POLITICA DE CONFIDENȚIALITATE

1.             Introducere

1.1          În cadrul activității sale pe piață, Magic H&Ro SRL acordă o importanță deosebită prelucrării datelor cu caracter personal aparținând clienților, partenerilor de afaceri și angajaților, dorind să asigure respectarea principiilor legale prevăzute de Regulamentul general privind protecția datelor cu caracter personal (Regulamentul 2016/679 sau GDPR) în cadrul operațiunilor de prelucrareîntreprinse în cadrul activității desfășurate pe piața jocurilor de noroc. Operațiunile de prelucrare vizează prelucrările efectuate fieîn sălile de jocuri ce aparțin acestuia, fie la sediul societății.

1.2         GDPR reprezintă cadrul normativ careînlocuiește Directiva 95/46/CE privind protecția datelor, iar în virtutea efectului direct, înlocuiește în același timp și legislația fiecărui Stat Membru care a fost elaborată în conformitate cu Directiva mai sus menționată. Scopul GDPR este acela de a proteja drepturile și libertățile persoanelor fizice (persoanele fizice în viață) și de a se asigura că datele cu caracter personal nu sunt prelucrate fără știrea acestora și, ori de câte ori este necesar, că sunt prelucrate cu consimțământul informat și specific al acestora.

1.3         Definițiile utilizate de Magic H&Ro (preluate din GDPR)

Domeniul de aplicare material (Articolul 2)- GDPR se aplică prelucrării datelor cu caracter personal, efectuate total sau parțial prin mijloace automatizate (computer, laptop), precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal (înregistrări pe hârtie) care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.

Domeniul de aplicare teritorial (Articolul 3) GDPR se va aplica tuturor operatorilor care au sediul în UE (Uniunea Europeană) care prelucrează datele cu caracter personal ale persoanelor vizate, indiferent dacă prelucrarea are loc sau nu pe teritoriul UE. Se va aplica și operatorilor din afara UE care prelucrează date cu caracter personal pentru a oferi bunuri și servicii sau pentru a monitoriza comportamentul persoanelor vizate care au reședința în UE.[1]

Sediu sediul principal al operatorului în UE va fi locul în care operatorul adoptă principalele decizii cu privire la scopul și mijloacele activităților sale de prelucrare a datelor. Sediul principal al unui operator în UE va locul unde se află administrația centrală. Dacă un operator are sediul în afara UE, va trebui să numească un reprezentant în jurisdicția în care operatorul își desfășoară activitatea pentru a acționa în numele operatorului și a se ocupa de relația cu autoritățile de supraveghere.

Date cu caracter personal - orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Categorii speciale de date cu caracter personal - date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

Operator - persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern.

Persoană împuternicită - înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.

Prelucrare - orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Încălcarea securității datelor cu caracter personal - o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea. Operatorul are obligația de a raporta autorităților de supraveghere încălcările securității datelor cu caracter personal și cazurile în care încălcarea ar putea afecta în mod negativ datele cu caracter personal sau viața privată a persoanei vizate.

Consimțământul persoanei vizate - înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal să fie prelucrate.

2.            Declarația de politică

2.1         Magic H&Ro SRL, cu sediul social în București, sector 5,B-dulTudor Vladimirescu29A, Biroul 17, AFI TECH PARK 1, avândnumărul de înregistrare la RegistrulComerțuluiJ40/14272/2006, cu codul de identificare18998230,se angajează să respecte toate legile relevante ale UE și ale Statelor membre cu privire la datele cu caracter personal și protecția drepturilor și libertăților persoanelor ale căror date le colectează și prelucrează în conformitate cu GDPR.

2.2        Respectarea dispozițiilor GDPR este descrisă de această politică și de procedurile relevante, cum ar fi Procedura privind cererile persoanelor vizate, Procedura privind încălcarea securității datelor, împreună cu procesele și procedurile conexe.

2.3        GDPR și această politică se aplică tuturor operațiunilor de prelucrare a datelor cu caracter personal efectuate de către Magic H&Ro, inclusiv a celor efectuate asupra datelor cu caracter personal ale clienților, angajaților și partenerilor și oricăror alte date cu caracter personal pe care societatea le prelucrează din alte surse.

2.4        DPO (Responsabilul cu protecția datelor) este responsabil cu revizuirea Registrului de evidență a prelucrărilor în lumina oricărei modificări aduse operațiunilor de prelucrare desfășurate de cătreMagic H&Ro (revizuirea poate fi determinată de modificările cu privire la categoriile de date prelucrate sau de scopurile în care sunt prelucrate datele ca urmare a revizuirii prelucrărilor de către inițiatori) precum și a oricăror cerințe suplimentare identificate prin intermediul evaluărilor de impact privind protecția datelor. Acest registru este disponibil la cererea Autorității de Supraveghere.

2.5         Această politică se aplică tuturor angajaților Magic H&Ro, precum și furnizorilor săi care prelucrează date cu caracter personal în calitate de împuterniciți ai Magic. Orice încălcare a GDPR sau a acestei politici va fi tratată în conformitate cu Regulamentul intern al Magic H&Ro, iar în condițiile prevăzute de GDPR, Magic va notifica ANSPDCP cu privire la încălcarea respectivă. În situația în care fapta care a determinat încălcarea poate constitui, de asemenea, o infracțiune, aceasta va fi adusă cât mai curând posibil la cunoștința autorităților competente.

