Politica GDPR - Confidențialitatea datelor

Platforma HomeLearning tratează cu maximă seriozitate confidențialitatea datelor.

Asociația Română a Tinerilor cu Inițiativă (numită în continuare ARTI)  este înregistrată la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (în continuare, „ANSPDCP”) ca operator de date cu caracter personal cu numărul 19496. ARTI are obligația de a administra în condiții de siguranță și numai pentru scopurile specificate, datele personale furnizate de utilizatori despre ei înșiși, despre membrii familiilor acestora ori despre alte persoane.

Datele puse la dispoziție prin intermediul Platformei HomeLearning și confidențialitatea acestora sunt aspecte foarte importante pentru noi. Vom lua măsuri ferme în vederea asigurării securității datelor personale prelucrate. Măsurile de securitate vizează protecția datelor împotriva pierderii, abuzurilor, accesului neautorizat, împotriva dezvăluirii, a diseminării sau transmiterii prin orice alt mod, precum și împotriva modificării sau distrugerii acestora.

Colectăm următoarele informații despre dvs. și despre folosirea de către dvs. a Platformei HomeLearning:

Date solicitate în vederea generării contului de utilizator:

  1. a) despre părinte: nume, prenume, adresă, cod poștal, telefon, e-mail;
  1. b) despre elev: nume, prenume, vârstă, gen, școală, clasă, județ, localitate, fotografie (opțional).

Date solicitate la crearea contului de școală/profesor și la adăugarea elevului în contul respectiv:

  1. a) nume, prenume, funcție, numele instituției, oraș, județ, adresă de e-mail, telefon;
  1. b) nume, prenume, adresă de e-mail, vârstă, gen.

Pentru procesarea plăților, următoarele date pot fi colectate și prelucrate: date asociate cardului bancar (nume titular, număr card, data de expirare și codul CVV)/cont bancar (în cazul plăților realizate prin transfer bancar). Colectarea și prelucrarea acestor date va fi făcută direct de către Stripe.

Imediat după crearea contului de utilizator, un cod de identificare unic va fi atribuit fiecărui elev în parte pentru a ne asigura că profilul creat poate fi accesat doar de către respectivul elev sau de către părintele sau tutorele acestuia. Astfel, niciodată un elev nu va avea același cod de identificare cu cel al altui elev. Codul de identificare este transmis prin e-mail fiecărui elev și părinte sau tutore.

Nu vom solicita și nu vom prelucra date și informații care exced scopul înregistrării și generării rapoartelor la nivel național privind nivelul de alfabetizare al elevilor din România (în mod anonim) și care nu sunt considerate necesare în vederea atingerii scopului Platformei HomeLearning.

Furnizarea de date pentru crearea conturilor de utilizator este obligatorie. Refuzul de a furniza aceste date conduce la imposibilitatea accesării conținuturilor educaționale.

Când utilizatorii contactează echipele noastre de suport prin e-mail sau telefon, ne rezervăm dreptul de a colecta și prelucra respectivele conversații/corespondențe, pe care le vom folosi în mod exclusiv în scopul îmbunătățirii calității serviciilor de suport.

Dacă doriți să obtineți informații suplimentare referitoare la confidențialitatea datelor circulate prin intermediul Platformei HomeLearning, ne puteți contacta la homelearning@scoalabritanica.ro.

Politică de confidențialitate. Termeni și condiții de utilizare a datelor cu caracter personal

Introducere

În operațiunile de procesare a datelor cu caracter personal pe site-ul www.homelearning.scoalabritanica.ro.ro se utilizează date cu carater personal cum ar fi:

  • date despre clienți;
  • date privind utilizatorii site-ului;
  • date privind scorurile rezultate în urma sesiunilor de testare.

Procesul de prelucrare a acestor tipuri de date este supus legislației privind prelucrarea datelor cu caracter personal: REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor – GDPR), prin care se reglementează în mod explicit activitățile de procesare a datelor cu caracter personal, calitățile entităților juridice ce procesează date cu caracter personal, rolurile și responsabilitățile acestora.

