Politica GDPR

Data intrării în vigoare: 03.02.2023
Ultima actualizare: 20.03.2026

1. Scopul prezentei politici

Prezenta Politică GDPR stabilește principiile, angajamentele și măsurile de guvernanță aplicate de Asociația Clusterul de Excelență în Securitate Cibernetică (CYSCOE) în legătură cu prelucrarea datelor cu caracter personal.

Prezentul document completează Politica de confidențialitate și reflectă angajamentul CYSCOE față de prelucrarea legală, corectă, transparentă, sigură și responsabilă a datelor cu caracter personal, în conformitate cu Regulamentul (UE) 2016/679 (Regulamentul general privind protecția datelor – GDPR) și cu cadrul juridic aplicabil care reglementează confidențialitatea și protecția datelor.

GDPR stabilește un regim bazat pe principii care impune organizațiilor nu numai să se conformeze, ci și să fie capabile să demonstreze conformitatea prin guvernanță adecvată, măsuri de protecție, documentație și responsabilitate organizațională.

2. Domeniul de aplicare

Prezenta politică se aplică datelor cu caracter personal prelucrate de CYSCOE în legătură cu:

  • administrarea site-ului web și comunicarea digitală;
  • corespondența instituțională și interacțiunea părților interesate;
  • parteneriate strategice și inițiative de colaborare;
  • reuniuni, conferințe, evenimente, ateliere, apeluri și activități de formare;
  • implementarea proiectelor și implicarea ecosistemelor;
  • activități operaționale, administrative, juridice și legate de guvernanță.

Prezenta politică se aplică datelor cu caracter personal prelucrate în formă electronică, scrisă și verbală, atunci când o astfel de prelucrare intră în responsabilitatea CYSCOE.

3. Identitatea operatorului de date

Cu excepția cazului în care se prevede altfel într-un context contractual sau operațional specific, operatorul de date este:

Asociația Clusterul de Excelență în Securitate Cibernetică
Mareșal Alexandru Averescu nr. 8-10, et. 1, cam. 104, sector 1, București
Email:

În cazul în care CYSCOE determină scopurile și mijloacele de prelucrare, aceasta acționează în calitate de operator de date. În relațiile contractuale distincte, CYSCOE poate acționa într-o altă calitate definită din punct de vedere juridic, în funcție de alocarea rolurilor și responsabilităților.

4. Principiile de bază ale protecției datelor

CYSCOE aplică următoarele principii pentru prelucrarea datelor cu caracter personal:

4.1 Legalitate, corectitudine și transparență

Datele cu caracter personal sunt prelucrate în mod legal, echitabil și transparent în raport cu persoana vizată.

4.2 Limitarea scopului

Datele cu caracter personal sunt colectate în scopuri specificate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri.

4.3 Minimizarea datelor

Datele cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate.

4.4 Acuratețe

Se iau măsuri rezonabile pentru a se asigura că datele cu caracter personal sunt exacte și, dacă este necesar, actualizate.

4.5 Limitarea stocării

Datele cu caracter personal sunt păstrate numai atât timp cât este necesar pentru scopul de prelucrare relevant, cu excepția cazului în care o perioadă de păstrare mai lungă este impusă sau justificată de lege sau de nevoi legitime de conformitate.

4.6 Integritate și confidențialitate

Datele cu caracter personal sunt prelucrate într-un mod care asigură securitatea corespunzătoare, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale.

4.7 Responsabilitate

CYSCOE recunoaște că conformitatea trebuie să fie demonstrabilă. În consecință, protecția datelor este susținută nu numai prin anunțuri publice, ci și prin guvernanță internă, controlul accesului, supravegherea furnizorilor, practici de păstrare și măsuri de protecție documentate.

5. Temeiuri legale pentru prelucrare

CYSCOE prelucrează datele cu caracter personal numai în cazul în care există un temei juridic adecvat în conformitate cu GDPR. În funcție de circumstanțe, aceasta poate include:

  • consimțământul persoanei vizate;
  • executarea unui contract sau măsurile luate înainte de încheierea unui contract;
  • respectarea unei obligații legale;
  • interese legitime, cu condiția ca drepturile și libertățile persoanei vizate să nu prevaleze asupra acestor interese.