2.6        Partenerii care lucrează cu sau pentru Magic H&Ro trebuie să fi citit, înțeles și să respecte această politică. Magic H&Ro va comunica oricărui astfel de partener prezenta politică. Nicio terță parte nu poate prelucra datele cu caracter personal deținute de Magic H&Ro, în numele acestuia, fără să fi încheiat un contract prin care părțile să reglementeze obligațiile cu privire la confidențialitatea datelor. Magic H&Ro va impune părții terțe obligații cel puțin la fel de oneroase ca cele la care Magic H&Ro se angajează. În acest caz se vor avea în vedere dispozițiile art. 28 din GDPR cu privire la prevederile obligatorii care trebuie incluse în vederea reglementării relației de operator – persoană împuternicită.

 

3.            Responsabilități și roluri în temeiul GDPR

3.1         Magic H&Ro este un operator de date cu caracter personal în temeiul GDPR.

3.2        Membrii organelor de conducere ai Magic H&Rosunt responsabili pentru dezvoltarea și încurajarea bunelor practici de gestionare și prelucrare a datelor cu caracter personal în cadrul societății.

3.3        Membrii organelor de conducere ai Magic H&Ro sunt responsabili pentru reevaluarea analizei privind îndeplinirea condițiilor prevăzute de art. 35 alin. (1) din GDPR în situația în care Magic H&Ro va intenționa să inițieze prelucrări de date speciale sau care pot presupune un risc ridicat cu privire la drepturile și libertățile persoanelor. De asemenea, o nouă analiză va fi efectuată în cazul în care, prin legislația națională, vor fi introduse obligații suplimentare cu privire la protecția datelor cu caracter personal față de cele prevăzute în GDPR.

3.4        DPO, un rol prevăzut de GDPR, răspunde în fața managementului Magic H&Ro pentru gestionarea datelor cu caracter personal din cadrul Magic H&Ro și pentru garantarea respectării legislației și a bunelor practici privind protecția datelor. Această responsabilitate include:

3.4.1            elaborarea și punerea în aplicare a GDPR, conform cerințelor acestei politici; și

3.4.2           managementul securității și a riscurilor în ceea ce privește respectarea politicii.

3.5         DPO, pe care managementul societății îl consideră a avea calificarea și experiența corespunzătoare, a fost numit pentru a-și asuma responsabilitatea pentru respectarea de către Magic H&Ro a acestei politici în mod particular, și, în special, are responsabilitatea directă de a se asigura că atât Directorii de departament, în cazul prelucrărilor care au loc în aria lor de responsabilitate (fiind inițiatori ai prelucrării) cât și societatea respectă dispozițiile GDPR. 

3.6        DPOare responsabilități specifice în ceea ce privește aplicarea Procedurii privind cererile de acces ale persoanelor vizate și este primul punct de contact pentru angajații care solicită clarificări cu privire la orice aspect referitor la asigurarea protecției datelor cu caracter personal.

3.7         Respectarea legislației privind protecția datelor reprezintă responsabilitatea atât a Magic H&Ro cât și a tuturor angajaților societății care, în exercitarea atribuțiilor de serviciu, prelucrează date cu caracter personal.

3.8        Angajații Magic H&Rosunt responsabili pentru a asigura că orice date cu caracter personal despre ei și furnizate de ei către societate sunt corecte și actualizate.

4.            Principii privind prelucrarea datelor cu caracter personal

Orice operațiune de prelucrare a datelor cu caracter personal trebuie să se efectueze în conformitate cu principiile protecției datelor așa cum sunt acestea prevăzute de Articolul 5 al GDPR. Politicile și procedurile Magic H&Ro sunt concepute pentru a asigura conformitatea cu principiile prevăzute de GDPR.

4.1         Datele cu caracter personal sunt prelucrate în mod legal, corect și transparent

Legalitate – presupune identificarea unei baze legaleînainte de a demara o operațiune de prelucrarea datelor cu caracter personal. Această identificare este adesea denumită „identificarea temeiului prelucrării”. Temeiurile prevăzute de articolul 6 din GDPR sunt următoarele: obligația legală a operatorului, contractul încheiat între operator și persoana vizată, consimțământul persoanei vizate, interesul legitim al Magic H&Ro, interes public sau interesele vitale ale persoanei vizate. În contextul operațiunilor de prelucrare desfășurate de către Magic H&Ro, temeiurile identificate în cadrul Registrului de evidență a prelucrării se pot referi la: consimțământ, contract,  obligația legală stabilită în sarcina operatorului și interesul legitim al operatorului.

Corectitudine – presupune obligația operatorului de informare a persoanelor vizate cu privire la prelucrările de date,înainte de începerea prelucrării sau cât mai curând posibil după începerea prelucrării. Informarea este obligatorie indiferent dacă datele cu caracter personal au fost obținute direct de la persoanele vizate sau din alte surse. 

