Politica privind protecția datelor cu caracter personal

Vă informăm că Aquatim S.A. cu sediul în Timişoara, str. Gheorghe Lazăr nr.11/A, tel.0256201370, fax.0256294753, înmatriculată la ORC Timiş sub nr.J35/4096/1992, având C.U.I. RO 3041480, reprezentată prin dr. ing. Ilie Vlaicu, având funcția de Director General, este înregistrată la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal ca operator de date cu caracter personal cu nr. 22949 și prelucrează aceste date în conformitate cu prevederile Regulamentului (UE) nr.679/27.04.2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (RGPD).

Pentru exercitarea drepturilor prevăzute de Regulamentul general privind protecția datelor persoana vizată trebuie să transmită o cerere întocmită în formă scrisă, datată și semnată pe adresa sediului societății. Alăturat, puteți vizualiza și descărca un model de cerere și ghidul privind exercitarea drepturilor prevăzute de RGPD. În continuare, prezentăm mai multe detalii și precizări referitoare la Regulament.

Cerere privind exercitarea drepturilor RGPD

Ghid privind exercitarea drepturilor RGPD

În înțelesul prezentului Regulament, următorii termeni se definesc, după cum urmează:

- date cu caracter personal - orice informaţii referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai multe elemente specifice identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

- prelucrare - orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea,divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;

- stocarea - păstrarea pe orice fel de suport a datelor cu caracter personal culese;

- sistem de evidență a datelor - înseamnă orice set structurat dedate cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice;

- operator - persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;

- persoana împuternicită de către operator - înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului;

- terţ - înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;

- destinatar - înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărorali se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării;

- consimţământ al persoanei vizate - înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;

- încălcarea securităţii datelor cu caracter personal - înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;

- autoritate de supraveghere - înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 51;

- date anonime - date care, datorită originii sau modalitatii specifice de prelucrare, nu pot fi asociate cu o persoană identificată sau identificabilă.

Datele cu caracter personal, furnizate de dumneavoastră și prelucrate de societatea noastră în calitate de operator, referitoare la:

1. nume și prenume, adresă, cod numeric personal, seria și numărul actului de identitate, numele, prenumele și datele de identificare ale reprezentantului legal (dacă este cazul), sunt obligatorii în scopul încheierii și executării contractului de furnizare/prestare a serviciului public de alimentare cu apă și de canalizare, potrivit Legii nr.241/2006 a serviciului public de alimentare cu apă și de canalizare, cu modificările și completările ulterioare, a îndeplinirii drepturilor și obligațiilor legale rezultate din contract sau prevăzute de alte acte normative aplicabile.

2. număr de telefon, adresa de poștă electronică (e-mail), adresa de expediere a facturilor și a corespondenței sunt utilizate în activități ce decurg din executarea prezentul contract și facilitează prestarea următoarelor servicii, dar fără a se limita la: emiterea facturilor, purtarea de corespondență (sms, poștă electronică), expedierea de înștiințări, contactare, efectuarea de verificări/intervențiis în legătură cu serviciile prestate, citirea ori schimbarea instrumentelor de măsură, efectuarea de recepții a lucrărilor de branșare la rețeaua de alimentare cu apă, racordarea la rețeaua de canalizare, individualizarea (separarea) consumului de apă, etc.

Potrivit cerințelor legislative din acest domeniu, ne obligăm:

- să colectăm doar datele strict necesare încheierii și executării contractului de furnizare/prestare a serviciului public de alimentare cu apă și de canalizare;

- să prelucrăm aceste date cu bună credință și în conformitate cu dispozițiile legale;

- să revizuim sau să completăm informațiile furnizate de dumneavoastră ori de câte ori este necesar sau ne solicitați acest lucru;

- să stocăm aceste date, cu respectarea confidențialității și securității prelucrării, pe toată durata contractuală, până la expirarea obligațiilor contractuale și a termenelor de arhivare prevăzute de legislație pentru diferitele categorii de documente;

- să ne asigurăm că persoanele împuternicite nouă își cunosc obligațiile și responsabilitățile privind asigurarea protecției acestor date, precum și că acestea sunt prelucrate doar în baza instrucțiunilor noastre, cu excepția cazului în care există o obligație legală în acest sens.

