare, modificare sau distrugere a datelor cu caracter personal, Echipa privind confidențialitatea datelor ELKO trebuie să se asigure că aceste solicitări sunt tratate într-un interval de timp rezonabil. Echipa privind confidențialitatea datelor ELKO trebuie, de asemenea, să înregistreze cererile și să păstreze un jurnal al acestora.

Datele personale trebuie prelucrate numai în scopul pentru care au fost colectate inițial. În cazul în care Compania dorește să proceseze datele cu caracter personal colectate într-un alt scop, Compania trebuie să solicite consimțământul persoanelor vizate în scris clar și concis. Orice astfel de solicitare ar trebui să includă scopul inițial pentru care au fost colectate datele și, de asemenea, scopul (scopurile) nou sau suplimentar. Cererea trebuie să includă și motivul modificării scopului (scopurilor). Responsabilul cu protecția datelor este responsabil pentru respectarea regulilor din acest paragraf.

Acum și pe viitor, Echipa ELKO pentru confidențialitatea datelor trebuie să se asigure că metodele de colectare respectă legislația, bunele practici și standardele din domeniu.

Echipa ELKO pentru confidențialitatea datelor este responsabilă pentru menținerea unui registru al notificărilor privind confidențialitatea la: http://elkogdpr.elkogroup.com
7. Organizare și responsabilități
Responsabilitatea pentru asigurarea adecvată a prelucrării datelor personale revine oricărei persoane care lucrează pentru sau cu Grupul ELKO și are acces la datele personale prelucrate de Grupul ELKO.

Domeniile-cheie ale responsabilităților pentru prelucrarea datelor cu caracter personal aparțin următoarelor roluri organizaționale:

Consiliul ELKO ia decizii și aprobă strategiile generale ale Grupului ELKO privind protecția datelor cu caracter personal.

Echipa ELKO pentru confidențialitatea datelor este responsabilă pentru gestionarea programului de protecție a datelor cu caracter personal și este responsabilă pentru dezvoltarea și promovarea politicilor de protecție a datelor cu caracter personal de la un capăt la altul.

Paznicii de date ELKO împreună cu directorul Departamentului de vânzări ELKO sunt responsabili de implementarea și localizarea (în cadrul fiecărei țări corespunzătoare din Spațiul Economic European (SEE), unde Grupul ELKO este reprezentat cu un departament de vânzări) a tuturor activităților și acțiunilor de protecție a datelor personale necesare conform politicilor generale de prelucrare a datelor personale ale Grupului ELKO, precum și instrucțiunilor și recomandărilor Echipei ELKO privind confidențialitatea datelor.

