Stabilirea de măsuri tehnice și organizatorice ce trebuie aplicate în vederea adaptării cererilor departamentelor vizate, cu privire la modul de utilizare a datelor cu caracter personal,  de a soluționa cererile persoanelor vizate de utilizarea datelor acestora de către Universitatea de Medicină și  Farmacie ”Iuliu Hațieganu” Cluj Napoca, cât și monitorizarea internă a departamentelor privind protecția, utilizarea, respectarea, monitorizarea, implementarea și emiterea de răspunsuri și/sau recomandări  a Regulamentului (UE) 689/2016 privind protecția datelor cu caracter personal.

Procedura se aplică de către Responsabilul cu protecția datelor cu caracter personal (denumit în continuare DPO).

DOMENIU DE APLICARE

Domeniul de aplicare se reflectă asupra prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.

DOCUMENTE DE REFERINȚĂ

Legea 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

REGULAMENTUL (UE) nr. 679 din 27 aprilie 2016 al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor, denumit în continuare GDPR).

DESCRIEREA ACTIVITĂȚII

Se oferă posibilitatea departamentelor vizate, cât și persoanelor celor care li se prelucrează datele cu caracter personal, în conformitate art. 12 din GDPR, de a înainta o cerere scrisă în format fizic sau electronic, ori de câte ori va dori sa îți exercite drepturile privind protecția datelor cu caracter personal (în temeiul articolelor 13-22 din GDPR).

Datele cu caracter personal sunt:

a) prelucrate în mod legal, echitabil și transparent față de persoana vizată (legalitate, echitate și transparență);

b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1) (limitări legate de scop);

c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (reducerea la minimum a datelor);

d) exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere (exactitate);

e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăsește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare știintifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate (limitări legate de stocare);

f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (integritate și confidențialitate).

Informațiile furnizate în temeiul articolelor 13 și 14 din GDPR și orice comunicare și orice măsuri luate în temeiul articolelor 15-22 și 34 din GDPR sunt oferite gratuit de către instituție. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, Universitatea de Medicină și Farmacie ”Iuliu Hațieganu” Cluj-Napoca își exercită dreptul (în baza art. 12, alin (5)) de a lua următoarele măsuri:

• Să perceapă o taxă rezonabilă ținând cont de costurile administrative pentru furnizarea informațiilor sau a comunicării sau pentru luarea măsurilor solicitate;
• Să refuze să dea curs cererii.

Cererea privind exercitarea drepturile privind protecția datelor cu caracter personal, reglementate de GDPR, este întocmită în formă scrisă și trebuie să conțină cel puțin următoarele informații:

• datele de identificare ale persoanei care întocmește cererea/ plângerea (numele, prenumele și CNP-ul);
• calitatea persoanei care întocmește cererea/ plângerea;
• obiectul cererii, respectiv descrierea completă a informațiilor/modificărilor solicitate;
• datele de corespondență (adresa de corespondență și adresa de e-mail), în vederea transmiterii răspunsului;
• data întocmirii;
• semnătura persoanei care întocmește cererea/ plângerea.

În conformitate cu art. 12, alin (6), UMF Cluj Napoca poate solicita furnizarea de informații suplimentare necesare pentru a confirma identitatea persoanei vizate.

Cererile pot fi expediate astfel:

Prin depunerea acestora în format fizic la adresa de corespondență a DPO (datele se regăsesc la secțiunea Date contact DPO) sau scanate, prin e-mail, la adresa de e-mail: gdpr@umfcluj.ro.

Răspunsul la cererea depusă de persoana vizată este întocmit în formă scrisă și va cuprinde cel puțin următoarele informații:

• identitatea și datele de contact ale operatorului;
• scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;
• categoriile de date cu caracter personal prelucrate;
• destinatarii sau categoriile de destinatari ai datelor cu caracter personal, dacă este cazul;
• acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
• sursa colectării datelor și drepturile persoanei vizate privind: rectificarea, ștergerea, restricționarea, opoziția și posibilitatea de a depune o plângere la ANSPDCP (în cazul cererii privind accesul la datele cu caracter personal);
• informații privind motivele respingerii cererii (dacă este cazul);
• măsurile luate în temeiul articolelor 15-22 și 34 din GDPR pentru soluționarea cererii (în funcție de obiectul cererii: rectificarea, ștergerea, restricționarea, portarea datelor, etc.).

Răspunsul va fi expediat după cum urmează:

• În format fizic la adresa de corespondența a persoanei vizate, menționată în cerere;
• Scanat, prin e-mail, la adresa de e-mail specificată de persoana vizată în cerere.

Termenul în care responsabilul cu protecția datelor cu caracter personal va furniza persoanei vizate orice informații menționate la articolele 13 și 14 din GDPR și orice comunicări în temeiul articolelor 15-22 și 34 din GDPR este de 30 zile lucrătoare.

Această perioadă poate fi prelungită cu două luni atunci când este necesar, ținându- se seama de complexitatea și numărul cererilor. UMF Cluj Napoca informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând și motivele întârzierii.

Dacă nu ia măsuri cu privire la cererea persoanei vizate, UMF Cluj Napoca informează persoana vizată, fără întârziere și în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri și la posibilitatea de a depune o plângere în fața unei autorități de supraveghere și de a introduce o cale de atac judiciar.

