Politica Generala Privind Protectia Datelor Cu Caracter Personal

CINE SUNTEM

Societatea MEDUSA HOTEL INTERNATIONAL S.R.L. (”MEDUSA”), cu sediul social in Bucuresti, str. Jandarmeriei, nr. 14A, sector 1, inregistrata la Registrul Comertului sub nr. J40/211297/1994, CIF RO 6505878, Telefon : (+40) 744.332.155, Website: https://stejariicountryclub.ro/ , e-mail: office@stejariicountryclub.ro, adresa de e-mail a Responsabilului pentru Protectia Datelor: dpo@stejariicountryclub.ro , este operator de date cu caracter personal colectate in cursul activitatii sale legitime de afaceri.

MEDUSA colecteaza date in multe modalitati si pe mai multe cai: atunci cand ne contactati telefonic sau pe email, atunci cand ne vizitati website-ul, atunci cand ne solicitati o oferta, atunci cand contractati cu noi un abonament sau atunci cand formulati o cerere ce ne este adresata. Colectam date si atunci cand ne vizitati la sediul nostru, precum si atunci cand ne transmiteti CV-uri sau cereri de angajare.

 

DEFINITII

Datele cu caracter personal (Date) – orice informatie privind o persoana fizica identificata sau identificabila (persoana vizata); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare cum ar fi un nume, un numar de identificare, date despre localizare, un identificator online sau la unul sau mai multe elemente specifice, proprii identitatiile sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Categorii speciale de date cu caracter personal – orice informatie care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate, date genetice, date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice.

Prelucrarea datelor cu caracter personal (Prelucrare) – orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea.

Persoana vizata – o persoana fizica care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare cum ar fi un nume, un numar de identificare, date despre localizare, un identificator online sau la unul sau mai multe elemente specifice, proprii identitatiile sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Operator – persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; atunci cand scopurile si mijloacele prelucrarii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevazute in dreptul Uniunii sau in dreptul intern.

Persoana imputernicita de catre Operator (Imputernicit/Procesator) – persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului.

Parte Terta – o persoana fizica sau juridica, autoritate publica, agentie sau organism altul decat persoana vizata, operatorul, persoana imputernicita de operator si persoanele care, sub directa autoritate a operatorului sau a persoanei imputernicite de operator, sunt autorizate sa prelucreze date cu caracter personal.

Consimtamant – orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate.

Pseudonimizare –  inseamnă prelucrarea datelor cu caracter personal intr-un asemenea mod incat acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informatii suplimentare, cu conditia ca aceste informatii suplimentare să fie stocate separat si să facă obiectul unor măsuri de natură tehnică si organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile. Principiile privind prelucrarea datelor cu caracter personal se aplica datelor pseudonimizate, intrucat acestea reprezinta date cu caracter personal.

Anonimizare – inseamnă prelucrarea datelor cu caracter personal intr-un asemenea mod care sa fie ireversibil si care sa transforme datele astfel incat acestea să nu mai poată fi atribuite unei anume persoane vizate. Principiile privind prelucrarea datelor cu caracter personal nu se aplica datelor anonimizate, intrucat acestea nu mai reprezinta date cu caracter personal.

ANSPDCP – inseamna autoritatea publica independenta de supraveghere din Romania, respectiv Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal.

GDPR – Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE.

 

VIZIUNEA NOASTRA DESPRE PRELUCRAREA DATELOR CU CARACTER PERSONAL SI ANGAJAMENTELE MEDUSA

Prelucrarea datelor cu caracter personal in MEDUSA se supune intotdeauna urmatoarelor principii:

  • Toate prelucrarile de date au un temei legal valabil
  • Toate prelucrarile de date se fac in mod echitabil
  • Informam persoanele vizate cu privire la ce date prelucram, de ce, cum si cat timp le prelucram, daca si cui le transferam, precum si ce drepturi au cu privire la datele lor
  • Datele se colecteaza in scopuri determinate, explicite si legitime si nu sunt prelucrate ulterior intr-un mod incompatibil cu aceste scopuri
  • Datele sunt adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate
  • Suntem preocupati sa folosim doar date exacte si, in cazul in care este necesar, vom avea grija sa fie actualizate
  • Datele se pastreaza intr-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi in masura in care acestea vor fi prelucrate exclusiv in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, sub rezerva punerii in aplicare a masurilor de ordin tehnic si organizatoric adecvate
  • Datele sunt prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare

MEDUSA se va asigura ca respecta aceste principii atat in ceea ce priveste activitatile sale curente, precum si in cazul in care in viitor va introduce noi tehnologii de prelucrarea a datelor, cum ar fi, fara a se limita la, noi sisteme IT.

