1. Introducere
Fundația Terre des hommes (Tdh) colectează și utilizează anumite informații despre persoane și organizații. Recunoscând că protejarea datelor cu caracter personal este esențială, Tdh se angajează să colecteze și să utilizeze informațiile în mod corect, să le stocheze în siguranță și să nu le divulge în mod ilegal către nicio terță parte.
Următoarele reguli au scopul de a se asigura că Tdh își poate realiza activitățile și poate dezvolta relații cu părțile interesate relevante în timp ce:
- respectând legile privind protecția datelor și urmând bunele practici;
- protejând drepturile persoanelor vizate;
- și protejându-se de riscurile de încălcare a securității datelor.
2. Principiile privind protecția datelor
Există șase principii de protecție a datelor definite la articolul 5 din GDPR. Acestea impun ca toate datele cu caracter personal să fie:
- prelucrate într-un mod legal, corect și transparent.
- colectate numai în scopuri specifice, explicite și limitate ("limitarea scopului").
- adecvate, relevante și nu excesive ("minimizarea datelor").
- exacte și actualizate, dacă este necesar.
- să nu fie păstrate mai mult decât este necesar ("păstrarea").
- Registrul de prelucrare a datelor va fi revizuit cel puțin o dată la 6 luni de către responsabilul cu protecția datelor, cu implicarea Grupului de guvernanță a datelor.
- să fie tratat cu o securitate și confidențialitate corespunzătoare.
Ne angajăm să respectăm Principiile privind protecția datelor. Toate datele cu caracter personal aflate sub controlul nostru trebuie să fie prelucrate în conformitate cu aceste principii.
3. Baza legala pentru prelucrarea datelor
1. Toate prelucrările de date cu caracter personal trebuie să respecte unul dintre cele șase temeiuri legale definite la articolul 6 alineatul (2) din RGPD:
- În cazul în care avem consimțământul persoanei vizate
- În cazul în care este în interesul nostru legitim, iar acest lucru nu este anulat de drepturile și libertățile persoanei vizate.
- În cazul în care este necesar pentru a îndeplini o obligație legală.
- În cazul în care este necesar pentru a îndeplini un contract sau obligații precontractuale.
- În cazul în care protejăm interesele vitale ale unei persoane.
- În cazul în care îndeplinim o sarcină publică sau acționăm în temeiul unei autorități oficiale.
2. Orice date din categorii speciale (tipuri sensibile de date cu caracter personal, astfel cum sunt definite la articolul 9 alineatul (1) din RGPD) trebuie să fie prelucrate în continuare numai în conformitate cu una dintre condițiile specificate la articolul 9 alineatul (2).
3. Cel mai adecvat temei juridic va fi notat în Registrul de prelucrare a datelor. (a se vedea secțiunea 5. Responsabilitate)
4. În cazul în care prelucrarea se bazează pe consimțământ, persoana vizată are opțiunea de a-și retrage cu ușurință consimțământul.
5. În cazul în care se trimit comunicări electronice de marketing direct, destinatarul ar trebui să aibă opțiunea de a renunța în fiecare comunicare trimisă, iar această alegere ar trebui să fie recunoscută și respectată de către noi.
4. Minimizarea și controlul datelor
1. Procesele de colectare a datelor vor fi revizuite în mod regulat de către Grupul de guvernanță a datelor pentru a se asigura că datele cu caracter personal colectate și prelucrate sunt reduse la minimum.
2. Vom păstra datele cu caracter personal pe care le colectăm, le utilizăm și le partajăm la cantitatea minimă necesară pentru a fi adecvate scopului lor.
3. În cazul în care nu avem o obligație legală de a păstra anumite date cu caracter personal, vom analiza dacă este necesar să le păstrăm.
4. Vom păstra datele cu caracter personal doar atât timp cât este necesar pentru a îndeplini scopul acestora. Abordarea noastră privind păstrarea și ștergerea datelor care nu mai sunt necesare va fi specificată în politica și programul de păstrare. Acest program va fi revizuit anual.
5. În cazul partajării datelor cu caracter personal cu orice terță parte, vor fi dezvăluite doar datele necesare pentru îndeplinirea scopului partajării.