Drepturile Dumneavoastră în calitate de persoană vizată

• Dreptul de acces la datele cu caracter personal prelucrate: aveți dreptul de a obține o confirmare că se prelucrează sau nu datele dumneavoastră cu caracter personal, și, în caz afirmativ, aveți acces la tipul de date cu caracter personal și la condițiile prelucrării lor, prin formularea unei cereri în acest sens către operator;
• Dreptul de a cere rectificarea sau ștergerea datelor cu caracter personal: aveți posibilitatea să solicitați, prin trimiterea unei cereri în acest sens către operator, rectificarea datelor cu caracter personal care sunt inexacte, suplimentarea datelor cu caracter personale în situația în care acestea sunt incomplete sau ștergerea datelor dumneavoastră cu caracter personal în situațiile în care: (i) datele cu caracter personal nu mai sunt necesare scopului lor initial (și nu există un nou scop legal pentru prelucrare); (ii) baza legală a prelucrării o reprezintă consimțământul persoanei vizate, iar persoana vizată își retrage consimțământul, și nu există nici un alt temei legal pentru prelucrare; (iii) persoana vizata își exercită dreptul la opoziție și operatorul nu are motive în favoarea continuării prelucrării care prevalează; (iv) datele cu caracter personal au fost prelucrate ilegal; (v) ștergerea este necesară pentru respectarea legislației UE sau din Romania, sau (vi) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății informaționale oferite către copii (dacă este cazul), pentru care consimțământul este guvernat de reguli speciale;
• Dreptul de a solicita restricționarea prelucrării: aveți dreptul să obtineți restricționarea prelucrării în situațiile în care: (i) considerați că se prelucrează date cu caracter personal inexacte, pentru o perioada care îi permite operatorului să verifice exactitatea datelor dumneavoastră cu caracter personal; (ii) prelucrarea este ilegala, dar nu doriți ștergerea datelor dumneavoastră cu caracter personal, solicitând doar  restricționarea  utilizării lor; (iii)  în  situația în care operatorul nu mai are nevoie de datele dumneavoastră cu caracter personal pentru prelucrarea lor în scopurile menționate mai sus, dar dumneavoastră solicitați datele pentru constatarea, exercitarea sau apărarea unui drept în instanța sau (iv) dumneavoastră v-ați opus prelucrării, pentru intervalul de timp în care se verifică dacă temeiurile legitime ale operatorului prevalează asupra drepturilor persoanei vizate;
• Dreptul de a vă retrage consimțământul pentru prelucrare, când prelucrarea este bazată pe consimțământul dumneavoastră, fără a afecta legalitatea prelucrării efectuate până la momentul retragerii consimțământului;
• Dreptul de a vă opune cu privire la prelucrarea datelor cu caracter personal din motive legate de situația dumneavoastră particulară, atunci când prelucrarea este întemeiată pe un interes legitim si să vă opuneți în orice moment la prelucrarea datelor cu caracter personal în scopuri de marketing direct, inclusiv creării de profiluri;
• Dreptul de a nu fi obiectul unei decizii bazate exclusiv pe prelucrare automatizată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizata sau o afectează în mod similar într-o măsură semnificativă;
• Dreptul la portabilitatea datelor, și anume dreptul de a primi datele dumneavoastră cu caracter personal, pe care le-ați furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și dreptul de a transmite aceste date către un alt operator, în situația în care prelucrarea se face în baza consimțământului dumneavoastră sau executarea unui contract și este efectuată prin mijloace automate;
• Dreptul de a depune o plângere în fața Autoritatii Nationale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) și dreptul de a vă adresa instanțelor de judecată competente.

Toate aceste drepturi pot să fie exercitate printr-o cerere scrisă, semnată si datată, transmisă la sediul nostru sau la adresa de email: gdpr@umfcluj.

Datele de contact ale DPO:

Cererile vor fi transmise către responsabilul cu protecția datelor cu caracter personal, prin e-mail sau la adresa de corespondență, așa cum sunt prezentate mai jos:

Nume: Andreieș Ovidiu;

Adresă corespondență: Strada Victor Babeș, nr. 8

Număr de telefon: 0740086400

Adresă de email: ovidiu.andreies@umfcluj.ro; gdpr@umfcluj.ro.

RESPONSABILITĂŢI

Se urmăreşte identificarea tuturor acţiunilor care au legătură cu procesul/activitatea şi stabilirea acestora pe compartimentele cărora le revin responsabilităţile privind prelucrarea datelor cu caracter personal, după caz, răspunderile faţă de acestea, prin nominalizarea personalului implicat în activitatea procedurală a prelucrării datelor cu caracter personal.

Emiterea de recomandări privind cuprinderea acţiunilor în ordinea logică a desfăşurării lor şi a compartimentelor sau responsabililor, în ordinea intervenţiei în activitatea procedurală a personalului implicat în prelucrarea datelor cu caracter personal.

Emiterea de acorduri privind informarea persoanelor vizate de prelucrările de date cu caracter personal în sprijinul departamentelor ce au acțiuni privind prelucrarea datelor cu caracter personal, conform art. 6 al regulamentului 679/2016.

Formularea de răspunsuri asupra cererilor persoanelor vizate de regulamentul 679/2016.