Politica GDPR

Politica de securitate a prelucrării datelor cu caracter personal („Politica de securitate”) cuprinde detalii despre modul în care ELPRECO S.A., o companie a Grupului CRH (denumită în continuare „Societatea”) prelucrează datele cu caracter personal în situația în care sunteți salariatul sau partenerul contractual al Societății.

Datele cu caracter personal sunt prelucrate în conformitate cu Regulamentul general (UE) 2016/679 privind protecția datelor (în continuare „RGPD”), precum și cu orice alte legi sau reglementări naționale și europene aplicabile (împreună „legislația privind protecția datelor””). Termenii din prezenta Politică de securitate a prelucrării datelor cu caracter personal scriși cu caractere aldine sunt definiți în Anexa I, parte integrantă a politicii.

1. DOMENIU
Politica de securitate a prelucrării datelor cu caracter personal se aplică tuturor datelor cu caracter personal pe care Societatea le prelucrează în calitate de Operator de date cu caracter personal.

Dacă, în baza scopului pentru care a fost constituită, Societatea stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, aceasta are calitatea de Operator de date pentru acele date cu caracter personal pe care le prelucrează.

De exemplu, Societatea poate să prelucreze datele cu caracter personal ale salariaților, ale foștilor salariați, precum și ale membrilor familiilor acestora, ale lucrătorilor temporari, ale liber-profesioniștilor, ale candidaților la angajare, ale partenerilor de afaceri, ale partenerilor contractuali, furnizori sau clienți, ale vizitatorilor, etc.

2. OBIECTIV
Obiectivul Politicii de securitate a prelucrării datelor cu caracter personal este acela de a identifica atât categoriile de date cu caracter personal pe care le prelucrează Societatea, cât și mijloacele de prelucrare a acestora, precum și scopurile în care aceasta le prelucrează.

Politica de securitate a prelucrării datelor cu caracter personal nu are un caracter exhaustiv în ceea ce privește mijloacele și modalitațile de protejare a siguranței și securității datelor cu caracter personal și poate suferi modificări care vor fi aduse la cunostință în măsura în care acest lucru este fezabil.

1.CATEGORII DE DATE CU CARACTER PERSONAL
1.1 Salariați și contractanți
Societatea colectează și prelucrează datele cu caracter personal ale salariaților, ale candidaților la angajare, ale contractorilor, precum și ale foștilor salariați și foștilor contractanți. Aceste date cu caracter personal includ: detalii personale, precum numele, data nașterii, codul numeric personal, detaliile conturilor bancare, rudele apropiate, detaliile conturilor de pe rețelele de socializare, date privind vizele/pașaportul; detalii de contact, precum domiciliul și/reședința și numărul de telefon; informații din dosarul de personal cum ar fi, de exemplu, termenii și condițiile angajării, instruirea, evaluările performanței, promovările, planurile privind dezvoltarea personală, conduita și sancțiunile disciplinare, locul de desfășurare a activității profesionale, informații salariale, detaliile contului bancar, numărul de identificare fiscală și codul numeric personal, autorizațiile de securitate; detalii privind parcursul profesional/istoricul candidaturilor, precum istoricul educației și cel al angajărilor; conținut editorial și jurnalistic, precum link-uri către lucrări, de exemplu, link-uri către fișiere video sau audio; informații medicale, precum certificate medicale și scutiri medicale; detalii despre familie, precum numele și datele de naștere ale copiilor (relevante, de exemplu, atunci când o persoană face o cerere de concediu pentru cresterea copilului); detalii necesare pentru pensionare; detalii privind calitatea de membru al unei organizații sindicale; și date privind performanța, precum evaluările de performanță a managementului pentru manageri și analizele privind creșterile salariale anuale ale salariaților, testările psihologice etc. Lista de mai sus nu are caracter exhaustiv, dar cuprinde datele cu caracter personal care sunt cel mai frecvent colectate, utilizate și prelucrate.