6. Anonimizarea și pseudonimizarea datelor cu caracter personal stocate sau transferate ar trebui să fie luate în considerare atunci când acest lucru este posibil.
5. Responsabilitate
1. Tdh va menține un registru de prelucrare a datelor, conform prevederilor articolului 30 din GDPR, pentru a documenta activitățile de prelucrare regulate.
2. "Responsabilul cu protecția datelor" (DPO) are responsabilitatea specifică de a supraveghea protecția datelor și de a se asigura că respectăm principiile de protecție a datelor și legislația relevantă. (a se vedea secțiunea 8. Rolul responsabilului cu protecția datelor).
3. DPO se va asigura că Registrul de prelucrare a datelor este actualizat și demonstrează modul în care principiile de protecție a datelor sunt respectate în cadrul activităților noastre. Membrii individuali ai personalului au datoria de a contribui și de a se asigura că informațiile prezentate în registru sunt reflectate în practica noastră.
4. Grupul de guvernanță a datelor monitorizează conformitatea noastră cu politicile relevante și cu cerințele de reglementare în ceea ce privește protecția datelor, ca parte a strategiei noastre de gestionare a datelor.
5. Toți angajații, voluntarii, consultanții, partenerii sau alte părți care vor manipula date cu caracter personal în numele Tdh vor fi instruiți în mod corespunzător și supravegheați, dacă este necesar.
6. Colectarea, stocarea, utilizarea și partajarea datelor cu caracter personal vor fi revizuite periodic de către responsabilul cu protecția datelor, Grupul de guvernanță și orice domeniu de activitate relevant.
7. Vom adera la codurile de conduită relevante, acolo unde acestea au fost identificate și discutate, după caz.
8. În cazul în care este posibil să existe un risc ridicat pentru drepturile și libertățile persoanelor din cauza unei activități de prelucrare, vom efectua mai întâi o evaluare a impactului asupra protecției datelor (DPIA) și ne vom consulta cu autoritatea națională înainte de prelucrare, dacă este necesar.
6. Utilizarea de împuterniciți
1. Tdh trebuie să numească numai împuterniciți care pot oferi garanții suficiente în legătură cu respectarea GDPR și cu faptul că drepturile persoanelor vizate vor fi protejate.
2. În cazul în care un împuternicit poate demonstra că aderă la coduri de conduită aprobate sau la sisteme de certificare, acest lucru trebuie luat în considerare pentru alegerea furnizorului.
3. În cazul în care Tdh utilizează un împuternicit, trebuie să existe un contract scris cu termenii obligatorii prevăzuți la articolul 28 din GDPR (plus orice alte cerințe suplimentare pe care le stabilim). Împuterniciții pot acționa numai la instrucțiunile Tdh.
7. Măsuri organizaționale
1. Toate dispozitivele (laptopuri) deținute de Tdh vor avea un antivirus actualizat, configurat în mod implicit pe versiunea standard instituțională de Windows și vor utiliza doar contul organizatiei. Toate informațiile personale sunt criptate.
2. Toți angajații, contractorii, lucrătorii temporari, consultanții, partenerii sau orice altă persoană care lucrează în numele Tdh și care manipulează date cu caracter personal sunt obligați să respecte legislația privind protecția datelor și prezenta politică.
3. În cazul în care un contractant, un lucrător temporar, un consultant sau orice altă persoană care lucrează în numele Tdh nu își îndeplinește obligațiile care îi revin în temeiul prezentei Politici, acesta trebuie să despăgubească Tdh de orice costuri, responsabilități, daune, pierderi, reclamații sau proceduri care ar putea rezulta din această nerespectare.
8. Rolul responsabilului cu protecția datelor
Toți membrii Tdh sunt conștienți de faptul că responsabilul cu protectia datelor (DPO) nu sunt responsabili personal în cazul nerespectării GDPR. GDPR precizează în mod clar că operatorul sau persoana împuternicită de operator este cel care trebuie să se asigure și să poată demonstra că prelucrarea este efectuată în conformitate cu dispozițiile sale [articolul 24 alineatul (1)]. Respectarea protecției datelor este responsabilitatea operatorului sau a persoanei împuternicite de către operator.
