GDPR

POLITICA DE CONFIDENȚIALITATE PRIVIND PRELUCRAREA DATELOR PERSONALE

 Versiune actualizată în Decembrie 2021

Pentru proiectul ”Romania Secondary Education Project – ROSE”, denumită în cele ce urmează ”ROSE” menținerea protecției datelor personale pe care ni le încredințați este deosebit de importantă. Această politică, numită în continuare ”Politica de confidențialitate”, descrie felul în care colectăm datele dvs. personale, ce tipuri de date colectăm, scopurile și temeiurile legale ale prelucrării, precum și practicile noastre pentru utilizarea, protejarea, reținerea, transmiterea sau partajarea acestor date către alte organizații, toate activitățile de prelucrare conforme cu prevederile Regulamentului 679/2016 (“Regulamentul general privind protecția datelor” sau “GDPR”), precum și cu orice altă legislație națională aplicabilă.

 Cine suntem

Operatorul datelor personale utilizate în cadrul activităților derulate în cadrul ROSE este Unitatea de Management al Proiectelor cu Finanțare Externă (UMPFE) care aparține de Ministerul Educației, reprezentată printr-o echipă de specialiști în domeniul educațional și comunicare. Pot exista situații în care echipele ROSE au rolul de împuternicit sau procesator al datelor personale primite de la organizații terțe, precum Ministerul Educației sau diferitele unități de învățământ care au datoria de a respecta obligațiile impuse de statutul de operator de date personale. Prelucrarea datelor poate fi realizată prin mijloace mixte (manuale și automate), cu respectarea cerințelor legale și în condiții care să asigure integritatea și confidențialitatea datelor și a drepturilor și libertăților fundamentale ale persoanelor vizate.

 Definiții

Prin „Date personale” se înțeleg orice informații care pot conduce la identificarea directă sau indirectă a unei persoane fizice.
„Prelucrare” sau „Procesare” înseamnă orice activitate care implica utilizarea de date personale, incluzând, dar fără a se limita la colectarea, înregistrarea, organizarea, structurarea, copierea, stocarea, recuperarea, dezvăluirea, publicarea, partajarea, transmisia, ștergerea sau distrugerea de date personale.
Prin ”Persoană vizată” se înțelege orice persoană fizică ale cărei date personale sunt folosite în oricare dintre tipurile de prelucrare enunțate mai sus.

 Ce fel de date personale prelucrăm

Pentru derularea activităților curente ale proiectului ROSE (https://www.rose-edu.ro/proiectul-rose/), avem acces la o serie de date generale de identificare și localizare precum: numele și prenumele, sexul, adresa de domiciliu, locul de muncă, adresa de poștă electronică (personală sau de business), numărul de telefon, (personal sau de serviciu), precum și imagini fotografice sau video (voce & imagine).

În funcție de proiectele derulate, e posibil să fim nevoiți să prelucrăm și alte tipuri de date dintre care unele pot fi considerate ca date speciale sau sensibile pentru persoana vizată, precum:
• Numere de identificare naționale: anul nașterii, CNP, carte identitate, pașaport, certificat de naștere, card social;
• Date medicale și biometrice: fișe medicale, existența unui handicap, etc;
• Date fiscale: burse, donații, conturi bancare, etc;
• Date sociale: informații despre condiția socială, situație familială, apartenența la diferite grupări sociale și profesionale, etc;
• Date despre dispozitivele pe care le folosiți: adrese IP, conexiuni internet, tip de echipament, sistem de operare.

 De la cine colectăm date cu caracter personal

• Vizitatori ai paginilor de Internet ROSE (https://www.rose-edu.ro/);
• Elevi interesați de activități din cadrul proiectului ROSE, precum pregătirea pentru Bacalaureat, consiliere pentru examene sau dezvoltare personală;
• Studenți din anul I interesați de diferite activități care îi pot ajuta la acomodarea cu viața universitară și specificul facultății precum: programe remediale, coaching și dezvoltare personală, tutorat, consiliere profesională și orientare în carieră;
• Profesori și psihologi școlari angrenați în programe de dezvoltare profesională, dezvoltarea competențelor socio – emoționale și practici pedagogice inovative;
• Părinți interesați de programele de susținere a elevilor din clasele terminale sau studenților din anul I și de unitățile de învățământ afiliate la programul ROSE.
• Specialiști în programe educaționale și de dezvoltare individuală care sunt angrenați în diferite activități specifice proiectelor ROSE.

