1. Prezentare generală și angajamentul ICJ față de protecția datelor
1.1. Institutul de Cercetări Juridice „Acad. Andrei Rădulescu” al Academiei Române (ICJ), instituție publică de cercetare cu sediul în București (Calea 13 Septembrie nr. 13, sector 5), în calitate de operator de date, vă informează prin prezenta Politică de Confidențialitate despre modul în care prelucrează datele dumneavoastră personale, precum și despre drepturile pe care le aveți, în conformitate cu Regulamentul (UE) 2016/679 (GDPR) și legislația națională aplicabilă privind protecția datelor. ICJ își afirmă angajamentul ferm de a asigura confidențialitatea, securitatea și respectarea drepturilor dumneavoastră, în concordanță cu prevederile GDPR și valorile instituției legate de libertatea academică, respectarea drepturilor fundamentale și transparență.
1.2. Prelucrarea datelor în cadrul ICJ se desfășoară în acord cu principiile fundamentale ale GDPR: legalitate, echitate și transparență; limitare la scopuri determinate și legitime; minimizarea datelor; exactitate; limitarea stocării; integritate și confidențialitate; responsabilitate.
1.3. Ne ghidăm după aceste principii în toate operațiunile care implică date personale, asigurându-ne că utilizăm datele doar în scopuri legitime și într-un mod transparent față de persoanele vizate.
1.4. Prezenta Politică de Confidențialitate descrie modul în care colectăm, folosim și protejăm datele personale obținute prin site-ul icj.ro și serviciile asociate acestuia, adresându-se tuturor vizitatorilor site-ului, cercetătorilor și colaboratorilor ICJ, participanților la evenimente, candidaților la stagii, autorilor care interacționează cu revista instituției, precum și oricăror alte persoane fizice ale căror date pot fi prelucrate în contextul activităților ICJ.
2. Datele colectate prin site și temeiurile legale ale prelucrării
2.1. Categorii de date personale colectate: În funcție de interacțiunea dumneavoastră cu site-ul icj.ro, putem colecta diferite tipuri de date cu caracter personal, după cum urmează:
a) Date de identificare ale cercetătorilor ICJ: informații despre cercetătorii și personalul instituției (nume, prenume, titlu științific sau funcție, afiliere instituțională etc.), folosite pentru prezentarea echipei de cercetare pe site și recunoașterea activității academice. Aceste date au un caracter public în context academic și sunt furnizate de persoanele respective sau preluate din surse instituționale oficiale.
b) Date ale participanților la evenimente științifice: date colectate prin formularele de înscriere sau înregistrare la conferințe, simpozioane, mese rotunde, workshop-uri și alte evenimente organizate de ICJ. Acestea includ, de regulă: nume, prenume, titlul/gradul profesional, afilierea instituțională, date de contact (e-mail, telefon) și alte informații necesare pentru gestionarea participării. Dacă evenimentul are loc online sau în format hibrid, se pot prelucra și date audio-video, cum ar fi imaginea, vocea și opiniile exprimate de participanți pe parcursul sesiunilor (de ex., prin platforma Microsoft Teams). Menționăm că ICJ aplică principiul minimizării, colectând doar acele informații strict necesare pentru organizarea evenimentului respectiv.
c) Date transmise prin formularele de stagii (internship-uri): informații furnizate voluntar de persoanele care aplică pentru stagii de practică sau programe de internship în cadrul ICJ. Acestea includ, în principal: date de identificare (nume, prenume), date de contact (e-mail, telefon), precum și date privind calificările, educația și experiența profesională (ex. CV, scrisoare de intenție, diplome sau alte documente atașate). Vom utiliza aceste date exclusiv pentru a gestiona procesul de selecție a stagiarilor și pentru a comunica cu dumneavoastră pe parcursul derulării acestuia.
d) Date legate de Revista Studii și Cercetări Juridice a ICJ: date colectate de la autori, coautori sau alți colaboratori în contextul procesului editorial al revistei sau al altor publicații științifice ale ICJ. Aceste date pot include: nume și prenume, afiliere instituțională, titlu academic sau profesional, adresa de e-mail, precum și alte informații transmise în mod direct (de exemplu, un CV scurt, o notă biografică, fotografia autorului etc.). Aceste informații sunt necesare pentru managementul corespondenței editoriale, evaluarea articolelor și publicarea materialelor științifice. Numele, afilierile și contribuțiile autorilor pot fi publicate alături de articolele acceptate, făcând parte din conținutul științific al revistei (vezi Secțiunea 7 privind durata stocării acestor date). De asemenea, dacă vă abonați pentru a primi notificări sau alerte legate de revista RSCJ, vom prelucra datele de contact furnizate (e-mail) strict pentru a vă transmite aceste comunicări academice.
e) Date tehnice de acces și navigare pe site: atunci când vizitați site-ul nostru, anumite date tehnice sunt colectate automat de infrastructura de găzduire și de platforma web. Aceste date pot include adresa IP a dispozitivului folosit, tipul și versiunea browserului, sistemul de operare, paginile accesate și durata vizitei, identificatori unici de sesiune (cookie-uri esențiale) și alte informații similare. Aceste informații sunt stocate în fișiere jurnal (log-uri) și sunt utilizate exclusiv pentru administrarea și securitatea site-ului – de exemplu, pentru a detecta și preveni erori de sistem, accesări neautorizate sau încercări de abuz cibernetic. Datele tehnice colectate nu sunt folosite pentru a vă identifica direct și nu sunt transmise către terți în scopuri de marketing sau profilare, ci servesc doar pentru asigurarea funcționării corecte și sigure a site-ului (vezi Secțiunea 4 despre cookie-uri). Aceste date anonime pot fi analizate pe termen scurt, în mod agregat, pentru a îmbunătăți performanța serviciilor noastre, fără a crea profiluri individuale de utilizator.
2.2. Temeiurile legale ale prelucrării: Prelucrăm datele menționate mai sus în conformitate cu prevederile GDPR, pe unul sau mai multe dintre următoarele temeiuri juridice:
a) Interesul legitim (art. 6 alin. 1 lit. f GDPR): Majoritatea prelucrărilor efectuate de ICJ prin intermediul site-ului se bazează pe interesul nostru legitim de instituție academică publică de a-și îndeplini misiunea științifică și educațională și de a comunica rezultatele cercetării. De exemplu, colectarea datelor participanților la evenimente este justificată de interesul legitim al ICJ de a organiza aceste evenimente și de a menține o comunitate academică informată, iar publicarea datelor cercetătorilor sau autorilor în cadrul materialelor științifice este necesară pentru transparență și recunoaștere academică. Am evaluat că prelucrarea pe baza interesului legitim nu vă afectează în mod negativ drepturile și libertățile fundamentale - dimpotrivă, servește unor scopuri academice benefice - și, în orice caz, aveți dreptul de a vă opune, în condițiile descrise la Secțiunea 8, dacă considerați că situația dumneavoastră particulară o impune.
b) Obligație legală (art. 6 alin. 1 lit. c GDPR): Anumite date pot fi prelucrate sau stocate pentru respectarea unor obligații legale la care ICJ este supus. De exemplu, legislația poate impune păstrarea anumitor documente sau arhive care conțin date personale (cum ar fi obligațiile de arhivare ale publicațiilor științifice în baza Legii Depozitului Legal sau păstrarea registrelor financiar-contabile pe o anumită durată). În astfel de cazuri, ICJ va prelucra și conserva datele respective în conformitate cu cerințele legale specifice.
c) Executarea unui contract sau demersuri pre-contractuale (art. 6 alin. 1 lit. b GDPR): Dacă interacțiunea dumneavoastră cu ICJ implică încheierea unui contract sau acord (de exemplu, semnarea unui contract de stagiu sau a unui acord de colaborare), vom prelucra datele personale necesare în acest scop contractual. Acest temei legal se poate aplica, de pildă, candidaților acceptați în programele de stagiu (ale căror date vor fi folosite pentru întocmirea convenției de practică și eventual includerea în evidențele de personal) sau altor situații în care vă oferim un serviciu la solicitarea dumneavoastră (de exemplu, eliberarea unui certificat de participare la o conferință, care poate constitui un contract de prestare servicii). Prelucrarea acestor date este necesară pentru a putea lua măsuri la cererea dumneavoastră înainte de încheierea unui astfel de contract și, ulterior, pentru executarea în bune condiții a contractului.
d) Consimțământul dumneavoastră (art. 6 alin. 1 lit. a GDPR): Ca regulă, ICJ nu se bazează pe consimțământ pentru prelucrările uzuale derulate prin site, întrucât, fie există alte temeiuri legale adecvate (precum cele de mai sus), fie prelucrările au un caracter obligatoriu (ex. respectarea legii). Totuși, în situațiile specifice în care vom dori să prelucrăm datele personale în alt scop decât cele menționate inițial sau să colectăm informații suplimentare facultative, vă vom solicita consimțământul liber, explicit și informat. De exemplu, vă putem cere consimțământul pentru: utilizarea fotografiei dumneavoastră în materialele de promovare a unui eveniment (dacă nu există un alt temei aplicabil), includerea adresei de e-mail într-o listă de distribuție a unui newsletter cu noutăți academice, sau păstrarea datelor unui candidat respins la un post/stagiu pentru a-l contacta în legătură cu oportunități viitoare. Vă puteți retrage oricând consimțământul acordat, iar ICJ va opri prelucrarea respectivă, fără ca retragerea consimțământului să afecteze legalitatea utilizării datelor înainte de momentul retragerii.