 

CE DATE PERSONALE PRELUCRAM

In activitatea MEDUSA persoanele vizate sunt informate cu privire la datele personale colectate si prelucrate in fiecare caz in care se intampla acest lucru (de exemplu, la transmiterea unei solicitari de informatii sau oferta, la incheierea unui contract, la receptionarea unui CV  etc.).

DE CE SI CUM FOLOSIM DATELE DVS. CU CARACTER PERSONAL

Datele dvs. cu caracter personal sunt folosite pentru a ne derula activitatea de afaceri, inclusiv pentru a formula oferte, pentru a incheia contracte de abonament, pentru a va furniza servicii, pentru a va oferi informatii cu privire la evenimentele si activitatile noastre si ale partenerilor nostri, pentru a da curs cererilor clientilor nostri, pentru a ne supune verificarilor obligatorii sau recomandate, pentru a da curs cererilor formulate de autoritatile competente care ne supravegheaza si reglementeaza activitatea.

Prelucram de asemenea date cu caracter personal si pentru a asigura securitatea spatiilor in care ne derulam activitatea, a bunurilor pe care le folosim in acest scop, siguranta angajatilor nostri si a datelor si informatiilor pe care le gestionam.

Datele dvs. cu caracter personal sunt prelucrate prin colectare, inregistrare, organizare, stocarea, modificare, consultarea, utilizare, divulgare prin transmitere, punere la dispozitie, combinare, restrictionare, stergere, distrugere s.a.m.d.

Datele dvs. cu caracter personal nu fac obiectul unui proces decizional automatizat (inclusiv profilare) decat in situatii exceptionale, caz in care persoana vizata este informata cu privire la existenta acestuia, precum si a detaliilor cu privire la acest mod special de prelucrare .

De pilda, va rugam sa consultati Politica noastra referitoare la Cookies si alti identificatori online pentru a afla mai multe despre profilarea pe care o facem si pentru a va exprima optiunile in acest sens.

In activitatea MEDUSA persoanele vizate sunt informate cu privire la datele personale colectate si prelucrate in fiecare caz in care se intampla acest lucru (de exemplu, la transmiterea unei solicitari de informatii sau oferta, la incheierea unui contract, la receptionarea unui CV etc.).

 

IN CE TEMEI FOLOSIM DATELE DVS. CU CARACTER PERSONAL

MEDUSA urmareste efectuarea prelucrarilor de date in considerarea cel putin unuia din temeiurile legale enumerate mai jos:

  1. a) Consimtamantul – In cazul in care nu se aplica vreun alt temei de legalitate al prelucrarii prevazut mai jos, MEDUSA obtine intotdeauna consimtamantul persoanei vizate pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice.
  2. b) Executarea/Incheierea unui contract – Prelucrarea este necesara pentru executarea de catre MEDUSA a unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract.
  3. c) Obligatie legala – Prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine MEDUSA.
  4. d) Interes legitim – Prelucrarea este necesara in scopul intereselor legitime urmarite de MEDUSA sau de o parte terta, in conditiile legii. De pilda, in cazul inregistrarii apelurilor telefonice, MEDUSA are un interes legitim probator sau de imbunatatire a serviciilor oferite.
  5. e) Interes vital – Prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice.
  6. f) Interes public – Prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul.

In cazul categoriilor speciale de date cu caracter personal, MEDUSA se raporteaza la prevederile legale aplicabile pentru a asigura intotdeauna un temei legal valabil pentru prelucrare.

