Protecția datelor cu caracter personal – GDPR

Începând cu data de 25 mai 2018, a intrat în vigoare și se aplică direct, în toate statele membre ale Uniunii Europene, Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, cunoscut ca GDPR (General Data Protection Regulation).

Prin urmare, dispozițiile art. 2, alin. (1) din Regulamentul (UE) 2016/679, se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.

În calitatea sa de operator de date cu caracter personal, Organismul intermediar regional pentru Programe europene capital uman Regiunea București-Ilfov respectă dispozițiile legale privitoare la protecția datelor cu caracter personal și pune în aplicare măsuri tehnice și organizatorice de protejare a tuturor operațiunilor care privesc în mod direct sau indirect datele cu caracter personal și care previn prelucrările neautorizate sau ilegale, precum și pierderile sau distrugerile accidentale sau ilegale.

În acest sens, legislația aplicabilă și documente de referință GDPR sunt următoarele:

• Regulamentul (UE) nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor);
• Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor);
• Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului;
• Legea nr. 102 din 3 mai 2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările și completările ulterioare;
• Legea nr. 129 din 15 iunie 2018 pentru modificarea și completarea Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru abrogarea Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date;
• Regulamentul de Organizare și Funcționare al ANSPDCP din 11 Noiembrie 2005, cu modificările și completările ulterioare;
• Decizia nr. 99 din 18 mai 2018 – ANSPDCP – privind încetarea aplicabilității unor acte normative cu caracter administrativ emise în aplicarea Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date;
• Decizia nr. 128 din 22 iunie 2018 – ANSPDCP – privind aprobarea formularului tipizat al notificării de încălcare a securității datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor);
• Decizia nr. 133 din 3 iulie 2018 – ANSPDCP – privind aprobarea Procedurii de primire și soluționare a plângerilor;
• Decizia nr. 174 din 18 octombrie 2018 – ANSPDCP – privind lista operațiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecției datelor cu caracter personal;
• Orientări privind Consimțământul în temeiul Regulamentului (UE) 679/2016 (17/RO/WP259);
• Ghidul privind Responsabilul cu protecția datelor (DPO) – (16/RO/WP 243 rev.01, revizuit și adoptat în data de 5 aprilie 2017);
• Ghidul privind Evaluarea impactului asupra protecției datelor (DPIA) și stabilirea dacă o lucrare este „susceptibilă să genereze un risc ridicat” în sensul Regulamentului 2016/679 (17/RO WP 248 rev.01) revizuit și adoptat în data de 4 octombrie 2017;
• Avizul nr. 2/2017 privind prelucrarea datelor la locul de muncă (Articolul 29 – Grupul de lucru pentru protecția datelor 17/RO GL 249), adoptat la 8 iunie 2017.

Terminologie – definiții, detalierea termenilor, conform GDPR:

• Date cu caracter personal – înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă (“persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
• Categorii speciale de date cu caracter personal – date cu caracter personal care dezvăluie originea rasială sau etnică, opinii politice, convingeri religioase sau filosofice sau apartenența sindicală și prelucrarea datelor genetice, date biometrice în scopul identificării unice a unei persoane fizice, date privind sănătatea sau date privind viața sexuală sau orientarea sexuală a unei persoane fizice;
• Operator de date (Controller)– persoană fizică sau juridică, autoritate publică, agenție sau alt organism care, singur sau în comun cu alții, determină scopurile și mijloacele de prelucrare a datelor cu caracter personal;
• Persoana vizată – orice persoană vie care face obiectul datelor cu caracter personal deținute de către Organismul intermediar regional pentru Programe europene capital uman Regiunea București-Ilfov;
• Prelucrare – orice operațiune sau set de operațiuni care vizează date personale sau seturi de date cu caracter personal, indiferent dacă sunt sau nu sunt realizate prin mijloace automate, cum ar fi: colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea, modificarea, recuperarea, divulgarea prin transmitere, diseminare sau punerea la dispoziție prin alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea acestora;
• Consimţământ – al persoanei vizate înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
• Parte terţă – înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;

Legalitatea prelucrării:

Organismul intermediar regional pentru Programe europene capital uman Regiunea București-Ilfov este operator de date și/sau procesator de date conform prevederilor Regulamentului general privind protecția datelor (GDPR).

