L’établissement de mesures techniques et organisationnelles à appliquer afin de s’adapter aux demandes des départements concernés, concernant l’utilisation des données personnelles, pour répondre aux demandes des personnes concernées concernant l’utilisation de leurs données par l’Université de Médecine et de Pharmacie « Iuliu Hațieganu » Cluj-Napoca, ainsi que la surveillance interne des départements concernant la protection, l’utilisation, la conformité, la surveillance, la mise en œuvre et l’émission de réponses et/ou de recommandations du Règlement (UE) 689/2016 sur la protection des données personnelles. La procédure est appliquée par le Délégué à la Protection des Données (ci-après dénommé DPD).
Le champ d’application reflète le traitement des données personnelles, effectué en tout ou en partie par des moyens automatisés, ainsi que le traitement par d’autres moyens que ceux automatisés de données personnelles qui font partie d’un système de fichiers de données ou sont destinées à faire partie d’un système de fichiers de données.
DOCUMENTS DE RÉFÉRENCE
Loi no. 190/2018 concernant les mesures de mise en œuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données). RÈGLEMENT (UE) No 679 du 27 avril 2016 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données, ci-après dénommé RGPD).
DESCRIPTION DE L’ACTIVITÉ
Les départements concernés, ainsi que les individus dont les données personnelles sont traitées, ont la possibilité, conformément à l’article 12 du RGPD, de soumettre une demande écrite en format physique ou électronique chaque fois qu’ils souhaitent exercer leurs droits concernant la protection des données personnelles (en vertu des articles 13-22 du RGPD).
Les données personnelles sont :
- traitées de manière licite, loyale et transparente vis-à-vis de la personne concernée (licéité, loyauté et transparence) ;
- collectées pour des finalités déterminées, explicites et légitimes et ne seront pas traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins d’archivage dans l’intérêt public, de recherche scientifique ou historique ou à des fins statistiques ne sera pas considéré comme incompatible avec les finalités initiales, conformément à l’article 89(1) (limitation des finalités) ;
- adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
- exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données personnelles qui sont inexactes, au regard des finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai (exactitude) ;
- conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles les données personnelles sont traitées ; les données personnelles peuvent être conservées pendant des durées plus longues dans la mesure où les données personnelles seront traitées uniquement à des fins d’archivage dans l’intérêt public, de recherche scientifique ou historique ou à des fins statistiques, conformément à l’article 89(1), sous réserve de la mise en œuvre des mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;
- traitées de manière à garantir une sécurité appropriée des données personnelles, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels, par l’utilisation de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).
Les informations fournies en vertu des articles 13 et 14 du RGPD et toute communication et toute mesure prise en vertu des articles 15-22 et 34 du RGPD sont fournies gratuitement par l’institution. Dans les cas où les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, l’Université de Médecine et de Pharmacie « Iuliu Hațieganu » Cluj-Napoca exerce son droit (en vertu de l’article 12, paragraphe (5)) de prendre les mesures suivantes :
- facturer des frais raisonnables tenant compte des coûts administratifs de fourniture des informations ou communications ou de prise de la mesure demandée ;
- refuser de donner suite à la demande.
La demande d’exercice des droits concernant la protection des données personnelles, réglementée par le RGPD, doit être formulée par écrit et doit contenir au moins les informations suivantes :
- Données d’identification de la personne soumettant la demande/la plainte (nom, prénom et numéro d’identification) ;
- Capacité de la personne soumettant la demande/la plainte ;
- Objet de la demande, y compris une description complète des informations/modifications demandées ;
- Coordonnées (adresse postale et adresse e-mail) pour l’envoi de la réponse ;
- Date de soumission ;
- Signature de la personne soumettant la demande/la plainte.
Conformément à l’article 12, paragraphe (6), l’UMF Cluj-Napoca peut demander des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.
Les demandes peuvent être soumises comme suit : En les soumettant physiquement à l’adresse postale du DPD (les détails peuvent être trouvés dans la section de contact du DPD) ou scannées, via e-mail, à l’adresse suivante : gdpr@umfcluj.ro.
La réponse à la demande soumise par la personne concernée sera préparée par écrit et comprendra au moins les informations suivantes :
- Identité et coordonnées du responsable du traitement ; finalités pour lesquelles les données personnelles sont traitées, ainsi que la base juridique du traitement ; catégories de données personnelles traitées ; destinataires ou catégories de destinataires des données personnelles, le cas échéant ; si possible, la période pendant laquelle les données personnelles seront conservées ou, si ce n’est pas possible, les critères utilisés pour déterminer cette période ; source de la collecte des données et les droits de la personne concernée concernant : rectification, effacement, restriction, opposition, et le droit de déposer une plainte auprès de l’ANSPDCP (dans le cas d’une demande d’accès aux données personnelles) ;
- Informations sur les raisons du rejet de la demande (le cas échéant) ;
- Mesures prises en vertu des articles 15-22 et 34 du RGPD pour répondre à la demande (selon le sujet de la demande : rectification, effacement, restriction, portabilité des données, etc.).
La réponse sera envoyée comme suit :
- En format physique à l’adresse postale de la personne concernée, comme spécifié dans la demande ;
- Scannée, via e-mail, à l’adresse e-mail spécifiée par la personne concernée dans la demande.