 

Scopul pentru care prelucrăm datele dumneavoastră cu caracter personal îl constituie îndeplinirii obligațiilor legale prevăzute de Legea nr.241/2006 a serviciului public de alimentare cu apă și de canalizare sau de alte acte normative în urmărirea intereselor legitime ale societății, ori sunt necesare în activități curente ce decurg din executarea contractelor încheiate, cum sunt prestarea următoarelor servicii, dar fără a se limita la: emiterea facturilor, purtarea de corespondență (sms, poștă electronică), expedierea de înștiințări, contactare, efectuarea de verificări în legătură cu serviciile prestate, citirea ori schimbarea instrumentelor de măsură, efectuarea de recepții a lucrărilor de branșare la rețeaua de alimentare cu apă, racordarea la rețeaua de canalizare, individualizarea (separarea) consumului de apă, etc.

Deși orice prelucrare de date cu caracter personal poate fi efectuată numai cu acordul persoanei vizate, vă informăm că nu este necesară obținerea consimțământului dvs. în următoarele situații:

  • când prelucrarea este necesară în vederea executării unui contract la care persoana vizată este parte sau pentru a face demersuri, la cererea persoanei vizate, înainte de încheierea unui contract;
  • când prelucrarea este necesară în vederea protejării vieții, integrității fizice sau sănătății persoanei vizate;
  • când prelucrarea este necesară în vederea îndeplinirii unei obligații legale a operatorului;
  • când prelucrarea este necesară în vederea aducerii la îndeplinire a unor măsuri de interes public sau care vizează exercitarea prerogativelor de autoritate publică cu care este investit operatorul sau terțul căruia îi sunt dezvăluite datele;
  • când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau terțului căruia îi sunt dezvăluite datele, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate;
  • când prelucrarea privește datele obținute din documente accesibile publicului, conform legii;
  • când prelucrarea este facută exclusiv în scopuri statistice, iar datele rămân anonime pe toată durata prelucrării.

Privind prelucrarea datelor personale, aveți următoarele drepturi:

· de transparență și informare, de acces la acestea, înseamnă obținerea unei confirmări din partea noastră, ca operator, că prelucrăm sau nu datele dvs, iar dacă da, să vă oferim acces la aceste date precum și informații despre cum sunt prelucrate;

· de portabilitate, se referă la faptul că puteți primi datele personale într-un format structurat, care poate fi citit automat;

· la opoziție vizează dreptul de a vă opune prelucrării datelor personale în orice moment, în mod gratuit și fără nici o justificare, în scop de marketing direct (pentru promovarea serviciilor/ soluțiiloroperatorului);

· de intervenție asupra datelor, se referă la actualizarea sau corectarea fără întârzieri nejustificate, a datelor personale inexacte;

· de ștergere/dreptul de a fi uitat, înseamnă dreptul de ștergere a datele colectate fără întârzieri nejustificate, în oricare din următoarele situații: nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate, consimțământul dat a fost retras și nu există alt temei juridic pentru prelucrare, datele au fost colectate ilegal, datele trebuie șterse pentru respectarea unei obligații legale;

· la restricționarea prelucrării, acest drept poate fi exercitat dacă se contestă exactitatea datelor pe o anumită perioadă, suficientă pentru verificarea acestora;

· de a nu fi supus unei decizii individuale, de a se adresa justitiei, pentru apărarea drepturilor care v-au fost încălcate și ați suferit un prejudiciu în urma unei prelucrări de date cu caracter personal, efectuată ilegal.

De asemenea, aveți dreptul de a vă retrage oricând consimțământul pentru prelucrarea datelor furnizate, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia, precum și dreptul de a depune o plângere în fața autorității de supraveghere.