 Cum și când putem obține datele dvs.

Politica de confidențialitate se referă la modul în care datele dvs. personale sunt prelucrate pe întreg ciclul de viață al unui flux de date, de la achiziție, salvare locală, prelucrare, folosire, stocare, transmitere, partajare, arhivare și ștergerea datelor.
În general, colectam datele dvs. cu caracter personal direct de la dumneavoastră, astfel încât aveți controlul asupra tipului de informație pe care ne-o oferiți. Este posibil să colectam sau sa obținem informații despre dvs. în următoarele moduri:
• direct de la dvs. (de exemplu, daca ne contactați prin telefon, scrisori poștale, mesaje email sau rețele sociale);
• atunci când vizitaţi website-ul nostru (https://www.rose-edu.ro/);
• atunci când doriți informații suplimentare și completați formularul de la pagina de Contact;
• atunci când vreți să vă abonați la serviciul nostru de newsletter;
• prin intermediul unităților de învățământ afiliate la programul ROSE;
• în calitate de beneficiar al unor proiecte derulate în programul ROSE;
• în calitate de reprezentant al unor entități participante sau beneficiare ROSE;
• în calitate de participant cu declarații la susținerea unor studii de caz;
• ca persoană individuală participantă la activitățile de promovare sub formă de articole tipărite și online, spoturi audio și/ sau video, broșuri, pliante, afișe, de promovare a unor proiecte reușite, etc.
• atunci când vă înregistraţi sau participați la programele sau evenimentele organizate în programul ROSE.

Membrii UMPFE și echipa de coordonare a activităților de promovare ROSE nu sunt responsabili pentru informațiile personale pe care le oferiți voluntar despre dvs. în paginile publice ale rețelelor sociale sau prin comunicări adresate telefonic, prin poștă sau prin email. De asemenea, aceasta politică nu acoperă practicile terților care pot furniza informații despre dvs. către participanții la diferitele activități de sub umbrela ROSE. În anumite împrejurări, putem colecta datele dvs. de la o sursa terța, precum Ministerul Educației, care este responsabilă pentru corectitudinea acestor date, având toate obligațiile și răspunderea unui operator de date privind respectarea legislației în vigoare.

 Cum utilizăm datele dvs. personale

Scopurile pentru care putem procesa informațiile personale, în conformitate cu legislația aplicabilă, includ:
Activități pedagogice și de sprijin:
• ore remediale
• tutoriat
• consiliere și coaching
• dezvoltare personală
• îndrumare și orientare în carieră
• dezvoltarea de abilități socio-emoționale
• activități destinate elevilor din grupuri dezavantajate

Axtivități extracurriculare:
• vizite sau excursii de documentare
• stagii de practică/internship
• participare la diferite competiții
• activități destinate înființării/ dezvoltării de rețele școlare etc
• orice alte tipuri de activităţi care implică prelucrarea de date personale.

Care sunt temeiurile legale pe care ne fundamentăm activitățile de prelucrare

Având în vedere scopurile menţionate anterior, procesăm date cu caracter personal atunci când:
● vă oferiți în mod voluntar consimţământul specific, informat şi clar privind colectarea datelor personale de către echipa de comunicare sau organizatorii diferitelor proiecte ROSE (GDPR Art.6, alin (1)(a));
● Prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract (Art. 6, (1) (b)) cum ar fi respectarea obligaţiilor contractuale încheiate pentru buna derulare a proiectelor și acordurilor de cooperare cu diferiți colaboratori și parteneri care participă la proiectele noastre;
● Prelucrarea este necesară în vederea îndeplinirii unei obligații legale (Art. 6, (1) (c)). Se poate referi la respectarea prevederilor din legislația financiară și comercială, raportarea la legislația specifică organizațiilor guvernamentale sau fundațiilor;
● Prelucrarea este necesară în scopul intereselor noastre legitime privind gestionarea eficientă a activităților specifice programului ROSE și buna derulare a proiectelor noastre, cu excepția cazului în care prevalează interesele sau drepturile si libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal (Art.6, (1)(f));