Protecția datelor cu caracter personal

Regulamentul general privind protecția datelor cu caracter personal (GDPR) este unul dintre cele mai importate acte legislative care afectează în mod direct activitatea de procesare a datelor cu caracter personal a companiei ARTI, cu sediul în Str. Bibescu nr. 44, Craiova, CIF 15254821, înregistrată la ANSPDCP cu număr de operator 19496.

Definiții

“Legislația PDP” înseamnă orice lege, ordonanță, hotărâre, regulament sau legislație secundară emisă de Autoritatea de Supraveghere, privind prelucrarea, confidențialitatea și utilizarea Datelor Personale, aplicabilă serviciilor prestate în baza Contractului, incluzând:

Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date (“Legea 677/2001”); Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (“Legea 506/2004”) și orice alt acte normative din România care implementează aceste legi, Directiva 95/46/CE (“Directiva Data Protection”) și Directiva 2002/58/CE (“Directiva e-Privacy”); și/sau

începând cu data de 25 mai 2018, Regulamentul nr.679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (“GDPR”), de la data la care acesta va fi aplicabil; și orice alte acte normative naționale date în aplicarea GDPR;

orice interpretare judiciară sau administrativă a oricăreia dintre cele de mai sus, orice îndrumări, ghiduri, coduri de practică, coduri de conduită sau mecanisme de certificare aprobate sau emise de orice Autoritate de Supraveghere relevantă, pe toată perioada în care sunt în vigoare și aplicabile, și oricăror acte care le modifică, completează sau înlocuiesc în decursul timpului.

“Operator date personale” înseamnă Prestatorul și/sau orice client/beneficiar al serviciilor Prestatorului care determină (individual sau împreună în comun cu alții) scopurile pentru care și modul în care sunt sau vor fi procesate orice date cu caracter personal.

“Incidente de Securitate” înseamnă orice încălcare a securității care duce la distrugerea, pierderea, alterarea, dezvăluirea neautorizată, accidentală sau ilegală a oricăror date cu caracter personal sau accesul accidental sau ilegal la orice date cu caracter personal.

“Date cu Caracter Personal” înseamnă orice informații transmise Companiei prin intermediul testelor încărcate pe platformele Companiei individualizate, legate de o persoană fizică identificată sau identificabilă (“subiectul datelor cu caracter personal”) fiind una care poate fi identificată, direct sau indirect, în special prin referință la un număr de identificare sau la unul sau mai mulți factori specifici pentru identitatea sa fizică, fiziologică, mentală, economică, culturală sau socială, sau altfel după cum este definit în Legislația PDP.

“Procesare” înseamnă accesarea, colectarea, obținerea, înregistrarea, deținerea, dezvăluirea, utilizarea, alterarea, anularea, ștergerea sau distrugerea Datelor cu Caracter Personal, sau efectuarea oricărei (oricăror) operațiuni asupra Datelor cu Caracter Personal sau altfel, după cum este definit prin Legislația PDP aplicabilă.

“Persoana împuternicită”/”Procesatorul de Date” este reprezentată de Prestator, care asigură prestarea Serviciilor în favoarea Beneficiarului.

“Autorități de Reglementare” reprezintă “autoritatea de supraveghere” și înseamnă, conform GDPR, o autoritate publică independentă instituită de un stat membru. În România Autoritatea de Reglementare este reprezentată de ANSPDCP.

Principiile prelucrării datelor cu caracter personal

Principii legate de prelucrarea datelor cu caracter personal, impun ca datele cu caracter personal să fie:

prelucrate în mod legal, echitabil și transparent față de persoana vizată (“legalitate, echitate și transparență”);

colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1) din GDPR (“limitări legate de scop”);

adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (“reducerea la minimum a datelor”);

exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere (“exactitate”);

păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1) din GDPR, sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în regulamentul GDPR în vederea garantării drepturilor și libertăților persoanei vizate (“limitări legate de stocare”);

prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (“integritate și confidențialitate”).

Compania depune toate eforturile să alinieze la aceste principii toate activitățile de prelucrare de date cu caracter personal existente cât și toate noile procesări pe care aceasta intenționează să le efectueze.

