Politica de confidențialitate a datelor

CGI protejează datele personale pe care le gestionăm și colaborează strâns cu clienții și furnizorii terți pentru a răspunde provocărilor peisajului de reglementare privind protecția datelor aflat în continua schimbare.

Menținem această Politică de Confidențialitate a Datelor, care detaliază principiile, standardele și practicile noastre de confidențialitate și modul în care protejăm toate Datele Personale ca parte a operațiunilor noastre, indiferent dacă Procesăm Date Personale în scopuri proprii sau pentru nevoile clienților noștri.

Termenii cu majusculă sunt definiți în Anexa 1 din acest document.

1.1 Principii

Ca organizație globală de servicii IT și consultanță de afaceri, CGI este dedicată menținerii unor niveluri de protecție a datelor personale, aliniate la cele mai bune practici, Legislația aplicabilă privind protecția datelor și obligațiile contractuale ale CGI.

CGI colectează și/sau folosește Date Personale pentru propriile nevoi.

CGI poate gestiona, de asemenea, date personale în numele și la instrucțiunile clientului, inclusiv măsurile tehnice și organizaționale necesare pentru a preveni distrugerea, pierderea, modificarea, divulgarea sau accesul accidental sau ilegal la datele personale. Orice angajament privind aceste responsabilități și măsuri trebuie să fie reflectat în mod expres în orice acorduri încheiate între CGI și clienții noștri.

Propunerea de valoare a CGI include protecția datelor și prevenirea riscului de expunere la date. CGI ghidează și asistă clienții săi în gestionarea și protejarea datelor personale pentru a respecta cerințele de conformitate. La instrucțiunile clientului, CGI va implementa măsuri eficiente de securitate pentru a proteja datele personale și a preveni breșele de securitate.

1.2 Domeniu de aplicare și conformitate

Această Politică de Confidențialitate a Datelor face parte integrantă a CGI Management Foundation și este obligatorie pentru toate entitățile juridice CGI și angajații ("Parteneri CGI"), indiferent de locația lor, precum și pentru furnizorii terți angajați de CGI. În măsura permisă de lege, orice încălcare a acestei Politici de Confidențialitate a Datelor poate duce la acțiuni administrative și/sau disciplinare din partea CGI (inclusiv penalități financiare, suspendare sau concediere).

Partenerii CGI recunosc aceste cerințe și confirmă anual acceptarea acestei Politici de Confidențialitate a Datelor ca parte a angajamentului lor față de Codul de Etică. Pe lângă această Politică de Confidențialitate a Datelor, Partenerii CGI trebuie să respecte și alte obligații aplicabile ce țin de confidențialitate și viața privată, inclusiv cele prevăzute în Legislația Aplicabilă privind Protecția Datelor, contractele lor de muncă, Fundația de Management CGI și/sau instrucțiunile pentru clienți.

Orice furnizor terț care procesează date personale în numele CGI este obligat să implementeze măsuri tehnice și organizaționale adecvate pentru a asigura conformitatea cu principiile și cerințele acestei Politici de Confidențialitate a Datelor. Când CGI procesează date personale în numele unui client, orice angajamente contractuale sau alte obligații CGI față de client trebuie transmise tuturor furnizorilor terți implicați. Orice angajament sau obligație trebuie să fie reflectată în mod expres în acordurile încheiate între CGI și furnizorii terți.

Ce categorii de Date Personale procesează CGI ca parte a operațiunilor sale?
Sub rezerva legislației aplicabile privind protecția datelor, CGI și orice furnizor terț pot procesa următoarea listă neexhaustivă de categorii de date personale:

  • Date demografice și informații despre viața personală (de exemplu, vârstă, gen, trăsături fizice, data nașterii, adresa domiciliului, stare civilă, apartenențe, preferințe, interese)
  • Locație, autentificare, trafic și urmărire (de exemplu, adresă IP, amprenta browserului, jurnale)
  • Economic & financiar (de exemplu, număr de cont, sănătate financiară, acțiuni, statut fiscal, salariu, tranzacții financiare)
  • Date personale sensibile (de exemplu, număr de securitate socială, biometrie, informații medicale)
  • Identitate și informații de contact (de exemplu, nume, adresă de email, număr de telefon, fotografie, naționalitate, nume de identitate și pașaport)
  •  Informații despre viața profesională și afaceri (de exemplu, angajator, departament, titlu de post, istoric de angajare, performanțe, interviuri, diplome și certificări, facturare, adresă de livrare)

Aceste categorii de Date Personale se referă la următoarea listă neexhaustivă de indivizi:

  • Candidați la angajare, cursanți și studenți,
  •  Parteneri CGI și foști angajați, precum și rudele lor,
  • Angajații și foștii angajați ai clienților, precum și rudele acestora,
  • Pacienții clienților, clienții sau cetățenii,
  • Angajații și clienții potențialilor clienți,
  • Vizitatori ai site-urilor CGI,
  • Acționari,
  • Angajați ai furnizorilor terți și freelanceri.