Accesul la date personale sensibile

Unele dintre activitățile noastre de prelucrare asociate unor proiecte sociale sau de sănătate pot necesita obținerea și prelucrarea de date personale cu caracter sensibil precum datele ce privesc sănătatea sau situația socială. Cum prelucrarea acestor date nu ține de activitățile specifice şi recurente ale programului ROSE, depunem toate eforturile pentru asigurarea condițiilor legale de utilizare a acestor tipuri de date prin:
• Respectarea prevederilor Art.9 din GDPR;
• Informarea corectă și transparentă a persoanelor vizate;
• Obținerea unui consimţământ explicit din partea persoanelor vizate;
• Respectarea condițiilor de confidențialitate asociate prelucrării de date care pot avea implicații critice pentru protejarea interesului vital (ex.: situațiile medicale de urgenţă);
• Atunci când interesul public sau situația juridică o impune.

Cum abordăm datele personale ale copiilor

În acord cu Art. 8 din GDPR, organizatorii proiectelor ROSE nu colectează și nu prelucrează în mod voluntar date ale copiilor sub vârsta de 16 ani, fără acordul părinților, tutorilor sau reprezentanților legali. În marea majoritate a cazurilor, în calitate de operator de date personale, școlile afiliate la programul ROSE au datoria de a informa și de a obține acordul părinților pentru elevii implicați. O bună parte dintre activitățile ROSE în care putem prelucra astfel de date sunt cele ce vizează proiectele noastre pentru educație, susținerea școlilor cu profil special sau a copiilor cu o situație socială deosebită.

Site-ul nostru nu este destinat utilizării de către copii sub 16 ani. Dacă aveți sub 16 ani, vă facem următoarele recomandări:
● nu folosiţi și nu distribuiţi date cu caracter personal prin site-ul nostru sau prin funcţiile aferente;
● nu postați comentarii publice pe site;
● nu ne trimiteți datele voastre personale (nume, adresa, telefon, emailul sau orice alt nume de utilizator).
Dacă luăm la cunoştinţă că au fost colectate sau că am primit date ale unui copil sub 16 ani fără consimţământul părinţilor, acestea vor fi şterse. Dacă dumneavoastră considerați că posedăm informaţii despre persoane mai mici de 16 ani, vă rugăm să ne trimiteți detalii legate de această presupunere pe adresa de contact de mai jos.

Cu cine partajăm datele cu caracter personal

Atunci când participați la o activitate specifică proiectelor ROSE datele dvs. personale de identificare și localizare pot fi partajate cu asociațiile care coordonează programul sau care organizează efectiv diferitele activități. În situațiile puțin probabile în care pot apărea cerințe de constatare, exercitarea sau apărarea unui drept în justiție sau pentru soluționarea diferendelor, putem partaja datele cu caracter personal cu instanțe de judecată, autorități de aplicare a legii, autorități de reglementare, avocați sau alte persoane competente.

După caz și numai cu acordul dvs., putem transmite sau oferi acces la anumite date cu caracter personal altor categorii de destinatari/ terți, precum: furnizori de servicii de curierat, furnizori de servicii de plată/bancare, companii de asigurări, etc. În oricare dintre aceste situații, echipa de coordonare ROSE se asigură că accesul părților terțe se realizează în conformitate cu prevederile legale în baza unor contracte care includ clauzele necesare de confidențialitate și protecție a datelor cu caracter personal. Conform prezentei Politici de confidențialitate, datele dvs. cu caracter personal nu vor fi transferate către terțe persoane sau alți parteneri în scopuri de marketing direct sau în alte scopuri decât cele pentru care au fost colectate.

Transferul internațional de date

Având în vedere caracterul internațional al unor proiecte derulate în cadrul ROSE, organizatorii și sponsorii unor activități ar putea deține şi/sau procesa date cu caracter personal colectate de la dumneavoastră în vederea partajării cu partenerii externi. Trebuie să precizăm în mod clar că aceste transferuri nu implică decât date personale de identificare și de contact, nu reprezintă un proces constant, iar toate persoanele vizate sunt de acord cu aceste transferuri, care sunt parte integrantă din activitățile curente ale programului.
Vom lua întotdeauna măsuri pentru a ne asigura că orice transfer internațional de date cu caracter personal este gestionat cu atenție. Transferurile către furnizorii de servicii și alte părți terțe vor fi întotdeauna protejate prin angajamente contractuale și, după caz, prin alte garanții, cum ar fi clauzele contractuale standard emise de Comisia Europeana sau schemele de certificare.