Transparența – presupune obligația operatorului de a informa în mod corespunzător persoanele vizate. Notele de informare privind prelucrările efectuate de Magic H&Ro, acolo unde este cazul, vor conține prevederi detaliate și specifice, cu utilizarea de termeni care sunt de înțeles și accesibili. Informațiile sunt comunicate persoanei vizate într-o formă inteligibilă, cu folosirea unui limbaj clar și simplu.

Informațiile care trebuie furnizate persoanei vizate includ, cel puțin:

4.1.1             identitatea și datele de contact ale Magic H&Ro;

4.1.2            datele de contact ale DPO;

4.1.3            scopul prelucrării datelor cu caracter personal, precum și temeiul juridic al prelucrării;

4.1.4            perioada de stocare a datelor cu caracter personal;

4.1.5             existența drepturilor de a solicita accesul, rectificarea, ștergerea sau opoziția față de prelucrare și condițiile (sau lipsa acestora) de exercitare a acestor drepturi, cum ar fi afectarea legalității prelucrării anterioare;

4.1.6            categoriile de date cu caracter personal care fac obiectul prelucrării;

4.1.7             destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;

4.1.8            dacă este cazul, faptul că Magic H&Ro intenționează să transfere date cu caracter personal unui destinatar dintr-o țară terță și nivelul de protecție acordat datelor;

4.1.9            orice informații suplimentare necesare pentru a garanta o prelucrare corectă.

4.2        Datele personale sunt colectate doar în scopuri specifice, explicite și legitime

Datele obținute în scopuri specifice nu vor fi utilizate într-un scop care diferă de cel inițial, așa cum a fost menționat în cadrul Registrului de evidență a prelucrărilor deținut de Magic H&Ro. În cazul în care apare necesitatea prelucrării în alt scop, acesta va fi adus la cunoștința persoanelor vizate, înainte de începerea prelucrării sau de îndată ce este posibil.

4.3        Datele cu caracter personal sunt adecvate, relevante și limitate la ceea ce este necesar pentru prelucrare

4.3.1            DPO este responsabil să se asigure că Magic H&Ro nu colectează informații care nu sunt strict necesare pentru atingerea scopului pentru care au fost obținute.

4.3.2           Toate formele de colectare a datelor (electronic sau pe suport de hârtie), inclusiv cerințele de colectare a datelor în noile sisteme informatice, vor include o declarație de prelucrare sau link către Politica de confidențialitate și cu privire la acestea trebuie să fi fost obținut avizulconsultativ al DPO.

4.3.3           DPO se va asigura,în cadrul auditului anual intern, de faptulcă datele colectate continuă să fie adecvate, relevante și proporționale scopului urmărit.

4.3.4           Tipurile de date ce se doresc a fi prelucrate în cazul unei operațiuni noi, vor fi aduse la cunoștința DPO de către inițiatorul prelucrării și vor face obiectul unei analize, pentru respectarea principiului enunțat.

4.4        Datele cu caracter personal sunt exacte și, atunci când este necesar sunt actualizate prin completarea sau rectificarea fără întârziere

4.4.1            Datele stocate de Magicsunt revizuite și actualizate, după caz. Datele nu sunt păstrate decât dacă se poate presupune în mod rezonabil că acestea sunt exacte.

4.4.2           DPO este responsabil pentru a asigura faptul că întreg personalul este instruit cu privire la importanța colectării unor date corecte și a menținerii corectitudinii acestora.

4.4.3           De asemenea, prelucrarea unor date corecte și actualizate constituie și responsabilitatea persoanei vizate. Completarea unui formular de înregistrare sau a unei cereri de către o persoană vizată va include o declarație conform căreia datele conținute în acesta sunt corecte la data depunerii.

4.4.4           Angajații și reprezentanții partenerilor trebuie să notifice Magic H&Ro cu privire la orice modificări ale datelor personale pentru a permite ca înregistrarea conținând datele cu caracter personal să fie actualizată în mod corespunzător. Este responsabilitatea Magic H&Rosăse asigure că orice notificare cu privire la schimbarea situației este înregistrată și a fost luată în considerare.

4.4.5            DPOare responsabilitatea de a asigura faptul că există proceduri și politici adecvate pentru a menține datele cu caracter personal corecte și actualizate, luând în considerare volumul de date colectate, viteza cu care s-ar putea schimba și orice alți factori relevanți.

4.4.6           Cel puțin anual, DPO verifică termenele de ștergere a tuturor prelucrărilor de date cu caracter personal realizate de către Magic H&Ro, consemnate în Registrul prelucrărilor de date și va identifica orice prelucrări de date și/sau categorii de date care nu mai sunt necesare în contextul scopului înregistrat.  Aceste date vor fi șterse / distruse în siguranță.

4.4.7            DPO are responsabilitatea de a răspunde solicitărilor de rectificare din partea persoanelor vizate în termen de 30 de zile (Procedura privind cererile de acces ale persoanelor vizate). Termenul poate fi prelungit cu maxim două luni pentru cererile complexe. În cazul în care Magic H&Ro decide să nu se conformeze cererii sau să prelungească termenul de răspuns, DPO va informa persoana vizată cu privire la motivele care au stat la baza acestei decizii, precum și cu privire la dreptul persoanei vizate de a depune o plângere la Autoritatea de supraveghere.