1.2 Furnizori și clienți
Societatea colectează și prelucrează date cu caracter personal ale persoanelor fizice care sunt și/sau care colaborează cu furnizorii și clienții noștri. Aceste date cu caracter personal pot include: detalii personale, precum numele, titlul, funcția, numerele de marcă, departamentul, punctul de lucru (inclusiv datele de contact colectate în vederea instruirii/verificării); și detalii de contact, precum adresa de e-mail, numărul de telefon și locul de desfășurare a activității profesionale; și informații fiscale, precum numerele de identificare fiscală/în scopuri de TVA.

1.3 Categorii speciale de date cu caracter personal
Categoriile speciale de date cu caracter personal pe care le poate prelucra Societatea includ, fără limitare, informații despre sănătate, date referitoare la condamnările penale, infracțiuni și date biometrice. Societatea prelucrează toate datele cu caracter personal în conformitate cu legislația privind protecția datelor și, în special, toate categoriile speciale de date cu caracter personal. Detalii despre categoriile de date cu caracter personal, precum și despre categoriile speciale de date cu caracter personal prelucrate de Societate sunt prevăzute in Anexa II la prezenta politică.

2. SCOPURILE PRELUCRĂRII
Societatea prelucrează date cu caracter personal în scopul în care acestea sunt obținute.
Printre motivele obișnuite pentru care Societatea prelucrează date cu caracter personal se numară: plata salariilor și acordarea beneficiilor; administrarea operațiunilor de resurse umane, a performanței și a talentelor; marketing și relatii publice; îmbunătățirea produselor și serviciilor oferite de Societate; cercetare și analiză statistică; strategie de business; audituri și/sau investigații interne; prevenirea și detectarea fraudelor și a actelor ilegale împotriva Societății, a salariaților sau a clienților; și/sau îndeplinirea obligațiilor legale. Uneori, putem prelucra date cu caracter personal din alte motive. Societatea depune toate diligențele să se asigure că persoanele sunt informate despre scopul prelucrării datelor cu caracter personal în momentul colectării acestora de catre Societate. Atunci când nu este posibil sau practic, Societatea va va informa la un interval de timp cât mai scurt după prelucrarea efectiva a datelor cu caracter personal. Persoanele fizice au dreptul să-și retragă consimțământul în orice moment.

3. CREAREA DE PROFILURI
Societatea poate prelucra date cu caracter personal ale unor categorii diverse de persoane fizice (de exemplu, salariați, contractanți, candidați pentru angajare, etc.), pentru managementul talentelor și pentru evaluarea forței de muncă (pentru a include analize potențiale ale prezenței și performanței). Societatea efectuează astfel de prelucrări dacă: (a) este autorizată în mod expres de legislația națională (inclusiv pentru monitorizarea fraudelor și a evaziunii fiscale); (b) prelucrarea este necesară pentru încheierea sau executarea unui contract; sau (c) persoana fizică respectivă și-a dat consimțământul în mod corespunzător. Detalii cu privire la crearea profilurilor de către Societate sunt prevazute in Anexa II la prezenta politică.

