Introduction

As any law firm, Bondoc și Asociații SCA (hereinafter „B&A” or the „Firm”) processes personal data.

The appropriate protection of personal data is a major objective pursued by us.

This policy is intended to summarize B&A’s approach as a personal data controller (the “Policy”) and is addressed to the individuals outside the organization who come into contact with B&A, including clients and visitors of B&A’s website, partners or potential contract partners or contractual/legal representatives, employees of partners or potential contract partners or of other entities or persons with whom we interact in the course of our activities, such as experts, mediators, other advisors or persons subject to the cases in which we are involved (any of which will be hereinafter referred to as „you”).

In particular, this document is intended to provide the following information:

(a)controller’s identity and contact data –please see Section 1;

(b)contact data of B&A’s data protection officer – please see Section 2;

(c)categories of processed personal data – please see Section 3;

(d)purposes for which B&A processes personal data, as well as the legal grounds of processing – please see Section 4.

It is highly possible that not all the purposes set forth in this Policy will be relevant for you

(e)if processing is made for B&A’s legitimate interests, description of these purposes – please see Section 5;

(f)recipients or categories of recipients of personal data – please see Section 6;

(g)if applicable, the controller’s intention to transfer personal data to a third country or an international organization – please see Section 7;

(h)period for which personal data will be stored or the criteria used to establish such a period – please see Section 8;

(i)the existence of the data subject’s right to request from the controller access to and rectification or erasure of personal data or restriction of processing or the right to object to processing as well as the right to data portability and the exceptions from and limitations of these rights – please see Section 9;

(j)the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal, as well as the exceptions from and limitations of this right – please see Section 9;

(k)the right to lodge a complaint with a supervisory authority – please see Section 9;

(l)whether the provision of personal data is a statutory or contractual requirement, or a requirement necessary to enter into a contract, as well as whether the data subject is obliged to provide the personal data and the possible consequences of failure to provide such data – please see Section 10;

(m) the existence of automated decision-making, including profiling – please see Section 11.

(n)terminology and other information – please see Section 12.

B&A’s policy is based on the provisions of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC/.

This policy may from time to time be updated so as to reflect the changes in B&A’s processing of personal data or changes in the applicable legislation

This Policy has been drafted so as to be easy to read and understand. For additional information, please use the contact data presented in Section 2 below.

1. Controller’s Identity and Contact Data

The data controller is BONDOC SI ASOCIATII SCA, with the headquarters in Bucharest, district 1, 34 Londra St. The general contact data include Fax: 031 224 84 01, E-mail: office@bondoc-asociatii.ro and telephone: 031 224 84 00.

2. Contact data of the data protection officer

In order to facilitate the interaction between B&A and you with regard to aspects related to personal data protection, B&A ensures the possibility of contacting the internal department which functions as a personal data protection officer at the street address of our office (for correspondence please state in the letterhead / topic that the letter in question refers to personal data protection) and at the email address: dpo@bondoc-asociatii.ro or phone: 031 224 84 00.

3. Categories of personal data that may be processed by B&A

According to circumstances, B&A may process, (a) both personal data obtained from you, (b) and personal data that was not obtained from you (but from public or other third sources).

Most of the situations are inherent to the activities of a law firm, some of which are beyond any possibility to be prevented, such as unsolicited emails from a third party.

The personal information that may be processed by B&A may thus include, depending on circumstances:

(a)Contact information, such as your postal address, e-mail address and telephone number(s), your name, the company you work for, your position or title;

(b)Personal identity information such as civil status, full name (including your patronym or form of address), birth date and year, gender, picture and other data included in identity documents or relating to the practice of profession;

(c)Technical information, such as information generated by our IT security policy, by your accessing the Internet from our offices or by the materials and information sent to you in electronic format;

(d)Financial information, for example information on payments, such as the bank account;

(e)Information that is relevant for the project acceptance procedures, for collaborations or new partners, including financial soundness and reputational aspects;

(f)Professional information;

(g)Information on an individual’s history (e.g., CVs);

(h)Other personal information provided to us by or on behalf of our contract partners or obtained by us from public sources;

(i)Information generated by us as part of the legal assistance provided to a client or other activities of the firm which can include special categories of data, for instance on the occasion of reputation checks;

(j)Any other information pertaining to you which you may provide to us, such as food preferences or car access, or which can come to our attention indirectly, irrespective of B&A’s approach and which may also include special categories of data.