4.4.8           În cazul în care DPO constată că terțe părți au transmis către Magic H&Ro date personale care sunt inexacte sau învechite, acesta va face toate demersurile necesare pentru a informa terțele părți cu privire la acest aspect și pentru transmiterea oricărei corecții a datelor cu caracter personal terțelor părți, în cazul în care acest lucru este necesar.

4.5         Datele cu caracter personal sunt păstrate într-o formă care permite identificarea persoanei vizate numai atât timp cât este necesar pentru prelucrare.

4.5.1             În cazul în care datele cu caracter personal sunt păstrate dincolo de data prelucrării, acestea vor fi pseudonimizate pentru a proteja identitatea persoanei vizate în cazul unei încălcări a securității datelor.

4.5.2            Datele cu caracter personal vor fi păstrate pe toată durata prelucrării de fiecare Departament care inițiază prelucrarea, iar Directorii de departament vor fi responsabili pentru ștergerea/distrugerea datelor cu caracter personal în cazul depășirii perioadei de păstrare.

4.5.3             DPO își dă avizul în mod specific cu privire la orice păstrare a datelor care depășește perioadele de păstrare și se asigură că justificarea este identificată în mod clar și conformă cu cerințele legislației privind protecția datelor. Acest aviz trebuie să îmbrace formă scrisă.

4.6        Datele personale sunt prelucrate într-un mod care asigură securitatea corespunzătoare

DPO va efectua o evaluare a riscurilor ținând seama de toate circumstanțele operațiunilor de prelucrare efectuate de către Magic H&Ro în cadrul activității sale.

Pentru a determina caracterul adecvat, DPO ia în considerare, de asemenea, amploarea eventualelor daune sau pierderi care ar putea fi cauzate persoanelor fizice (de exemplu, personalului sau clienților) dacă apare o încălcare a securității, efectul oricărei încălcări a securității asupra Magic H&Roca operator de date cu caracter personal, precum și orice alte daune reputaționale posibile, inclusiv posibilitatea pierderii încrederii clienților.

La evaluarea măsurilor tehnice adecvate, DPO va lua în considerare următoarele:

·      Implementarea unor reguli cu privire la gradul minim de complexitate a parolelor de acces în aplicațiile/dispozitivele care stochează sau permit accesul la date cu caracter personal (minim 8 caractere alfanumerice);

·      Blocarea automată a terminalelor inerte după 5minute;

·      Restricționarea porturilor USB în dispozitivele care permit prelucrarea datelor sau monitorizarea drepturilor de acces pentru USB și alte suporturi de memorie;

·      Software antivirus și firewall;

·      Drepturile de acces bazate pe atribuțiile de serviciu, inclusiv cele atribuite personalului temporar;

·      Criptarea dispozitivelor care părăsesc sediile organizației, cum ar fi laptopurile;

·      Securitatea rețelelor la nivel de LAN (Local AreaNetwork) și WAN (WideAreaNetwork);

·      Tehnologii de îmbunătățire a confidențialității, cum ar fi pseudonimizarea și anonimizarea;

·      Restricționarea accesului în încăperile în care sunt exploatate computere sau alte terminale de acces;

·      Jurnalizarea acțiunilor întreprinse cu privire la datele cu caracter personal prelucrate prin mijloace automatizate;

·      Securizarea dispozitivelor mobile care permit accesul la date cu caracter personal;

·      Măsuri de securitate a serverelor;

 

La evaluarea măsurilor organizatorice adecvate, DPO va lua în considerare următoarele:

·      Identificarea și autentificarea utilizatorului (folosirea unui cont unic de utilizator, a unei parole, a unui card de acces sau a unui certificat digital atunci când se oferă accesul la date cu caracter personal);

·      Nivelurile adecvate de instruire pentru toți angajații;

·      Includerea obligațiilor privind protecția datelor cu caracter personal în fișele de post și Regulamentul de ordine interioară;

·      Actualizarea periodică a drepturilor de acces;

·      Identificarea măsurilor de sancțiune disciplinară pentru încălcarea securității datelor;

·      Monitorizarea personalului privind obligațiile de securitate stabilite;

·      Controalele privind accesul fizic la înregistrările electronice și pe hârtie (spre exemplu drepturile de acces în aplicații);

·      Stocarea datelor pe suport de hârtie în dulapuri care dispun de sisteme de închidere cu cheie;

·      Restricționarea utilizării dispozitivelor electronice portabile în afara locului de muncă sau definirea de reguli clare cu privire la folosirea acestora;

·      Restricționarea folosirii dispozitivelor personale ale angajatului la locul de muncă;

·      Măsuri de securitate cu privire la relația operator-persoană împuternicită;

·      Stabilirea de reguli clare cu privire la ștergerea datelor cu caracter personal.