Pentru exercitarea acestor drepturi, puteți înainta către operator o cerere scrisă, datată și semnată utilizând adresa sediului Aquatim SA , și anume: str. Gheorghe Lazăr, nr. 11A, Timișoara, jud. Timiș, iar noi vă vom comunica măsurile adoptate / informațiile solicitate în termenul legal, de cel mult o lună, de la data primirii cererii.

Aveți dreptul de a obține de la operator, o singură dată pe an, la cerere și în mod gratuit, următoarele informații, în cazul în care acestea nu au fost făcute public, iar dvs nu le dețineți deja:

· identitatea și datele de contact ale operatorului și după caz ale reprezentantului acestuia;

· datele de contact ale responsabilului cu protecția datelor;

· confirmarea faptului că datele care vă privesc, sunt sau nu prelucrate, scopul și temeiul juridic al prelucrării;

· interesul legitim al operatorului sau persoanelor împuternicite, dacă este cazul;

· destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

· dacă este cazul, intenția operatorului de a transfera datele cu caracter personal către o țară terță sau organizație internațională;

· perioada pentru care vor fi stocate datele, sau dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

· accesul la date, la rectificarea, ștergerea, restricționarea sau dreptul de a se opune prelucrării, portabilitatea datelor, retragerea consimțământului;

· existența unui proces decizional automatizat, incluzând crearea de profiluri.

Pe lângă aceste informații, în situația în care datele nu au fost colectate direct de la dvs, mai puteți solicita să vă fie indicate sursa din care provin datele cu caracter personal, sau dacă acestea provin din surse disponibile public.

 

În lipsa unei solicitări scrise, de retragere a consimțământului cu privire la prelucrarea datelor personale, vă informăm că acestea vor fi stocate și păstrate cu respectarea atât a legislației în domeniu, cât și a termenelor prevăzute de alte acte normative pentru diferitele categorii de documente. Ca regulă, datele vor fi stocate pe durata valabilității contractului.

Îndeplinirea obligațiilor ce decurg din prestarea serviciului public delegat, care formează obiectului nostru de activitate, se face fie prin personalul propriu, fie prin persoane împuternicite, care au obligația de a garanta atât protecția datelor cu caracter personal întocmai ca operatorul, cât și prelucrarea acestora numai în conformitate cu instrucțiunile acestuia, cu excepția cazului în care legislația impune o obligație în acest sens.

Datele dvs personale nu vor face obiectul unui transfer către o persoană împuternicită sau una terță dacă aceasta nu asigură un nivel corespunzător de protecție a datelor și nu există un acord juridic scris între cele două părți care să reglementeze condițiile acestui transfer.

În asigurarea securității datelor dvs. personale și adoptarea măsurilor tehnice și organizatorice adecvate, a politicilor care să garanteze că prelucrarea datelor se efectuează în conformitate cu prevederile Regulamentului, s-a ținut cont de natura, contextul și scopul prelucrării acestora, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice care pot apărea, atât la momentul stabilirii mijloacelor de prelucrare, cât și la momentul prelucrării propriu-zise.

Orice persoană care acționează sub autoritatea societății noastre sau a persoanei împuternicite, inclusiv persoana împuternicită, care are acces la datele cu caracter personal, nu poate să le prelucreze decât în baza intrucțiunilor noastre și cu respectarea confidențialității datelor, asumându-și răspunderea pentru orice transfer ilegal de date în cadrul unei rețele, pentru orice pierdere, dezvăluire, acces neautorizat sau altă formă de prelucrare ilegală a acestora.

Persoane împuternicite nouă, care pot prelucra date cu caracter personal în numele nostru, sunt:

- Prodinf Software SRL, companie care găzduiește bazele noastre de date și aplicația sistemului integrat;

- ITPS SRL, societate de IT care asigura copiile de siguranță ale bazelor noastre de date și aplicației sistemului integrat;

- Orange România SA, companie care ne asigură serviciile de telefonie mobilă și trimitere SMS-uri;

- SC LETTPRINT SRL-D, asigură societății noastre serviciile de reprografie (tipărire facturi);

- SC PINK POST SOLUTIONS SRL, prestează serviciile de preluare și expediere a plicurilor de facturi și/sau a notificărilor de plată;

- BRD Groupe Societe Generale, Banca Comercială Româna SA (BCR), Raiffeisen Bank, Alpha Bank.