Le délai dans lequel le Délégué à la Protection des Données doit fournir à la personne concernée toute information mentionnée aux articles 13 et 14 du RGPD et toute communication en vertu des articles 15-22 et 34 du RGPD est de 30 jours ouvrables. Ce délai peut être prolongé de deux mois lorsque cela est nécessaire, en tenant compte de la complexité et du nombre de demandes. L’UMF Cluj-Napoca informera la personne concernée de toute telle prolongation dans un délai d’un mois à compter de la réception de la demande, en fournissant les raisons du retard. Si aucune mesure n’est prise concernant la demande de la personne concernée, l’UMF Cluj-Napoca informera la personne concernée, sans délai et au plus tard dans un délai d’un mois à compter de la réception de la demande, des raisons pour lesquelles aucune mesure n’a été prise et de la possibilité de déposer une plainte auprès d’une autorité de contrôle et d’introduire une procédure judiciaire.
Vos Droits en Tant que Personne Concernée
- Droit d’accès aux données personnelles traitées : Vous avez le droit d’obtenir la confirmation que vos données personnelles sont traitées ou non, et, si elles le sont, l’accès aux types de données personnelles et aux conditions de leur traitement, en soumettant une demande au responsable du traitement.
- Droit de demander la rectification ou l’effacement des données personnelles : Vous avez la possibilité de demander, en soumettant une demande au responsable du traitement, la rectification des données personnelles inexactes, le complément des données personnelles incomplètes, ou l’effacement de vos données personnelles dans les situations où : (i) les données personnelles ne sont plus nécessaires à leur finalité initiale (et il n’y a pas de nouvelle base juridique pour le traitement), (ii) la base juridique du traitement est le consentement de la personne concernée, et celle-ci retire son consentement, et il n’y a pas d’autre base juridique pour le traitement, (iii) la personne concernée exerce son droit d’opposition et le responsable du traitement n’a pas de motifs légitimes impérieux pour continuer le traitement, (iv) les données personnelles ont été traitées illégalement, (v) l’effacement est nécessaire pour se conformer au droit de l’UE ou du droit roumain, ou (vi) les données personnelles ont été collectées en lien avec l’offre de services de la société de l’information aux enfants (le cas échéant), pour lesquels le consentement est régi par des règles spéciales.
- Droit de demander la restriction du traitement : Vous avez le droit d’obtenir la restriction du traitement dans les situations où : (i) vous estimez que des données personnelles inexactes sont traitées, pendant une période permettant au responsable du traitement de vérifier l’exactitude de vos données personnelles ; (ii) le traitement est illégal, mais vous ne souhaitez pas que vos données personnelles soient supprimées, demandant seulement la restriction de leur utilisation ; (iii) lorsque le responsable du traitement n’a plus besoin de vos données personnelles pour les finalités de traitement mentionnées ci-dessus, mais vous demandez les données pour la constatation, l’exercice ou la défense d’un droit en justice, ou (iv) vous vous êtes opposé au traitement, pour la période pendant laquelle il est vérifié si les motifs légitimes du responsable du traitement l’emportent sur les droits de la personne concernée.
- Droit de retirer le consentement pour le traitement, lorsque le traitement est basé sur votre consentement, sans affecter la légalité du traitement effectué avant le retrait du consentement ;
- Droit de vous opposer au traitement des données personnelles pour des raisons liées à votre situation particulière, lorsque le traitement est basé sur l’intérêt légitime, et de vous opposer à tout moment au traitement des données personnelles à des fins de marketing direct, y compris le profilage ;
- Droit de ne pas faire l’objet d’une décision basée uniquement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière similaire de manière significative ;
- Droit à la portabilité des données, à savoir le droit de recevoir vos données personnelles fournies au responsable du traitement dans un format structuré, couramment utilisé et lisible par machine et le droit de transmettre ces données à un autre responsable du traitement, lorsque le traitement est basé sur votre consentement ou l’exécution d’un contrat et est effectué par des moyens automatisés ;
- Droit de déposer une plainte auprès de l’Autorité nationale de surveillance du traitement des données personnelles (ANSPDCP) et le droit de s’adresser aux tribunaux compétents.
Tous ces droits peuvent être exercés par une demande écrite, signée et datée, envoyée à notre siège ou à l’adresse e-mail : gdpr@umfcluj.ro
Coordonnées du DPD :
Nom : Andreieș Ovidiu
Adresse postale : rue Victor Babeș, no. 8
Numéro de téléphone : 0740086400
Adresse e-mail : ovidiu.andreies@umfcluj.ro ; gdpr@umfcluj.ro
Adresse postale : rue Victor Babeș, no. 8
Numéro de téléphone : 0740086400
Adresse e-mail : ovidiu.andreies@umfcluj.ro ; gdpr@umfcluj.ro
Responsabilités
L’identification de toutes les actions liées au processus/activité est poursuivie, et leur allocation aux départements responsables du traitement des données personnelles, le cas échéant, ainsi que les responsabilités à leur égard, par la nomination du personnel impliqué dans l’activité procédurale de traitement des données personnelles. Émission de recommandations concernant l’inclusion des actions dans l’ordre logique de leur déroulement et des départements ou parties responsables, dans l’ordre d’intervention dans l’activité procédurale du personnel impliqué dans le traitement des données personnelles. Émission d’accords concernant l’information des personnes concernées sur le traitement des données personnelles à l’appui des départements ayant des actions liées au traitement des données personnelles, conformément à l’article 6 du Règlement 679/2016. Formulation de réponses aux demandes des personnes concernées concernant le Règlement 679/2016.