arps.ro

Politică de protecție a datelor

Versiunea 1.0 — Ultima actualizare: 2 iunie 2026

ASOCIAȚIA ROMÂNĂ PENTRU PROMOVAREA SĂNĂTAĂȚII (ARPS)

Document intern. Se aplică tuturor salariaților și, în măsura compatibilității, colaboratorilor, voluntarilor, consultanților și altor persoane care desfășoară activități pentru sau în numele ARPS.

1

DISPOZIȚII GENERALE

Art. 1. Cine suntem și cui se aplică această Politică

a) Această Politică privind protecția datelor cu caracter personal se aplică tuturor activităților de prelucrare de date cu caracter personal desfășurate de ASOCIAȚIA ROMÂNĂ PENTRU PROMOVAREA SĂNĂTĂȚII, denumită în continuare ARPS, în cadrul activităților sale organizaționale, administrative, contractuale, profesionale, de proiect, de comunicare, de fundraising, de resurse umane, de management al beneficiarilor și al partenerilor, precum și în legătură cu website-urile, platformele și instrumentele digitale administrate de ARPS.

b) ARPS este o organizație non-profit, cu sediul în București, str. Gheorghe Țițeica nr. 142, sector 2, cod poștal 020304, e-mail: office@arps.ro, telefon: +40 21 527 7979, CIF: 13684229, înființată cu nr. 99/10.01.2001 la Judecătoria Sectorului 1 București și număr de înregistrare în Ministerul Justiției 1644/A/2000, înscrisă în Registrul Special al Asociațiilor și Fundațiilor aflat la grefa Judecătoriei sectorului 2 București cu nr. 16/16.06.2021.

c) Prezenta Politică se aplică membrilor organelor de conducere, angajaților, colaboratorilor, voluntarilor, consultanților, coordonatorilor de proiect, persoanelor împuternicite și oricăror alte persoane care prelucrează date cu caracter personal în numele sau sub autoritatea ARPS.

d) Prezenta Politică este, în principal, un document intern de guvernanță. ARPS poate publica pe website o versiune scurtă, un extras sau o declarație de principiu privind protecția datelor, fără ca publicarea unei versiuni externe să înlocuiască notele de informare specifice prevăzute de GDPR.

e) Această Politică se completează cu:

  • Nota de informare privind protecția datelor cu caracter personal pentru utilizarea website-urilor ARPS;
  • Politica privind utilizarea cookie-urilor și a tehnologiilor similare;
  • Termenii și condițiile de utilizare a website-urilor ARPS;
  • Politica de securitate a informației;
  • registrele, procedurile, instrucțiunile și formularele interne aplicabile, în măsura în care acestea există și sunt aprobate.

f) În caz de neconcordanță între prezenta Politică și o notă de informare specifică unui proiect, platforme sau program, se aplică documentul care descrie în mod mai direct și mai precis prelucrarea concretă, fără a reduce nivelul de protecție oferit de prezenta Politică.

Art. 2. Scopul Politicii

a) Scopul prezentei Politici este de a stabili cadrul general prin care ARPS: 1. respectă cerințele Regulamentului (UE) 2016/679 și ale legislației naționale aplicabile; 2. protejează drepturile și libertățile persoanelor vizate; 3. stabilește reguli unitare privind prelucrarea datelor; 4. reduce riscurile juridice, organizaționale și reputaționale asociate prelucrării; 5. demonstrează responsabilitate și conformitate prin măsuri tehnice și organizatorice adecvate; 6. asigură corelarea dintre activitățile organizaționale, website-urile ARPS și documentele publice relevante.

Art. 3. Domeniul de aplicare

a) Politica se aplică oricărei operațiuni sau set de operațiuni efectuate asupra datelor cu caracter personal, inclusiv colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea, consultarea, utilizarea, divulgarea prin transmitere, punerea la dispoziție, corelarea, restricționarea, ștergerea sau distrugerea datelor, indiferent dacă prelucrarea este efectuată pe suport fizic sau electronic, automatizat ori neautomatizat.

Art. 4. Principii generale

a) ARPS prelucrează datele cu caracter personal cu respectarea următoarelor principii: 1. legalitate, echitate și transparență; 2. limitarea scopului; 3. minimizarea datelor; 4. exactitate; 5. limitarea stocării; 6. integritate și confidențialitate; 7. responsabilitate demonstrabilă.

b) ARPS transformă aceste principii în măsuri concrete, inclusiv prin definirea scopurilor de prelucrare, alegerea temeiului legal adecvat, limitarea accesului, stabilirea perioadelor de păstrare, documentarea responsabilităților, evaluarea riscurilor și revizuirea periodică a măsurilor adoptate.

2

GUVERNANȚĂ ȘI RESPONSABILITĂȚI PRIVIND PROTECȚIA DATELOR

Art. 5. Roluri și responsabilități

a) În cadrul ARPS, responsabilitățile generale privind protecția datelor se distribuie cel puțin după următorul model:

b) ARPS desemnează un Responsabil cu protecția datelor în cazurile prevăzute de lege și poate desemna voluntar o astfel de funcție și în alte cazuri. În lipsa desemnării formale a unui DPO, conducerea ARPS stabilește un punct intern de coordonare pentru conformitatea în materie de protecția datelor.

3

TEMEIURI LEGALE ȘI REGULI DE PRELUCRARE

Art. 6. Temeiuri legale pentru prelucrare

a) ARPS utilizează numai temeiuri legale valide și adecvate scopului concret al prelucrării. Alegerea temeiului legal se face înainte de începerea prelucrării și se documentează intern.

b) Pentru categoriile speciale de date, inclusiv datele privind sănătatea, ARPS va utiliza numai temeiurile și condițiile speciale permise de art. 9 GDPR, după analiza contextuală a fiecărei activități de prelucrare.

Art. 7. Reguli generale de prelucrare

a) ARPS aplică cel puțin următoarele reguli generale:

înainte de colectare se identifică scopul, temeiul legal, categoriile de date, destinatarii și perioada de păstrare;

se colectează numai date adecvate, relevante și limitate la ceea ce este necesar;

datele sunt menținute exacte și actualizate, în măsura necesară scopului;

accesul la date este acordat pe principiul „need to know”;

prelucrarea se realizează, pe cât posibil, cu setări favorabile confidențialității încă din faza de proiectare și în mod implicit;

orice prelucrare nouă sau modificată semnificativ este evaluată înainte de lansare din perspectiva riscurilor pentru persoanele vizate;

pentru activitățile relevante, ARPS ține evidențe ale activităților de prelucrare;

la încetarea necesității, datele sunt șterse, anonimizate sau arhivate conform regulilor aplicabile;

utilizarea furnizorilor este permisă doar după verificarea garanțiilor oferite și în baza unui act juridic corespunzător;

în cazul operatorilor asociați, rolurile și responsabilitățile se stabilesc transparent;

transferurile internaționale sunt permise numai în condițiile prevăzute de GDPR.

b) În cazul consimțământului, ARPS solicită un consimțământ liber, specific, informat și lipsit de ambiguitate, separat de termenii generali, fără căsuțe prebifate și cu posibilitatea retragerii la fel de ușor precum acordarea. Continuarea navigării, scroll-ul sau acceptarea globală forțată a cookie-urilor nu constituie, prin ele însele, consimțământ valabil pentru prelucrările care îl necesită.

4

DREPTURILE PERSOANELOR VIZATE

Art. 8. Drepturile persoanelor vizate

dreptul la informare;

dreptul de acces;

dreptul la rectificare;

dreptul la ștergere;

dreptul la restricționarea prelucrării;

dreptul la portabilitatea datelor, acolo unde este aplicabil;

dreptul la opoziție;

dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată, în condițiile legii;

dreptul de a retrage consimțământul;

dreptul de a depune plângere la ANSPDCP și de a se adresa instanțelor competente.

a) ARPS răspunde cererilor persoanelor vizate fără întârzieri nejustificate și, de regulă, în termen de o lună de la primirea cererii, cu posibilitatea prelungirii în condițiile legii. Dacă ARPS nu poate identifica în mod rezonabil persoana vizată, poate solicita informații suplimentare strict necesare identificării.

5

SECURITATE, INCIDENTE ȘI CONFORMITATE

Art. 9. Securitatea prelucrării și notificarea breșelor

a) ARPS implementează măsuri tehnice și organizatorice adecvate riscului, care pot include, după caz, controlul accesului, separarea rolurilor, pseudonimizare, criptare, jurnalizare, copii de siguranță, testarea restaurării, protecția echipamentelor, instruirea personalului și verificarea furnizorilor.

b) Orice persoană care constată sau suspectează un incident care poate afecta date cu caracter personal are obligația de a-l raporta imediat prin canalul intern stabilit. ARPS evaluează fără întârziere dacă incidentul constituie o breșă de securitate a datelor cu caracter personal, documentează faptele, efectele și măsurile de remediere, notifică ANSPDCP în maximum 72 de ore de la momentul luării la cunoștință atunci când este incident un risc pentru drepturile și libertățile persoanelor vizate și informează persoanele vizate fără întârziere nejustificată atunci când riscul este ridicat, în condițiile legii.

Art. 10. Analiza de impact, audit și formare

a) ARPS efectuează o analiză de impact privind protecția datelor înaintea prelucrărilor susceptibile să genereze risc ridicat pentru drepturile și libertățile persoanelor fizice, în special în cazul folosirii de noi tehnologii, al prelucrării pe scară largă a categoriilor speciale de date sau al monitorizării sistematice pe scară largă. Dacă este desemnat un Responsabil cu protecția datelor, acesta este consultat în procesul DPIA.

b) ARPS desfășoară instruiri periodice pentru personalul implicat în prelucrări, verificări interne tematice și revizuiri ale măsurilor tehnice și organizatorice pentru a demonstra conformitatea și pentru a asigura îmbunătățirea continuă.

6

DOCUMENTE CORELATE, CONTACT ȘI REVIZUIRE

Art. 11. Revizuire și aprobare

a) Prezenta Politică se revizuiește cel puțin anual sau ori de câte ori apar modificări legislative, organizaționale, tehnologice ori operaționale relevante.

Art. 12. Contact

a) Pentru întrebări privind protecția datelor, exercitarea drepturilor sau raportarea incidentelor, ARPS poate fi contactată la:

dataprotection@arps.ro

office@arps.ro

b) Dacă ARPS a desemnat formal un Responsabil cu protecția datelor, datele de contact ale acestuia vor fi comunicate intern și, după caz, publicate potrivit legii.