Activitățile de prelucrare a datelor cu caracter personal sunt desfășurate în scopul gestionării și implementării proiectelor (tehnică și financiară) aflate în portofoliul său, monitorizării/îndeplinirii obiectivelor acestora, precum și în scop statistic, în conformitate cu regulamentele europene ce guvernează absorbţia fondurilor structurale şi de investiţii/fondurilor europene 2021-2027.

Potrivit dispozițiilor art. 6 al Regulamentului general privind protecția datelor, prelucrarea este legală doar în măsura în care se aplică cel puțin una dintre următoarele condiții:

1. a) persoana vizată şi-a dat consimţămantul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
2. b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
3. c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
4. d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
5. e) prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;
6. f) prelucrarea este necesară în scopul intereselor legitime urmărite de către operator sau de către o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de către autorităţi publice în îndeplinirea atribuţiilor lor.

În acest context, pentru administrarea corectă a informațiilor pe care Organismul intermediar regional pentru Programe europene capital uman Regiunea București-Ilfov le deține, vă aducem la cunoștință că datele dumneavoastră cu caracter personal se află în baza noastră de date deoarece ați subscris la aceasta în procesul de comunicare cu OIR PECU BI, prin furnizarea informațiilor, ca urmare a faptului că sunteți solicitant sau beneficiar de fonduri europene, acordate prin POSDRU (Programul Operațional Sectorial Dezvoltarea Resurselor Umane), POCU (Programul Operațional Capital Uman), PEO (Programul Educație și Ocupare) sau PIDS (Programul Incluziune și Demnitate Socială), sau sunteți furnizor sau prestator de servicii, bunuri sau lucrări ori persoane implicate în mod direct/indirect în relațiile contractuale cu OIR PECU BI.

Scopurile în care sunt prelucrate datele cu caracter personal de către OIR PECU BI sunt implementarea tehnică, implementarea financiară și monitorizarea proiectelor cofinanțate din POCU, PEO, PIDS, raportare, recuperare debite, precum și cea de monitorizare ex-post pentru POSDRU, în conformitate cu HOTĂRÂREA nr. 678/2022 din 23 mai 2022 pentru modificarea şi completarea Hotărârii Guvernului nr. 52/2018 privind organizarea şi funcţionarea Ministerului Fondurilor Europene (Prin Ordonanta de Urgenţă nr. 212 din 28 decembrie 2020 privind stabilirea unor măsuri la nivelul administraţiei publice centrale şi pentru modificarea şi completarea unor acte normative, Ministerul Fondurilor Europene si-a schimbat denumirea în Ministerul Investiţiilor şi Proiectelor Europene).

Tipurile de date cu caracter personal pe care le prelucrează Organismul intermediar regional pentru Programe europene capital uman Regiunea București-Ilfov sunt doar datele personale necesare în scopurile menționate. Pentru aceasta, solicită persoanelor vizate comunicarea datelor cu caracter personal strict necesare îndeplinirii acestor scopuri.

Categoriile de date personale (clasice sau digitale) supuse prelucrărilor, la nivelul Organismului intermediar regional pentru Programe europene capital uman Regiunea București-Ilfov, sunt următoarele:

• Pentru derularea atribuțiilor/competențelor specifice, conferite de legislația europeană și națională, prelucrarea datelor se realizează, fără a fi limitativ, pentru următoarele:
  • primirea cererilor de finanțare;
  • verificarea cererilor de finanțare;
  • selectarea proiectelor finanțate;
  • încheierea contractelor de finanțare;
  • aprobarea începerii derulării proiectelor finanțate;
  • efectuarea vizitelor pe teren;
  • verificarea procedurilor de atribuire efectuate de către beneficiari;
  • raportarea progresului măsurilor;
  • propunerile în vederea autorizării plăților către beneficiari;
  • informarea și promovarea POCU/PEO/PIDS și a evenimentelor pe care le organizăm, temeiul acestei prelucrări fiind consimțămantul dumneavoastră;
  • evaluarea ofertelor depuse în cadrul procedurilor de atribuire;
  • derularea contractelor de achiziție servicii, bunuri sau lucrări etc.

Pentru aceasta, temeiul prelucrării este constituit din cererea de finanțare, contractul de finanțare, furnizare sau prestare și prevederile legale aplicabile. Astfel, pentru a facilita desfășurarea activităților aflate în legătură cu cererea de finanțare, contractul de finanțare, furnizare sau prestare și în vederea îndeplinirii obligațiilor legale, comunicăm aceste date către autorități publice, terți sau împuterniciți.