2.3. Important: Ori de câte ori ne bazăm pe interesul nostru legitim ca temei al prelucrării, vom respecta dreptul dumneavoastră de opoziție, putând opri sau limita prelucrarea la cererea dumneavoastră, în condițiile prevăzute de GDPR (vezi Secțiunea 8). De asemenea, dacă vom dori vreodată să utilizăm datele într-un scop nou, incompatibil cu scopurile inițiale, vă vom informa în prealabil și, dacă legea o impune, vom obține acordul dumneavoastră explicit.
3. Scopurile prelucrării datelor cu caracter personal
3.1. Prelucrăm datele cu caracter personal colectate prin site-ul nostru strict pentru scopuri legitime, determinate și explicite, legate de misiunea academică a ICJ. Aceste scopuri includ:
a) Organizarea și desfășurarea evenimentelor științifice: Utilizăm datele participanților și ale invitaților (ex. cercetători, lectori) pentru a facilita înscrierea, planificarea internă și promovarea evenimentelor academice (conferințe, simpozioane, seminare, mese rotunde, ateliere de lucru etc.) și pentru a asigura buna lor desfășurare. De exemplu, datele de contact ne permit să vă trimitem invitații, programe și informații logistice, iar listele de participanți sunt folosite pentru gestionarea accesului sau emiterea diplomelor de participare. În cazul evenimentelor online/hibrid, datele colectate (inclusiv conținut audio-video, dacă e cazul) sunt prelucrate pentru a permite transmiterea remote a evenimentului și pot fi înregistrate cu scopul arhivării academice și al distribuirii ulterioare pe canalele ICJ (ex. publicarea înregistrării pe site sau platforme educaționale). Orice înregistrare audio-video se realizează cu respectarea drepturilor persoanelor vizate și, acolo unde este cazul, participanții vor fi informați în prealabil despre faptul că evenimentul este înregistrat.
b) Publicarea și diseminarea rezultatelor științifice: Prelucrăm date în vederea publicării de materiale științifice - cum ar fi volume colective, cărți, revista ICJ (RSCJ), buletine sau rapoarte de cercetare - care includ contribuțiile cercetătorilor ICJ și ale colaboratorilor externi. În acest context, datele autorilor (nume, afiliere, titlu, biografie) sunt prelucrate pentru editarea și tipărirea/publicarea materialelor, precum și pentru promovarea acestora în mediul academic. Scopul este unul științific și educațional, de a difuza cunoașterea generată de ICJ către publicul interesat. ICJ nu va monetiza și nu va vinde aceste publicații sau datele cu caracter personal conținute în ele, ele fiind destinate exclusiv circuitului academic. De asemenea, în cadrul procesului editorial, prelucrăm datele de contact ale autorilor și reviewer-ilor pentru a facilita corespondența (ex. transmiterea recenziilor, a probelor de tipar sau comunicarea deciziilor editoriale). Orice date personale incluse în lucrările științifice publicate (de exemplu, numele autorilor, fotografii sau date de contact furnizate în mod explicit pentru publicare) devin parte integrantă a literaturii de specialitate și vor fi tratate conform normelor academice de citare și arhivare (a se vedea Secțiunea 7 despre durata stocării).
c) Gestionarea activităților administrative curente ale ICJ: În scop intern, folosim date personale pentru organizarea curentă a activităților instituției. Acest lucru poate include menținerea unor baze de date interne cu persoanele care au interacționat cu ICJ (de exemplu, lista agregată a participanților la evenimentele noastre sau a colaboratorilor proiectelor științifice), gestionarea corespondenței și a documentelor de lucru prin intermediul platformelor cloud securizate (precum suitele Microsoft Office 365 folosite de ICJ), precum și administrarea conturilor și accesului la diferitele servicii online pe care le utilizăm. Astfel de prelucrări au ca scop eficientizarea comunicării interne, păstrarea unei evidențe organizate a interacțiunilor noastre academice și asigurarea suportului logistic pentru proiectele de cercetare. Orice date stocate în aceste sisteme interne sunt accesibile numai personalului autorizat ICJ, în baza necesității de a-și îndeplini atribuțiile de serviciu, și sunt protejate prin măsuri de securitate (vezi Secțiunea 9).
d) Comunicarea externă cu participanții și colaboratorii: Datele de contact colectate (precum adresele de e-mail) pot fi folosite pentru transmiterea de informații relevante către persoanele care au interacționat cu ICJ, în măsura în care acest lucru se înscrie în interesul nostru legitim de a promova activitatea științifică. De exemplu, după ce ați participat la un eveniment organizat de ICJ, este posibil să vă contactăm ulterior pentru a vă trimite materiale aferente evenimentului (cum ar fi link-uri către înregistrări sau publicații rezultate) ori pentru a vă invita la evenimente viitoare cu tematică similară, considerând că aceste informații ar fi de interes pentru dumneavoastră. De asemenea, ICJ își poate informa colaboratorii și partenerii (cercetători, cadre universitare, doctoranzi etc.) despre programe de cercetare, apeluri la contribuții (call for papers) sau alte inițiative academice relevante. Comunicările de acest tip vor fi realizate într-o manieră rezonabilă și proporțională (fără a abuza de datele de contact furnizate) și veți avea întotdeauna posibilitatea să optați pentru a nu mai primi astfel de informări (de exemplu, printr-un mecanism de opt-out sau prin contactarea noastră directă – vezi Secțiunea 8 privind dreptul de opoziție).
e) Gestionarea solicitărilor și a corespondenței adresate ICJ: Dacă ne contactați prin intermediul formularului de contact de pe site, prin e-mail sau prin alte mijloace electronice listate pe site (de ex. adrese de e-mail ale departamentelor ICJ, platforme de mesagerie integrate etc.), vom prelucra datele furnizate de dumneavoastră (precum nume, e-mail, telefon și conținutul solicitării) exclusiv pentru a vă răspunde și a soluționa cererea. Acest scop include și prelucrarea datelor celor care aplică la programe de stagiu sau doresc să colaboreze cu ICJ - vom folosi informațiile transmise de candidați pentru a evalua eligibilitatea și a comunica rezultatul selecției. De asemenea, orice alte cereri individuale (de exemplu, solicitări de informații publice, cereri privind exercitarea drepturilor GDPR, întrebări despre programul de vizitare al bibliotecii ICJ etc.) vor fi tratate confidențial, iar datele dumneavoastră vor fi folosite numai în măsura necesară rezolvării problemei semnalate. Scopul nostru este să asigurăm o comunicare eficientă cu publicul și să fim transparenți în relația cu toți cei interesați de activitatea ICJ, în spiritul valorilor noastre academice.
f) Asigurarea funcționalității și securității site-ului web: Colectarea datelor tehnice menționate în Secțiunea 2 ne servește pentru a monitoriza starea site-ului, a preveni incidentele de securitate și a îmbunătăți experiența de navigare. În acest sens, analizăm în mod anonim și agregat aceste date pentru a depista erori (de pildă, pagini care înregistrează coduri de eroare), pentru a contracara eventuale atacuri cibernetice (cum ar fi tentative de acces automatizat sau de tip DoS) și pentru a asigura integritatea și disponibilitatea platformei online. Acest scop este unul necesar și implicit oricărui serviciu online, iar prelucrarea datelor tehnice în acest context se bazează pe interesul nostru legitim de a proteja infrastructura IT și informațiile de pe site. Subliniem că aceste date nu sunt folosite pentru a realiza profiluri ale vizitatorilor sau pentru a extrage informații despre identitatea dumneavoastră, ci doar pentru scopuri tehnice și de securitate.
3.2. Scop academic, nu comercial: Toate prelucrările de date de mai sus au caracter științific, educațional sau administrativ, în legătură directă cu rolul ICJ ca instituție publică de cercetare. Nu folosim datele personale colectate prin site în scopuri de marketing comercial, publicitate sau alte activități lucrative - ICJ nu monetizează și nu vinde informațiile despre persoanele vizate către terți. Orice utilizare a datelor are loc în limitele misiunii noastre instituționale și în beneficiul comunității academice și al publicului, cu respectarea principiului transparenței față de persoanele ale căror date le prelucrăm.
4. Cookie-uri și tehnologii similare
4.1. Site-ul icj.ro folosește exclusiv cookie-uri esențiale (necesare), în principal cookie-uri de sesiune, pentru a asigura funcționarea corectă și securizată a paginilor web. Aceste cookie-uri de sesiune sunt fișiere text temporare, stocate în dispozitivul dumneavoastră doar pe durata vizitei pe site, și sunt șterse automat atunci când închideți browserul. Rolul lor este strict tehnic - de exemplu, menținerea unei sesiuni autentificate pentru utilizatorii cu acces special (administratori/editori ai site-ului) sau memorarea unor preferințe minime de navigare - și nu colectează date care să vă identifice personal.