Politicile și măsurile de securitate adoptate (pseudonimizarea datelor, criptarea datelor în funcție de sensibilitatea acestora, reducerea la minim a datelor colectate, a duratei de păstrare sau a gradului de prelucrare a acestora, utilizarea unor sisteme it de securitate, cum sunt antivirus actualizat în mod constant, autentificarea angajaților care au acces la date pe bază de parole, stocarea parolelor într-un mod securizat, utilizarea unor echipamente de protecție antispam, firewall care să limiteze porturile de comunicații autorizate la cele strict necesare pentru buna funcționare a aplicațiilor instalape pe un dispozitiv, etc) sunt revizuite și actualizate ori de câte ori este cazul.

La nivel intern șunt desfășurate activități care vizează creșterea gradului de conștientizare a angajaților care lucrează cu datele cu caracter personal, prin adoptarea unor practice și măsuri aplicabile, incluse în Regulamentul de Ordine Interioară, printre care se regăsesc:

- informarea superiorilor cu privire la orice suspiciune de încălcare a securității datelor, sau de accesare a conturilor de serviciu;

- păstrarea confidențialității conturilor și parolelor de acces la sisteme și aplicații, schimbarea parolelor atribuite automat de către administrator după prima autentificare cu una care să respecte un anumit număr de caractere, respectarea valabilității parolelor și schimbarea lor la intervale de timp prestabilite;

- blocarea ecranelor calculatoarelor atunci când nu sunt utilizate;

- să nu acceseze, să intervină sau să modifice informațiile care nu fac obiectul activității lui;

- să respecte procedurile existente în cadrul societății cu privire la utilizarea sistemelor it și de telecomunicații;

- existența unei politici de clasificare a informațiilor, pe niveluri de confidențialitate.

Societatea retrage accesul utilizatorilor de îndată ce aceștia nu mai sunt autorizați să folosească anumite echipamente it sau sisteme, iar parolele atribuite administratorilor de sisteme și aplicații sunt schimbate imediat, atunci când aceștia nu mai au astfel de atribuții sau când există riscuri de compromitere a securității sistemelor.

Din punct de vedere al siguranței fizice, printer alte măsuri, societatea deține sisteme de alarme anti-efracție pe care le verifică periodic, serviciu de pază asigurat atât prin personal propriu, cât și prin firme autorizate în domeniu și menține o evidență cu persoanele externe care au statut de vizitatori.

Pentru a putea împlementa cât mai bine măsurile prevăzute de legiuitor, în domeniul protejării datelor dvs cu caracter personal, precum și pentru a răspunde eventualelor solicitări formulate de persoanele vizate, societatea noastră a numit un responsabil cu protecția datelor cu caracter personal.

Operatorul comunică Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal:

· orice prelucrare sau ansamblu de prelucrări a datelor cu caracter personal, înaintea efectuării acesteia, dacă privesc datele genetice și biometrice a persoanelor vizate, a datelor care permit, direct sau indirect, localizarea geografică a persoanelor fizice prin mijloace de comunicaţii electronice (monitorizarea/securitatea persoanelor şi/sau bunurilor publice/private prin utilizarea GPS-ului), a datelor cu caracter personal referitoare la săvârşirea de infracţiuni de către persoana vizată ori la condamnări penale, măsuri de siguranţă sau sancţiuni administrative ori contravenţionale aplicate persoanei vizate, a celor realizate prin mijloace electronice, având ca scop monitorizarea şi/sau evaluarea unor aspecte de personalitate, precum competenţa profesională, credibilitatea, comportamentul sau alte asemenea, a datelor cu caracter personal prin mijloace electronice în cadrul unor sisteme de evidenţă având ca scop adoptarea unor decizii automate individuale în legătură cu analizarea solvabilităţii, a situaţiei economico-financiare, a faptelor susceptibile de a atrage răspunderea disciplinară, contravenţională sau penală a persoanelor fizice, ale minorilor efectuată în cadrul activităţilor de marketing direct, sau prin intermediul internetului sau al mesageriei electronice;