1. Rolul responsabilului cu protecția datelor este atribuit unui membru al personalului pe bază de voluntariat.
2. DPO asistă Tdh pentru a:
- să monitorizeze conformitatea noastră internă
- să informeze și să ofere consultanță cu privire la obligațiile noastre în materie de protecție a datelor
- să ofere consultanță cu privire la evaluările de impact asupra protecției datelor
- să acționeze ca punct de contact pentru persoanele vizate și pentru Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
3. DPO consiliază Grupul de guvernanță a datelor și raportează conducerii superioare și Comitetului Tdh cu privire la aspectele legate de protecția datelor.
4. DPO este ușor accesibil ca punct de contact pentru personal în ceea ce privește problemele legate de protecția datelor și este identificat ca punct de contact în avizul nostru de confidențialitate și în alte materiale externe.
5. DPO identifică, organizează și oferă cursuri de formare pentru personal și se întâlnește cu personalul nou angajat în timpul perioadei de inițiere pentru a discuta chestiuni legate de protecția datelor, inclusiv această politică.
6. DPO trebuie să aibă cunoștințe adecvate în ceea ce privește legislația și cele mai bune practici în materie de protecție a datelor și i se oferă resurse adecvate pentru a-l ajuta să își îndeplinească rolul. Acest lucru ar putea include o formare și o acreditare corespunzătoare, în cazul în care sunt identificate.
7. DPO este responsabil în mod nominal de efectuarea răspunsurilor la solicitările formulate de persoanele vizate, de raportarea încălcărilor și de elaborarea de politici și proceduri.
8. Acest lucru nu împiedică un alt membru responsabil al personalului să îndeplinească aceste atribuții.
9. Proceduri pentru personal
Deși această politică ne ajută să demonstrăm modul în care încercăm să respectăm legislația privind protecția datelor și să ne asumăm responsabilitatea pentru acțiunile noastre,
toți membrii personalului trebuie să respecte aceste proceduri pentru prelucrarea sau transmiterea datelor cu caracter personal. În plus, personalul trebuie să cunoască și să respecte politicile privind utilizarea acceptabilă a sistemelor TIC și orice alte orientări emise în legătură cu securitatea cibernetică și utilizarea datelor cu caracter personal.
Tratați întotdeauna informațiile personale ale persoanelor cu integritate și confidențialitate. Nu oferiți detalii personale doar pentru că cineva vă cere acest lucru.
În cazul în care datele cu caracter personal există pe suport de hârtie, acestea trebuie păstrate într-o cutie, sertar sau dulap încuiat și nu trebuie lăsate la îndemâna oricui.
- Transferul de copii pe suport de hârtie ar trebui să fie transmis direct destinatarului.
- Personalul primește dispozitive USB criptate pentru transferul securizat al datelor personale sau al informațiilor sensibile. Nu trebuie utilizate alte dispozitive media amovibile pentru a transfera aceste tipuri de informații fără permisiunea administratorului de sisteme sau a șefului departamentului de gestionare a informațiilor.
- Pierderea sau furtul oricărui dispozitiv trebuie raportată cât mai curând posibil RPD, administratorului de sisteme sau șefului departamentului IT.
- Fiți atenți atunci când vă conectați la conexiuni wi-fi publice, deoarece acestea pot expune conexiunea dumneavoastră la interceptare. Dacă nu sunteți sigur că o conexiune este sigură, nu vă conectați la ea.
- Aveți grijă să trimiteți un e-mail destinatarului vizat (în special atunci când este activată funcția de completare automată a adresei de e-mail). Folosiți câmpul "bcc" pentru a trimite e-mailuri către mai multe persoane în cazul în care nu este necesar să folosiți "to" sau "cc".
- Aceste proceduri și politici se aplică și în cazul utilizării accesului de la distanță la sistemele cloud Tdh. Dacă vă folosiți propriul dispozitiv pentru a accesa datele personale pe Office365 (de exemplu, Outlook), asigurați-vă că dispozitivul are un firewall și este protejat cu parolă.
- Dacă aveți o întrebare sau nu sunteți sigur cu privire la oricare dintre aceste proceduri, contactați responsabilul cu protecția datelor sau un membru al echipei de informare.