 

CUI TRANSMITEM DATELE DVS. CU CARACTER PERSONAL

Este posibil ca datele dvs. cu caracter personal sa fie transmise unor terti – firme cu care lucram pentru a va oferi servicii complete, de pilda, servicii de beauty, firme care realizeaza marketing, firme de audit, firme externalizate pentru servicii IT, autoritati competente etc . Ori de cate ori facem acest lucru, ne asiguram ca exista o justificare temeinica, ca vom transmite doar datele strict necesare pentru realizarea scopului transmiterii si vom incerca sa ne asiguram ca destinatarul asigura un standard inalt de protectie a datelor cu caracter personal.

In cazul activitatilor de prelucrare a datelor facute de un tert prestator/furnizor/partener/intermediar pentru operatorul MEDUSA, in baza unui contract de prestari servicii de orice tip incheiat intre MEDUSA si tertul respectiv (care are calitatea de procesator al datelor cu caracter personal din punct de vedere al GDPR), aceste contracte se incheie in scris si includ o serie de clauze specifice, prin care tertii respectivi sa furnizeze MEDUSA garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate, astfel incat prelucrarea sa respecte cerintele prevazute in GDPR si sa asigure protectia drepturilor persoanei vizate.

Transferul de date cu caracter personal catre o organizatie internationala sau catre un stat tert fata de UE si SEE (SEE include atat UE, cat si Islanda, Liechestenstein si Norvegia) poate avea loc numai daca organizatia sau statul respectiv, catre care se intentioneaza a se efectua transferul, pot sa asigure un nivel de protectie adecvat confrom cerintelor din GDPR.

Transferul de date catre o organizatie internationala  sau catre un stat a carui legislatie nu prevede un nivel de protectie adecvat, recunoscut printr-o decizie de adecvare emisa de Comisia Europeana, este posibil numai daca exista garantii suficiente cu privire la protectia drepturilor fundamentale ale persoanelor vizate si cu conditia sa existe drepturi opozabile si cai de atac efective la dispozitia persoanelor vizate. Aceste garantii se stabilesc de MEDUSA, cu respectarea GDPR, in contracte/acorduri incheiate cu furnizorii/prestatori de servicii catre care se realizeaza transferul datelor sau in alte modalitati legale, de la caz la caz.

 

CAT TIMP SI CUM PASTRAM DATELE DVS. CU CARACTER PERSONAL

Pastram datele dvs. cu caracter personal doar atat timp cat ne sunt necesare sau cat prevede legislatia in vigoare. Oferim in Notitele de informare si Formularele noastre de consimtamant, precum si in contracte, informatii concrete cu privire la termenele de retentie aplicabile pentru fiecare situatie in parte.

In tot acest timp, ne asiguram ca datele sunt pastrate in siguranta, iar, in cazul unor brese de securitate, suntem pregatiti sa aplicam toate masurile tehnice, organizatorice si legale pentru a limita consecintele posibile si a informa ANSPDCP, precum si persoanele vizate, daca exista riscuri pentru acestea.

In masura posibilului, vom anonimiza datele care nu ne mai sunt necesare intr-o maniera care sa permita identificarea persoanelor vizate sau aplicam psedonimizarea pentru a limita riscurile cu privire la datele personale prelucrate.

 

CE DREPTURI AVETI CU PRIVIRE LA DATELE DVS. PE CARE LE PRELUCRAM

A. Dreptul de acces la Date

Orice Persoana vizata are dreptul de a obtine de la MEDUSA, atunci cand aceasta actioneaza in calitatea sa de operator, la cerere si in mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau nu prelucrate de aceasta, iar in caz afirmativ, se vor furniza informatiile referitoare la: scopurile prelucrarii; categoriile de date vizate; destinatarii sau categoriile de destinatari ale datelor, in special destinatari din tari terte sau organizatii internationale, precum si a garantiilor adecvate oferite in cazul unui astfel de transfer de date; acolo unde este posibil, perioada pentru care se preconizeaza ca vor fi stocate datele cu caracter personal sau, daca acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada; existenta dreptului de a solicita MEDUSA rectificarea sau stergerea datelor ori restrictionarea prelucrarii lor sau a dreptului de a se opune prelucrarii; dreptul de a depune o plangere in fata ANSPDCP; daca datele nu sunt colectate de la persoana vizata, orice informatii disponibile privind sursa acestora; existenta unui proces decizional automatizat, inclusiv profilingul, precum si informatii pertinente privind logica utilizata, semnificatia si consecintele preconizate ale unei astfel de prelucrari pentru persoana vizata.