 

4.7         Operatorul trebuie să poată fi în măsură să demonstreze conformitatea cu celelalte principii ale GDPR (responsabilitate)

În conformitate cu articolul 5 alineatul (2), Magic H&Ro respectă principiile de protecție a datelor prin implementarea politicilor de protecție a datelor, punerea în aplicare a măsurilor tehnice și organizatorice, precum și adoptarea unor tehnici precum protecția datelor prin proiectare (privacyby design), efectuarea analizei de impact (DPIA), precum și întocmirea și punerea în aplicare a unei proceduri de notificare a încălcărilor și a unor planuri de răspuns la incidente.

5.            Drepturile persoanelor vizate

5.1          În categoria persoanelor vizate sunt incluse următoarele persoane fizice: angajați, clienți, reprezentanți ai partenerilor comerciali.Drepturile pe care aceste categorii de persoane le au și a cărora respectare Magic H&Ro trebuie să o asigure pot fi diferite, luând în considerare temeiul prelucrării.

5.2         Persoanele vizate pot avea drepturi privind prelucrarea datelor:

5.2.1             Dreptul de acces - prin intermediul căruia se poate obține din partea Magic H&Ro o confirmare a faptului că datele personale sunt sau nu prelucrate;

5.2.2            Dreptul la rectificare - acesta presupune posibilitatea persoanelor vizate de a solicita Magic H&Ro să rectifice datele inexacte care le privesc;

5.2.3            Dreptul de a fi uitat – prin intermediul căruia persoana vizată poate obține ștergerea datelor sale de către operator, în anumite condiții prevăzute în GDPR;

5.2.4            Dreptul la restricționarea prelucrării – apareîn situația unei prelucrări inexacte, ilegale sau a exercitării dreptului la opoziție de către persoana vizată;

5.2.5            Dreptul la portabilitatea datelor – dreptulde a primi datele cu caracter personal care o privesc și pe care le-a furnizat Magic H&Ro într-un format structurat, utilizat în mod curent și care poate fi citit automat și care include și dreptul de a transmite aceste date altui operator. Acest drept are incidență numai în cazul prelucrărilor întemeiate pe consimțământ sau contract;

5.2.6            Dreptul la opoziție – presupune inclusiv dreptul de a se opune creării de profiluri;

5.2.7            Dreptul la informare– presupune informarea de o manieră concisă, transparentă și ușor accesibilă a persoanelor vizate cu privire la datele prelucrate;

5.2.8           De a se adresa Autorității de Supraveghere în cazul în care sesizează o  încălcare a GDPR.

5.3         Magic H&Ro se asigură că persoanele vizate pot să își exercite aceste drepturi prin punerea la dispoziția acestora a următorului punct de contact:

5.3.1             Persoanele vizate pot face cereri de acces la date, astfel cum se descrie în Procedura privind cererile persoanelor vizate, adresate DPO, la adresa de email:dpo@cityslot.ro. Orice cerere de acces transmisă altui angajat Magic sau pe altă cale decât cea indicată mai sus, va fi valabilă și trebuie transmisă de îndată către DPO.

5.3.2            Persoanele vizate au dreptul de a adresa plângeri către Magic H&Ro legate de prelucrarea datelor lor cu caracter personal.

5.4         Magic H&Ro garantează faptul că va respecta drepturile persoanelor vizate, în măsura în care aceste drepturi au incidență în cadrul prelucrărilor efectuate cu privire la datele acestora. În acest sens, în cazul în care pentru exercitarea unui drept cu privire la o prelucrare nu sunt îndeplinite condițiile prevăzute de GDPR sau exercitării dreptului i se opune o obligație legală stabilită în sarcina Magic H&Ro, se va analiza prelucrarea și va fi comunicată decizia motivată către persoana vizată.

6.            Prelucrarea datelor angajaților

6.1          Magic H&Ro prelucrează datele cu caracter personal ale angajaților în contextul relațiilor de muncă, având ca temei: contractul de muncă, obligația legală a angajatorului, interesul legitim al operatorului sau consimțământul [2] angajatului.

6.2         Scopurile pe care Magic H&Ro urmărește să le atingă prin prelucrarea datelor cu caracter personal aparținând, fie candidaților la posturile vacante în cadrul companiei, fie angajaților sunt cuprinse în Nota de informare privind prelucrarea datelor cu caracter personal în contextul relațiilor de muncă. Astfel, cu titlu exemplificativ, scopurile pot fi:

·            Desfășurarea și gestionarea procesului de recrutare sau promovarea pe un alt post în cadrul societății;

·            Întocmirea și păstrarea actualizată a informațiilor care compun dosarul de personal, inclusiv modificările intervenite cu privire la contractul de muncă;

·            Gestionarea dispozitivelor mobile, proprietatea Magic H&Ro, date spre folosință angajaților;

·            Evaluarea profesională a angajaților și gestionarea cererilor privind formarea profesională a acestora;

·            Desfășurarea cercetării disciplinare;

·            Gestionarea timpului petrecut la locul de muncă în vederea stabilirii drepturilor salariale și plata acestor drepturi;

·            Organizarea muncii - Gestionarea sarcinilor de lucru;

·            Îndeplinirea obligațiilor legale în materie de sănătate și securitate în muncă;

·            Stabilirea drepturilor salariale urmare a unei incapacități temporare de muncă, unui concediu de maternitate, paternal sau de creștere și îngrijire a copilului, precum și pentru alocarea eficientă a forței de muncă în aceste situații în vederea asigurării continuității activității operatorului;

·            Exercitarea unor drepturi/acțiuni în instanță;

·            Definirea conturilor de utilizator în vederea desfășurării activității la locul de muncă.