10. Drepturile persoanelor vizate
1. În conformitate cu legile privind protecția datelor, persoanele vizate au anumite drepturi:
a. Dreptul de a fi informat. Dreptul de a li se spune cum sunt utilizate datele lor personale într-un limbaj clar și transparent.
b. Dreptul de acces. Dreptul de a cunoaște și de a avea acces la datele cu caracter personal pe care le deținem despre ei.
c. Dreptul la portabilitatea datelor. Dreptul de a primi datele lor într-un format electronic comun și ușor de citit automat.
d. Dreptul de a fi uitat. Dreptul de a le fi șterse datele cu caracter personal.
e. Dreptul la rectificare. Dreptul de a le fi corectate datele cu caracter personal în cazul în care acestea sunt inexacte sau incomplete.
f. Dreptul la opoziție. Dreptul de a depune o plângere și de a se opune prelucrării.
g. Dreptul la limitarea scopului. Dreptul de a limita amploarea prelucrării datelor lor cu caracter personal.
h. Drepturile legate de procesul decizional automatizat și de crearea de profiluri. Dreptul de a nu face obiectul unor decizii fără implicare umană.
2. Vom susține drepturile persoanelor fizice în temeiul legilor privind protecția datelor și le vom permite acestora să își exercite drepturile asupra datelor cu caracter personal pe care le deținem despre ele. Cele mai multe drepturi nu sunt absolute, iar individul va putea să le exercite în funcție de circumstanțe, iar în unele cazuri se pot aplica derogări.
3. Orice solicitare în ceea ce privește aceste drepturi trebuie să fie făcută, de preferință, în scris la adresa dpo@tdh.ch, dar vom accepta și solicitări verbale.
4. Nu se percepe nicio taxă pentru facilitarea unei cereri, cu excepția cazului în care aceasta este "vădit nefondată sau excesivă", caz în care pot fi recuperate costurile administrative.
5. Solicitările care sunt "vădit nefondate sau excesive" pot fi refuzate.
6. Vom lua măsuri rezonabile pentru a solicita persoanelor fizice să își dovedească identitatea în cazul în care nu este evident că acestea sunt persoana vizată.
7. Vom răspunde solicitării în termen de o lună de la data solicitării sau de la data la care putem identifica persoana, cu excepția cazului în care aceasta este deosebit de complexă (caz în care vom răspunde în cel mult 90 de zile).
8. DPO se va asigura că se iau măsurile necesare și că răspunsul adecvat este facilitat în termenul stabilit.
9. DPO va elabora proceduri pentru a răspunde la solicitări, dacă este necesar, de exemplu, pentru a facilita cererile de acces la subiect.
9. Raportarea încălcării securitatii datelor
1. O încălcare a securității datelor cu caracter personal înseamnă o încălcare a securității care duce la distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.
2. Toți membrii personalului ar trebui să fie vigilenți și capabili să identifice o presupusă încălcare a securității datelor cu caracter personal. O încălcare ar putea include:
- pierderea sau furtul de dispozitive sau date, inclusiv informații stocate pe unități USB sau pe hârtie
- piraterie informatică sau alte forme de acces neautorizat la un dispozitiv, la un cont de e-mail sau la rețea
- dezvăluirea datelor cu caracter personal unei persoane nepotrivite, prin intermediul unor e-mailuri adresate greșit sau al unor e-mailuri în masă care dezvăluie în mod necorespunzător adresele de e-mail ale tuturor destinatarilor
- modificarea sau distrugerea datelor cu caracter personal fără permisiune
3. În cazul în care un membru al personalului descoperă sau suspectează o încălcare a datelor cu caracter personal, aceasta trebuie raportată DPO cât mai curând posibil.
4. În cazul în care există un risc probabil pentru drepturile și libertățile persoanelor fizice, RPD va raporta încălcarea datelor cu caracter personal autorității naționale în termen de 72 de ore de la data la care organizația a luat cunoștință de încălcarea datelor.
5. În cazul în care există, de asemenea, un risc probabil ridicat pentru drepturile și libertățile persoanelor fizice, Tdh va informa aceste persoane fără întârzieri nejustificate.
6. RPD va ține o evidență a tuturor încălcărilor de date cu caracter personal raportate și va urmări cu măsuri și îmbunătățiri adecvate pentru a reduce riscul de repetare.