4. DREPTURI INDIVIDUALE
Persoanele vizate au următoarele drepturi potrivit legislației de protecție a datelor:
4.1 Informare și acces la datele cu caracter personal: persoanele vizate au dreptul să solicite Societății, iar Societatea va furniza acestor persoane, atât un rezumat, cât și o copie a datelor cu caracter personal pe care Societatea le prelucrează sau care sunt prelucrate în numele Societății.
4.2 Rectificare/completare/ștergere: în cazul în care persoanele vizate consideră că datele lor cu caracter personal sunt inexacte și /sau incomplete, sau că nu se mai justifică păstrarea acestora de către Societate, au dreptul să solicite Societății rectificarea, completarea sau ștergerea acestor date.
4.3 Opoziție: persoanele vizate au dreptul la opoziție cu privire la prelucrarea datelor lor cu caracter personal pentru interesele legitime ale Societății de a le prelucra (în conditiile Secțiunii 2 de mai sus), cu mențiunea că nu pot formula opoziție cu privire la prelucrarea datelor în general.
4.4 Restricționare: persoanele vizate au dreptul să solicite restricționarea prelucrării datelor lor cu caracter personal dacă exactitatea datelor cu caracter personal este contestată, dacă prelucrarea efectuată de Societate este ilegală, dacă sunt de parere ca datele lor cu caracter personal nu mai sunt necesare sau dacă au formulat opoziție cu privire la prelucrarea datelor personale in general.
4.5 Procesul decizional automatizat: persoanele vizate au dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată (inclusiv crearea de profiluri) care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o masura semnificativă; în cazul în care Societatea desfășoară acțiuni automatizate de luare a deciziilor (inclusiv crearea de profiluri) care afectează semnificativ persoanele vizate, aceste persoane au dreptul să obiecteze împotriva deciziilor luate. Procedura privind drepturile individuale prevede modul în care pot fi adresate Societății solicitările de mai sus, precum și modul în care Societatea va soluționa aceste solicitări.

5. SECURITATE
5.1 Măsuri de securitate
Societatea a implementat măsuri tehnice și organizatorice pentru protejarea datelor cu caracter personal împotriva distrugerii, pierderii, modificării, divulgării neautorizate sau accesării ilegale sau neautorizate. Datele cu caracter personal sunt păstrate în siguranță, cu ajutorul unei serii de măsuri de securitate care includ, după caz, măsuri fizice, precum fișetele încuiate, precum și măsuri specifice de Tehnologia Informației (IT). Mai multe informații despre măsurile de securitate ale Societății sunt prevăzute in Politica privind securitatea informațiilor, precum și în Anexa II la prezenta politică.
5.2 Încălcarea securității datelor cu caracter personal
Societatea va administra încălcările securității datelor cu caracter personal în conformitate cu procedura de raportare a încălcării securității datelor cu caracter personal. Modul de identificare și raportare a încălcărilor securității datelor sunt prevazute in Procedura privind încălcarea securității datelor cu caracter personal.

6. DEZVĂLUIREA DATELOR CU CARACTER PERSONAL
In anumite situații, Societatea poate dezvălui date cu caracter personal către terți sau poate permite terților să acceseze datele cu caracter personal pe care le prelucrează (de exemplu atunci cand o autoritate publică sau de reglementare depune o cerere de acces la date personale în conformitate cu dispozițiile legale).
De asemenea, Societatea poate partaja datele cu caracter personal: (a) cu un alt membru al Grupului CRH (inclusiv filialele, compania -mamă de tip holding și filialele acesteia);
(b) cu anumiți terți, inclusiv parteneri de afaceri, furnizori și subcontractanți;
(c) cu terți către care vindem sau de la care cumpărăm orice business sau active; sau
(d) în cazul în care Societatea are îndatorirea legală de a dezvălui date cu caracter personal.
Se include aici schimbul de informații cu alte societăți și organizații în vederea prevenirii fraudelor.
În cazul în care Societatea încheie acorduri cu terți pentru prelucrarea datelor cu caracter personal în numele nostru, se vor asigura că sunt implementate măsurile de protecție contractuale corespunzătoare pentru protejarea acestor date. Printre exemple se numără furnizorii de servicii de comunicații, furnizorii de servicii pentru statul de plată, furnizorii de servicii de sănătate si securitate a muncii, agențiile de marketing sau de recrutare, operatorii din centrele de date utilizate de societate etc. Detalii suplimentare despre categoriile de terți către care Societatea dezvăluie date cu caracter personal sunt prevazute in Anexa II la prezenta politică.