Cât timp păstrăm datele dvs. cu caracter personal

Echipele de organizare a proiectelor ROSE vor păstra datele dumneavoastră de identificare atât timp cât este necesar pentru interacțiunea cu dvs. sau atât timp cât sunteți integrat într-unul dintre proiectele ROSE. Criteriile pe care le folosim pentru a determina perioada optimă de retenție a datelor sunt în strânsă legătură cu scopul pentru care le reținem. Există o serie de reglementări legale privind păstrarea unor documente pe termen lung, care impun o anumită perioadă minimă de păstrare, precum legislația privind documentele fiscale cu perioadă minimă de arhivare de 5 sau de 10 ani.
În momentul în care datele dumneavoastră nu mai sunt relevante scopului pentru care au fost colectate, acestea vor fi distruse/şterse sau anonimizate, situație în care persoana vizată nu mai poate fi identificată iar datele arhivate nu mai fac obiectul GDPR.

Cum asiguram securitatea si confidențialitatea datelor cu caracter personal

Echipele ROSE fac demersuri rezonabile pentru a asigura securitatea și confidențialitatea datelor cu caracter personal prin implementarea unor măsuri tehnice și organizatorice adecvate, menite să vă protejeze datele cu caracter personal de pierderile accidentale și de accesul, utilizarea, modificarea și divulgarea neautorizată. În plus:
• Platforma SendinBlue utilizată pentru gestionarea serviciului de newsletter garantează asigurarea condițiilor de siguranță a datelor personale ale tuturor abonaților înregistrați în bazele de date;
• Toate datele personale pe care ni le furnizați sunt stocate în baze de date protejate prin parolă pe serverele noastre, iar transmisia datelor este criptată și protejată corespunzător;
• Avem un plan documentat de răspuns la incidente pentru a acționa prompt asupra evenimentelor care încalcă politicile de securitate sau de confidențialitate, în cazul în care acestea au loc, iar acest plan este revizuit și actualizat în mod continuu.
• Toți membrii echipelor de administrare a proiectelor ROSE sunt instruiți corespunzător și sunt conștienți de răspunderea pe care o au cu privite la asigurarea integrității și confidențialității datelor la care au acces.

Cum respectăm drepturile de acces la datele personale

În condițiile prevăzute de Regulamentului Uniunii Europene nr. 679 din 2016 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, în calitate de persoane vizate beneficiați de următoarele drepturi:

Dreptul la informare – se referă la dreptul pe care îl aveți de a primi detalii privind activitățile de prelucrare efectuate de echipele proiectelor ROSE, conform celor descrise mai jos;
Dreptul de acces la date – aveți dreptul de a obține o confirmare a faptului că prelucrăm sau nu date cu caracter personal, că avem în evidente datele dvs. și că puteți solicita accesul la datele respective și la următoarele informații: ce date prelucrăm, în ce scop, dacă acestea sunt divulgate terților și cu cine le partajăm, precum și perioada de stocare a acestor date. Aveți dreptul de a primi gratuit o copie a datelor cu caracter personal ce fac obiectul prelucrării.
Dreptul la rectificare – aveți dreptul de a obține corectarea datelor cu caracter personal inexacte/ nejustificate, precum și actualizarea datelor incomplete. Rectificarea/ completarea va fi comunicata fiecărui destinatar la care au fost transmise datele, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune eforturi disproporționate.
Dreptul la ștergerea datelor („dreptul de a fi uitat”) – aveți dreptul de a ne solicita ștergerea datelor personale fără întârzieri nejustificate, în cazul în care se aplică unul dintre următoarele motive:
• datele nu mai sunt necesare pentru îndeplinirea scopului pentru care au fost colectate sau prelucrate;
• vă retrageți consimțământul și nu există nici un alt temei juridic pentru prelucrare;
• va opuneți prelucrării si nu exista motive legitime care sa prevaleze;
• datele cu caracter personal au fost prelucrate ilegal;
• datele trebuie șterse pentru respectarea unei obligații legale.
Nu vom putea da curs solicitării dvs. de ștergere a datelor cu caracter personal în cazul în care prelucrarea acestora este necesara pentru:
• respectarea unei obligații legale privitoare la perioada de arhivare a unor documente, precum facturile, bonurile fiscale și alte documente cu valoare comercială, etc.;
• constatarea, exercitarea sau apărarea unui drept în instanță;
• alte cazuri în care pot exista temeiuri juridice și organizaționale solide pentru păstrarea unor anumite tipuri de date personale pentru diferite perioade de timp.
Totodată, pot exista situații în care, în urma solicitării de ștergere a datelor, să aplicăm procedee de eliminare a oricărui element de identificare a persoanei dvs. prin tehnici de anonimizare, caz în care dateleà criptate nu mai intră sub incidența GDPR.