Drepturile persoanelor

Persona fizică care accesează acest site sub incidența GDPR are următoarele drepturi:

  • Dreptul de a fi informat
  • Dreptul de a avea acces la datele cu caracter personal
  • Dreptul de a actualiza datele cu caracter personal
  • Dreptul de a cere ștergerea datelor cu caracter personal
  • Dreptul de a se opune prelucrării datelor cu caracter personal
  • Drepturi cu privire la procesarea automată a datelor cu caracter personal

Toate drepturile de mai sus sunt susținute de proceduri distincte elaborate la nivelul companiei noastre conform cerințelor stricte ale GDPR și conform termenelor limită definite în acesta.

Termenele stabilite de GDPR pentru exercitarea drepturilor persoanelor vizate și/sau pentru a da curs solicitărilor acestora și/sau pentru a răspunde sunt variate, astfel:

Dreptul de a fi informat

Când datele sunt colectate

Dreptul de a avea acces la datele cu caracter personal

Se poate exercita oricând pe durata procesării și se furnizează răspuns în interval de 30 de zile calendaristice.

Dreptul de a actualiza datele cu caracter personal

Se poate exercita oricând pe durata procesării, se implementează imediat și se furnizează răspuns în interval de 30 de zile calendaristice.

Dreptul de a cere ștergerea datelor cu caracter personal

Se poate exercita oricând pe durata procesării, se implementează imediat și se furnizează răspuns în interval de 30 de zile calendaristice.

Dreptul de a se opune prelucrării datelor cu caracter personal

Se poate exercita oricând pe durata procesării și se implementează imediat.

Drepturi cu privire la procesarea automată a datelor cu caracter personal

Nu este specificat.

Legalitatea prelucrării

Compania procesează datele dvs. cu caracter personal pe acest site doar în următoarele condiții:

  • Dacă persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
  • Atunci când prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
  • Atunci când prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
  • Atunci când prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
  • Atunci când prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
  • Atunci când prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Persoanele împuternicite ale operatorului

Compania se va asigura în orice moment că toate operațiunile ce vizează procesări de date cu caracter personal să fie reglementate prin contracte încheiate între operator și persoanele împuternicite sau între operatorii asociați, după caz. Toate aceste contracte vor respecta cerințele și clauzele expres impuse de GDPR.

Incidente de securitate

În caz de incident de securitate a Datelor cu Caracter Personal, Compania:

  • vă va informa cu privire la apariția oricărui incident de securitate în care sunt implicate datele dvs. cu caracter personal;
  • va investiga asupra încălcării securității datelor;
  • va lua măsuri rezonabile pentru a diminua efectele și a micșora orice daună care rezultă din Incidentul de Securitate, precum și măsuri rezonabile pentru a împiedica reapariția unei asemenea încălcări a securității datelor;
  • va dezvolta și executa un plan de reacție pentru a contracara Incidentul de Securitate;
  • va informa autoritățile relevante de reglementare în termen de 24 de ore de la apariția Incidentului de Securitate.

Cerințe de conformitate GDPR

Următoarele acțiuni sunt utilizate de Companie pentru a se alinia la principiile GDPR. Toate acțiunile de mai jos sunt revizuite în mod frecvent pentru a respecta toate cerințele GDPR:

Compania se va asigura în mod frecvent că există în orice moment un temei legal justificat pentru prelucrarea datelor cu caracter personal;

Un responsabil cu prelucrarea datelor cu caracter personal este numit în cazul în care există această cerință;

Toți angajații operatorului respectă principiile de prelucrare a datelor cu caracter personal;

Toți angajații operatorului au fost instruiți cu privire la procesarea datelor cu caracter personal;

Se obține consimțământul explicit al consumatorului privind procesarea datelor cu caracter personal;

Se auditează în mod frecvent toate politicile de conformitate pentru a respecta cerințele GDPR;

Următoarele elemente sunt documentate temeinic în procesul de prelucrare a datelor cu caracter personal:

Numele organizației în calitate de operator de date cu caracter personal;

Scopul pentru care sunt realizate prelucrările;

Categoriile de date cu caracter personal care sunt prelucrate;

Termene de stocare/arhivare a datelor cu caracter personal;

Politici de securitate cu privire la utilizarea datelor cu caracter personal.