4. Purposes of personal data processing by B&A and grounds for processing.

#

Purposes

Grounds

1 Personal data processing for the purpose of a potential collaboration with clients or prospects (including evaluations in relation to the money laundering legislation, conflicts of interest, reputation checks and the conclusion of contracts) ·   Legitimate interest

·   Legal obligations, in particular related to the implementation of governmental sanctions, combating of money laundering and terrorism financing

2 Personal data processing for the evaluation of other collaborations or potential contract partners ·   Legitimate interest

·   Secondarily, legal obligations, in particular related to the implementation of governmental sanctions, combating of terrorism financing

3 Providing legal assistance and/or representation of our clients, including in cooperation with third parties, such as advisors, financiers or insurers ·   Contract performance

·   Legitimate interest

·   Secondarily, the consent

4 Logistics management and development of support activities for legal assistance, including the discussion and implementation of contracts, also in connection with the administration of the office, office equipment providers, IT services providers, telephone services, cloud, archiving, accounting, etc. ·   Contract performance

·   Legitimate interest

·   Secondarily, the consent

5 Administrative management of contracts, including financial and accounting aspects, billing and recovery of receivables ·   Contract performance

·   Legitimate interest

·   Secondarily, legal obligations,

 

6 Promotion of our knowledge and of the firm within the limits permitted by the applicable regulations, including through news alerts, workshops, conferences and meetings, interaction with directories and other platforms ·   Legitimate interest

·   Contract performance

·   Consent for electronic communications

7 Regulatory conformity ·   Legitimate interest

·   Contract performance

·   Legal obligations

8 B&A’s legal protection ·   Legitimate interest

·   Legal obligations

·   Secondarily, the consent

9 Know-how management and development ·   Legitimate interest

·   Secondarily, the consent

10 Recruiting ·   Legitimate interest

·   Secondarily, the consent

11 Ensuring professional training and various other traineeships, internships.

 

·   Legitimate interest

·   Secondarily, the consent

12 Management of public relations and representation of B&A’s interests, including in the relations with statutory bodies, chambers of commerce, other law firms, NGOs, mass-media platforms, various public authorities, other entities ·   Legitimate interest

·   Secondarily, the consent

13 Corporate social responsibility (CSR). ·   Legitimate interest

·   Secondarily, the consent

14 Monitoring / ensuring the security of individuals, premises/ goods by means of CCTV cameras, in the context of B&A’s activities ·   Legitimate interest

·   Contract performance

·   Secondarily, the consent

15 Development or reorganization operations, including via mergers with other companies or acquisitions of companies or parts of companies ·   Legitimate interest

·   Secondarily, the consent

 

5. Legitimate interests of B&A

As detailed below, most of the personal data processing operations performed by B&A in relation to individuals outside the company concern purposes based on legitimate interests.

 

These include, as applicable:

  1. a legitimate interest în minimizing the relations with natural persons or legal entities that can pose high legal, financial or reputational risks;
  2. a legitimate interest in the proper performance of contracts with our clients or other contractual partners;
  3. a legitimate interest in promoting B&A’s brand, expertise and reputation, within the limits permitted by the legislation and the rules applicable to the profession, including in the context of organization of or participation in various conferences, seminars or other events or of scientific or informative contributions to clients, potential clients or other persons/entities;
  4. a legitimate interest in developing and implementing efficient relations with our suppliers and other contractual partners;
  5. a legitimate interest in developing and maintaining an adequate infrastructure, including at an IT and comunication level, correlated with the evolutions of activities;
  6. a legitimate interest in developing and maintaining an adequate know-how database related to B&A’s activities;
  7. a legitimate interest in a proper scriptic organization of the activity, including in an efficient management of the correspondence and archives;
  8. a legitimate interest in maintaining the safety and security of our staff, premises, assets and operations;
  9. a legitimate interest in exercising our legal and contractual rights and in defending them before the relevant courts and authorities, including, if the case, through receivable recovery activities or the preservation of potential means of evidence;
  10. a legitimate interest in promoting B&A’s goals in the legal sector and in its relations with profession’s bodies, chambers of comerce, public authorities and other relevant stakeholders, including with other law firms of Romania and from abroad;
  11. a legitimate interest in developing and maintaining good relations with the comunity and in promoting fair values in the society, including by supporting social cases, cultural events or educational, scientific or aniversary event organized by the Law School or other entities;
  12. a legitimate interest of B&A in analyzing and looking for acquisition, merger or, eventually, sale operations in connection with the company’s activities or in developing new ones, within the limits permitted by the rules applicable to the profession;
  13. more generally, a legitimate interest in the proper performance, development, protection and promotion of its activities acording to its scope of activity;
  14. a legitimate interest in cooperating or interacting with specialized third party entities in relation to any aspect of relevance for the interests above, including in relation to the IT infrastructure, accounting, or the legislation of other jurisdictions, to the extent relevant to or as requested by clients, and to the development of partnerships.

 

Also, based on your consent and within the limits set by the legislation, we can send you various communications via electronic channels that have been approved by you, in order to keep you to date with developments in the legal area, for announcements and other information referring to our reviews and events.