În cazul în care consimțământul este utilizat ca temei juridic, acesta trebuie să fie liber exprimat, specific, informat și neechivoc și poate fi retras în orice moment.

6. Categorii de date cu caracter personal

În funcție de contextul relevant, CYSCOE poate prelucra categorii de date cu caracter personal, cum ar fi:

  • date de identificare;
  • date de contact;
  • afiliere profesională și date legate de rol;
  • date de comunicare și corespondență;
  • date tehnice și digitale de interacțiune;
  • date legate de eveniment sau de participare;
  • date furnizate în mod voluntar prin formulare, e-mail, întâlniri sau interacțiuni instituționale.

CYSCOE încearcă să limiteze prelucrarea datelor cu caracter personal la ceea ce este relevant și necesar pentru scopuri instituționale și operaționale legitime.

7. Categorii speciale de date cu caracter personal

CYSCOE nu încearcă în mod intenționat să colecteze categorii speciale de date cu caracter personal prin intermediul site-ului său web sau al canalelor de comunicare obișnuite, cu excepția cazului în care o astfel de prelucrare este în mod clar necesară, justificată în mod legal și susținută de un temei juridic adecvat în temeiul articolului 9 din RGPD.

În cazul în care astfel de date sunt primite neintenționat, CYSCOE va evalua necesitatea păstrării lor și le va trata în conformitate cu principiile minimizării, securității și prelucrării legale.

8. Drepturile persoanelor vizate

Sub rezerva condițiilor și limitărilor prevăzute de lege, persoanele vizate pot avea următoarele drepturi:

  • dreptul de a fi informat;
  • dreptul de acces;
  • dreptul la rectificare;
  • dreptul la ștergere;
  • dreptul la restricționarea prelucrării;
  • dreptul la portabilitatea datelor;
  • dreptul de a formula obiecții;
  • dreptul de a retrage consimțământul, în cazul în care consimțământul este temeiul juridic;
  • dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, după caz;
  • dreptul de a depune o plângere la o autoritate de supraveghere.

CYSCOE ia în considerare și răspunde cererilor privind aceste drepturi în conformitate cu legislația aplicabilă și în termenele legale aplicabile.

Pentru exercitarea acestor drepturi, o cerere poate fi trimisă la adresa:

9. Verificarea identității

În cazul în care o persoană depune o cerere referitoare la date cu caracter personal, CYSCOE poate lua măsuri rezonabile și proporționale pentru a verifica identitatea solicitantului înainte de divulgarea, modificarea sau ștergerea datelor cu caracter personal.

Aceste măsuri de verificare sunt menite să protejeze persoanele vizate împotriva divulgării neautorizate, fraudei de identitate, utilizării abuzive sau accesului ilegal.

10. Măsuri tehnice și organizatorice

CYSCOE pune în aplicare măsuri tehnice și organizatorice adecvate menite să asigure un nivel de securitate corespunzător naturii, domeniului de aplicare, contextului și riscurilor prelucrării.

Astfel de măsuri pot include:

  • acces controlat la date în funcție de rol și de necesitatea de a cunoaște;
  • găzduire sigură și administrare de sisteme;
  • măsuri de confidențialitate pentru comunicații și înregistrări;
  • practici de gestionare a identității și accesului;
  • monitorizare, logare și revizuire tehnică;
  • metode de transfer securizate și criptare, după caz;
  • proceduri pentru manipularea, stocarea și eliminarea în condiții de siguranță a informațiilor.

Aceste măsuri sunt menite să sprijine confidențialitatea, integritatea, disponibilitatea și reziliența operațiunilor de prelucrare a datelor cu caracter personal.

11. Prelucrători de date și furnizori de servicii

În cazul în care CYSCOE angajează furnizori de servicii terți pentru găzduire, asistență IT, comunicații, securitate cibernetică, analiză, administrare, asistență juridică sau servicii operaționale similare, furnizorii respectivi pot prelucra date cu caracter personal în numele CYSCOE.

În astfel de cazuri, CYSCOE încearcă să se asigure că:

  • furnizorii de servicii sunt selectați ținând seama în mod corespunzător de fiabilitate și de garanțiile adecvate;
  • acordurile contractuale reflectă cerințele aplicabile privind protecția datelor;
  • datele cu caracter personal sunt prelucrate numai în măsura necesară pentru serviciul convenit;
  • furnizorii de servicii sunt supuși obligațiilor de confidențialitate, securitate și protecție a datelor.

12. Divulgarea către autorități și utilizarea legală a datelor

CYSCOE poate dezvălui date cu caracter personal atunci când este necesar:

  • pentru a respecta obligațiile legale aplicabile;
  • pentru a răspunde solicitărilor legale din partea autorităților publice competente;
  • pentru a stabili, exercita sau apăra pretenții legale;
  • pentru a preveni frauda, abuzul, accesul neautorizat sau alte comportamente care afectează drepturile legitime ale CYSCOE sau mediul digital.

O astfel de prelucrare se efectuează numai în cazul în care există un temei legal și în cazul în care divulgarea este necesară și proporțională.

13. Transferuri internaționale

În cazul în care datele cu caracter personal sunt transferate în afara Spațiului Economic European, CYSCOE se va asigura că transferul face obiectul unei garanții adecvate recunoscute în temeiul legislației UE privind protecția datelor, cum ar fi:

  • o decizie de adecvare;
  • Clauze contractuale standard;
  • sau un alt mecanism de transfer legal.

CYSCOE încearcă să se asigure că transferurile internaționale sunt evaluate ținând seama în mod corespunzător de riscurile juridice, tehnice și operaționale.

14. Păstrarea și revizuirea datelor

Datele cu caracter personal sunt păstrate numai atât timp cât este necesar în scopul pentru care au fost colectate, ținând seama de:

  • natura și durata relației sau interacțiunii relevante;
  • obligații legale, de reglementare, fiscale, de audit și probatorii;
  • cerințele de securitate, de prevenire a fraudei și de continuitate;
  • necesitatea de a stabili, exercita sau apăra drepturi legale;
  • dacă informațiile rămân exacte, relevante și necesare.

În cazul în care datele nu mai sunt necesare, acestea sunt șterse, anonimizate, arhivate sau prelucrate în alt mod securizat în conformitate cu practicile de păstrare aplicabile.

15. Date privind copiii

CYSCOE nu vizează în mod intenționat copiii prin intermediul site-ului său web și nu colectează cu bună știință date cu caracter personal referitoare la minori decât dacă există un temei juridic adecvat și un motiv operațional legitim pentru a face acest lucru.

În cazul în care CYSCOE constată că datele cu caracter personal referitoare la un minor au fost prelucrate fără un temei juridic adecvat, aceasta va lua măsuri rezonabile pentru a evalua și aborda situația în conformitate cu legislația aplicabilă.

16. Guvernanță, revizuire și conformitate continuă

CYSCOE recunoaște că respectarea protecției datelor este o responsabilitate de guvernanță continuă, mai degrabă decât un exercițiu formal punctual.

În consecință, prezenta politică poate fi revizuită și actualizată periodic pentru a reflecta:

  • modificări ale legislației sau ale interpretării reglementărilor;
  • evoluții operaționale sau tehnologice;
  • modificări ale furnizorilor de servicii sau ale infrastructurii digitale;
  • schimbări în natura, amploarea sau profilul de risc al prelucrării datelor cu caracter personal.

17. Responsabilul cu protecția datelor

În prezent, CYSCOE nu desemnează un responsabil permanent cu protecția datelor.

În cazul în care amploarea, natura sau contextul juridic al prelucrării se modifică într-un mod care poate declanșa o astfel de obligație în temeiul legislației aplicabile, CYSCOE poate reevalua această poziție și poate lua măsurile corespunzătoare.

18. Reclamații și autoritate de supraveghere

În cazul în care considerați că datele dumneavoastră cu caracter personal au fost prelucrate cu încălcarea legislației aplicabile, puteți contacta CYSCOE pentru ca problema să poată fi examinată intern.

De asemenea, aveți dreptul de a depune o plângere la autoritatea română de supraveghere:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, cod poștal 010336, București, România
Email:
Website: www.dataprotection.ro

19. Contact

Pentru întrebări referitoare la această politică GDPR sau la prelucrarea datelor cu caracter personal de către CYSCOE, vă rugăm să contactați:

Asociația Clusterul de Excelență în Securitate Cibernetică
Mareșal Alexandru Averescu nr. 8-10, et. 1, cam. 104, sector 1, București
Email:

Alte articole