7. STOCAREA DATELOR CU CARACTER PERSONAL
Societatea stochează datele cu caracter personal numai atâta timp cât pastrarea acestora este considerată necesară pentru scopurile în care sunt prelucrate datele cu caracter personal. Datele cu caracter personal sunt stocate în conformitate cu legislația aplicabila și cu liniile directoare ale Societății. Detalii suplimentare despre perioada de stocare a datelor cu caracter personal practicată de Societate (sau criteriile utilizate pentru determinarea acestei perioade de reținere) sunt prevazute in Anexa II la prezenta politică.

8. TRANSFERURI DE DATE ÎN AFARA SEE
Din când în când, poate fi necesar transferul datelor cu caracter personal de către Societate, în afara SEE. Transferul se va efectua în conformitate cu legislația în vigoare referitoare la protecția datelor cu caracter personal. Societatea ia măsuri rezonabile pentru a se asigura că datele cu caracter personal sunt tratate în mod securizat și în conformitate cu prezenta politică de securitate în momentul transferării în afara SEE.
Detalii suplimentare despre natura transferurilor de date întreprinse de Societate sunt oferite în Anexa II la prezenta politică.

9. ROLURI ȘI RESPONSABILITĂȚI
Societatea este răspunzătoare de prelucrarea datelor cu caracter personal. Directorului General al Societății îi revine responsabilitatea generală pentru respectarea de către Societate a acestei politici de securitate în ceea ce privește (i) prelucrarea datelor cu caracter personal ale actualilor și foștilor salariați; (ii) prelucrarea datelor cu caracter personal ale contactelor de business; și (iii) menținerea securității și integrității datelor cu caracter personal prelucrate de către Societate.
Departamentul Juridic și de Conformitate va oferi asistență Societății, furnizând consultanță și îndrumare juridică pentru interpretarea legii privind protecția datelor cu caracter personal și politica de securitate la nivel local.
Toți salariatii Societății trebuie să respecte cea mai recentă versiune a Politicii de securitate, așa cum este adusă la cunostință la anumite intervale. Nerespectarea prezentei politici de securitate a prelucrarii datelor cu caracter personal, atrage răspunderea disciplinară si patrimonială, putand duce pană la concediere, după caz.

10. PROCEDURA PRIVIND PLÂNGERILE
Persoanele vizate pot să solicite informații și/sau să depuna o reclamație cu privire la Politica de securitate a prelucrarii datelor cu caracter personal și/sau la prelucrarea datelor lor cu caracter personal, contactând Ofiterul pe probleme de protecția datelor cu caracter personal la adresa de e-mail: Info.dp@elpreco.ro.
Deși persoanele vizate pot depune o plangere în legatură cu modul în care Societatea respectă legislația privind protecția datelor cu caracter personal către Autoritatea Natională de Supraveghere a Prelucrării Datelor cu Caracter Personal [asa cum este prevazut în Anexa II la prezenta politica], vă solicitam să contactați mai întâi Ofiterul pe probleme de protecția datelor cu caracter personal, pentru a ne oferi posibilitatea să raspundem tuturor îngrijorarilor pe care le-ați putea avea.

11. POLITICI SI PROCEDURI ASOCIATE
Prezenta politică trebuie interpretată împreună cu următoarele politici și proceduri:
• Procedura privind încălcarea securității datelor cu caracter personal;
• Procedura privind drepturile individuale;
• Politica de securitate a informațiilor;
• Declarația privind confidențialitatea site-ului web.