6. Categories of recipients of personal data

The categories of data recipients may be, as applicable: (i) external service providers in the IT, accounting, taxation, technical, insurance, cloud, phone, e-mail, and archiving areas; (ii) judicial and arbitration courts, as well as other public authorities and institutions (e.g., the Trade Registry Office, the Land Book Office, the Electronic Archives, the Personal Data Protection National Authority, criminal prosecution bodies, public order and national security bodies, or the Competition Council), (iii) other persons in the entity you represent/with which you work/you are registered; (iv) other lawyers (including other profession practice forms with which we collaborate in providing our services), specialists (including mediators, or intellectual property advisors), consultants or experts involved in the services provided by us or in other projects in which we are involved; (v) persons concerned by the correspondence received by B&A or other persons involved in projects in relation to whom correspondence was exchanged or their consultants; (vi) other contractual partners and theircontractors, as well as catering companies or companies involved in the organization of events or in the sending of invitations or other communications.

7. Possibility to transfer personal data to third countries

B&A anticipates no transfer to countries outside the European Union in relation to most of the purposes mentioned above.

B&A does not transfer personal data for promotional purposes, but may be involved in data transfers in the context of providing professional assistance, depending on the jurisdictions involved. In its capacity as law firm with an extended experience in complex projects, B&A frequently interacts with, for example, clients or entities outside Romania, including with their foreign consultants.

Occasionally, transfers may take place in relation to the administrative and financial management of the concluded contracts or in the relations with other law firms, other types of consultants, insurers, or entities assessing the lawyer practice, including companies preparing rankings (for example, contact persons).

Any personal data transfer outside the European Union will be performed only to the extent required for the processing purposes mentioned under Section 3 above and in compliance with the legislation in force.

8. Personal data storage periods

In relation to the data processing for monitoring/ensuring the security of persons/premises/assets through CCTV cameras in the context of B&A’s activities, as a rule, your personal data may be stored for periods of up to 30 days, as applicable. If we identify in the meantime cases that require a longer storage time (for example, identification of a reprehensible act or based on a cooperation request from an authority), the following aspects will be considered: (i) the time periods set forth by other specific legislations; (ii) the maximum time periods while legal liability aspects could be initiated by or against B&A; and (iii) the time period practically required at the expiry of legal terms or of statutes of limitation for anonymization or effective erasure of data.

In relation to the other processing purposes, your personal data may be stored for the periods set in compliance with the following criteria: (i) the terms imposed by specific laws (such as the accounting legislation or the National Archives Law); (ii) terms while legal liability could be triggered at the initiative of or against B&A; (iii) if the case, the term of collaboration; and (iv) the term practically necessary at the expiry of legal terms or legal statutes of limitation for the anonymization or effective deletion of data, considering the difficulties related to the identification of the moment when particular data is collected.

B&A seeks to adopt a minimalist approach of personal data processing, including by storage, and, for this purpose, it considers a regular assessment of the practical possibilities and risks related to data erasure or anonymization, or similar measures in relation to the processed data, as a rule, in January-February of each year.

9. Rights and limits to the rights of data subjects

Any person whose personal data is processed by B&A has the rights set forth by the applicable legislation, within the limits therein and as mentioned below.

In situations where requests from a data subject are blatantly unfounded or excessive, B&A may either charge a reasonable fee or may refuse to comply with such requests.

Also, where B&A has well-grounded doubts in relation to the identity of a natural person who submits a request for the exercise of his/her rights, it may request for additional information required to confirm the data subject’s identity.

More generally, limits can be applied to rights on the basis of the European Union or the domestic law; such limitations may seek to ensure: a) national security; b) defense; c) public security; d) the prevention, investigation, detection or prosecution of offences or the enforcement of criminal sanctions, including the safeguarding against and the prevention of threats to public security; e) other important objectives of general public interest of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation matters, public health and social security; f) the protection of judicial independence and of judicial proceedings; g) the prevention, investigation, detection or prosecution of breaches of ethics for regulated professions; h) a monitoring, inspection or regulatory function connected, even occasionally, to the exercise of official authority; (i)the protection of the data subject or of the rights and freedoms of others; (j) the enforcement of civil law claims.

9.1 Right of access by the data subject

The right to obtain a copy of the personal data undergoing processing does not prejudice the rights and freedoms of others.

9.2 Right to rectification of personal data

9.3 Right to erasure („right to be forgotten”)

The right to data erasure has the following limits: a) the existence of a legal basis other than the consent for personal data processing; b) the existence of legitimate reasons of B&A that would prevail in relation to the personal data processing; c) in cases where personal data processing implies the exercise of the right to free expression and information; d) in cases where personal data processing implies compliance with a legal obligation or the performance of a task carried out in the public interest or in the exercise of official authority; e) for public interest reasons in the public health area; f) for archiving in public interest, for scientific or historical research or for statistical purposes; g) in case of personal data processing that implies the establishment, exercise or defense of legal claims.

9.4 Right to restriction of processing, only in the following cases:

  1. the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data; (b) the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of its use instead; (c) the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defense of legal claims; or (d) the data subject has objected to processing pursuant to Article 21(1) pending the verification whether the legitimate grounds of the controller override those of the data subject.

9.5 Right to data portability

The right to data portability does not apply where: a) data processing is not based on a consent or contract; or (b) data processing is not performed by automated means.

9.6 Right to object

The right to object does not apply in cases where data processing is based on a legitimate interest or on a basis consisting of a need to process for the performance of a task that serves a public interest.

The right to object does not apply either in cases where B&A demonstrates that it has legitimate and imperative reasons that justify the processing and override the interests, rights and freedoms of the data subject, or that the purpose consists of the establishment, exercise or defense of legal claims.

9.7 Right to lodge a complaint with the supervisory authority

9.8 Right to withdraw one’s consent

Consent withdrawal does not affect the legality of a processing operation performed based on such consent before it was withdrawn or of a processing operation performed on another basis (i.e. the legitimate interest).

10. Whether the provision of personal data is a statutory or contractual requirement, or a requirement necessary to enter into a contract, as well as whether the data subject is obliged to provide the personal data and of the possible consequences of failure to provide such data

In general, the providing of personal data is not a legal obligation for you. It may represent a contractual obligation assumed by you (for example, to appear at a particular date to sign a document based on a certification of the parties’ identity by a lawyer).

Failure to obtain personal data may result, as applicable, in an impossibility for B&A to enter into a contractual relationship (e.g., if we are no table to comply with our own know-your-client obligations), or to a limitation of what we can do together or to the possibilities of B&A to pursue its legitimate interests.

11. The existence of automated decision-making, including profiling

Currently, B&A does not use such processes. If this situation changes, this Policy will be updated in due time, as B&A is interested in complying with the legislation accordingly.

12. Terminological specifications. Other information.

12.1 Terminological specifications

In this Policy, the terms underlined below have the meaning detailed in this section.

controller” means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;

processor” means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;

supervisory authority” means an independent public authority established by a Member State for the regulation and supervision of the personal data protection area and legislation. In Romania, the supervisory authority id the National Authority for Personal Data Processing Supervision (website address http://www.dataprotection.ro/).

personal data” means any information relating to an identified or identifiable natural person;

“processing” “processed” means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;

special categories of personal data” means personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation

 

12.2 Other information

This Policy is applicable starting 25 May 2018.

_____________

Introducere

Ca orice societate de avocatură, Bondoc și Asociații SCA (denumită în continuare, „B&A” sau „Firma”)  prelucrează date personale.

Protecția corespunzătoare a datelor cu caracter personal este un obiectiv important pentru noi.

Prezenta politică urmărește să sumarizeze abordarea B&A ca operator de date cu caracter personal (“Politica”) și este adresată persoanelor fizice din afara organizației cu care B&A vine în contact, inclusiv clienți și vizitatori ai site-ului B&A, parteneri sau potențiali parteneri contractuali sau reprezentanți contractuali / legali, salariați ai partenerilor sau potențialilor parteneri contractuali sau altor entități sau persoane cu care interacționăm în contextul activității noastre, precum experți, mediatori, alți consultanți sau persoane privite de dosarele în care suntem implicați (oricare, fiind denumit in continuare „dumneavoastră”).

Prezentul document urmărește, mai concret, să furnizeze următoarele informații:

(a)   identitatea și datele de contact ale operatorului –rugăm a se vedea Secțiunea 1;

(b)  datele de contact ale responsabilului cu protecția datelor din cadrul B&A – rugăm a se vedea Secțiunea 2;

(c)   categoriile de date personale prelucrate – rugăm a se vedea Secțiunea 3;

(d)  scopurile în care sunt prelucrate de B&A date cu caracter personal, precum și temeiul juridic al prelucrării – rugăm a se vedea Secțiunea 4.

Este foarte posibil ca nu toate scopurile menționate în această Politică să fie relevante pentru dumneavoastră.

(e)   în cazul în care prelucrarea se face în scopul intereselor legitime ale B&A, indicarea intereselor respective – rugăm a se vedea Secțiunea 5;

(f)   destinatarii sau categoriile de destinatari ai datelor cu caracter personal – rugăm a se vedea Secțiunea 6;

(g)  dacă este cazul, intenția operatorului de a transfera date cu caracter personal către o țară terță sau o organizație internațională – – rugăm a se vedea Secțiunea 7;

(h)  perioada pentru care vor fi stocate datele cu caracter personal sau criteriile utilizate pentru a stabili perioada respectivă – rugăm a se vedea Secțiunea 8;

(i) existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării sau a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor și excepțiile și limitele acestor drepturi – rugăm a se vedea Secțiunea 9;

(j) existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia, precum și excepțiile și limitele acestui drept – rugăm a se vedea Secțiunea 9;

(k)  dreptul de a depune o plângere în fața unei autorități de supraveghere – rugăm a se vedea Secțiunea 9;

(l) dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații – rugăm a se vedea Secțiunea 10;

(m) existența unui proces decizional automatizat incluzând crearea de profiluri – rugăm a se vedea Secțiunea 11.

(n)  aspecte terminologice și o serie de alte informații – rugăm a se vedea Secțiunea 12.

Politica B&A are in vedere prevederile Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/.

Aceasta poate fi actualizată din timp în timp pentru a reflecta schimbările în practica B&A privind prelucrarea de date cu caracter personal sau schimbări în legislația aplicabila.

Această Politică a fost redactată cu intenția de a fi ușor de citit și înțeles. Pentru informații suplimentare, vă rugăm să folosiți datele de contact menționate în Secțiunea 2 de mai jos.

1. Identitatea și datele de contact ale operatorului

Operatorul de date personale este BONDOC SI ASOCIATII SCA, cu sediul în București, Sector 1, Str. Londra, nr. 34. Datele de contact generale includ Fax: 031 224 84 01, E-mail: office@bondoc-asociatii.ro și telefon: 031 224 84 00.

2. Datele de contact ale responsabilului cu protecția datelor

În vederea facilitării interacțiunii dintre B&A și dumneavoastră cu privire la domeniul protecției datelor cu caracter personal, B&A asigură posibilitatea contactării departamentului intern care asigură funcția de responsabil cu protecția datelor cu caracter personal la adresă fizică a sediului (pentru corespondență vă rugăm menționați în antet/subiect că respectiva corespondență privește domeniul protecției datelor cu caracter personal) și la adresa de email: dpo@bondoc-asociatii.ro sau prin telefon: 031 224 84 00.

3. Categorii de date personale care pot fi prelucrate de B&A

B&A poate prelucra, în funcție de situație, (a) atât de date cu caracter cu caracter personal obținute de la dumneavoastră, (b) cât și de date cu caracter personal care nu au fost obținute de la dumneavoastră (ci din surse publice sau alte surse terțe).

Marea majoritate a situațiilor sunt inerente activității unei firme de avocatură, unele fiind și cu totul în afara oricărei posibilități de prevenire, precum primirea nesolicitată a unui email de la un terț.

Informațiile cu caracter personal pe care B&A le poate prelucra pot, astfel, include, în funcție de situație:

(a)  Informații de contact, ca de exemplu, adresa dumneavoastră poștală, adresa de e-mail și numărul / numerele de telefon, numele dumneavoastră, societatea la care lucrați, funcția sau poziția dumneavoastră

(b) Informații de identitate, ca de exemplu, statut marital, nume complet (inclusiv patronimul sau formula de adresare), data și anul nașterii, sex, fotografie, alte date din acte de identitate sau legate de forme de exercitare a profesiei

(c)  Informații tehnice, ca de exemplu informații generate ca urmare a politicii noastre de securitate IT, a accesării de către dumneavoastră a internetului din sediul nostru sau a materialelor și comunicărilor pe care vi le trimitem în format electronic

(d) Informații financiare, ca de exemplu informații referitoare la plăți, precum contul bancar

(e)  Informații cu relevanță pentru procedurile de acceptare de proiecte, colaborări sau noi parteneri, inclusiv soliditate financiară și aspecte reputaționale;

(f)  Informații profesionale;

(g) Informații despre istoricul unei persoane (de exemplu, din CV-uri);

(h) Alte informații cu caracter personal furnizate nouă de către sau în numele partenerilor noștri contractuali sau obținute de noi din surse publice

(i)Informații generate de noi în cadrul asistenței juridice oferite unui client sau altor activități ale firmei, care pot include și categorii speciale de date, cu ocazia, de exemplu, a unor verificări reputaționale;

(j)Orice alte informații referitoare la persoana dumneavoastră pe care este posibil să ni le furnizați, precum preferințe de regim alimentar sau de acces auto, sau să ne parvină indirect, chiar cu totul independent de abordarea B&A, și care pot include și categorii speciale de date

4. Scopurile prelucrării de date cu caracter personal de către B&A și temeiurile prelucrării.

Nr.

Scopuri

Temeiuri

1. Prelucrarea de date cu caracter personal în scopul unor potențiale colaborări cu clienți sau potențiali clienți (inclusiv evaluare raportat la legislația spălării banilor, conflictelor de interes, verificări reputaționale și de încheiere contracte) ·Interesul legitim
·Obligații legale, în special în materia implementării sancțiunilor guvernamentale, combaterii spălării banilor și a terorismului
2. Prelucrarea de date cu caracter personal în scopul evaluării altor colaborări sau potențiali parteneri contractuali ·Interesul legitim
·In subsidiar, obligații legale, în special în materia implementării sancțiunilor guvernamentale și combaterii terorismului
3. Asigurarea asistenței juridice și/sau reprezentării clienților noștri, inclusiv în cooperare cu terți, precum consultanți, finanțatori sau asigurători ·Executare de contract
·Interes legitim
·In subsidiar, consimțământul
4. Gestionare logistică și dezvoltarea activităților suport celei de asistență juridică, inclusiv discutarea și implementarea de contracte, inclusiv în legătură cu administrarea sediului, furnizori de birotică și echipamente, prestatori de servicii IT, telefonie, cloud, arhivare, contabilitate, etc ·Executare de contract
·Interes legitim
·In subsidiar, consimțământul
5. Gestiunea administrativă a contractelor, inclusiv aspecte financiare și contabile, facturare și recuperare creanțe ·Executare de contract
·Interes legitim
·In subsidiar, obligații legale,
6. Promovarea cunoștințelor noastre și a firmei în limitele permise de regulile aplicabile, inclusiv prin newsalerts, seminarii, conferințe și întâlniri, interacțiuni cu directoare și alte platforme ·Interes legitim
·Executare de contract
·Consimțământul pentru comunicări electronice
7. Conformare legislativă ·Interes legitim
·Executare de contract
·Obligații legale
8. Protejarea juridică a B&A ·Interes legitim
·Obligații legale
·In subsidiar, consimțământul
9. Gestiunea și dezvoltarea de know-how ·Interes legitim
·In subsidiar, consimțământul
10. Recrutare ·Interes legitim
·In subsidiar, consimțământul
11. Asigurarea de practică profesională și diverse alte stagii, internships. ·Interes legitim
·In subsidiar, consimțământul
12. Gestionarea relațiilor publice și a reprezentării intereselor B&A, inclusiv în relația cu organe statutare, camere de comerț, alte firme de avocatură, ONG-uri, platforme mass-media, diverse autorități publice, alte entități. ·Interes legitim
·In subsidiar, consimțământul
13. Responsabilitate socială și comunitate (CSR). ·Interes legitim
·In subsidiar, consimțământul
14. Monitorizarea / asigurarea securității persoanelor / spațiilor / bunurilor prin camere video de tip CCTV, în contextul activităților B&A. ·Interes legitim
·Executare de contract
·In subsidiar, consimțământul
15. Operațiuni de dezvoltare sau reorganizare, inclusiv via fuziuni cu alte firme sau achiziții de firme sau părți de firme. ·Interes legitim
·In subsidiar, consimțământul

5. Interese legitime ale B&A

După cum se detaliază mai jos, marea majoritate a prelucrărilor de date personale efectuate de B&A în relația cu persoane din exteriorul societății privesc scopuri bazate pe interese legitime.

 

Acestea, după caz, includ:

  1. Interesul legitim în minimizarea relaționării cu persoane fizice sau juridice care pot prezenta riscuri crescute juridice, financiare sau reputaționale.
  2. interesul legitim în buna executare a contractelor cu clienții noștri sau alți parteneri contractuali;
  3. interesul legitim de promovare a brandului, expertizei și reputației B&A în limitele permise de legislație și regulile profesiei, inclusiv în contextul organizării sau participării la diverse conferințe seminarii sau alte evenimente sau contribuții științifice sau informative către clienți, potențiali clienți sau alte persoane/entități;
  4. interesul legitim de dezvolta și implementa relații eficiente cu furnizorii și alți parteneri contractuali;
  5. interesul legitim de dezvoltare și menținere a unei infrastructuri adecvate, inclusiv la nivel IT și de comunicare, corelată cu evoluțiile activităților;
  6. interesul legitim de dezvoltare și menținere a unei baze de know-how adecvate raportat la activitățile B&A;
  7. intersul legitim de buna organizare scriptică a activității, inclusiv de gestionare eficientă a corespondenței și arhivei;
  8. interesul legitim în menținerea siguranței și securității personalului, spațiilor, bunurilor și operațiunilor
  9. interesul legitim în exercitarea drepturilor legale și contractuale si apărarea acestora în fața instanțelor și autorităților competente, inclusiv, dacă este cazul, prin acțiuni de recuperare de creanțe sau prezervare mijloace potențiale de probă;
  10. interesul legitim de promovare a obiectivelor B&A în cadrul sectorului juridic și în relația cu organele profesiei, camere de comerț, autorități publice și alți actori relevanți, inclusiv alte firme de avocatură din România și străinătate;
  11. interesul legitim de a dezvolta și menține bune relații cu comunitatea și de a promova valori corecte în societate, inclusiv prin susținerea unor cazuri sociale, evenimente culturale sau unor evenimente educaționale, științifice sau aniversare organizate de Facultatea de Drept sau alte entități;
  12. interesul legitim al B&A de a analiza și urmări operațiuni de achiziție, fuziune sau, eventual, vanzare în legătură cu activitățile societății sau cu dezvoltarea unora noi, în limitele permise de regulile profesiei;
  13. cu caracter mai general, interesul legitim în buna derulare, dezvoltare, protejare și promovare a activităților sale conform obiectului de activitate
  14. interesul legitim de a colabora sau interacționa cu entități specializate terțe pentru orice aspect relevant pentru cele de mai sus, inclusiv legat de infrastructura IT, contabilitate, legislația din alte jurisdicții în măsura relevantă sau solicitată de clienți, dezvoltarea de parteneriate.

 

De asemenea, pe baza consimțământului dumneavoastră și în limitele legislației, vă putem transmite diverse comunicări prin canalele electronice pe care le-ați aprobat pentru a vă ține la curent cu privire la unele evoluții în domeniul juridic, anunțuri și alte informații cu privire la analizele și evenimentele noastre.

6. Categoriile de destinatari ai datelor cu caracter personal

Categoriile de destinatari ai datelor pot fi, după caz: (i) furnizori externi în domeniul IT, contabil, fiscal, tehnic, asigurări, servicii cloud, telefonie, e-mail, arhivare; (ii) instanțe judecătorești sau arbitrale, precum și alte autorități și instituții publice (de ex. Registrul Comerțului, Cartea Funciară, Arhiva Electronică, Autoritatea Națională pentru Protecția Datelor cu Caracter Personal, Agenția Națională de Administrare Fiscală, organe de urmărire penală, organe de ordine publică și siguranță națională, Consiliul Concurenței), (iii) alte persoane din cadrul entității pe care o reprezentați/în cadrul căreia lucrați/ sunteți înmatriculat; (iv) alți avocați (inclusiv alte forme de exercitare a profesiei cu care colaborăm în furnizarea serviciilor), specialiști (inclusiv mediatori, consilieri în proprietate industrială), consultanți sau experți implicați în serviciile pe care le acordăm sau în alte proiecte în care suntem implicați; (v) persoane relevante pentru corespondența primită de B&A sau alte persoane implicate în proiectele în legătură cu care corespondența a avut loc sau consultanți ai acestora (vi) alți parteneri contractuali și contractanți ai acestora, precum societăți de catering sau implicate în organizare de evenimente sau de transmitere de invitații sau alte comunicări.

7. Posibilitatea de transfer de date cu caracter personal către o țară terță

B&A nu anticipează vreun transfer către țări în afara Uniunii Europene în legătură cu marea majoritate a scopurilor menționate mai sus.

B&A nu transferă date personale în scopuri promoționale, dar poate fi implicat în transferuri de date în contextul asigurării asistenței profesionale în funcție de jurisdicțiile implicate. Ca societate profesională de avocați cu experiență vastă în materie de proiecte complexe, B&A interacționează, de exemplu, frecvent cu clienți sau alte entități din afara României, inclusiv consultanți străini ai acestora.

Ocazional, transferuri mai pot avea loc în legătură cu gestiunea administrativ-financiară a contractelor încheiate sau pentru relaționare cu alte firme de avocatură, alte tipuri de consultanți, asigurători sau entități de evaluare a profesiei de avocat, inclusiv de elaborare de clasamente (de exemplu, persoane de contact).

Orice transfer de date personale în state în afara Uniunii Europene se va face doar în măsura necesară scopurilor de prelucrare menționate la Secțiunea 3 de mai sus și cu respectarea legislației în vigoare.

8. Perioada de stocare

Cu privire la prelucrarea de date pentru monitorizarea / asigurarea securității persoanelor / spațiilor / bunurilor prin camere video de tip CCTV, în contextul activităților companiei B&A, ca regulă, datele cu caracter personal ale dumneavoastră pot fi stocate pentru perioade de până la 30 de zile, după caz. În situația identificării între timp a unor cazuri care necesită mai mult timp de stocare (de exemplu, identificarea unei fapte reprobabile sau solicitarea de cooperare din partea unei autorități) se vor avea în vedere: (i) duratele prevăzute de alte legislații specifice; (ii) duratele maximale în care aspecte de răspundere juridică ar putea fi atrase de B&A sau față de B&A; și (iii) durata necesară din punct de vedere practic la expirarea perioadelor legale sau de prescriptie juridică pentru anonimizarea sau eliminarea efectivă.

Cu privire la celelalte scopuri de prelucrare, datele cu caracter personal ale dumneavoastră pot fi stocate pentru perioade determinate conform următoarelor criterii: (i) duratele prevăzute de legislații specifice (precum legislația contabilă sau legea Arhivelor Naționale); (ii) duratele în care aspecte de răspundere juridică ar putea fi atrase față de B&A sau de B&A; (iii) dacă este cazul, durata colaborării; și (iv) durata necesară din punct de vedere practic la expirarea perioadelor legale sau de prescriptie juridică pentru anonimizarea sau eliminarea efectivă, având în vedere dificultățile de identificare a momentului de colectare a unor date.

B&A urmărește o abordare minimalistă a prelucrării, inclusiv prin stocare, a datelor cu caracter personal, scop în care are în vedere evaluarea din timp în timp a posibilităților practice și riscurilor ștergerii, anonimizării sau unor măsuri similare cu privire la datele cu caracter personal prelucrate, de regulă în lunile ianuarie-februarie ale fiecărui an.

9. Drepturile și limitele drepturilor pe care le au persoanele vizate

Orice persoană ale cărei date personale sunt prelucrate de B&A are drepturile prevăzute de legislația aplicabila, în limitele descrise acolo si menționate mai jos.

În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, B&A poate fie să perceapă o taxă rezonabilă, fie să refuze să dea curs cererii.

De asemenea, în cazul în care B&A are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează o cerere de exercitare a drepturilor, poate solicita furnizarea de informații suplimentare necesare pentru a confirma identitatea persoanei vizate.

Cu caracter general, drepturile pot cunoaște limite în baza dreptului Uniunii Europene sau dreptului intern; asemenea limitări pot avea scopul de a asigura: a) securitatea națională; b) apărarea; c) securitatea publică; d) prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, inclusiv protejarea împotriva amenințărilor la adresa securității publice și prevenirea acestora; e) alte obiective importante de interes public general ale Uniunii Europene sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii Europene sau al unui stat membru, inclusiv în domeniile monetar, bugetar și fiscal și în domeniul sănătății publice și al securității sociale; f) protejarea independenței judiciare și a procedurilor judiciare; g) prevenirea, investigarea, depistarea și urmărirea penală a încălcării eticii în cazul profesiilor reglementate; h) funcția de monitorizare, inspectare sau reglementare legată, chiar și ocazional, de exercitarea autorității oficiale; (i) protecția persoanei vizate sau a drepturilor și libertăților altora; (j) punerea în aplicare a pretențiilor de drept civil.

9.1 Dreptul de acces al persoanei vizate

Dreptul de a obține o copie a datelor cu caracter personal care fac obiectul prelucrării nu aduce atingere drepturilor și libertăților altora.

9.2 Dreptul la rectificarea datelor personale

9.3 Dreptul la ștergerea datelor („dreptul de a fi uitat”)

Dreptul la ștergerea datelor cunoaște următoarele limite: a) existența unui alt temei juridic pentru prelucrarea datelor cu caracter personal decât consimțământul; b) existența unor motive legitime ale B&A care să prevaleze în ceea ce privește prelucrarea datelor cu caracter personal; c) în cazul în care prelucrarea datelor cu caracter personal presupune exercitarea dreptului la liberă exprimare și la informare; d) în cazul în prelucrarea datelor cu caracter personal presupune respectarea unei obligații legale sau îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale; e) din motive de interes public în domeniul sănătății publice; f) în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice; g) în cazul în prelucrarea datelor cu caracter personal presupune constatarea, exercitarea sau apărarea unui drept în instanță.

9.4 Dreptul la restricționarea prelucrării, doar în următoarele cazuri:

  1. a) persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor; (b) prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor; (c) operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță; sau (d) persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul (1), pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.

9.5 Dreptul la portabilitatea datelor

Dreptul la portabilitatea datelor nu se aplică în cazul în care: a) prelucrarea nu se bazează pe consimțământ sau pe un contract; sau (b) prelucrarea nu este efectuată prin mijloace automate.

9.6 Dreptul la opoziție

Dreptul la opoziție nu se aplică în cazul în care prelucrarea se bazează pe temeiul interesului legitim, sau pe temeiul reprezentat de necesitatea prelucrării pentru îndeplinirea unei sarcini care servește unui interes public.

Dreptul la opoziție nu se aplică nici în cazul în care B&A demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul privește constatarea, exercitarea sau apărarea unui drept în instanță.

9.7 Dreptul de a depune o plângere la o autoritate de supraveghere

9.8 Dreptul de a retrage consimțământul

Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia sau procesarea are loc pe alt temei (i.e. interesul legitim).

10. Dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații

În general, furnizarea datelor personale nu corespunde unei obligații legale pentru Dvs. Poate corespunde unei obligații contractuale pe care v-ați asumat-o (de exemplu, de a vă prezenta la o anumită dată pentru semnarea unui document cu certificarea identității părților de avocat).

Neobținerea datelor cu caracter personal poate duce, după caz la imposibilitatea implicării B&A într-o relație contractual (de exemplu, dacă nu putem respecta propriile obligații legale de cunoaștere a clientelei), sau la limitarea a ceea ce putem să facem împreună sau a posibilităților B&A de a-și urmări interesele legitime.

11.Existența unui proces decizional automatizat incluzând crearea de profiluri

B&A nu folosește astfel de procese în prezent. În cazul în care acest aspect se va schimba, prezenta politică va fi actualizată în timp util, B&A urmărind respectarea legislației în consecință.

12. Precizări terminologice. Alte informații.

12.1 Precizări terminologice

În această politică termenii subliniați mai jos au înțelesul detaliat în această secțiune.

„operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;

„persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;

„autoritate de supraveghere” înseamnă o autoritate publică independentă instituită de un stat membru pentru reglementarea și supervizarea domeniului și legislației pentru protecția datelor cu caracter personal. În România, autoritate de supraveghere este Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (adresă website http://www.dataprotection.ro/).

„date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă;

„prelucrare” “prelucrate” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

„date speciale cu caracter personal” înseamnă datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

12.2 Alte informații

Prezenta Politica este aplicabila începând cu data 25 mai 2018.