B. Dreptul la rectificare

Persoana vizata are dreptul de a obtine de la MEDUSA, in calitate de operator de date, fara intarzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc.

Tinandu-se seama de scopurile in care au fost prelucrate datele, persoana vizata are dreptul de a obtine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaratii suplimentare.

C. Dreptul la stergerea datelor („dreptul de a fi uitat”)

Persoana vizata are dreptul de a obtine stergerea datelor cu caracter personal care o privesc, fara intarzieri nejustificate, iar MEDUSA va avea obligatia de a sterge datele fara intarzieri nejustificate in cazul in care:

a) datele nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost colectate sau prelucrate;

b) persoana vizata isi retrage consimtamantul pe baza caruia are loc prelucrarea si nu mai exista nici un alt temei legal pentru prelucrare;

c) datele cu caracter personal au fost prelucrate ilegal

d) persoana vizata isi exercita dreptul la opozitie in conditiile GDPR;

e) datele trebuie sterse pentru respectarea unei obligatii legale a operatorului;

f) datele cu caracter personal au fost colectate in legatura cu oferirea de servicii ale societatii informationale minorilor in conditiile GDPR;

g) datele cu caractre personal au fost colectate in legaura cu oferirea de informatii ale societatii informationale catre copii in conditiile GDPR.

MEDUSA, in calitate de operator de date, poate refuza cererea de stergere a datelor in urmatoarele conditii:

a) prelucrarea este necesara pentru exercitarea dreptului la libera exprimare si la informare;

b) prelucrarea este necesara pentru respectarea unei obligatii legale aplicabile operatorului;

c) prelucrarea este necesara pentru ratiuni tinand de interesul public in domeniul sanatatii publice, in conditiile resptrictive impuse de GDPR;

d) prelucrarea este necesara in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, in conditiile GDPR, in masura in care exercitarea dreptului poate face imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective;

e) prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept in instanta.

D. Dreptul la restrictionarea prelucrarii

Persoana vizata are dreptul de a obtine din partea MEDUSA, in calitate de operator de date, restrictionarea prelucrarii in urmatoarele cazuri:

a) persoana vizata contesta exactitatea datelor, pentru o perioada care ii permite operatorului sa verifice exactitatea datelor;

b) prelucrarea este ilegala, iar persoana vizata se opune stergerii datelor cu caracter personal, solicitand in schimb restrictionarea utilizarii lor;

c) MEDUSA nu mai are nevoie de datele cu caracter personal in scopul prelucrarii, dar ele sunt necesare pentru constatarea, exercitarea sau apararea unui drept in instanta;

d) persoana vizata s-a opus prelucrarii, pentru intervalul de timp in care se verifica daca drepturile legitime ale operatorului prevaleaza asupra celor ale persoanei vizate;

e) persoană vizată care a obtinut restrictionarea prelucrării este informată de către MEDUSA inainte de ridicarea restrictiei de prelucrare.

E. Dreptul de opozitie

Persoana vizata are dreptul fata de MEDUSA:

a) de a se opune in orice moment, din motive legate de situatia sa particulara, ca datele care o vizeaza sa faca obiectul unei prelucrari intemeiate pe interesul public sau pe interesul legitim. In caz de opozitie, prelucrarea nu mai poate viza datele in cauza decat daca exista motive legitime si imperioase care justifica prelucrarea si care prevaleaza asupra drepturilor persoanei vizate sau daca scopul este constatarea, exercitarea sau apararea unui drept in instanta.

b) de a se opune in orice moment, in mod gratuit si fara nici o justificare, ca datele care o vizeaza sa fie prelucrate in scop de marketing direct, inclusiv in ceea ce priveste crearea de profiluri in acest scop.