 

7.            Prelucrarea datelor clienților și reprezentanților partenerilor comerciali

7.1          În ceea ce privește activitatea activitatea în cadrul sălilor de jocuri în care își desfășoară activitatea Magic H&Ro, sunt întreprinse operațiuni de prelucrare a datelor cu caracter personal aparținând clienților care participă la jocurile de noroc organizate de către aceasta. Astfel, în vederea eliberării câștigurilor sunt prelucrate datele cu caracter personal ale clienților, dacă este cazul, în temeiul obligației legale prevăzute de OPANAF nr. 48/2019, dispozițiile art. 110 (6) din Codul fiscal, precum si in temeiul prevederilor Legii nr. 129/2019 pentru prevenirea si combaterea spalarii banilor si finantarii terorismului.

7.2         De asemenea, în cazul clienților pot fi desfășurate operațiuni de prelucrare în contextul participării la tombolele organizate în sălile de joc, operațiuni de colectare, stocare (pe durata concursului), distrugere și transmitere, care au ca temei consimțământul persoanelor vizate. În cazul câștigătorilor, prelucrarea de date suplimentare va fi determinată de aceleași dispoziții ale OPANAF nr. 48/2019.

7.3         Modul de desfășurare a activității pe piață a Magic H&Ro presupune prelucrarea de date aparținând angajaților partenerilor comerciali, în contextul relației de operator-persoană împuternicită. În acest sens, datele cu caracter personal colectate cu privire la aceste persoane sunt date referitoare la identificarea acestora în cadrul documentelor justificative încheiate de aceștia.

8.           Consimțământ

8.1         Magic H&Ro înțelege „consimțământul" ca fiind acordat printr-o acțiune neechivocă care constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal.

8.2        Consimțământul obținut sub presiune sau pe baza unor informații înșelătoare nu va constitui o bază valabilă pentru prelucrare.

8.3        Magic H&Ro va păstra dovada comunicării dintre părți pentru a demonstra consimțământul exprimat de persoanele vizate. Consimțământul nu poate fi dedus din lipsa de răspuns la o comunicare. Magic H&Ro trebuie să poată demonstra că a fost obținut consimțământul pentru operațiunea de prelucrare.

8.4        Pentru prelucrarea de date sensibile, va fi obținut consimțământul scris explicit (Procedura de acordare a consimțământului) al persoanelor vizate, cu excepția cazului în care există un alt temei legal de prelucrare.

8.5        În cazul în care este necesar, respectiv în lipsa unui alt temei de prelucrare, consimțământul va fidobândit de Magic H&Ro utilizând Procedura de obținere a consimțământului.

8.6        În cazul prelucrărilor întemeiate pe consimțământul persoanei vizate, Magic H&Ro pune la dispoziția persoanelor vizate mijloacele prin intermediul cărora să poată fi respectat dreptul de retragere a consimțământului prin intermediul un cereri scrise adresate DPO.

9.            Durata prelucrării

9.1         Criteriile utilizate în vederea stabilirii duratei prelucrării datelor cu caracter personal aparținând clienților, angajaților sau reprezentanților legali ai partenerilor de afaceri vor avea în vedere faptul că prelucrarea este necesară fie în vederea îndeplinirii obligațiilor legale ale Magic H&Ro, fie în vederea desfășurării relației contractuale, iar la încetarea relației contractuale, vor avea în vedere obligațiile legale în materie fiscală stabilite în sarcina Magic H&Ro.

9.2        În ceea ce privește prelucrările de date cu caracter personal efectuate în contextul proceselor de recrutare desfășurate de către Magic H&Ro, în cazul candidaților care nu au fost selectați pentru ocuparea postului vacant, durata prelucrării se va limita la perioada aferentă procesului de recrutare, la încheierea acestui proces, CV-urile depuse vor fi șterse. În cazul candidaților care devin ulterior angajați, datele colectate cu ocazia procesului de recrutare vor fi stocate în cadrul dosarului de personal pe toată perioada duratei contractuale de muncă.

9.3        În ceea ce privește datele cu caracter personal aparținând clienților, în măsura în care prelucrarea are ca temei consimțământul acestora, durata prelucrării va fi determinată de manifestarea contrară de voință a persoanei vizate sau de regulile interne stabilite de către Magic H&Ro în ceea ce privește tombolele organizate în locațiile în care își desfășoară activitatea.

10.       Securitatea datelor

10.1     Toți angajații proprii sau ai asociaților în cadrul contractului de asociere trebuie să se asigure că orice date cu caracter personal pe care Magic H&Ro le deține și pentru prelucrarea cărora aceștia sunt responsabili, sunt păstrate în siguranță și nu sunt în niciun fel dezvăluite niciunei terțe părți, cu excepția cazului în care această terță parte a fost autorizată în mod expres de către Magic H&Ro să primească aceste informații.