Dreptul la restricționarea prelucrării – în măsura în care:
• puteți contesta exactitatea datelor, solicitând restricționarea prelucrării acestora pe o perioada care ne permite verificarea corectitudinii;
• nu doriți ștergerea datelor cu caracter personal, dar puteți pune condiții cu privire la restricționarea utilizării lor;
• v-ați opus unor prelucrări justificate prin legitimul nostru interes și am sistat prelucrarea datelor dvs. pentru intervalul de timp în care se face o analiză de legitim interes, pentru a verifica dacă drepturile dvs. ca persoana vizată prevalează față de drepturile noastre legitime.
Dreptul la portabilitatea datelor – respectiv:
• dreptul de a primi datele cu caracter personal într-o modalitate structurată, folosită în mod obișnuit și într-un format ușor de citit;
• dreptul ca aceste date să fie transmise către alt operator de date, la solicitarea persoanei vizate, în măsura în care sunt îndeplinite condițiile prevăzute de lege.
Dreptul la opoziție – Pot exista situații în care, din motive legate de o situație particulară în care vă aflați, să vă opuneți prelucrării datelor dvs. personale. În aceste condiții, vom înceta să prelucram datele dvs. cu excepția cazului în care avem motive legitime, imperioase și dovedibile care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților dumneavoastră.
Dreptul de a nu fi supus unei decizii individuale automate – va asigură dreptul de a nu fi subiectul unei decizii luate numai pe baza unor activități de prelucrare automate, inclusiv crearea de profiluri care poate produce efecte juridice care vă privesc sau care vă afectează într-o măsură semnificativă.
Dreptul de renunțare la consimțământ – reprezintă dreptul de retragere a permisiunii de utilizare a datelor personale pentru orice activitate de prelucrare pentru care în prealabil v-ați dat consimțământul. E important să înțelegeți că retragerea consimțământului pentru un anumit tip de prelucrare a datelor personale se referă doar la prelucrările executate din momentul anunțării retragerii consimțământului, neafectând prelucrarea datelor efectuată pe durata existenței consimțământului și nu va afecta nici acordul dat pentru alte activități sau servicii. Pentru a beneficia de acest drept, e suficient sa ne contactați prin metodele expuse mai jos și cererea dvs. va fi soluționată în cel mai scurt timp posibil.
Dreptul de a vă adresa autorităților naționale ce gestionează aplicarea legislației privitoare la prelucrarea datelor personale – Pentru persoanele fizice din România, acest rol îi revine Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), care poate primi sesizări din partea persoanelor vizate la adresa: B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, cod 010336, București, e-mail: anspdcp@dataprotection.ro sau prin intermediul platformei online www.dataprotection.ro

Prin aceasta politică, vom acorda în permanență o maximă importanță respectării drepturilor dvs. fundamentale. Vă garantăm că orice solicitare fondată ne veți trimite va fi rezolvată în cel mai scurt timp posibil, conform legislației interne și internaționale și cerințelor GDPR. În acest spirit, am dezvoltat și adoptat o procedură specială de soluționare a solicitărilor de acces la date venite din partea persoanelor vizate (membri, beneficiari ai proiectelor, parteneri). E bine sa rețineți că în cazul în care solicitarea dvs. este nefondată, neargumentată, excesivă sau ar afecta în mod negativ drepturile și libertățile fundamentale ale altor persoane vizate, legislația în vigoare ne permite să nu dăm curs unei cereri de acces la date, răspunsul nostru conținând toate argumentele necesare.

Cum ne puteți contacta

Vă reamintim faptul că ne puteți contacta oricând, pentru orice nelămurire sau solicitare legată de modul în care prelucrăm datele dvs. personale prin formularul de contact de pe site (https://www.rose-edu.ro/contact/) sau direct la adresa de e-mail: office@rose-edu.ro