• Pentru relații publice/petiționare/formulare de puncte de vedere la solicitările persoanelor fizice:
• nume, prenume;
• semnătură;
• detalii de contact – număr de telefon personal, adresă de e-mail, adresa de domiciliu/ reședință etc.;

În mod excepțional:

• serie și număr CI/BI;
• CNP.

Pentru formulare de acțiuni și reprezentare în instanță:

• nume, prenume;
• semnătură;
• detalii de contact – număr de telefon personal, adresă de e-mail, adresa de domiciliu/ reședință etc.;
• serie și număr CI/BI;
• CNP.

Pentru organizare/derulare evenimente:

• nume, prenume;
• funcție, profesie;
• denumire angajator;
• detalii de contact – număr de telefon personal/ de serviciu, adresă de e-mail, adresă poștală;

Pentru soluționarea notificărilor de încălcare a securității datelor:

• nume, prenume;
• funcție;
• detalii de contact – număr de telefon personal/ de serviciu, adresă de e-mail, adresă poștală.

Pentru soluționarea plângerilor/ sesizărilor:

• nume, prenume;
• semnătura;
• detalii de contact – număr de telefon personal, adresă de e-mail, adresa de domiciliu/reședință etc.;
• serie și număr CI/BI;
• CNP.

Pentru încheierea de contracte de furnizare de bunuri/servicii:

• nume, prenume;
• funcție;
• denumire angajator/ furnizor;
• detalii de contact – număr de telefon personal/ de serviciu, adresă de e-mail, adresă poștală.

Organismul intermediar regional pentru Programe europene capital uman Regiunea București-Ilfov îşi rezervă dreptul de a solicita și alte date necesare pentru îndeplinirea atribuțiilor sale, strict în conformitate cu prevederile legale.

Menționăm faptul că informațiile colectate sunt destinate numai utilizării de către OIR PECU BI și sunt comunicate doar următoarelor categorii de destinatari: Ministerul Investiţiilor şi Proiectelor Europene, Autoritatea de Management POCU/PEO/PIDS, terți furnizori implicați în mod direct sau indirect în procesele aferente scopurilor mai sus menționate (furnizori de servicii IT, furnizori de servicii de consultanță etc.), autorități publice abilitate de lege sau cu care OIR PECU BI a încheiat protocoale de colaborare în scopul îndeplinirii atribuțiilor specifice conferite de legislația europeană și națională, precum și Comisiei Europene, în scopul monitorizării și controlului privind Programele POSDRU, POCU, PEO și PIDS.

În funcție de scopul urmărit, OIR PECU BI prelucrează datele următoarelor categorii de persoane:

– reprezentanții (persoane fizice) ai solicitanților și beneficiarilor de fonduri europene prin POSDRU/POCU/PEO/PIDS;

– reprezentanții (persoane fizice) ai furnizorilor sau prestatorilor de servicii, bunuri sau lucrări, implicați în mod direct sau indirect în relațiile contractuale cu OIRPECU NV;

– reprezentanți mass-media;

– reprezentanții (persoane fizice) ai partenerilor publici și privați implicați în implementarea POCU/PEO/PIDS.

Sursa datelor cu caracter personal

Organismul intermediar regional pentru Programe europene capital uman Regiunea București-Ilfov colectează date personale direct de la persoanele vizate sau de la terți (cum ar fi alte instituții ori entități care se adresează Organismului intermediar regional pentru Programe europene capital uman Regiunea București-Ilfov ori alte persoane vizate) sau din documente publice.

Categorii de destinatari ai datelor cu caracter personal

Datele personale sunt destinate utilizării de către Organismul intermediar regional pentru Programe europene capital uman Regiunea București-Ilfov şi sunt comunicate următorilor destinatari, dacă este cazul:

• persoanelor vizate/ reprezentanţii legali ai persoanelor vizate;
• angajaţi;
• împuterniciţi ai Organismului intermediar regional pentru Programe europene capital uman Regiunea București-Ilfov (persoane fizice sau juridice);
• parteneri contractuali;
• alte instituții/autorități centrale și locale;
• Comisia Europeană;
• instanțelor de judecată în vederea formulării de acțiuni și reprezentării în instanță;
• în cadrul activității de organizare/derulare evenimente de către Organismul intermediar regional pentru Programe europene capital uman Regiunea București-Ilfov;
• în cadrul activității de investigare/control;
• auditorilor interni, externi şi internaţionali;
• organelor de cercetare penală.