Informații mai detaliate sunt disponibile în notificările relevante privind confidențialitatea.

Cu cine împărtășește CGI datele tale personale?
Ca parte a operațiunilor sale, CGI poate divulga Date Personale către entități juridice CGI, clienți și potențiali clienți, furnizori terți și/sau altor terți părți (inclusiv bănci și consultanți financiari, consultanți externi și auditori), precum și autorități administrative, judiciare sau guvernamentale, agenții de stat sau organisme publice, în conformitate cu Legislația aplicabilă privind protecția datelor.

Cum protejează CGI datele personale procesate pentru propriile sale nevoi?
CGI este responsabilă pentru protejarea oricăror date personale gestionate ca parte a operațiunilor sale.
Ca urmare, Partenerii CGI respectă următoarele principii de bază:

  • Transparență, Corectitudine și Legalitate

Datele personale sunt prelucrate legal, corect și transparent în raport cu persoana respectivă, în conformitate cu cerințele acestei Politici de Confidențialitate a Datelor. CGI oferă informații detaliate de prelucrare a datelor persoanelor relevante, într-un format ușor de înțeles și accesibil, prin notificări de informații despre confidențialitate.

  • Limitarea scopului

Orice prelucrare a datelor personale este precedată de identificarea scopului specific al acestei prelucrări, care trebuie să fie explicit, legitim și în conformitate cu ceea ce s-ar aștepta în mod rezonabil de la o persoană.

  • Minimizarea datelor

Datele personale sunt colectate și folosite doar în măsura necesară pentru a îndeplini scopul pentru care sunt Tratate. Datele personale trebuie să fie adecvate, relevante și limitate la ceea ce este strict necesar în legătură cu acest scop.

  • Acuratețe

Datele personale colectate trebuie să rămână corecte și actualizate. Trebuie luate măsuri rezonabile pentru a asigura că orice Date Personale inexacte sunt șterse sau corectate fără întârziere, inclusiv prin opțiuni de autoservire pentru indivizi. Trebuie furnizate mijloace adecvate persoanelor pentru a informa CGI despre orice modificare a datelor lor personale.

  • Limitarea stocării

Datele personale nu trebuie păstrate mai mult decât strict necesar pentru a atinge scopul pentru care sunt colectate. Prin urmare, CGI trebuie să stabilească perioada necesară de păstrare a datelor în conformitate cu Programul de Păstrare a Evidențelor CGI și Legislația aplicabilă privind Protecția Datelor.

  • Integritate și Confidențialitate

Măsurile tehnice și organizaționale adecvate, așa cum sunt prevăzute în Cadrul de Management al Securității Întreprinderilor (ESMF) al CGI, trebuie implementate pentru a preveni accesul ilegal și/sau prelucrarea datelor personale.

Pe ce bază legală procesează CGI datele personale pentru propriile sale nevoi?
Cel mai frecvent, CGI poate procesa datele personale în următoarele circumstanțe:

  1. Când CGI trebuie să respecte o obligație legală.
  2. Când este necesar pentru semnarea unui contract cu o persoană.
  3. Când CGI are un interes legitim să facă acest lucru ca parte a operațiunilor sale.

Pot exista ocazii în care pentru CGI devine necesar să proceseze datele personale pentru a proteja interesele indivizilor sau cu consimțământul prealabil al acestora.

1.3 Date personale sensibile procesate pentru nevoile CGI

CGI nu va procesa date personale sensibile decât dacă este îndeplinită una dintre următoarele condiții:

  1. Persoana și-a dat consimțământul prealabil, sau
  2. Prelucrarea este necesară în scopul îndeplinirii obligațiilor și exercitării drepturilor specifice ale CGI sau ale persoanei fizice în domeniul muncii, securității sociale și dreptului de protecție socială, sau
  3. Dacă persoana nu poate să-și dea consimțământul (de exemplu, din motive medicale), procesarea este necesară pentru a proteja interesele vitale ale individului sau ale altei persoane, sau
  4. Procesarea este necesară în contextul medicinei preventive sau a diagnosticului medical de către un profesionist din domeniul sănătății conform legislației locale, sau
  5. Persoana respectivă a plasat deja în mod evident datele personale sensibile relevante în domeniul public, sau
  6. Prelucrarea este esențială pentru stabilirea, exercitarea sau apărarea revendicărilor legale, cu excepția cazului în care persoana are un interes legitim suprem în a se asigura că astfel de date personale sensibile nu sunt pretratate, sau
  7. Prelucrarea este permisă explicit de legislația locală.