F. Dreptul la portabilitatea datelor

Persoana vizata are fata de MEDUSA dreptul de a primi – intr-un format structurat, utilizat in mod curent si care poate fi citit automat – datele cu caracter personal care o privesc si pe care le-a furnizat catre Societate si de a le transmite catre un alt operator in cazul in care:

  1. a) prelucrarea se bazeaza pe consimtamant sau pe un contract; si
  2. b) prelucrarea este efectuata prin mijloace automate.

In exercitarea dreptului sau la portabilitatea datelor, persoana vizata are dreptul ca datele sale sa fie transmise direct de la MEDUSA la alt operator atunci cand acest lucru este fezabil din punct de vedere tehnic.

G. Dreptul de a nu fi supus unei decizii automate (inclusiv profiling)

In acest sens, persoana vizata are fata de MEDUSA dreptul de a nu fi supus unei decizii bazate numai pe procesare automata (incluzand profiling-ul) si care sa produca efecte legale fata de persoana vizata sau care sa o afecteze in mod semnificativ.

Acest drept nu se va aplica in urmatoarele situatii de exceptie, in care decizia automata:

a) este necesară pentru incheierea sau executarea unui contract intre persoana vizată si MEDUSA;

b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică MEDUSA si care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertătilor si intereselor legitime ale persoanei vizate; sau

c) are la bază consimtămantul explicit al persoanei vizate.

In situatiile de la literele a) si c) din prezentul paragraf, MEDUSA are obligatia de a implementa masurile corespunzatoare pentru protejarea drepturilor, libertătilor si intereselor legitime ale persoanei vizate, cel putin dreptul acesteia de a obtine interventie umană din partea operatorului, de a-si exprima punctul de vedere si de a contesta decizia.

H. Dreptul de a-si retrage consimtamantul

In cazul in care prelucrarea datelor se bazeaza de consimtamantul dvs., aveti posibilitatea de va retrage consimtamantul, caz in care vom inceta de indata prelucrarea datelor dvs. cu caracter personal. Retragerea consimtamantului nu va avea efecte asupra prelucrarilor de pana in acel moment.

Ca persoana vizata, aveti dreptul sa solicitati acces la datele personale pe care s-ar putea sa le detinem despre dvs., precum si sa solicitati rectificarea sau stergerea acestora, restrictionarea prelucrarii datelor dvs. personale, portabilitatea datelor, aveti dreptul de a obiecta la prelucrarea datelor personale, ca si dreptul de a cere sa nu faceti obiectul unei decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri.
De asemenea, daca in trecut v-ati dat consimtamantul pentru prelucrarea datelor dvs. personale si doriti sa il retrageti, puteti folosi formularul de mai jos.
Daca doriti sa formulati oricare din aceste cereri, va rugam sa descarcati acest formular, sa il completati si sa ni-l transmiteti prin email la adresa dpo@stejariicountryclub.ro.
Va rugam sa adaugati in subiectul mesajului email, dupa caz, sintagma ”Cerere retragere consimtamant”/”Cerere de acces date”/ ”Cerere rectificare date” / ”Cerere stergere date”/„Cerere restrictionare prelucrare”/”Cerere portabilitate date”/”Obiectii prelucrare date”/”Cerere de pentru non-prelucrare automata”.

Descarcati aici: 
FORMULAR DE CERERE CU PRIVIRE LA DATE

 I. Dreptul de a se adresa justitiei si/sau ANSPDCP

Persoana vizata ale carei date personale sunt procesate de MEDUSA are:

  1. a) dreptul de a depune plangere la ANSPDCP (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, sediu: Bucuresti, Bdul Gen. Gheorghe Magheru nr. 28-30, sector 1, CP 010336; Telefon: +40.318.05.92.11, Fax: +40.318.05.96.02 email: anspdcp@dataprotection.ro, website: dataprotection.ro) in cazul in care persoana vizata considera ca prelucrarea datelor sale este facuta cu incalcarea GDPR;
  2. b) dreptul de a formula actiune in justitie in cazul in care persoana vizata considera ca prelucrarea datelor sale este facuta cu incalcarea GDPR.