· transferul, dacă este cazul, către un alt stat de date cu caracter personal care fac obiectul unei prelucrari sau sunt destinate să fie prelucrate după transfer, în special dacă legislaţia acestui stat nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română. Anterior efectuării acestui transfer, operatorul informează persoana vizată și solicită consimțământul acesteia;

· apariția oricărei breșe în sistemele de securitate ale operatorului, cu privire la datele cu caracter personal, în termen de 72 de ore de la conștientizarea acesteia. Dacă aceast termen nu este respectat, raportul final către Autoritate trebuie va fi însoțit de o explicație a întârzierii. Informarea va include informații specifice, o descriere a măsurilor luate pentru a soluționa breșa și pentru a atenua posibilele efecte secundare. În cazul în care breșa poate avea ca rezultat un risc ridicat pentru drepturile și libertățile persoanelor fizice, aceștia vor fi contactați imediat. Acest contact al persoanelor vizate nu este necesar dacă există măsuri de protecție adecvate.

Dacă considerați că prelucrarea datelor cu caracter personal încalcă prevederile legale în ceea ce vă privește, aveți dreptul:

- de a depune o plângere la autoritatea de supraveghere împotriva operatorului sau a unei persoane împuternicite de operator;

- de a exercita cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care vă vizează, ori împotriva acesteia dacă considerați că autoritatea de supraveghere competentă să vă soluționeze plângerea nu vă informează în termen de 3 luni în legătură cu soluționarea plângerii.

În vederea soluționării plângerii, autoritatea de supraveghere, dacă consideră că este necesar, poate audia persoana vizată, operatorul, persoana împuternicită, poate dispune efectuarea de expertize, sau suspendarea temporară a tuturor operațiunilor de prelucrare, până la soluționarea plângerii.

Împotriva oricărei decizii a autorității de supraveghere, operatorul sau persoana vizată, poate formula contestație în termenul legal, sub sancțiunea decăderii, la instanța de contencios administrative competentă. Cererea se judecă de urgență, cu citarea părților. Soluția este definitivă și irevocabilă.

Prevederile legislației internaționale, incidente domeniului protecției datelor cu caracter personal, au fost preluate și în legislația internă, printre care enumerăm:

· Regulamentul ( UE) nr.679/27.04.2016, privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, care abrogă dispozițiile Legii nr. 677din 21 noiembrie 2001;

· Legea nr. 102din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal;

· Regulamentul de Organizare şi Funcţionare al ANSPDCP din 11 Noiembrie 2005, cu modificările şi completările ulterioare;

· Ordonanța de Urgență nr. 131 din 22 septembrie 2005 pentru prorogarea termenului prevăzut la art. 19 alin. (1) din Legea nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal;

· Legea nr. 278din 15 octombrie 2007 privind aprobarea Ordonanţei de urgenţă a Guvernului nr. 36/2007 pentru abrogarea Legii nr. 476/2003 privind aprobarea taxei de notificare a prelucrărilor de date cu caracter personal, care cad sub incidenţa Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date;

· Legea nr. 682din 28 noiembrie 2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981;

· Legea nr. 506din 17 noiembrie 2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice;

· Ordonanța de Urgență nr. 13 din 24 aprilie 2012 pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice;

· Legea nr. 272din 29 iunie 2006 pentru completarea art. 7 din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice;

· Ordin nr.52din 18 aprilie 2002 privind aprobarea Cerinţelor minime de securitate a prelucrărilor de date cu caracter personal;

· Ordin nr.75din 4 iunie 2002 privind stabilirea unor măsuri şi proceduri specifice care să asigure un nivel satisfăcător de protecţie a drepturilor persoanelor ale căror date cu caracter personal fac obiectul prelucrărilor.