Dezvăluirea datelor către terți se face conform prevederilor legale pentru categoriile de destinatari precizați anterior.

Datele personale sunt stocate pe perioada necesară pentru scopurile menționate mai sus, în vederea efectuării tuturor demersurilor întreprinse pentru susținerea activităților specifice din cadrul Organismului intermediar regional pentru Programe europene capital uman Regiunea București-Ilfov, ţinând cont de prevederile legislaţiei naţionale şi europene în domeniu, după care, acestea vor fi arhivate potrivit legislației aplicabile.

Totodată, menționăm faptul că, pentru a determina perioada pentru care datele personale vor fi prelucrate și păstrate, luăm în considerare durata contractuală până la îndeplinirea obligațiilor contractuale, respectiv a scopului, termenele de arhivare prevăzute de dispozițiile legale în materie, precum și perioada derulării POCU/PEO/PIDS.

În vederea asigurării unei informări corecte, vă aducem la cunoștință că Regulamentul conferă următoarele drepturi persoanelor cărora li se prelucrează datele cu caracter personal:

– dreptul de acces;

– dreptul la rectificarea datelor;

– dreptul la ștergerea datelor („dreptul de a fi uitat”);

– dreptul la restricționarea prelucrării;

– dreptul la portabilitatea datelor;

– dreptul la opoziție;

– drepturi cu privire la procesul decizional individual automatizat, inclusiv crearea de profiluri;

– dreptul la retragerea consimțământului în cazul prelucrării în scop de informare sau promovare;

– dreptul de a depune o plângere în fața unei autorități de supraveghere a prelucrării datelor cu caracter personal;

– dreptul la o cale de atac judiciară;

– dreptul de a fi notificat de către operator.

Pentru exercitarea drepturilor menționate mai sus, în funcție de caz/situație, persoana vizată trebuie să transmită o cerere întocmită în formă scrisă, datată și semnată, conform modelului aplicabil:

Modele cereri:

• Cerere pentru exercitarea dreptului de acces;
• Cerere pentru exercitarea dreptului la opoziție;
• Cerere pentru exercitarea dreptului la portabilitatea datelor;
• Cerere pentru exercitarea dreptului la restricționarea prelucrării;
• Cerere pentru exercitarea dreptului la ștergerea datelor.

Responsabil pentru protecția datelor cu caracter personal la nivelul Organismului intermediar regional pentru Programe europene capital uman Regiunea București-Ilfov:

Nume și prenume: PETRESCU Bogdan
Funcție: consilier
Adresa de e-mail: dpo@oirbi.ro
Telefon: 021.319.12.80
Fax: 021.313.42.43
Adresă sediu:

Organismul intermediar regional pentru Programe europene capital uman Regiunea București-Ilfov,

Bulevardul Carol I, nr. 34 – 36, etaj 11, sector 2, cod postal 020922, București

Dacă aveți solicitări legate de prelucrarea datelor personale, vă puteți adresa direct responsabilului pentru protecția datelor cu caracter personal la adresa: dpo@oirbi.ro.

Pentru mai multe informații privind exercitarea drepturilor menționate, puteți accesa Ghidul privind dreptul la portabilitatea datelor și Ghidul privind deciziile automate individuale și profilare.

De asemenea, potrivit Regulamentului general privind protecția datelor, persoana vizată are dreptul de a depune plângere (art. 77) la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, la sediul acesteia din B-dul General Gheorghe Magheru, nr. 28-30, sector 1, București, cod poștal 0103336, e-mail: anspdcp@dataprotection.ro sau de a se adresa justiției (art. 79).

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în calitate de autoritate publică centrală autonomă ce are competență generală în domeniul protecției datelor personale, reprezintă garantul respectării drepturilor fundamentale la viaţă privată și la protecţia datelor personale, statuate cu precădere de art. 7 și 8 din Carta Drepturilor Fundamentale a Uniunii Europene, de art. 16 din Tratatul privind Funcționarea Uniunii Europene și de art. 8 din Convenția europeană pentru apărarea drepturilor omului și libertăților fundamentale.

Detalii suplimentare privind legislația aplicabilă și activitatea instituției regăsiți pe site-ul Autoritătii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, disponibil la adresa: https://www.dataprotection.ro/.