10.2    Toate datele cu caracter personal sunt accesibile numai angajaților/persoanelor care au nevoie să le utilizeze în conformitate cu drepturile de acces care le-au fost conferite, în vederea exercitării atribuțiilor de serviciu potrivit fișei postului sau pentru îndeplinirea unor dispoziții contractuale. Toate datele cu caracter personal sunt gestionate în cea mai mare siguranță și sunt păstrate:

·       într-o cameră cu închisă cu acces controlat; și / sau

·       într-un sertar sau într-un dulap încuiat; și / sau

·       dacă sunt computerizate, protejate prin parolă în conformitate cu nivelul de securitate stabilit de Magic H&Ro; și / sau

·       stocate pe un suport media (detașabil) care este criptat.

10.3    Angajații Magic H&Ro sunt instruiți pentru ase asigura că ecranele dispozitivelor pe care le utilizează nu sunt vizibile pentru niciun terț neautorizat. În cazul contractelor de asociere, asociatului îi revine obligația de a instrui în mod corespunzător angajații cu privire la regulile în materie de protecția datelor, în conformitate cu dispozițiile art. 28 din GDPR.

10.4    Documentele fizice precum și orice copii ale acestora nu vor fi lăsate în locuri accesibile personalului neautorizat și nu pot fi folosite în exteriorul punctelor de lucru în care sunt stocate sau sediului central Magic H&Ro fără autorizare explicită. Orice copie trebuie distrusă de îndată ce scopul pentru care a fost efectuată a fost îndeplinit.

10.5     Documentele fizice pentru care s-a împlinit termenul de ștergere stabilit  trebuie să fie casate și distruse ca „deșeuri confidențiale". Anterior scoaterii din uz a dispozitivelor electronice, mediile de stocare ale acestora suntreaduse la setările din fabrică sau distruse.

10.6    Magic H&Ro consideră că prelucrarea datelor cu caracter personal în afara sediului societății prezintă un risc potențial mai mare de pierdere, furt sau deteriorare a datelor cu caracter personal. În acest sens, angajații săi sunt autorizați în mod special pentru prelucrarea datelor în afara amplasamentelor.

11.         Divulgarea datelor

11.1       Magic H&Rose asigură că datele cu caracter personal nu sunt divulgate terților neautorizați. Angajații Magic H&Ro conștientizează faptul că în categoria terțilorneautorizați sunt incluși și membrii familiei sau prietenii.

11.2      Având în vedere obligațiile legale stabilite în sarcina Magic H&Ro,poate transmite date cu caracter personal aparținând angajaților sau jucătorilor către autoritățile administrative cu atribuții în domeniul relațiilor de muncă, în domeniul jocurilor de noroc sau în domeniul prevenirii și combaterii spălării banilor.

11.3      De asemenea, în cadrul contractelor încheiate de către Magic H&Ro cu privire la prestarea de servicii, este posibil ca partenerilor să le fie divulgate date strict necesare în vederea prestării serviciilor contractate. Transmiterea datelor se va face prin mijloace care asigură confidențialitatea datelor.

12.        Păstrarea și eliminarea datelor

12.1      Magic H&Ronu va păstra datele cu caracter personal într-o formă care să permită identificarea persoanelor vizate pentru o perioadă mai lungă decât este necesar, în raport cu scopul (scopurile) pentru care au fost colectate datele inițial.

12.2     Magic H&Ro poate stoca date pentru perioade mai lungi în cazul în care datele cu caracter personal vor fi prelucrate exclusiv în scopul arhivării în interes public, de cercetare științifică sau istorică sau în scopuri statistice, sub rezerva punerii în aplicare a măsurilor tehnice și organizatorice adecvate pentru protejarea drepturilor și libertăților persoanei vizate. În egală măsură, datele cu caracter personal pot fi păstrate pentru apărarea sau exercitarea unui drept în instanță, dincolo de durata de stocare stabilită inițial prin dispoziții interne sau prin norme legale imperative.

12.3     Datele cu caracter personal sunt eliminate în siguranță, în conformitate cu al șaselea principiu al GDPR - prelucrate într-o manieră adecvată pentru a menține securitatea, protejând astfel „drepturile și libertățile" persoanelor vizate.

13.        Transferuri de date

1.1          Magic H&Ro este conștientă de faptul că transferul datelor cu caracter personal în afara SEE este interzis, cu excepția cazului în care se aplică una sau mai multe garanții sau excepții specificate:

1.1.1               O decizie de adecvare

Comisia Europeană poate și va evalua țările terțe, un teritoriu și / sau anumite sectoare din țările terțe pentru a evalua dacă există un nivel corespunzător de protecție a drepturilor și libertăților persoanelor fizice. În aceste cazuri nu este necesară nicio autorizație.

Țările care sunt membre ale Spațiului Economic European (SEE), dar nu și ale UE, sunt acceptate ca îndeplinind condițiile unei decizii de adecvare.