4.2. ICJ nu utilizează cookie-uri de analiză (statistici), cookie-uri de marketing sau de profilare a utilizatorilor. Prin urmare, nu veți vedea un banner de consimțământ pentru cookie-uri pe site-ul nostru, întrucât, conform legislației, cookie-urile strict necesare sunt exceptate de la obligația obținerii consimțământului prealabil. Folosim doar acele module cookie fără de care site-ul nu ar putea funcționa în parametri normali sau care sunt necesare pentru furnizarea serviciului solicitat în mod explicit de utilizator.
4.3. Pentru transparență, vă informăm că anumite funcționalități integrate în site (cum ar fi widget-urile interactive oferite de terțe părți – vezi Secțiunea 5) pot seta la rândul lor un cookie esențial. De exemplu, utilizarea widget-ului nostru pentru galerii de evenimente ar putea implica un cookie tehnic care previne reîncărcarea excesivă a conținutului (și astfel evită numărarea repetată a aceleiași vizualizări). Un asemenea cookie nu urmărește activitatea utilizatorului și nu transmite date către terți, servind doar la îmbunătățirea performanței și experienței de navigare.
4.4. Dacă doriți totuși să dezactivați sau să ștergeți cookie-urile de pe dispozitivul dumneavoastră, puteți face acest lucru din setările browserului. Vă rugăm să rețineți că blocarea cookie-urilor esențiale ar putea afecta funcționarea site-ului - de exemplu, anumite secțiuni sau formulare pot să nu funcționeze corespunzător fără acestea. Pentru mai multe informații despre cookie-uri, puteți consulta funcția „Ajutor” a browserului pe care îl folosiți. În contextul actual, asigurăm că site-ul ICJ.ro nu folosește mecanisme invazive de urmărire a utilizatorilor și respectă opțiunile exprimate la nivel de browser (precum setarea „Do Not Track”).
5. Destinatarii datelor și furnizori terți implicați
5.1. ICJ păstrează controlul asupra datelor personale colectate și le divulgă către terți numai atunci când este necesar pentru desfășurarea activităților noastre sau atunci când există o obligație legală. Orice terț către care transmitem date acționează fie ca persoană împuternicită (care prelucrează datele doar în numele și conform instrucțiunilor ICJ), fie ca operator asociat/independent (care are propriile obligații legale de protecție a datelor). Ne asigurăm că toți destinatarii datelor respectă cerințele GDPR și oferă un nivel adecvat de confidențialitate și securitate. Mai jos sunt principalele categorii de destinatari și furnizori terți cu care lucrăm:
a) Furnizorul de găzduire web - Cyber_Folks: Site-ul ICJ.ro este găzduit pe servere administrate de compania cyber_Folks, un furnizor de hosting cu prezență în România. Toate datele site-ului (inclusiv bazele de date care pot conține informații colectate prin formulare) sunt stocate în centre de date securizate aflate pe teritoriul Uniunii Europene. Cyber_Folks acționează ca persoană împuternicită pentru ICJ, asigurând infrastructura hardware și software necesară funcționării site-ului. Datele stocate pe server sunt protejate, că nu vor fi accesate sau utilizate de Cyber_Folks în alt scop decât mentenanța tehnică și că sunt luate măsuri avansate de securitate cibernetică (spre exemplu, protecție anti-DDoS, backup regulat, monitorizare a accesului) pentru prevenirea oricăror incidente.
b) Platforma de administrare a site-ului - Sitejet: Pentru dezvoltarea și întreținerea site-ului web utilizăm platforma Sitejet (un sistem de gestionare a conținutului de tip SaaS). Sitejet ne permite actualizarea ușoară a paginilor și integrarea diverselor funcționalități. În această calitate, Sitejet poate procesa un volum limitat de date (de ex. conținutul paginilor, imaginile sau informațiile introduse în editorul web) și stochează aceste date pe infrastructura sa. Din informațiile puse la dispoziție, Sitejet oferă găzduire securizată și are centre de date atât în UE, cât și în afara UE; pentru ICJ.ro s-au utilizat servere din regiunea UE, astfel încât datele să rămână în spațiul european. Sitejet acționează similar unui persoană împuternicită, având obligația de a nu accesa sau folosi datele ICJ în scop propriu. De asemenea, Sitejet implementează măsuri de securitate (SSL, protecție DDoS etc.) pentru site-urile pe care le gestionează.
c) Servicii de tip widget și formulare - Elfsight (Google Cloud Platform): Website-ul nostru folosește uneori widget-uri furnizate de terțe părți pentru a îmbunătăți interactivitatea - de exemplu, formulare de contact, formulare de abonare, galerii foto, hărți interactive, etc., integrate prin serviciul Elfsight. Atunci când interacționați cu un astfel de element (de exemplu, trimiteți un mesaj prin formularul de contact integrat în pagină), datele completate de dumneavoastră (precum nume, e-mail și mesajul transmis) sunt colectate de widget și stocate pe serverele securizate ale Elfsight. Elfsight acționează ca persoană împuternicită pentru ICJ în această privință, facilitând colectarea datelor și transmiterea lor către noi. Conform politicilor Elfsight, informațiile colectate prin widget-uri sunt stocate criptat pe infrastructura Google Cloud Platform (GCP) și nu sunt accesate sau utilizate de Elfsight în alte scopuri, fiind disponibile doar proprietarului widget-ului (în speță, ICJ). Astfel, dacă ne trimiteți un mesaj printr-un formular Elfsight de pe site, acele date sunt găzduite temporar în cloud (pe servere GCP) și pot fi accesate de ICJ prin panoul securizat Elfsight, dar Elfsight în sine nu le folosește pentru marketing sau scopuri similare, nici nu le divulgă unor terțe părți. Este important de menționat că GCP poate localiza aceste date în centre de date din afara UE (de ex. în Statele Unite), astfel că în Secțiunea 6 explicăm măsurile de protecție aferente. Vizitatorii site-ului nu trebuie să își facă griji privind cookie-uri suplimentare - Elfsight setează doar un cookie esențial și acesta doar pentru funcționalitatea widget-ului (a se vedea Secțiunea 4 despre cookie-uri).
d) Furnizori de servicii cloud utilizați de ICJ (ex. Microsoft): ICJ folosește anumite servicii cloud de la terți pentru a-și desfășura activitatea, iar acestea pot implica prelucrarea de date cu caracter personal. Un exemplu este pachetul Microsoft 365 (Microsoft Office 365 și Microsoft Teams), pe care îl utilizăm pentru comunicații prin e-mail, stocarea documentelor și organizarea de întâlniri online. Astfel, date precum adresele de e-mail ale participanților la o ședință Teams sau documente ce conțin date personale (de ex. liste de participanți, programe) pot fi stocate pe serverele Microsoft. Microsoft acționează în parte ca persoană împuternicită (pentru serviciile de cloud furnizate ICJ) și are propriile sale obligații de conformitate GDPR. Potrivit politicilor Microsoft, clienții business (cum e ICJ) pot opta pentru stocare în centre de date europene; chiar și așa, Microsoft poate transfera date în afara SEE în scopuri de suport tehnic sau redundanță, dar se obligă să asigure garanțiile legale (inclusiv clauze contractuale standard). Vom folosi aceste servicii doar în interesul activităților noastre (de exemplu, stocăm pe OneDrive documente de lucru privind evenimentele științifice, pentru colaborare internă) și ne asigurăm că accesul la aceste date este restricționat la personalul ICJ autorizat.
e) Parteneri de proiect și co-organizatori de evenimente: În anumite situații, ICJ colaborează cu alte instituții sau entități la organizarea de evenimente sau derularea de proiecte de cercetare (de ex., o conferință organizată în parteneriat cu o universitate sau un simpozion științific împreună cu o asociație profesională). În astfel de cazuri, poate deveni necesar să partajăm unele date personale relevante cu partenerii respectivi, pentru buna coordonare și promovare a activității. De exemplu, lista participanților ori informațiile despre vorbitori pot fi comunicate co-organizatorilor, o editură parteneră poate primi date despre autori pentru publicarea volumului conferinței, sau un partener media poate primi numele și funcția unor invitați de marcă pentru a redacta un comunicat de presă. Orice astfel de transfer de date se va face numai în măsura necesară și cu impunerea obligației pentru parteneri de a utiliza informațiile strict pentru scopul declarat (organizarea evenimentului sau proiectului comun). Lista potențialilor destinatari în această categorie pot include: co-organizatori academici (alte institute, universități), edituri (pentru publicarea lucrărilor științifice rezultate din evenimente), parteneri media (care pot anunța evenimentul) sau finanțatori ai proiectelor (care pot impune raportarea unor date statistice despre participanți, de regulă anonime). În orice caz, vom informa persoanele vizate, acolo unde este cazul, despre identitatea principalilor parteneri și despre eventualele transmiteri de date către aceștia, iar dacă legea o cere, vom obține consimțământul prealabil (de exemplu, pentru menționarea numelui și funcției într-un comunicat public).
f) Autorități publice și obligații legale: În situațiile în care ICJ are o obligație legală de a divulga anumite date cu caracter personal către autorități sau instituții publice, vom proceda în consecință, respectând strict cadrul legal. De exemplu, la solicitarea legitimă a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) sau în contextul unui audit/verificări de către un organism public (cum ar fi Curtea de Conturi, organele fiscale sau alte autorități competente), ICJ poate fi nevoit să furnizeze acces la anumite registre sau informații care pot conține date personale. De asemenea, dacă primim o solicitare oficială (somație, ordin judecătoresc) pentru divulgarea de date - de exemplu, în cadrul unei anchete penale sau proceduri judiciare - vom coopera în limitele legii. În toate aceste cazuri, vom încerca să informăm persoanele vizate despre cererea primită, în măsura permisă de lege, și vom divulga doar datele strict necesare îndeplinirii obligației. În afara situațiilor impuse de lege, ICJ nu va transmite datele dumneavoastră către nicio autoritate. Totodată, subliniem că nu vindem și nu oferim datele personale altor companii sau persoane fizice în scopuri comerciale - orice comunicare de date către terți are loc doar în condițiile menționate mai sus.
5.2. Toți furnizorii terți cu care colaborăm au fost verificați în prealabil din perspectiva securității și confidențialității. ICJ rămâne responsabil de protecția datelor dumneavoastră și monitorizează conformitatea acestor terți. Dacă doriți detalii suplimentare despre destinatarii datelor sau despre garanțiile aplicate la transfer, ne puteți contacta oricând (vezi Secțiunea 10 de contact).
6. Transferuri internaționale de date și garanții de protecție
6.1. ICJ Institutul de Cercetări Juridice (ICJ) depune eforturi constante pentru ca datele cu caracter personal colectate prin site să fie prelucrate și stocate în Spațiul Economic European (SEE). Infrastructura principală (găzduirea site-ului, bazele de date) este localizată în România (UE), iar furnizorii noștri sunt aleși cu prioritate în funcție de conformitatea lor cu legislația europeană privind protecția datelor.
6.2. Totuși, unele servicii terțe integrate în site-ul icj.ro sau utilizate în activitățile conexe pot implica transferuri de date în afara SEE, în special către Statele Unite ale Americii. În aceste cazuri, ne asigurăm că transferurile respectă cerințele prevăzute la art. 45 - 49 din GDPR și că drepturile persoanelor vizate sunt protejate în mod echivalent.
6.3. Statele Unite beneficiază, din iulie 2023, de o decizie de adecvare emisă de Comisia Europeană în temeiul GDPR, prin intermediul EU - US Data Privacy Framework (DPF). Transferurile de date către organizații din SUA certificate în cadrul DPF sunt considerate conforme și nu necesită alte garanții suplimentare.
6.4. Exemple relevante:
a) Widgeturile Elfsight (chatbot, calendar, formulare etc.) sunt găzduite pe Google Cloud Platform (GCP) – iar Google LLC este certificată DPF;
b) Microsoft Corporation, furnizorul serviciilor Microsoft 365 for Education utilizate de ICJ, este de asemenea certificată DPF. Majoritatea datelor utilizatorilor sunt stocate în centre de date din UE, însă anumite operațiuni (ex. suport tehnic, replicare, telemetrie) pot implica acces din afara UE. Datorită certificării DPF și a angajamentelor contractuale Microsoft (inclusiv Clauze Contractuale Standard și Addendum GDPR), aceste transferuri sunt conforme cu GDPR.
6.5. În cazurile limitate în care un furnizor terț nu este certificat DPF, ICJ implementează mecanisme de transfer recunoscute:
a) Clauze Contractuale Standard (SCC) emise de Comisia Europeană;
b) Reguli corporatiste obligatorii (BCR);
c) Evaluări de impact și măsuri tehnice (criptare, pseudonimizare etc.);
d) Solicitarea consimțământului explicit, dacă nu există alt temei.
6.6. Puteți solicita oricând informații detaliate despre garanțiile aplicabile în cazul transferurilor internaționale. ICJ se angajează să protejeze datele dumneavoastră, chiar și atunci când acestea părăsesc SEE, asigurând un nivel echivalent de protecție, în conformitate cu legislația europeană.
7. Durata stocării datelor
7.1. ICJ păstrează datele cu caracter personal doar atât timp cât este necesar pentru îndeplinirea scopurilor pentru care au fost colectate, respectând totodată termenele legale de arhivare aplicabile fiecărui tip de informație. Durata de stocare poate varia în funcție de natura datelor și contextul prelucrării, după cum urmează:
a) Înregistrările audio-video ale evenimentelor științifice: Materialele rezultate din evenimentele organizate (precum înregistrări video ale conferințelor, webinarilor, discuțiilor din focus grupuri etc., care conțin imagini și voci ale participanților) vor fi păstrate atât timp cât este necesar pentru atingerea scopurilor științifice și educaționale pentru care au fost realizate. La expirarea perioadei de retenție sau atunci când scopul pentru care au fost colectate a fost îndeplinit, înregistrările vor fi șterse ori distruse în mod sigur sau, dacă este posibil și util, anonimizate ori arhivate într-o formă care nu mai permite identificarea persoanelor. Desigur, dacă există o obligație legală de a le păstra o perioadă mai lungă (de exemplu, dacă o autoritate impune conservarea datelor pentru investigații sau dacă înregistrările fac parte dintr-un fond arhivistic de interes public), vom respecta acea obligație.
b) Publicații științifice și date incluse în materialele publicate: Datele cu caracter personal care apar în lucrări științifice publicate de ICJ (cum ar fi numele autorilor, afilierile instituționale, contribuțiile științifice în sine, eventual imagini sau date de contact furnizate pentru corespondență academică) nu sunt supuse unui termen de ștergere prestabilit. Aceste informații devin, prin publicare, parte a literaturii științifice și rămân accesibile publicului pe termen nelimitat, făcând parte din patrimoniul academic. De exemplu, dacă numele dumneavoastră figurează ca autor într-un articol din Revista RSCJ sau într-un volum editat de ICJ, acea informație va fi disponibilă în exemplarele tipărite și/sau electronice ale publicației pe termen nedefinit. Acest lucru se datorează atât principiilor academice (cunoașterea publicată trebuie să fie durabilă și verificabilă în timp), cât și obligațiilor legale de depozit legal și arhivare: potrivit Legii nr. 111/1995 (depozitul legal de documente) și altor reglementări, publicațiile trebuie depuse la Biblioteca Națională a României și în alte arhive, unde sunt păstrate permanent. De asemenea, editurile și bibliotecile digitale pot menține copiile electronice disponibile pe termen lung. Prin urmare, ICJ nu poate „șterge” ulterior din circuitul public numele unui autor dintr-un articol deja publicat decât în situații excepționale (de exemplu, retractarea articolului). Totodată, menționăm că, odată publicate, aceste date pot fi preluate și indexate de terți (biblioteci universitare, motoare de căutare academică etc.), independenți de ICJ.
c) Date despre participanți la evenimente (liste de participanți, date de contact): Informațiile colectate în contextul înscrierii și participării la un eveniment (altele decât cele din înregistrările audio-video discutate mai sus) vor fi păstrate atâta timp cât este necesar pentru gestionarea completă a evenimentului și a eventualelor activități post-eveniment. De exemplu, vom reține lista de participanți până la finalizarea tuturor demersurilor legate de eveniment (transmiterea diplomelor, trimiterea materialelor, redactarea raportului de eveniment etc.). Ulterior, pe termen mediu, ICJ poate păstra o evidență a participanților, pe baza interesului nostru legitim de a avea un istoric al comunității academice active în jurul ICJ și de a putea invita acele persoane la manifestări similare viitoare. Această evidență (care conține de obicei numele, afilierea și e-mailul) va fi folosită exclusiv în scopuri academice și vă puteți solicita oricând eliminarea din baza noastră de date de contact (vom onora astfel de cereri, vezi Secțiunea 8). Dacă observăm că o adresă de e-mail din baza noastră nu mai este validă sau că o persoană nu a mai interacționat cu noi de o perioadă foarte lungă (ex. câțiva ani), vom elimina sau arhiva acele date, considerând că nu mai sunt actuale.
d) Datele privind candidații la stagii sau alte programe temporare: Informațiile primite de la candidații la un post de stagiar, voluntar sau altă colaborare temporară vor fi păstrate pe durata necesară desfășurării procesului de selecție și finalizării recrutării. Dacă veți fi selectat, datele colectate vor continua să fie prelucrate în contextul stagiului (și vor fi supuse și altor termene, de ex. cele din legislația muncii, dacă se aplică). Dacă nu ați fost selecționat, vom păstra datele dumneavoastră doar pe termen scurt după încheierea recrutării - de regulă, câteva luni - pentru a ne putea justifica deciziile de selecție (dacă este necesar) sau pentru a vă contacta în cazul în care apar oportunități similare foarte curând. După acest interval, vom șterge sau anonimiza datele candidaților neadmiși. Putem, alternativ, să vă solicităm consimțământul pentru a păstra CV-ul dumneavoastră în evidență o perioadă mai lungă (de ex. 1-2 ani) în vederea unor viitoare colaborări; în absența unui asemenea consimțământ explicit, vom elimina datele conform politicii standard (maxim câteva luni de la finalizarea procesului de recrutare).
e) Date transmise prin formulare de contact/solicitări: Mesajele și cererile pe care ni le adresați (împreună cu datele dumneavoastră de contact) vor fi stocate atât timp cât este necesar pentru a vă oferi un răspuns complet și, după caz, pentru a avea o evidență a corespondenței noastre. De obicei, cererile generale primite prin e-mail sau formular de contact sunt arhivate pentru o perioadă de 6 luni până la 1 an, după care sunt șterse dacă nu mai sunt de actualitate. În situația unor comunicări oficiale care pot genera obligații pentru ICJ (de exemplu, o solicitare întemeiată pe Legea 544/2001 privind accesul la informațiile de interes public sau o cerere de exercitare a drepturilor GDPR), vom păstra dovada corespondenței conform termenelor legale aplicabile (ce pot fi de 3 - 5 ani, în funcție de natura documentului, pentru a face față eventualelor verificări). Nu vom utiliza datele de contact furnizate într-o cerere singulară pentru a vă trimite comunicări ulterioare nesolicitate - cu excepția cazului în care există un interes legitim și v-am informat despre aceasta sau ne dați consimțământul pentru a vă include într-un anumit circuit informațional.
f) Date tehnice și log-uri de securitate: Datele colectate automat despre vizitarea site-ului (ex. log-urile de acces web, jurnalele de erori) sunt păstrate pentru perioade scurte, în funcție de configurările serverului. În general, log-urile noastre de server sunt rotate și șterse automat după o perioadă de ordinul zilelor sau săptămânilor (de obicei, 30 de zile) dacă nu sunt necesare mai mult timp. În cazul în care un anumit log evidențiază un incident de securitate (de exemplu, multiple încercări eșuate de autentificare sau o eroare ce indică o breșă), acel log specific poate fi păstrat mai mult, până la rezolvarea investigației interne și eventual notificarea autorităților/ persoanelor afectate. După stabilizarea situației, și acele date vor fi șterse.
7.2. Ștergerea și arhivarea datelor: La expirarea perioadelor menționate mai sus (sau dacă, înainte de acest termen, constatăm că datele nu mai sunt necesare scopului pentru care au fost colectate), ICJ va proceda la ștergerea definitivă a datelor cu caracter personal respective din sistemele noastre. În loc de ștergere, uneori putem opta pentru anonimizare (dacă datele anonimizate mai pot fi utile în scopuri statistice sau de arhivă) - anonimizarea implică eliminarea oricăror identificatori astfel încât persoana vizată să nu mai poată fi recunoscută. În anumite situații, datele ar putea fi mutate într-o arhivă securizată, cu acces foarte restrâns, dacă legea permite și dacă considerăm că păstrarea lor pe termen lung este în interes public (de exemplu, arhivarea unor documente în scop istoric sau științific, cu respectarea art. 89 GDPR privind garanțiile speciale). Orice astfel de decizie va respecta drepturile dumneavoastră și cerințele legale. Precizăm că există cazuri când legea poate impune păstrarea datelor peste termenele obișnuite - de pildă, obligații contabile (ținerea registrelor financiare 10 ani), obligații de raportare către finanțatorii publici ai proiectelor de cercetare (care pot cere stocarea listelor de participanți un număr de ani) sau situații de litigiu (unde datele relevante vor fi păstrate până la soluționarea definitivă a litigiului). În toate aceste cazuri excepționale, vom arhiva datele conform cerințelor legale și le vom bloca de la alte utilizări. La final, când niciun temei nu mai justifică păstrarea, datele vor fi eliminate complet din evidentele noastre.
7.3. ICJ e atent să nu păstreze date mai mult decât este necesar. Implementăm procese periodice de revizuire și ștergere a datelor, astfel încât să respectăm principiul “limitării stocării” din GDPR. Dacă doriți detalii despre perioada de retenție aplicată datelor dumneavoastră specifice sau doriți să solicitați ștergerea înainte de termenul standard (de exemplu, dacă nu mai doriți să fiți în baza noastră de date de participanți), ne puteți contacta oricând – vom răspunde solicitărilor legitime, în conformitate cu obligațiile noastre legale (vezi Secțiunea 8 despre dreptul la ștergere).
8. Drepturile persoanelor vizate
8.1. În calitate de persoană ale cărei date le prelucrăm (persoană vizată), GDPR vă conferă o serie de drepturi pe care ICJ le respectă și facilitează. Drepturile dumneavoastră, pe care le puteți exercita oricând, în condițiile prevăzute de lege, sunt următoarele:
a) Dreptul la informare și acces: aveți dreptul de a fi informat(ă) asupra prelucrărilor de date care vă privesc (prin documente ca prezenta Politică) și de a obține de la noi o confirmare dacă prelucrăm sau nu date personale ale dumneavoastră. Dacă da, puteți solicita acces la datele respective, ceea ce înseamnă că vă vom furniza o copie a datelor personale pe care le deținem, precum și informații despre modul în care le prelucrăm, scopuri, destinatari, perioada de stocare etc. (în măsura în care aceste informații nu v-au fost deja oferite prin această Politică). Acest drept vă permite să aveți o imagine de ansamblu asupra datelor dvs. aflate în posesia ICJ și să verificați că le prelucrăm conform legii.
b) Dreptul la rectificare: dacă observați că deținem date inexacte sau incomplete despre dumneavoastră (de exemplu, numele scris greșit, o adresă de email eronată ori informații care s-au schimbat în timp), aveți dreptul să ne solicitați corectarea sau completarea acestora fără întârzieri nejustificate. ICJ depune diligențe pentru a menține datele actualizate și exacte, însă apreciem sprijinul dumneavoastră în a ne semnala prompt orice eroare. Vom rectifica informațiile și vă vom confirma acest lucru.
c) Dreptul la ștergere (dreptul de a fi uitat): în anumite situații, puteți cere ștergerea datelor personale care vă privesc, iar noi avem obligația să dăm curs cererii fără întârzieri nejustificate. Acest drept nu este absolut – el se aplică, de exemplu, dacă datele nu mai sunt necesare scopurilor pentru care au fost colectate, dacă v-ați retras consimțământul (în cazul în care prelucrarea se baza doar pe consimțământ) și nu există alt temei legal, dacă vă opuneți prelucrării pentru marketing (nu e cazul la ICJ, întrucât nu facem marketing comercial) sau dacă datele au fost prelucrate ilegal. Menționăm că dreptul la ștergere nu se aplică integral în mediul academic pentru datele prelucrate în scop de arhivare publică sau cercetare științifică, atunci când ștergerea ar face imposibilă sau ar periclita grav atingerea obiectivelor de cercetare (conform art. 17 alin. 3 lit. d GDPR și art. 89 GDPR). În plus, nu putem șterge date pe care suntem obligați legal să le păstrăm o anumită perioadă (vezi Secțiunea 7). Dar, în afara acestor excepții, vom onora solicitările legitime de ștergere – de exemplu, dacă ați participat la un eveniment și ulterior doriți să vă „ștergem urmele” (nu mai doriți să apară numele pe site la secțiunea de participanți, nu mai doriți să păstrăm fotografia de grup unde apăreți etc.), vom lua măsurile corespunzătoare, în limita posibilităților (dacă fotografia a fost deja publicată într-un raport tipărit, nu o vom putea retrage retroactiv, dar putem elimina versiunea online, de pildă).
d) Dreptul la restricționarea prelucrării: acest drept vă permite, în anumite împrejurări, să ne cereți să suspendăm temporar prelucrarea datelor dumneavoastră (altfel spus, să păstrăm datele, dar să nu le mai folosim activ). Puteți solicita restricționarea când contestați exactitatea datelor (pentru a ne permite verificarea), când prelucrarea este nelegală dar nu doriți ștergerea datelor, când nu mai avem nevoie de date dar ni le solicitați pentru constatarea sau apărarea unui drept în instanță, sau când v-ați opus prelucrării (vezi dreptul de opoziție mai jos) și așteptați verificarea dacă interesele noastre legitime prevalează sau nu. În cazul în care obțineți restricționarea, vom înceta să prelucrăm datele (cu excepția stocării și a unor prelucrări permise expres de lege) și vă vom informa înainte de ridicarea restricției. Practic, e ca o „pauză” în prelucrarea datelor, până la clarificarea disputei.
e) Dreptul la portabilitatea datelor: aveți dreptul să primiți de la noi anumite date personale într-un format electronic structurat, utilizat în mod curent (ex. format CSV, Excel) și, dacă este fezabil din punct de vedere tehnic, dreptul de a vă transmite aceste date direct unui alt operator indicat de dumneavoastră. Acest drept se aplică numai pentru datele furnizate de dumneavoastră, prelucrate prin mijloace automate, în temeiul consimțământului sau al executării unui contract. În contextul activităților ICJ, dreptul la portabilitate are o aplicabilitate mai redusă (majoritatea datelor noastre nu îndeplinesc simultan aceste criterii), dar dacă, de exemplu, ne-ați transmis prin formularul online o serie de date și doriți să vi le trimitem înapoi într-un anumit format sau să le transferăm unei alte instituții de cercetare, vom încerca să acomodăm solicitarea, în măsura posibilităților tehnice.
f) Dreptul la opoziție: vă puteți opune oricând, din motive legate de situația dumneavoastră particulară, prelucrărilor de date pe care ICJ le efectuează în temeiul interesului nostru legitim. La primirea unei astfel de opoziții, vom analiza cazul și, dacă motivele noastre legitime nu prevalează asupra intereselor, drepturilor și libertăților dumneavoastră, vom înceta prelucrarea respectivelor date. În orice caz, vă vom respecta fără obiecții dreptul de a vă opune atunci când prelucrarea are drept scop marketing direct – chiar dacă, repetăm, ICJ nu realizează marketing comercial, ne puteți oricând solicita să nu vă mai trimitem invitații sau anunțuri privind evenimentele noastre, iar noi vom da curs imediat cererii (de exemplu, vă vom scoate din lista de e-mail). Dreptul de opoziție se poate exercita și față de prelucrările efectuate în interes public (art. 6(1)e), dacă e cazul. De asemenea, dacă vreodată am prelucra date în scopuri de cercetare științifică sau istorică care v-ar afecta, ați putea să vă opuneți, deși GDPR prevede că în anumite situații acest drept poate fi limitat dacă datele sunt necesare pentru scopul cercetării și avem garanții adecvate (art. 21 și art. 89 GDPR). În orice situație, ICJ va lua în considerare cu seriozitate obiecțiile dumneavoastră și vă va comunica rezultatul analizei (fie oprirea prelucrării, fie motivul pentru care continuăm, dacă legea permite).
g) Dreptul de a nu fi supus unei decizii individuale automatizate (inclusiv profilare): ICJ nu ia decizii care să vă afecteze în mod semnificativ bazându-se exclusiv pe prelucrarea automată a datelor (adică fără intervenție umană). Oricum, aveți dreptul de a nu fi supus(ă) unei decizii bazate exclusiv pe mijloace automatizate (inclusiv profilare) care produce efecte juridice asupra dumneavoastră sau vă afectează similar într-o măsură semnificativă. Acest drept nu se aplică dacă decizia automatizată este necesară pentru un contract cu dumneavoastră, este autorizată prin lege sau se bazează pe consimțământul explicit, dar chiar și în astfel de cazuri ați avea dreptul la garanții (precum intervenție umană, exprimarea punctului de vedere, contestarea deciziei). Subliniem însă că, în cadrul ICJ, prelucrările de date sunt predominant manuale sau cu intervenție umană; nu există un sistem de profilare automată a utilizatorilor site-ului și nicio decizie nu este luată exclusiv algoritmic cu privire la dumneavoastră. Dacă situația s-ar schimba în viitor, am actualiza această Politică și v-am informa în prealabil.
h) Dreptul de a depune plângere la autoritatea de supraveghere sau de a vă adresa justiției: Dacă considerați că v-am încălcat drepturile privind protecția datelor sau că vreo prelucrare efectuată de noi încalcă GDPR, aveți dreptul să vă adresați cu o plângere către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) – autoritatea de supraveghere în domeniul protecției datelor din România. ANSPDCP poate fi contactată la adresa B-dul G-ral Gheorghe Magheru nr. 28-30, sector 1, București, e-mail anspdcp@dataprotection.ro, website: www.dataprotection.ro, și vă va informa despre procedura de depunere a unei plângeri. De asemenea, indiferent dacă ați sesizat sau nu ANSPDCP, aveți dreptul de a vă adresa și instanțelor judecătorești competente pentru a vă apăra drepturile. Această acțiune o puteți formula fie împotriva noastră (dacă considerați că suntem responsabili de o încălcare a GDPR), fie împotriva unei decizii a ANSPDCP cu care nu sunteți de acord.
8.2. ICJ valorizează drepturile dumneavoastră și vă stăm la dispoziție pentru orice lămuriri sau acțiuni necesare în exercitarea lor. Nu veți fi dezavantajat în niciun fel pentru că v-ați exercitat un drept - dimpotrivă, apreciem feedback-ul și solicitările care ne ajută să îmbunătățim modul în care lucrăm cu datele.
8.3. Exercitarea drepturilor: Pentru a vă exercita oricare dintre drepturile de mai sus, ne puteți transmite o cerere folosind datele de contact indicate la Secțiunea 10 (de preferință prin e-mail, dar acceptăm și cereri scrise depuse fizic la sediu). Vom confirma primirea cererii și vom reveni cu un răspuns în cel mai scurt timp posibil, dar nu mai târziu de o lună de la primire. În cazuri de complexitate ridicată sau dacă ați formulat mai multe cereri, acest termen poate fi prelungit cu încă maximum două luni, conform legii - dacă va fi necesară prelungirea, vă vom informa în termen de o lună și vom explica motivele. Răspunsul nostru la cerere va include informațiile solicitate sau măsurile luate (de exemplu, confirmarea că datele au fost șterse, rectificate, restricționate etc.), sau, după caz, motivele pentru care nu putem da curs integral cererii (de exemplu, dacă o cerere de ștergere contravine unei obligații legale de păstrare, vă vom comunica acest lucru). În general, accesul, rectificarea, ștergerea și celelalte drepturi sunt gratuit de exercitat. Numai dacă cererile sunt vădit nefondate sau excesive (de exemplu, repetitive) am putea percepe o taxă rezonabilă ori refuza cererea, dar nu am fost încă puși într-o asemenea situație.
8.4. În procesul de soluționare a cererii, este posibil să vă solicităm informații suplimentare pentru a vă verifica identitatea - acest lucru se întâmplă mai ales când nu suntem siguri că persoana care ne contactează este chiar vizata datelor (spre exemplu, dacă ne scrie cineva de pe o adresă de e-mail diferită și pretinde că este o anumită persoană, sau dacă datele noastre necesită confirmare). Scopul verificării este de a ne asigura că drepturile și securitatea datelor sunt protejate – nu dorim ca, din eroare, să divulgăm datele dumneavoastră personale altcuiva sau să le ștergem la solicitarea nelegitimă a unei terțe părți. Vă asigurăm însă că orice procedură de verificare va fi cât mai simplă și nu vom solicita mai multe informații decât e necesar.
9. Măsuri de securitate pentru protecția datelor
9.1. ICJ tratează cu maximă responsabilitate securitatea datelor dumneavoastră. Am implementat atât măsuri tehnice, cât și măsuri organizatorice menite să protejeze datele cu caracter personal împotriva accesului, modificării, divulgării sau distrugerii neautorizate.
9.2. Ne angajăm să menținem un nivel de securitate adecvat riscurilor, ținând cont de natura datelor prelucrate și de caracterul activităților noastre. Iată, pe scurt, câteva dintre modalitățile prin care asigurăm securitatea datelor:
a) Securitate tehnică IT: Site-ul ICJ.ro este securizat prin certificate HTTPS (comunicațiile dintre browserul dumneavoastră și site sunt criptate, prevenind interceptarea). Serverele pe care sunt stocate datele sunt protejate de firewall-uri, actualizări regulate de securitate și sisteme de detectare a intruziunilor. Furnizorul nostru de hosting, Cyber_Folks, are o reputație solidă în securizarea infrastructurii și blochează zilnic numeroase atacuri informatice (spam, tentative de forțare a parolelor, atacuri DDoS etc.) pentru a-și proteja clienții. De asemenea, datele stocate în bazele de date sunt accesibile doar prin autentificare, iar copiile de siguranță (backup) sunt efectuate periodic pentru a preveni pierderea accidentală a informației. În măsura posibilităților, aplicăm tehnici de pseudonimizare sau anonimizare atunci când prelucrăm date în scopuri statistice sau de cercetare, astfel încât persoanele să nu mai poată fi identificate direct.
b) Controale de acces și confidențialitate internă: Doar persoanele din cadrul ICJ care au nevoie să prelucreze anumite date în exercitarea atribuțiilor lor au acces la acele date. Am implementat politici interne stricte privind gestionarea informațiilor cu caracter personal. Angajații și colaboratorii ICJ sunt legați prin obligații de confidențialitate cu privire la datele la care au acces în cursul activității lor și li se interzice divulgarea datelor către persoane neautorizate. De asemenea, personalul este instruit periodic pe tema protecției datelor, fiind conștient de importanța păstrării secretului acestor informații și de respectarea procedurilor de securitate. La încetarea raporturilor de muncă sau colaborare, orice acces la date este blocat imediat.
c) Minimizarea datelor și protecția implicită: Respectăm principiul „privacy by design & default”, ceea ce înseamnă că, încă din faza de proiectare a formularelor sau sistemelor noastre IT, luăm în calcul protecția datelor. Colectăm doar datele strict necesare (minimizare) și le stocăm doar atât cât trebuie (limitarea stocării), așa cum s-a menționat la secțiunile anterioare. Implicit, setările oricăror servicii sunt orientate spre protejarea vieții private (de exemplu, listele de participanți la evenimente nu sunt vizibile public decât dacă avem acordul acestora, camerei video în timpul webinarilor li se permite accesul doar cu acceptul participantului etc.).
d) Testare și mentenanță: Ne asigurăm că orice aplicație sau modul software folosit pe site este actualizat la zi și verificat din punct de vedere al securității cibernetice. Efectuăm teste periodice (inclusiv simulări de atac acolo unde e cazul) pentru a identifica vulnerabilități și a le remedia prompt. Avem alături parteneri tehnici de încredere (ex. programatorii Sitejet) care intervin rapid în caz de probleme.
e) Plan de răspuns la incidente: ICJ a instituit proceduri clare de raportare și gestionare a incidentelor de securitate. Dacă, totuși, are loc o încălcare a securității datelor (de exemplu, o breșă informatică), personalul nostru are obligația să notifice imediat Responsabilul cu Protecția Datelor (DPO) și conducerea. Avem un plan intern prin care analizăm incidentul, atenuăm rapid efectele și, dacă este necesar, notificăm ANSPDCP în termen de 72 de ore și informăm persoanele vizate afectate, în conformitate cu articolele 33 și 34 GDPR. Scopul nostru este de a fi proactivi și transparenți: sperăm să nu se întâmple astfel de incidente, dar dacă se întâmplă, veți afla de la noi, nu din alte surse, și veți primi tot sprijinul necesar.
9.3. Deși luăm toate măsurile rezonabile pentru a proteja datele, trebuie să menționăm că niciun sistem IT nu poate garanta securitatea absolută. Transmiterea informațiilor prin internet (de exemplu, comunicarea prin e-mail sau accesarea site-urilor web) implică inerent anumite riscuri – de la vulnerabilități necunoscute, la posibilitatea interceptării de către terți rău intenționați. ICJ monitorizează constant evoluția tehnicilor de atac și își îmbunătățește continuu măsurile de protecție, însă nu poate oferi o garanție de 100% că datele vor fi în siguranță în orice circumstanță. Vă asigurăm însă că avem planuri de continuitate și măsuri de backup pentru a limita eventualele daune și că, în cazul puțin probabil al unui incident major de securitate, veți fi informat(ă) prompt, conform regulilor menționate mai sus.
9.4. Securitatea datelor dumneavoastră este prioritară pentru noi. Investim resurse și know-how pentru a preveni breșele și pentru a proteja confidențialitatea, integritatea și disponibilitatea informațiilor. Dacă aveți întrebări suplimentare despre securitatea datelor la ICJ sau doriți să raportați o potențială vulnerabilitate, vă încurajăm să ne contactați (detalii mai jos).
10. Date de contact și Responsabilul cu Protecția Datelor (DPO)
10.1. ICJ a desemnat un Responsabil cu Protecția Datelor (Data Protection Officer – DPO), în conformitate cu art. 37 GDPR, având în vedere natura publică a activităților noastre de cercetare. DPO-ul supraveghează conformitatea ICJ cu regulile de protecție a datelor și acționează ca punct de contact pentru persoanele vizate și autoritatea de supraveghere. Pentru orice nelămurire, întrebare sau solicitare referitoare la datele dumneavoastră personale și modul în care ICJ le prelucrează, precum și pentru exercitarea drepturilor menționate la Secțiunea 8, ne puteți contacta oricând utilizând următoarele coordonate:
a) Responsabil Protecția Datelor (DPO) – ICJ: dpo@icj.ro (Aceasta este adresa de e-mail dedicată problemelor de protecție a datelor. Vă recomandăm să o folosiți pentru a obține un răspuns cât mai rapid.)
b) Adresă poștală: Institutul de Cercetări Juridice „Acad. Andrei Rădulescu” al Academiei Române, Calea 13 Septembrie nr. 13, Corp B, etaj 4, sector 5, cod poștal 050711, București, România. (Vă rugăm să menționați pe plic, dacă este cazul, „În atenția Responsabilului cu Protecția Datelor” pentru o direcționare corectă.)
c) Telefon centrală ICJ: +40 21 318 81 30. (La acest număr puteți obține informații generale; pentru aspecte legate de date personale, e posibil să fiți direcționat către DPO sau alt departament abilitat.)
d) Fax: +40 21 318 24 53. (Deși faxul este mai puțin utilizat în prezent, îl punem la dispoziție ca metodă alternativă de comunicare scrisă.)
10.2. De asemenea, ne puteți contacta și în persoană, prezentându-vă la sediul nostru (indicat mai sus) în timpul programului de lucru al institutului. Orice solicitare verbală ce ține de datele personale va fi consemnată și tratată cu aceeași seriozitate ca și una scrisă.
10.3. Responsabilul cu Protecția Datelor (DPO) este disponibil pentru a vă oferi clarificări privind prezenta Politică de Confidențialitate, pentru a vă consilia asupra drepturilor dumneavoastră și pentru a gestiona orice îngrijorare ați avea legată de confidențialitatea datelor în contextul activităților ICJ. Dacă aveți dubii sau reclamații, vă încurajăm să ne acordați întâi posibilitatea de a le soluționa pe cale amiabilă, contactându-ne direct. Vom depune toate eforturile să vă răspundem prompt și să rezolvăm orice problemă semnalată.
10.4. Notă: În comunicarea cu dumneavoastră, putem folosi datele de contact furnizate (e-mail, telefon) pentru a vă identifica și pentru a vă răspunde. Datele din cererile primite în exercițiul drepturilor GDPR vor fi prelucrate doar în acest scop (gestionarea cererii) și se vor păstra conform termenelor legale (de ex. vom arhiva o cerere de acces și răspunsul dat pentru a demonstra conformitatea, pentru o perioadă de 3 ani). Aceste informații nu vor fi utilizate în alte scopuri.
11. Lipsa comercializării datelor, a profilării și a utilizării în scopuri comerciale
11.1. ICJ garantează că datele dumneavoastră cu caracter personal nu sunt vândute, închiriate sau dezvăluite către terțe părți în scopuri comerciale sau de marketing. Institutul, în calitate de entitate academică publică, nu urmărește obținerea de profit din prelucrarea datelor personale și nu angajează în practici de “data monetization”. Așa cum am subliniat anterior, ICJ nu va monetiza conținutul sau informațiile personale colectate în activitățile sale. Toate utilizările datelor sunt limitate la obiectivele științifice, educaționale sau administrative conforme misiunii noastre.
11.2. În plus, ICJ nu realizează profilarea automatizată a persoanelor vizate. Nu folosim algoritmi care să analizeze automat caracteristicile sau comportamentul vizitatorilor site-ului în scopul de a prezice preferințe, a evalua performanțe sau a lua decizii automatizate despre aceștia. Orice evaluare sau clasificare a persoanelor (de exemplu, selectarea candidaților la stagii) este făcută manual, de către persoane, pe baza criteriilor transparente anunțate, și nu de un sistem automat. De asemenea, nu luăm decizii care să producă efecte juridice sau impact semnificativ asupra dumneavoastră bazându-ne exclusiv pe prelucrări automate ale datelor (fără intervenție umană). Cu alte cuvinte, nu există un proces decizional complet automat la nivelul ICJ care să vă privească – iar dacă, teoretic, am introduce vreodată astfel de tehnologii (de pildă, inteligență artificială pentru analizarea unor înscrieri), ne-am asigura că respectăm prevederile legale și că vă oferim dreptul de a obține intervenție umană și de a vă exprima punctul de vedere, conform art. 22 GDPR.
11.3. Totodată, nu folosim datele colectate pentru campanii de marketing direct, publicitate țintită sau activități de promovare comercială. Spre exemplu, adresele dumneavoastră de e-mail nu vor fi încărcate în platforme de advertising (Facebook, Google ș.a.) pentru audiențe personalizate, și nu veți primi din partea ICJ mesaje publicitare nesolicitate. Singurele comunicări pe care le puteți primi de la noi sunt cele cu conținut academic (invitații la conferințe, anunțuri de publicare, buletine informative despre cercetare), și acelea doar în condițiile descrise la Scopurile prelucrării (Secțiunea 3) - adică fie aveți o relație anterioară cu ICJ ca participant sau colaborator, fie v-ați abonat voluntar la astfel de informații. În niciun caz nu veți primi comunicări de tip newsletter comercial de la ICJ cu privire la terțe produse/servicii și nu transmitem datele dumneavoastră unor agenții de marketing.
11.4. ICJ respectă viața privată a tuturor persoanelor cu care interacționează și se angajează să nu folosească datele într-un mod care ar putea aduce atingere demnității, reputației sau drepturilor acestora. Datele personale prelucrate nu sunt și nu vor fi niciodată folosite pentru crearea de profiluri comportamentale sau analize de habituri personale în afara sferei academice. Orice analiză pe care o facem (de exemplu, a numărului de participanți la un eveniment, a distribuției pe domenii, a interesului pentru anumite teme) este realizată anonim sau agregat, fără a se concentra pe individ.
11.5. În concluzie, puteți avea încredere că datele oferite către ICJ prin intermediul site-ului nostru sau al evenimentelor noastre vor fi folosite doar în scopurile legitime pentru care ni le-ați furnizat, în sprijinul cercetării și educației, și nu vor fi deturnate către utilizări comerciale, publicitare sau automatizate abuzive. Integritatea și confidențialitatea datelor dumneavoastră reprezintă o parte esențială a valorilor noastre instituționale – aceleași valori de libertate academică, respect al drepturilor și transparență care ne ghidează în toate demersurile.
I. Scopul și domeniul de aplicare
1.1. Prezenta Notă de Informare are scopul de a vă oferi informații clare, concise și transparente cu privire la modul în care ICJ prelucrează datele dvs. cu caracter personal în contextul participării la activitățile științifice organizate (conferințe, simpozioane, sesiuni de comunicări științifice, mese rotunde, focus grupuri, publicații științifice și altele asemenea).
1.2. Prelucrarea datelor are loc în concordanță cu următoarele principii: legalitate, echitate și transparență; limitarea la scopul declarat; minimizarea datelor; exactitate; limitarea stocării; integritate și confidențialitate; responsabilitate.
1.3. Prezentul document se aplică tuturor participanților: cercetători, profesori, doctoranzi, practicieni, membri ai Comitetului Științific, precum și tuturor persoanelor fizice care participă la activitățile științifice ale ICJ.
II. Categoriile de date cu caracter personal prelucrate
2.1. „Date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă.
2.2. Datele pe care le prelucrăm includ, în funcție de natura activității științifice:
a) Date de identificare și profesionale: nume, prenume, funcția și / sau gradul științific / didactic, afilierea instituțională;
b) Date de contact: adresa de e-mail, număr de telefon (dacă este necesar și furnizat);
c) Date rezultate din participarea la evenimente online / hibrid (conferințe, simpozioane, sesiuni de comunicări științifice, mese rotunde, focus grupuri și altele asemenea): imaginea, vocea și opiniile exprimate în cadrul sesiunilor organizate prin platforma Microsoft Teams sau o altă platformă similară (detaliile referitoare la confidențialitate și protecția datelor în cadrul utilizării Microsoft Teams sunt disponibile aici);
d) Contribuțiile științifice: opinii, observații, intervenții verbale sau scrise, materiale științifice prezentate în cadrul activităților științifice.
2.3. ICJ aplică principiul minimizării datelor, colectând doar datele strict necesare pentru scopurile declarate.
III. Scopul prelucrării datelor cu caracter personal
3.1. Putem prelucra datele dvs. pentru:
a) Desfășurarea evenimentelor științifice (conferințe, simpozioane, sesiuni de comunicări științifice, mese rotunde, focus grupuri și altele asemenea): organizarea internă, înregistrarea și promovarea evenimentelor științifice, desfășurarea efectivă, inclusiv prelucrarea datelor audio-video prin intermediul Microsoft Teams sau o altă platformă similară, precum și stocarea acestora;
b) Publicarea rezultatelor științifice: publicarea de colecții, cărți, volume, reviste și altele asemenea;
c) Organizarea curentă: menținerea unor baze de date cu participanții la activitățile științifice ale ICJ, precum și gestionarea documentelor prin intermediul serviciilor Microsoft Office 365 (detaliile referitoare la confidențialitate și protecția datelor în cadrul utilizării Microsoft Office 365 sunt disponibile aici);
d) Comunicarea internă și externă: prelucrarea de informații relevante privind programul, temele, schimbările organizatorice și rezultatele evenimentelor către participanți și eventuali colaboratori (prin e-mail sau alte canale de comunicare).
3.2. Scopul prelucrării datelor are caracter științific, educațional și informativ. ICJ nu va monetiza conținutul creat sau colectat.
IV. Baza legală pentru prelucrare
4.1. Prelucrarea datelor cu caracter personal se realizează în conformitate cu art. 6 alin. (1) lit. (f) din GDPR, anume interesul legitim al ICJ de a-și îndeplini misiunea academică și științifică, pentru scopurile și/sau mijloacele care nu sunt explicit reglementate de cadrul normativ.
4.2. Prelucrarea poate avea loc și pentru respectarea obligațiilor legale (art. 6 alin. (1) lit. (c) GDPR), dacă se aplică.
V. Comunicarea și transferul datelor cu caracter personal
5.1. Comunicăm anumite date cu caracter personal către:
a) Parteneri: în vederea organizării și promovării evenimentelor (co-organizatori, instituții academice, edituri, parteneri media).
b) Furnizori de servicii: precum furnizorii platformei Microsoft Teams și Microsoft Office 365 (Microsoft Corporation), și alte platforme online utilizate pentru diseminare, publicare și colaborare. Furnizorii pot fi localizați în afara Spațiului Economic European, caz în care se vor implementa garanții adecvate (clauze contractuale standard, decizii de adecvare ale Comisiei Europene).
c) Instituții și autorități publice: atunci când există o obligație legală în acest sens.
5.2. Înregistrările audio-video (inclusiv vocea și imaginea) efectuate prin Microsoft Teams, sau alte platforme similare, pot fi stocate în centre de date situate în UE sau, în funcție de setările platformei, în state terțe care oferă garanții de protecție a datelor.
VI. Drepturile persoanelor vizate
6.1. În calitate de persoană vizată, beneficiați de următoarele drepturi, în condițiile prevăzute de GDPR:
a) Dreptul la informare și acces: dreptul de a obține confirmarea prelucrării datelor și informații privind aceasta;
b) Dreptul la rectificare: dreptul de a obține corectarea datelor inexacte sau completarea celor incomplete;
c) Dreptul la ștergere (dreptul de a fi uitat): dreptul de a solicita ștergerea datelor în situațiile prevăzute de lege;
d) Dreptul la restricționarea prelucrării: dreptul de a obține limitarea prelucrării în anumite condiții;
e) Dreptul la portabilitatea datelor: dreptul de a primi datele într-un format structurat și de a le transmite altui operator;
f) Dreptul la opoziție: dreptul de a vă opune, din motive legate de situația particulară, prelucrării datelor bazate pe interes legitim;
g) Dreptul de a nu fi supus unei decizii individuale automate: dreptul de a nu fi supus unei decizii luate exclusiv prin mijloace automate, fără intervenție umană;
h) Dreptul de a vă adresa Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) sau instanțelor competente.
6.2. Pentru exercitarea drepturilor sau pentru reclamații, ne puteți contacta la adresa de e-mail indicată la Secțiunea X. Vom răspunde în termen de până la o lună (termen ce poate fi prelungit, dacă legea o permite, cu informarea dvs. prealabilă).
VII. Securitatea datelor cu caracter personal
7.1. Vom implementa măsuri tehnice și organizatorice corespunzătoare pentru a proteja datele împotriva accesului neautorizat, pierderii, distrugerii sau divulgării neautorizate.
7.2. Întrucât transmiterea datelor prin internet (inclusiv prin Microsoft Teams sau alte platforme similare) implică riscuri inerente, depunem eforturi pentru a asigura un nivel adecvat de securitate, dar nu putem garanta securitatea absolută a informațiilor transmise prin intermediul internetului.
VIII. Perioada de stocare a datelor
8.1. Datele cu caracter personal rezultate din înregistrările evenimentelor (conferințe, simpozioane, sesiuni de comunicări științifice, mese rotunde, focus grupuri și altele asemenea) vor fi păstrate atât timp cât este necesar în vederea realizării scopurilor științifice și educaționale, dar nu mai mult de 10 ani de la sfârșitul anului în care a fost efectuată înregistrarea. Această perioadă de retenție este justificată de necesitatea menținerii unei arhive științifice adecvate, care să permită accesul la informații relevante pentru validarea, completarea și documentarea studiilor și cercetărilor ulterioare. În același timp, se menține un echilibru între interesul legitim de a stoca aceste date în scopuri științifice și educaționale și drepturile și libertățile fundamentale ale persoanelor vizate.
8.2. Datele cu caracter personal incluse în materialele științifice publicate nu sunt supuse unui termen de retenție, întrucât acestea devin parte a literaturii științifice și rămân, prin natura lor, accesibile pe termen nelimitat.
8.3. Materialele științifice publicate sunt supuse următoarelor reglementări specifice:
a) Depozitul legal (Legea nr. 111/1995 privind Depozitul legal de documente, republicată): orice lucrare tipărită sau în format electronic care intră sub incidența depozitului legal (inclusiv reviste științifice sau alte publicații academice) trebuie transmisă către Biblioteca Națională a României și alte instituții abilitate. Documentele intrate în depozit legal sunt păstrate permanent, deoarece ele devin parte a patrimoniului cultural național. Prin urmare, articolele științifice publicate în periodice supuse depozitului legal sunt arhivate pe termen nedefinit.
b) Politicile interne ale instituțiilor și editurilor: În afara obligațiilor legale de depozit, editurile, instituțiile de cercetare sau bibliotecile universitare pot avea propriile reguli interne privind arhivarea și conservarea articolelor științifice. Aceste politici interne pot stabili perioade minime de păstrare sau, dimpotrivă, pot prevedea păstrarea pe termen nelimitat.
c) Arhivarea digitală: În mediul online, articolele științifice pot fi păstrate pe termen nedeterminat în bazele de date ale editurilor, agregatorilor științifici și bibliotecilor digitale, cu condiția respectării drepturilor de autor și a eventualelor acorduri de licență.
8.4. La expirarea perioadei de retenție (dacă este cazul) sau atunci când datele cu caracter personal nu mai sunt necesare, acestea vor fi șterse, distruse, anonimizate sau arhivate în mod securizat, cu excepția situațiilor în care legislația impune altfel.
IX. Modificări ale Notei de informare
9.1. Ne rezervăm dreptul de a actualiza periodic această Notă de Informare.
9.2. Orice modificare va fi publicată pe website-ul ICJ. În cazul unor schimbări semnificative, participanții vor fi informați prin e-mail sau prin alte mijloace de comunicare agreate.
X. Date de contact
10.1. Pentru exercitarea drepturilor sau pentru întrebări legate de prelucrarea datelor cu caracter personal, ne puteți contacta la: dpo@icj.ro.