Anexa I
TERMENI SI DEFINIȚII
În cadrul prezentei politici de securitate a prelucrării datelor cu caracter personal, termenii de mai jos au următoarele semnificații:
Activitatea de “prelucrare externă” are loc atunci când: (a) avem sedii în mai mult de un stat membru UE și prelucrarea datelor cu caracter personal se desfășoară în mai mult de un stat membru UE; sau (b) prelucrarea datelor cu caracter personal se efectuează într-un singur stat membru UE, dar aceasta afectează substanțial (sau este probabil să afecteze substanțial) persoane din mai mult de un stat membru UE.
„Încălcarea securității Datelor cu caracter personal” înseamnă o încalcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a Datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea. Pentru evitarea oricarui dubiu, prin „pierderea Datelor cu caracter personal” se înțelege orice fel de acțiune sau inacțiune, săvarșită cu intenție sau din culpă, și care are ca efect lipsirea, privarea sau scoaterea de sub controlul sau din posesia persoanei responsabile cu prelucrarea datelor cu caracter personal, a datelor personale încredințate.
„Operator de date” reprezintă entitatea care stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.
„Persoana imputernicită de operator” reprezintă entitatea care prelucrează datele cu caracter personal în numele operatorului de date (de exemplu un furnizor de servicii pentru state de plată). „Spațiul Economic European” sau „SEE” înseamnă Austria, Belgia, Bulgaria, Croația, Republica Cipru, Republica Cehă, Danemarca, Estonia, Finlanda, Franța, Germania, Grecia, Ungaria, Irlanda, Italia, Letonia, Lituania, Luxemburg, Malta, Olanda, Polonia, Portugalia, România, Slovacia, Slovenia, Spania, Suedia, Regatul Unit, Islanda, Liechtenstein și Norvegia.
„Date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă; o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi nume, număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Datele cu caracter personal pot include:
Salariați și contractanți
1. Detalii personale, precum numele, data nașterii, detaliile contului bancar, rudele apropiate, detalii privind conturile din mediile de socializare;
2. Detalii de contact, precum domiciliul și/sau reședinta și numărul de telefon;
3. Detalii ale dosarului de personal care includ, de exemplu, termenii și condițiile angajării, instruirea, evaluările performanței, promovările, planurile privind dezvoltarea personală, conduita și abaterile disciplinare, locul de desfășurare a activității profesionale, informații salariale, detaliile contului bancar, alte numere care pot identifica o persoană, precum codul numeric personal;
4. Detalii privind parcursul profesional/istoricul candidaturilor, precum istoricul educației și cel al angajărilor;
5. Conținut editorial și jurnalistic, precum link-uri către lucrări, de exemplu, link-uri către demonstrații video sau fișiere audio;
6. Informații medicale, precum certificate medicale și scutiri medicale;
7. Detalii despre familie, precum numele și datele de naștere ale copiilor, relevante, de exemplu, atunci când o persoană înainteaza o cerere de concediu pentru îngrijirea copilului;
8. Detalii necesare pentru pensionare;
9. Detalii privind calitatea de membru al unei organizații sindicale; și
10. Date privind performanța, precum evaluările de performanță a managementului pentru manageri și analizele privind creșterile salariale anuale ale salariaților, testările psihologice etc.
Furnizori și clienți
1. Detalii personale, precum numele, titlul, funcția, numerele de marcă, departamentul, unitatea de business;
2. Detalii de contact precum adresa de e-mail și numărul de telefon,
3. Locul desfășurării activității profesionale;
4. Codul numeric personal.

“Prelucrarea Datelor cu caracter personal” înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea,divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea acestora.
Prelucrarea poate fi efectuată mecanic, manual sau prin intermediul sistemelor automatizate, precum sistemele IT, iar termenii „prelucrare” și „prelucra” trebuie interpretați în consecință. „Crearea de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizica, în special pentru a analiza sau prevedea aspecte privind performanţa la locul de munca, situaţia economica, sănătatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia.
„Categoriile speciale de date cu caracter personal” sunt tipuri de date cu caracter personal care dezvăluie oricare dintre următoarele informații referitoare la o persoană: origine etnică sau rasială, opinii politice, credințe religioase sau filozofice sau apartenența la un sindicat. Categoriile speciale de date cu caracter personal includ și datele genetice, biometrice (de exemplu, amprente sau imagini faciale), date privind sănătatea, viața sau orientarea sexuală și orice alte date privind datele cu caracter personal referitoare la condamnări și infracțiuni penale.  