Departamentul juridic HQ al ELKO, împreună cu Echipa ELKO pentru confidențialitatea datelor sunt responsabili pentru:
  • Monitorizarea și analizarea legilor privind datele cu caracter personal și modificarea reglementărilor, dezvoltarea cerințelor de conformitate și asistarea departamentelor de afaceri în atingerea obiectivelor lor privind datele personale.
  • Asigurarea cerințelor privind datele cu caracter personal față de orice terță parte pe care o utilizează ca furnizor de servicii externe.
  • Asigurarea controlului asupra respectării cerințelor privind datele personale în cadrul funcției juridice la nivelul Grupului ELKO.
Responsabilul cu tehnologia HQ al ELKO este responsabil pentru:
  • Asigurarea ca toate sistemele, serviciile și echipamentele utilizate pentru stocarea datelor să respecte standardele de securitate acceptabile.
  • Efectuarea de controale și scanări periodice pentru a se asigura că hardware-ul și software-ul de securitate funcționează corect.
  • Asigurarea cerințelor privind datele cu caracter personal față de orice terță parte pe care o utilizează ca furnizor de servicii externe.
  • Asigurarea controlului asupra respectării cerințelor privind datele personale în cadrul funcției IT la nivelul Grupului ELKO.
Directorul de marketing HQ ELKO, este responsabil pentru:
  • Aprobarea tuturor declarațiilor de protecție a datelor atașate la comunicări, cum ar fi e-mailurile și scrisorile.
  • Abordarea oricărei interogări privind protecția datelor de la jurnaliști sau mass-media, cum ar fi ziarele.
  • Dacă este necesar, colaborarea cu Echipa ELKO pentru confidențialitatea datelor pentru a se asigura că inițiativele de marketing respectă principiile de protecție a datelor.
  • Asigurarea cerințelor privind datele cu caracter personal față de orice terță parte pe care o utilizează ca furnizor de servicii externe.
  • Asigurarea controlului asupra respectării cerințelor privind datele personale în cadrul funcției de marketing la nivelul Grupului ELKO.
Directorul de Resurse Umane și Administrație HQ ELKO este responsabil pentru:
  • Îmbunătățirea gradului de conștientizare a angajaților cu privire la protecția datelor personale ale utilizatorilor.
  • Organizarea, colaborarea cu Echipa ELKO privind protecția datelor, expertiză privind protecția datelor cu caracter personal și training de conștientizare a angajaților care lucrează cu date personale.
  • Protecția datelor cu caracter personal de la un capăt la altul. Trebuie să se asigure că datele personale ale angajaților sunt prelucrate pe baza scopurilor și necesităților legitime ale angajatorului.
  • Asigurarea cerințelor privind datele cu caracter personal față de orice terță parte pe care o utilizează ca furnizor de servicii externe.
  • Asigurarea controlului asupra respectării cerințelor privind datele personale în cadrul funcției RU la nivelul Grupului ELKO.
Directorul de finanțe HQ ELKO este responsabil pentru:
  • Asigurarea cerințelor privind datele cu caracter personal față de orice terță parte pe care o utilizează ca furnizor de servicii externe.
  • Asigurarea controlului asupra respectării cerințelor privind datele personale în cadrul funcției din domeniul Finanțelor la nivelul Grupului ELKO.
Directorul departamentului Logistică HQ ELKO este responsabil pentru:
  • Asigurarea cerințelor privind datele cu caracter personal către orice terță parte pe care o utilizează ca furnizor de servicii externe.
  • Asigurarea controlului asupra respectării cerințelor privind datele personale în cadrul funcției din domeniul Logistică la nivelul Grupului ELKO.
Directorul Comercial HQ ELKO este responsabil pentru:
  • Transmiterea responsabilităților de protecție a datelor cu caracter personal către furnizori și îmbunătățirea gradului de conștientizare a furnizorilor de protecție a datelor cu caracter personal.
  • Asigurarea cerințelor privind datele cu caracter personal față de orice terță parte pe care o utilizează ca furnizor de servicii externe.
  • Asigurarea controlului asupra respectării cerințelor privind datele personale în cadrul funcției din domeniul Comercial la nivelul Grupului ELKO.
Directorul de vânzări ELKO este responsabil pentru:
  • Asigurarea implementării și controlului asupra respectării cerințelor privind datele personale în departamentul său de vânzări.
  • Monitorizarea și analizarea legilor locale privind datele cu caracter personal din țara unde se află Departamentul său de vânzări și modificarea reglementărilor, elaborarea cerințelor locale de conformitate, bazate pe politicile și practicile de protecție a datelor personale ale grupului ELKO, precum și pe legile și reglementările locale.
  • Asigurarea cerințelor privind datele cu caracter personal față de orice terță parte pe care o utilizează ca furnizor de servicii externe.
  • Transmiterea responsabilităților de protecție a datelor cu caracter personal către vânzătorii locali (dacă există) și îmbunătățirea gradului de conștientizare a furnizorilor de protecție a datelor cu caracter personal.
  • Transmiterea responsabilităților de protecție a datelor cu caracter personal către clienți și îmbunătățirea gradului de conștientizare a clienților cu privire la protecția datelor cu caracter personal.
8. Instrucțiuni pentru înființarea Autorității Principale de Supraveghere
8.1. Necesitatea înființării Autorității principale de supraveghere
Identificarea unei autorități principale de supraveghere este relevantă numai dacă societatea desfășoară prelucrarea transfrontalieră a datelor cu caracter personal.
Prelucrarea transfrontalieră a datelor cu caracter personal se efectuează dacă:
a) prelucrarea datelor cu caracter personal este efectuată de filiale ale societății care își au sediul în alte state membre;
sau
b) prelucrarea datelor cu caracter personal care se desfășoară într-un singur sediu al societății în Uniunea Europeană, dar care afectează în mod substanțial sau este susceptibilă să afecteze în mod substanțial persoanele vizate în mai multe state membre.
În cazul în care societatea are sedii numai într-un stat membru, iar activitățile sale de prelucrare nu afectează decât persoanele vizate din respectivul stat membru atunci nu este necesar să se înființeze o autoritate principală de supraveghere. Singura autoritate competentă va fi Autoritatea de Supraveghere din țara în care societatea este înființată în mod legal.