O listă a țărilor care îndeplinesc în prezent cerințele de adecvare ale Comisiei este publicată în Jurnalul Oficial al Uniunii Europene. https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

1.1.2             Acordul privind clauzele contractuale standard -  art. 28 (8) din GDPR

Dacă Magic H&Ro dorește să transfere date cu caracter personal din UE unei organizații din Statele Unite sau din afara UE/SEE, se va asigura că va încheia cu destinatarul datelor un acord de tipul clauzelor contractuale standard, astfel cum sunt acestea definite de DECIZIA COMISIEI din 04.06.2021 privind introducerea unui set de clauze contractuale standard pentru transferul de date cu caracter personal către țări terțe. Conținutul acestor clauze nu poate fi modificat prin acordul părților, acestea fiind obligatorii și fiind considerate de către Comisie ca asigurând un nivel adecvat de protecție. Aceste clauze pot fi consultate: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en

Evaluarea caracterului adecvat de către operatorul de date

La evaluarea caracterului adecvat, operatorul exportator trebuie să țină seama de următorii factori:

·      natura informațiilor transferate;

·      țara sau teritoriul de origine și destinația finală a informațiilor;

·      modul în care informațiile vor fi utilizate și pentru cât timp;

·      legile și practicile țării unde se transferă, inclusiv codurile de practică relevante și obligațiile internaționale; și

·      măsurile de securitate care urmează să fie luate în ceea ce privește datele din locația din străinătate.

 

1.1.3              Reguli corporatiste obligatorii

Magic H&Ro poate adopta reguli proprii pentru transferul de date în afara UE. Acestea necesită aprobarea prealabilă autorității de supraveghere competente.

1.1.4              Excepții

În lipsa unei decizii de adecvare, a încheierii unui acord privind clauzele contractuale standardsau a regulilor corporatiste obligatorii, transferul datelor cu caracter personal într-o țară terță sau într-o organizație internațională are loc numai în următoarele condiții:

·      persoana vizată și-a dat acordul în mod explicit cu privire la transferul propus, după ce a fost informată cu privire la riscurile posibile ale acestor transferuri pentru persoana vizată, din cauza lipsei unei decizii de adecvare și a măsurilor de siguranță adecvate;

·      transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru executarea unor dispoziții precontractuale adoptate la cererea persoanei vizate;

·      transferul este necesar pentru încheierea sau executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică;

·      transferul este necesar din motive importante de interes public;

·      transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță; și/sau

·      transferul este necesar pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul.

 

14.        Registru de evidență al prelucrărilor de date cu caracter personal

14.1      Magic H&Ro a realizat un inventar al prelucrărilor de date cu caracter personal și a întocmit un Registru de evidență a prelucrărilor, ca parte a proiectului său de a asigura conformitatea cu GDPR.

14.2     Magic H&Ro este conștientă de faptul că anumitor operațiuni de prelucrare a datelor le pot fi asociate riscuri cu privire la drepturile și libertățile persoanelor vizate. Astfel:

14.2.1         Magic H&Ro evaluează nivelul de risc asociat prelucrării datelor cu caracter personal pentru persoanele vizate. Evaluările impactului asupra protecției datelor se efectuează în legătură cu prelucrarea datelor cu caracter personal de către Magic H&Ro, și în legătură cu prelucrarea efectuată de alte organizații în numele Magic H&Ro.

14.2.2        Magic H&Ro gestionează riscurile identificate prin analiza efectuată, pentru a reduce probabilitatea încălcării dispozițiilor cu privire la protecția datelor cu caracter personal cuprinse în această politică.

14.2.3        Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, Magic H&Ro efectuează, înaintea prelucrării, o analiză a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. O singură analiză poate aborda un set de operații de prelucrare similare care prezintă riscuri la fel de mari.

14.2.4        În cazul în care, ca rezultat al unei DPIA, este clar faptul că Magic H&Ro este pe punctul de a începe prelucrarea datelor cu caracter personal care ar putea cauza daune persoanelor vizate, decizia dacă Magic H&Ro poate continua prelucrarea va fi transmisă pentru obținerea avizului consultativ al DPO.

14.2.5         În cazul în care, urmare a analizei, se constată că există riscuri semnificative, fie cu privire la posibilele daune ce pot fi produse persoanelor vizate, fie cu privire la categoriile de date în cauză, DPO va transmite problema către Autoritatea de supraveghere, urmând procedura de consultarea prealabilă menționată la articolul 36 din GDPR.

 

Această modificare a politicii a fost aprobată de către managementul Magic H&RO la09.06.2021



[1] În ceea ce privește aplicarea teritorială a dispozițiilor GDPR, definiția se completează cu dispozițiile Guidelines nr. 3/2018 ale Grupului de lucru G29 privind aplicarea teritorială a GDPR.

[2] Magic H&Ro ia măsurile necesare pentru a se asigura că prelucrările întemeiate pe consimțământul angajatului respectă condițiile prevăzute de Îndrumările GL 29 privind consimțământul în condițiile Regulamentului 2016/679 și cele prevăzute de Avizul GL 29  nr. 2/2017 privind prelucrarea datelor la locul de muncă.

top JP
Ultimele 10 jackpot-uri acordate: