your privacy, explained.

This data protection notice applies to the processing of personal data we collect when you visit our website, use our mobile app, when we provide you our Services [Local OpCo to define Services] and the processing of personal data of persons who work for companies with which we conduct (or intend to conduct) business.

Your privacy and the security of your personal data is important to Randstad Romania SRL and the rest of the Randstad Group companies.  We are responsible for ensuring that all personal data entrusted to us is processed in accordance with applicable data protection legislation.

This notice explains who we are, for what purposes we may use your personal data, how we handle it, to whom we may disclose it, where it may be transferred to or is accessible from and what your rights are.

• about Randstad

  Randstad România SR Lregistered at the Bucharest Trade Registry under no. J40/8174/2005, unique registration code 17549799, together with its affiliated companies in Romania within the group, namely Randstad Staffing SRL, a limited liability company established and operating under Romanian laws, with headquarters at Bulevardul Dacia 153-155 , floor 6, space B, sector 2, Bucharest (referred to in this notice as: “we” or “us” or “Randstad”), will process your personal data in accordance with this data protection notice (such personal data sometimes also referred to as “information”).

  Except as otherwise set out below, Randstad is the controller of the personal data (‘controller’ within the meaning of applicable data protection legislation).

  For the efficient operation and management of our business, Randstad Group Companies may in certain instances jointly define the purposes and means of Processing Personal Data (joint controllers). Examples of processing activities where Randstad Group companies jointly process personal data are those related to managing our Misconduct Reporting Procedure and Sanctions checks, which we do jointly with Randstad N.V. Please contact us (see the section “Contact us” below) if you want to know more about these jointly-controlled processing activities or would like to receive a summary of the joint controllers’ roles and responsibilities and/or exercise your data protection rights regarding any jointly-controlled processing of your personal data.

• HR technologies

  Our ultimate goal is to support people and organizations in realizing their true potential

  We believe that the best way to achieve that goal is by combining our passion for people with the power of today’s HR technologies. By HR technologies we mean technologies that help us digitize and enhance a variety of recruitment-related processes. 

  For example we use chatbots to improve your talent experience. Chatbots give candidates the opportunity to answer questions based on the requirements of the job they apply for.  This is a user-friendly way for candidates to:

  • provide us with relevant information that may not be readily apparent from the application, profile or resume of a candidate.
  • know promptly whether their skills meet a job’s essential requirements and, if not, to easily explore other jobs or to identify gaps in their skillset.
  • answer at any moment convenient to the user.

  As part of the larger recruitment process, HR technologies allow us to connect candidates more quickly to our consultants.  This, in turn, allows our consultants to better support candidates in exploring jobs and to deliver the right candidates more quickly to our clients. HR technologies also allow our consultants to find people based not only on the jobs they qualify for but also on the basis of jobs they are interested in.

  Improving the client experience 
  
  HR technologies help us to search through a broader and more diverse set of candidates so that we become even better at finding the best talent with the most relevant skill-set for our clients. Thanks to these technologies our consultants can focus on the tasks that require genuinely human traits that technology cannot emulate: creativity and emotion. 

  Web beacons
  
  Our emails may contain a single, campaign-unique "web beacon pixel" to tell us whether our emails are opened and verify any clicks through to links or advertisements within the email. We may use this information for purposes including determining which of our emails are more interesting to users, to query whether users who do not open our emails, wish to continue receiving them and to inform our advertisers in aggregate how many users have clicked on their advertisements. The pixel will be deleted when you delete the email. If you do not wish the pixel to be downloaded to your device, you should select to receive emails from us in plain text rather than HTML.

  Responsible use of HR technologies

  Randstad is committed to the ethical and responsible use of innovative HR technologies (you can read our AI principles here). Randstad does not use these technologies as a substitute for humans or human interaction in any part of its processes. Instead, our use of HR technologies is intended to make interactions with clients and candidates more personal, relevant and meaningful.

  We strive to involve human beings whenever we make decisions that significantly impact you.  If, in exceptional cases, we were to make such decisions based on a fully automated process (ie. without involvement of humans), we will only do so where that is permitted by law and after having notified you.

  To ensure all candidates are treated fairly we take steps to avoid bias where we use HR technologies. For example:

  • We regularly test the output created by these technologies to identify potential unfair bias.
  • We regularly obtain expert advice to continuously improve the way in which we identify and remove bias.
  • Both our consultants and our search and match algorithms are thoroughly trained and always work together.

   

• with whom do we share your personal data?

  We may share your personal data:

  • with other entities of the Randstad group of companies. We are part of a multinational group of companies and sometimes we may share personal data with other Randstad groups of companies for the purposes of efficient management of business, compliance with legal and regulatory requirements and to provide our Services to you (include as matching) and to our clients. For an overview of these entities, click here.
  • with Randstad clients. Within the scope of our services, including recruitment and provision of temporary work.
  • with third parties providing HR-related services to use (e.g. payroll service providers).
  • with third party providers of IT-related services (e.g. we use an external provider to support our IT-infrastructure; e.g. an important part of our software and databases sit in a cloud-environment which is operated by a third party service provider).
  • with third parties providers of marketing-related services (e.g. we may store your personal data in a cloud-based CRM-application that is hosted and provided by a third party service provider; e.g. when we use a third party service provider to organise an event we may share your personal data with that third party in order to invite you to that event).
  • with providers of professional services (e.g. to our auditors, our tax advisors, our legal advisors).
  • with banks and insurers (e.g. in order to pay the salaries of our temporary workers we share some of their personal data with our bank).
  • with pension funds. 
  • with public authorities (e.g. pursuant to applicable law Randstad must disclose personal data to the social security authorities and to tax authorities).

  with law enforcement authorities, courts and regulatory authorities (e.g. as part of a criminal investigation police services may require us to disclose personal data to them).

  We may also disclose your personal data to third parties

   

  • in the event that we sell or buy any business or assets, in which case we may disclose your personal data to the prospective seller or buyer of such business or assets; or
  • if all or a substantial part of our assets are acquired by a third party, in which case the personal data that we hold about you may be one of the transferred assets.

  When we share your personal data as described above, such personal data may be transferred both within and outside the European Economic Area (EEA).

  In the event that we transfer your personal data internationally, we will only do so in line with applicable law, and we will require that there is an adequate level of protection for your personal data, and that appropriate security measures are in place.
  
  
  
  Your personal data may be transferred from countries located within the EEA to countries located outside of the EEA (such as the United States). In such cases, we will require that the following safeguards are observed:

  • The laws of the country to which your personal data is transferred ensure an adequate level of data protection. Click here for the list of non-EEA countries that, according to the European Commission, provide an adequate level of data protection; or
  • The transfer is subject to standard data protection clauses approved by the European Commission. More information about those data protection clauses is available here; or
  • Any other applicable appropriate safeguards under article 46 of the EU General Data Protection Regulation (2016/679).

  For more information about the safeguards that we have implemented to protect your personal data internationally, please contact us at privacy@randstad.ro.

   

• how we will protect your personal data?

  We have technical and organizational security measures in place to protect your personal data from being accidentally lost, used, altered, destructed, disclosed or accessed in an unauthorized way. We limit access to your personal data to those who have a genuine business need to know it. Those processing your personal data are governed by Randstad's rules for information and IT security, data protection and other internal regulations and guidelines applicable to the processing of personal data.

  While we have measures in place to protect your personal data, it is important for you to understand that 100% complete security cannot be guaranteed. Accordingly, we have procedures in place to deal with data security incidents and to comply with legal requirements applicable to the detection, handling and notification of personal data breaches. 

• your data protection rights

  You have the following rights regarding your personal data: 

  1. Right to be informed: You have the right to be provided with clear, transparent and easily understandable information about how we use your personal data and your rights. This is why we are providing you with the information in this notice.

  2. Right of access: You have the right to access the personal data we keep about you – this is because we want you to be aware of the personal data we have about you and to enable you to verify whether we process your personal data in accordance with applicable data protection laws and regulations.

  3. Right to rectification: If your personal data is inaccurate or incomplete, you have the right to request the rectification of your personal data.

  4. Right to erasure: This is also known as ‘the right to be forgotten’ and, in simple terms, enables you to request the deletion or removal of your personal data where there is no compelling reason for us to keep it. This is not a general right to erasure, there are exceptions.

  5. Right to restrict processing: You have rights to ‘block’ or suppress further use of your personal data in certain circumstances. When processing is restricted, we can still store your personal data, but may not use it further. We keep lists of people who have asked for further use of their personal data to be ‘blocked’ to make sure the restriction is respected in future.

  6. Right to data portability: You have the right to obtain and reuse your personal data in a structured, commonly used and machine-readable format in certain circumstances. In addition, where certain conditions apply, you have the right to have such personal data transferred directly to a third party.

  7. Right to object to processing: You have the right to object to certain types of processing, in certain circumstances. In particular, the right to object to the processing of your personal data based on our legitimate interests or on public interest grounds; the right to object to processing for direct marketing purposes (including profiling); the right to object to the use of your personal data for scientific or historical research purposes or statistical purposes in certain circumstances.

  8. Right to withdraw consent: If our processing of your personal data is based specifically on your consent, you have the right to withdraw that consent at any time. This includes your right to withdraw consent to our use of your personal data in the context of voluntary employee surveys.

  9. Right to object to automated decision making: You have the right not to be subject to a decision based solely on automated Processing, including profiling, which produces legal effects for you or similarly significantly affects you.  Automated decision making takes place when an electronic system uses personal data to make a decision without human intervention.  This is not a general right to object, there are exceptions.  For example, we are allowed to use automated decision making where it is necessary to perform a contract with you and appropriate measures are in place to safeguard your rights.  For further information, see the section “Innovative HR technologies”.

  You can exercise your rights by sending a request to the data protection officer at privacy@randstad.ro. We will handle your request with particular care to ensure that you can exercise your rights effectively. We may ask you for proof of identity to make sure we don't share your personal data with anyone but you! You should be aware that in special cases (eg due to legal requirements) we may not be able to comply with your request immediately. 

  In any case, within one month of your request, we will inform you of the actions taken. You have the right to file a complaint with a data protection supervisory authority: ANSPDCP with headquarters in B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, postal code 010336, Bucharest and having the e-mail address anspdcp@dataprotection.ro.

   

• changes to this data protection notice

  We may update this notice from time to time. You can see the date on which the last change was made below. We advise you to review this notice on a regular basis so that you are aware of any changes.

  This statement was updated in 2023.

întrebări frecvente

• ce este GDPR?

  GDPR (General Data Protection Regulation) este un set de reguli și reglementări adoptate de Uniunea Europeană (UE) în 2016 și aplicate începând cu 25 mai 2018. Scopul acestui regulament este de a proteja drepturile și libertățile fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și de a asigura libera circulație a acestor date în cadrul UE. GDPR impune obligații stricte pentru companii și organizații care prelucrează date personale și stabilește sancțiuni semnificative pentru nerespectarea reglementărilor.

• cui se aplică GDPR?

  GDPR se aplică:

  Organizațiilor și companiilor stabilite în UE: Indiferent de dimensiunea lor sau de natura afacerii, GDPR se aplică tuturor companiilor și organizațiilor din UE care prelucrează date personale ale persoanelor fizice (cetățeni sau rezidenți ai UE).

  Organizațiilor și companiilor din afara UE: GDPR se aplică și companiilor și organizațiilor stabilite în afara UE, dacă acestea oferă bunuri sau servicii în UE (chiar și în mod gratuit) sau monitorizează comportamentul persoanelor fizice din UE (de exemplu, prin urmărirea activității online).

• unde este obligatorie respectarea Regulamentului privind Protecția Datelor?

  Respectarea Regulamentului privind Protecția Datelor (GDPR) este obligatorie în toate statele membre ale Uniunii Europene (UE) și Spațiului Economic European (SEE). De asemenea, GDPR se aplică și companiilor sau organizațiilor stabilite în afara UE și SEE, dacă oferă bunuri sau servicii (inclusiv gratuite) persoanelor fizice din UE sau monitorizează comportamentul acestora în cadrul UE. Prin urmare, GDPR are o aplicabilitate extrateritorială, ceea ce înseamnă că organizațiile din întreaga lume trebuie să respecte reglementările, atâta timp cât prelucrează date personale ale cetățenilor sau rezidenților UE.

• ce înseamnă date cu caracter personal?

  Datele cu caracter personal înseamnă orice informație care se referă la o persoană fizică identificată sau identificabilă. O persoană fizică identificabilă este acea persoană care poate fi identificată, direct sau indirect, în special prin referire la un identificator, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale ale acelei persoane fizice.

   

  Exemple de date cu caracter personal includ:

  • Nume și prenume

  • Adresă de domiciliu

  • Adresă de e-mail

  • Număr de telefon

  • CNP (Cod Numeric Personal)

  • Identificatori unici, cum ar fi numerele de pașaport sau ID-uri online (cookie-uri, adrese IP)

  • Date demografice, cum ar fi vârsta, sexul, etnia

  • Date medicale, financiare sau de angajare

• care sunt categoriile speciale de date cu caracter personal?

  Categoriile speciale de date cu caracter personal, cunoscute și ca date sensibile, sunt acele informații care dezvăluie aspecte mai delicate ale vieții unei persoane și care, în cazul utilizării sau divulgării necorespunzătoare, pot duce la discriminare sau alte consecințe negative. Regulamentul GDPR acordă o protecție sporită acestor categorii de date. Categoriile speciale de date cu caracter personal includ:

  • Originea rasială sau etnică

  • Opiniile politice

  • Convingerile religioase sau filozofice

  • Apartenența sindicală

  • Datele genetice (informații rezultate din analiza ADN-ului unei persoane)

  • Datele biometrice (utilizate în scopul identificării unice a unei persoane, cum ar fi amprentele digitale, recunoașterea facială, etc.)

  • Datele privind sănătatea (informații referitoare la starea de sănătate fizică sau mintală a unei persoane, tratamente medicale, etc.)

  • Datele referitoare la viața sexuală sau orientarea sexuală

• ce înseamnă prelucrare de date cu caracter personal?

  Prelucrarea datelor cu caracter personal se referă la orice operațiune sau set de operațiuni efectuate asupra datelor personale, cu sau fără utilizarea unor proceduri automate. Aceasta include o gamă largă de acțiuni legate de datele cu caracter personal, precum:

  • Colectarea: obținerea datelor de la persoanele vizate sau din alte surse ( ex. Protaluri de recrutare, social media, etc)

  • Înregistrarea: documentarea sau stocarea datelor într-un sistem organizat

  • Organizarea: structurarea datelor într-un mod care permite accesul și utilizarea facilă

  • Structurarea: crearea unui sistem de clasificare sau indexare a datelor

  • Stocarea: păstrarea datelor pe o perioadă de timp, în format electronic sau fizic

  • Adaptarea sau modificarea: schimbarea sau actualizarea informațiilor personale în funcție de nevoile specifice

  • Extragerea: selectarea unor date specifice dintr-un set mai mare de informații

  • Consultarea: examinarea sau verificarea datelor cu caracter personal

  • Utilizarea: aplicarea datelor în diverse scopuri, cum ar fi analiza, raportarea sau luarea deciziilor

  • Divulgarea prin transmitere: partajarea datelor cu alte entități, inclusiv prin intermediul rețelelor de comunicații

  • Diseminarea sau punerea la dispoziție în orice alt mod: distribuirea sau publicarea datelor într-un mod accesibil unui număr mare de persoane

  • Restrângerea: limitarea accesului sau utilizării datelor cu caracter personal

  • Ștergerea sau distrugerea: eliminarea permanentă a datelor personale

  • Practic, orice acțiune care implică utilizarea, manipularea sau gestionarea datelor cu caracter personal poate fi considerată prelucrare în sensul GDPR.

• ce este un operator de date?

  Un operator de date este o persoană juridică, autoritate publică, agenție sau alt organism care, singur sau împreună cu alții, determină scopurile și mijloacele prelucrării datelor cu caracter personal. În contextul GDPR, operatorul de date are responsabilitatea principală de a se asigura că prelucrarea datelor personale este efectuată în conformitate cu principiile și cerințele Regulamentului.

  Responsabilitățile unui operator de date includ, dar nu se limitează la:

  • Asigurarea conformității cu principiile de protecție a datelor, cum ar fi legalitatea, echitatea, transparența, limitarea scopului, minimizarea datelor, exactitatea, limitarea stocării, integritatea și confidențialitatea

  • Prelucrarea datelor cu caracter personal doar în cazurile în care există un temei legal

  • Informarea persoanelor vizate despre prelucrarea datelor lor cu caracter personal, drepturile lor și modalitățile de exercitare a acestora

  • Implementarea măsurilor de securitate adecvate pentru protejarea datelor cu caracter personal împotriva accesului, divulgării, distrugerii sau pierderii neautorizate

  • Colaborarea cu autoritățile de supraveghere și respectarea cerințelor acestora

  • Numirea unui responsabil cu protecția datelor (DPO), dacă este necesar

  • Evaluarea impactului asupra protecției datelor (DPIA) în cazul prelucrărilor cu risc ridicat pentru drepturile și libertățile persoanelor vizate

  • În practică, un operator de date poate fi o companie, o organizație non-profit, o instituție publică sau orice altă entitate care prelucrează date cu caracter personal în scopurile sale, chiar și o persoană fizică.

• care sunt principiile care stau la baza GDPR?

  GDPR stabilește șapte principii fundamentale care guvernează prelucrarea datelor cu caracter personal. Aceste principii trebuie să fie respectate de operatorii de date și procesorii de date în orice activitate de prelucrare a datelor personale:

  • Legalitate, echitate și transparență: Prelucrarea datelor cu caracter personal trebuie să fie legală, echitabilă și transparentă în raport cu persoana vizată. Aceasta înseamnă că prelucrarea trebuie să aibă o bază legală, să nu afecteze negativ drepturile persoanei vizate și să fie realizată într-un mod clar și deschis.

  • Limitarea scopului: Datele cu caracter personal trebuie să fie colectate într-un scop specific, explicit și legitim și să nu fie prelucrate într-un mod incompatibil cu acest scop. În alte cuvinte, datele trebuie să fie utilizate doar pentru scopurile pentru care au fost inițial colectate.

  • Minimizarea datelor: Datele cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate. Acest principiu se referă la colectarea și utilizarea doar a datelor personale strict necesare pentru a îndeplini scopul specificat.

  • Exactitate: Datele cu caracter personal trebuie să fie exacte și, acolo unde este necesar, actualizate. Operatorii de date au responsabilitatea de a asigura că datele inexacte sau incomplete sunt corectate sau șterse.

  • Limitarea stocării: Datele cu caracter personal trebuie să fie păstrate într-o formă care să permită identificarea persoanelor vizate numai pe o perioadă cât este necesară pentru realizarea scopurilor pentru care sunt prelucrate. Acest principiu se referă la stocarea datelor doar pe durata necesară și implementarea de termene de păstrare adecvate.

  • Integritate și confidențialitate: Datele cu caracter personal trebuie să fie prelucrate într-un mod care asigură securitatea adecvată a datelor, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale. Acest principiu impune implementarea unor măsuri tehnice și organizatorice adecvate pentru a asigura securitatea datelor.

  • Responsabilitate: Operatorul de date este responsabil pentru respectarea principiilor menționate mai sus și trebuie să fie în măsură să demonstreze conformitatea cu aceste principii. Acest principiu subliniază importanța responsabilității proactive și a documentării conformității cu GDPR.

  • Aceste principii reprezintă fundația pentru protecția datelor cu caracter personal în cadrul GDPR și trebuie să fie respectate în toate activitățile de prelucrare a datelor.

     

  Recomandare: pentru o detaliere a principiilor ce stau la baza GDPR, vă recomandăm articolul dedicat despre Cele 7 principii GDPR. Principii legate de prelucrarea datelor cu caracter personal.

• care sunt temeiurile legale în baza cărora se pot prelucra date?

  În conformitate cu GDPR, prelucrarea datelor cu caracter personal este permisă numai dacă se bazează pe cel puțin unul dintre următoarele temeiuri legale:

  Consimțământ: Persoana vizată și-a dat consimțământul pentru prelucrarea datelor cu caracter personal pentru unul sau mai multe scopuri specifice. Consimțământul trebuie să fie liber exprimat, informat, specific și neechivoc.

  Executarea contractului: Prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a întreprinde acțiuni la cererea persoanei vizate înainte de încheierea unui contract.

  Obligație legală: Prelucrarea este necesară pentru a respecta o obligație legală care îi revine operatorului de date. Aceasta se referă la cazurile în care operatorul de date are o obligație legală specifică de a prelucra datele cu caracter personal.

  Protejarea intereselor vitale: Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice. Acest temei legal este aplicabil în situații de urgență sau de risc pentru viața și integritatea persoanei vizate sau a altor persoane.

  Îndeplinirea unei sarcini de interes public sau în exercitarea autorității publice: Prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public sau pentru exercitarea autorității publice de care este investit operatorul de date. Acest temei legal se aplică, de obicei, autorităților publice și entităților care exercită puteri conferite de lege.

• ce este un consimțământ explicit și când este necesar?

  Un consimțământ explicit este o formă clară și neechivocă de acord pe care o persoană vizată o oferă pentru prelucrarea datelor cu caracter personal într-un scop specific sau mai multe scopuri. Acesta reprezintă unul dintre temeiurile legale pentru prelucrarea datelor cu caracter personal în conformitate cu GDPR.

  Consimțământul explicit se referă la situații în care persoana vizată își exprimă acordul în mod clar și direct, de obicei printr-o declarație scrisă sau o acțiune afirmativă clară. Spre deosebire de consimțământul „implicit” sau „presupus”, care poate fi dedus din comportamentul persoanei vizate, consimțământul explicit necesită un act voluntar și informat al acesteia.

   

  Consimțământul explicit este necesar în următoarele cazuri:

  Prelucrarea datelor sensibile (categoriile speciale de date): GDPR impune cerințe mai stricte pentru prelucrarea acestor date, care includ informații despre originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, datele genetice, datele biometrice, datele privind sănătatea, viața sexuală sau orientarea sexuală. Pentru a prelucra aceste date, operatorii de date trebuie să obțină consimțământul explicit al persoanei vizate, cu excepția cazurilor în care se aplică alte temeiuri legale specifice prevăzute de GDPR.

  Transferul de date cu caracter personal în afara UE: Consimțământul explicit poate fi necesar atunci când datele cu caracter personal sunt transferate în afara UE sau Spațiului Economic European (SEE), către țări care nu oferă un nivel adecvat de protecție a datelor, conform evaluării Comisiei Europene. În astfel de cazuri, operatorii de date trebuie să obțină consimțământul explicit al persoanei vizate pentru transferul datelor în afara UE/SEE.

  Pentru a fi valid, consimțământul explicit trebuie să fie:

  • Liber exprimat: Persoana vizată nu trebuie să fie constrânsă, manipulată sau influențată în mod incorect să-și dea consimțământul.

  • Informat: Persoana vizată trebuie să fie informată în mod clar și complet despre scopul prelucrării datelor, identitatea operatorului de date și orice alte informații relevante.

  • Specific: Consimțământul trebuie să se refere la un scop sau la mai multe scopuri specifice, separate și distincte.

  • Neechivoc: Consimțământul trebuie să fie exprimat printr-o acțiune afirmativă clară, cum ar fi bifarea unei casete de selectare, semnarea unei declarații sau efectuarea unei acțiuni similare.

  Operatorii de date trebuie să păstreze o înregistrare a consimțământului obținut pentru a demonstra conformitatea cu GDPR. De asemenea, trebuie să informeze persoanele vizate despre dreptul lor de a-și retrage consimțământul în orice moment și să asigure că retragerea consimțământului este la fel de simplă ca și acordarea acestuia.

   

  Este important de menționat că, dacă un operator de date se bazează pe consimțământul explicit al persoanei vizate pentru prelucrarea datelor cu caracter personal și persoana vizată își retrage consimțământul, operatorul de date trebuie să înceteze prelucrarea datelor pentru scopurile pentru care consimțământul a fost acordat, cu excepția cazurilor în care există un alt temei legal pentru continuarea prelucrării.

• care sunt drepturile persoanelor în ceea ce privește GDPR?

  GDPR prevede o serie de drepturi pentru persoanele vizate (persoanele ale căror date cu caracter personal sunt prelucrate) în ceea ce privește protecția datelor. Aceste drepturi sunt menite să ofere persoanelor vizate mai mult control asupra datelor lor personale și să asigure transparența și responsabilitatea din partea operatorilor de date. Drepturile principale ale persoanelor vizate în conformitate cu GDPR includ:

  • Dreptul la informare: Persoanele vizate au dreptul să fie informate în legătură cu prelucrarea datelor lor personale, inclusiv scopul prelucrării, categoriile de date prelucrate, destinatarii cărora le sunt dezvăluite datele și perioada de păstrare a datelor.

  • Dreptul de acces: Persoanele vizate au dreptul să solicite confirmarea că datele lor personale sunt prelucrate și, în caz afirmativ, să obțină acces la aceste date și informații detaliate despre prelucrarea datelor.

  • Dreptul la rectificare: Persoanele vizate au dreptul să solicite corectarea datelor lor personale inexacte și să completeze datele care sunt incomplete.

  • Dreptul la ștergerea datelor („dreptul de a fi uitat”): Persoanele vizate au dreptul să solicite ștergerea datelor lor personale în anumite circumstanțe, cum ar fi atunci când datele nu mai sunt necesare pentru scopurile pentru care au fost colectate sau prelucrate, sau când persoana își retrage consimțământul.

  • Dreptul la restricționarea prelucrării: Persoanele vizate au dreptul să solicite restricționarea prelucrării datelor lor personale în anumite situații, cum ar fi atunci când exactitatea datelor este contestată sau când prelucrarea este ilegală, dar persoana se opune ștergerii datelor.

  • Dreptul la portabilitatea datelor: Persoanele vizate au dreptul să primească datele personale pe care le-au furnizat unui operator de date într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat, și au dreptul să transmită aceste date altui operator de date fără a fi împiedicate de operatorul de date curent.

  • Dreptul la obiecție: Persoanele vizate au dreptul să se opună prelucrării datelor lor personale în anumite circumstanțe, cum ar fi atunci când prelucrarea se bazează pe interesul legitim al operatorului de date sau pe îndeplinirea unei sarcini de interes public.

  • Dreptul de a nu fi supus unor decizii automate, inclusiv profilarea: Persoanele vizate au dreptul să nu fie supuse unor decizii care se bazează exclusiv pe prelucrarea automată a datelor lor personale, inclusiv profilarea, care produc efecte juridice sau afectează în mod semnificativ persoana vizată. Acest drept se aplică în special atunci când deciziile sunt luate fără intervenția umană și au consecințe negative, cum ar fi refuzul unui credit sau oferta personalizată cu prețuri mai ridicate. Există excepții în cazul în care deciziile automate sunt necesare pentru încheierea sau executarea unui contract, sunt autorizate de lege sau se bazează pe consimțământul explicit al persoanei vizate.

  • Dreptul de a depune o plângere la o autoritate de supraveghere: Persoanele vizate au dreptul să depună o plângere la o autoritate națională de protecție a datelor dacă consideră că prelucrarea datelor lor personale încalcă GDPR sau alte legi privind protecția datelor.

  • Este responsabilitatea operatorilor de date și a împuterniciților operatorilor de date să se asigure că respectă aceste drepturi și să răspundă în mod corespunzător solicitărilor persoanelor vizate. Companiile trebuie să aibă mecanisme adecvate pentru a gestiona solicitările referitoare la drepturile persoanelor vizate și să comunice în mod clar și transparent cu persoanele vizate în legătură cu exercitarea acestor drepturi.