8.2. Sediul principal și Autoritatea principală de supraveghere

8.2.1. Sediul principal al operatorului de date
Consiliul de administrație al ELKO trebuie să identifice sediul principal, astfel încât să se poată stabili autoritatea principală de supraveghere.
Dacă societatea are sediul într-un stat membru al UE și ia decizii legate de activitățile de prelucrare transfrontalieră în locul administrației sale centrale, va exista o singură autoritate principală de supraveghere a activităților de prelucrare a datelor efectuate de societate.

Dacă societatea are mai multe sedii care acționează independent și iau decizii cu privire la scopurile și mijloacele de prelucrare a datelor cu caracter personal, Consiliul ELKO trebuie să recunoască faptul că mai există mai mult de o singură autoritate principală de supraveghere.

8.2.2. Sediul principal al procesatorului de date
Atunci când societatea acționează ca procesator de date, atunci sediul principal va fi locul administrației centrale. În cazul în care administrația centrală nu are sediul în UE, sediul principal va fi unitatea din UE unde au loc principalele activități de prelucrare.

8.2.3. Sediul principal pentru societățile din afara UE pentru operatorii și procesatorii de date
În cazul în care societatea nu are un sediu principal în UE și are o filială (filiale) în UE, atunci autoritatea de supraveghere competentă este autoritatea locală de supraveghere.
În cazul în care societatea nu are sediul principal în UE și nici filialele în UE, trebuie să numească un reprezentant în UE, iar autoritatea de supraveghere competentă să fie autoritatea locală de supraveghere în care este localizat reprezentantul.
9. Răspuns la incidentele de încălcare a datelor cu caracter personal
Atunci când ELKO suspectează sau găsește o încălcare a datelor cu caracter personal în cadrul Grupului ELKO, Echipa ELKO pentru confidențialitatea datelor trebuie să efectueze o investigație internă și să ia măsurile adecvate de remediere în timp util, în conformitate cu Politica privind încălcarea datelor. În cazul în care există vreun risc pentru drepturile și libertățile persoanelor vizate, ELKO trebuie să notifice fără întârziere autoritățile competente pentru protecția datelor și, dacă este posibil, în termen de 72 de ore.
10. Audit și responsabilitate
Echipa ELKO pentru confidențialitatea datelor este responsabilă pentru auditarea modului în care departamentele de afaceri implementează această politică.

Orice angajat care încalcă această Politică va face obiectul unor măsuri disciplinare, iar salariatul poate fi, de asemenea, supus unor obligații civile sau penale dacă comportamentul său încalcă legile sau regulamentele.
11. Conflictele de legi
Această politică este destinată să respecte legile și reglementările de la locul de înființare și ale țărilor în care operează Grupul ELKO. În eventualitatea unui conflict între această politică și legile și reglementările aplicabile, acestea din urmă prevalează.
12. Gestionarea înregistrărilor păstrate pe baza acestui document
13. Valabilitatea și gestionarea documentelor
Acest document este valabil începând cu data de 21 mai 2018.
Proprietarul acestui document este Echipa ELKO pentru confidențialitatea datelor, care trebuie să verifice și, dacă este necesar, să actualizeze documentul cel puțin o dată pe an.