Anexa II
PRELUCRAREA SPECIFICĂ SOCIETĂȚII
Prezenta anexă conține informații suplimentare referitoare la modul în care Societatea prelucrează datele cu caracter personal.
1. Legea locală relevantă și organismul de reglementare a protecției datelor
În cadrul acestei anexe, „legea de protecție a datelor” înseamnă Regulamentul general (UE) 2016/679 privind protecția datelor și Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date.
În cazul Societății, organismul local relevant de protecție a datelor este: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
2. Datele cu caracter personal prelucrate de Societate
În afara acestor categorii de date cu caracter personal, detaliate în Secțiunea 1 a Politicii de securitate, Societatea mai prelucrează următoarele categorii de date cu caracter personal: nu este cazul. 3. Scopurile prelucrării datelor cu caracter personal
În afara scopurilor detaliate în Secțiunea 2 a Politicii de securitate, Societatea mai prelucrează date cu caracter personal pentru următoarele scopuri suplimentare: nu este cazul.
4. Realizarea profilului
Societatea realizează următoarele tipuri de realizare a profilului: nu este cazul.
5. Măsuri de securitate

Societatea implementează următoarele măsuri de securitate tehnice și organizatorice suplimentare pentru a proteja personalul de distrugerea, pierderea, modificarea, dezvăluirea, achiziționarea sau accesarea neautorizată a datelor cu caracter personal:
• Politica de parole complexe în toate aplicațiile și sistemele informatice;
• Criptarea datelor de pe dispozitivele mobile (laptop-uri, telefoane inteligente, tablete);
• Securizare legături de comunicație;
• Monitorizare vulnerabilități și îndepărtarea lor prin aplicarea de fix-uri;
• Aplicarea actualizărilor de securitate prin politica de domeniu;
• Securizarea transferului de date între aplicații;
• Acces securizat în locații (sistem de control acces, monitorizare video, pază) – camere de servere sau spații de lucru tip office;
• Protejarea anti-incendiu (sisteme de detecție și stingere a incendiilor, stingătoare, pază) în camere de servere sau spații de lucru tip office;
• Securizare fizică a echipamentelor mobile tip laptop (cablu de securizare tip kensington);
• Ecran de protecție tip privacy filter pentru utilizatorii care lucrează cu date senzitive;
• Stocarea și securizarea salvărilor de tip back-up;
• Instruiri periodice ale utilizatorilor de sisteme IT în legatură cu politicile de securitate ale Societății;
• Izolarea sistemelor IT de tip arhivă (JDE) prin plasarea într-o rețea izolată de rețeaua activă.
6. Dezvăluirea către terți a datelor cu caracter personal
Societatea dezvăluie sau oferă accesul la datele cu caracter personal următoarelor categorii suplimentare de terți, în scopurile explicate mai jos: nu este cazul, Societatea nu dezvăluie și nu oferă acces la date unor alte categorii suplimentare de terți în afara celor mentionați la Secțiunea 6 din prezenta politică.
7. Perioadele de stocare a datelor
Societatea stochează datele cu caracter personal doar pe perioada necesară atingerii scopurilor în care datele au fost colectate și în care vor fi ulterior prelucrate, precum și în conformitate cu dispozițiile legale în vigoare cu privire la arhivarea documentelor.
8. Transferurile de date
Societatea transferă date cu caracter personal către următoarele locații din afara SEE, în scopurile specificate mai jos, utilizând măsurile de precauție legale declarate (este disponibilă o copie a acestora la Departamentul Juridic și de Conformitate): nu este cazul, Societatea nu transferă date cu caracter personal în locații din afara SEE.

Informații suplimentare cu privire la Politica de securitate a prelucrarii datelor cu caracter personal și/sau la prelucrarea datelor lor cu caracter personal, puteți obtine contactând Ofiterul pe probleme de protecția datelor cu caracter personal la adresa de e-mail: Info.dp@elpreco.ro.