    
Cum protejează CGI datele personale ale clienților?
Când CGI procesează datele personale ale clienților, CGI se asigură că datele personale sunt procesate în scopul exclusiv expres al clientului și conform instrucțiunilor scrise ale clientului, inclusiv în ceea ce privește durata, prevăzute în termenii și condițiile convenite între CGI și client.

Clientul rămâne singurul responsabil pentru asigurarea faptului că există o bază legală validă pentru Procesarea efectuată de CGI și că instrucțiunile date CGI în ceea ce privește Procesarea sunt conforme cu Legislația aplicabilă privind Protecția Datelor, inclusiv perioada de retenție ce urmează a fi aplicată. Cu toate acestea, CGI va informa prompt clientul dacă, în opinia sa, astfel de instrucțiuni încalcă Legislația aplicabilă privind protecția datelor.

Dacă clientul nu este instruit altfel, CGI va aplica (cel puțin) baza de securitate a CGI, așa cum este prevăzut în Cadrul de Management al Securității Întreprinderilor (Enterprise Security management Framework - ESMF) al CGI. Orice abatere de la această bază necesită revizuiri relevante ale riscurilor și aprobarea echipelor de confidențialitate și securitate CGI, în conformitate cu Fundația de Management CGI.

CGI, sub rezerva condițiilor financiare, tehnice și organizaționale convenite în scris, va oferi clientului asistență rezonabilă pentru a-l sprijini în îndeplinirea obligațiilor conform Legislației aplicabile privind protecția datelor.
 

1.4 Confidențialitatea prin design și confidențialitatea implicită

Pentru a se asigura că principiile definite în această Politică de Confidențialitate a Datelor sunt luate în considerare eficient atunci când CGI procesează date personale, CGI va identifica și aborda constrângerile de protecție a datelor la începutul oricărui nou proiect intern sau oportunitate pentru client, astfel încât principiile conținute aici să fie reflectate în proiectarea proiectului și implementate corespunzător. CGI a implementat, prin urmare, procese de revizuire a confidențialității și securității datelor, precum și un Cod de Practică privind Confidențialitatea prin Design și mai multe cadre (de exemplu, Utilizare Responsabilă a Datelor, Utilizarea Responsabilă a Inteligenței Artificiale și Utilizarea Responsabilă a Tehnologiei Cloud) aplicabile tuturor proiectelor interne CGI și oportunităților clienților care implică Procesarea Datelor Personale și asistarea fiecărui Partener CGI relevant în analiza și abordarea riscurilor privind confidențialitatea datelor.

Conform Legislației aplicabile privind protecția datelor, CGI va efectua o evaluare a impactului asupra confidențialității datelor pentru toate proiectele interne CGI în care activitatea de prelucrare a datelor personale este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile indivizilor și va stabili orice măsuri corective ce trebuie implementate pentru a asigura atenuarea riscurilor.

Organizația CGI Privacy revizuiește și aprobă aspectele de confidențialitate ale propunerilor și/sau serviciilor dezvoltate pentru clienți, precum și ale oricărui proiect de proprietate intelectuală CGI sau proiect intern nou, așa cum este definit în principiile ce reies din CGI Management Foundation. Partenerul CGI responsabil pentru soluție, serviciu și/sau proiect păstrează dovezi privind conformitatea cu cerințele de aprobare CGI pentru organizațiile de confidențialitate.

Care sunt drepturile indivizilor și cum pot fi exercitate?
Drepturile indivizilor asupra datelor lor personale diferă de la o țară la alta. CGI acționează în conformitate cu Legislația aplicabilă privind protecția datelor.
În funcție de jurisdicții, Legislația aplicabilă privind protecția datelor poate oferi persoanelor următoarele drepturi:

  1. Acces la datele lor personale și la informațiile despre modul în care acestea sunt procesate,
  2. Solicitarea rectificării sau ștergerii oricăror date personale inexacte sau incomplete referitoare la acestea,
  3. Revocarea consimțământului sau obiecția pe motive legitime privind prelucrarea datelor lor personale, cu excepția cazului în care această prelucrare este impusă prin lege,
  4. Solicitarea de restricții privind prelucrarea atunci când datele personale nu mai sunt exacte sau necesare, sau prelucrarea este ilegală,
  5. A nu fi supus unei decizii bazate exclusiv pe procesare automată, inclusiv profilare, care să genereze efecte legale privind persoana sau să afecteze semnificativ în mod similar indivizii,
  6. Să primească datele lor personale într-un format structurat, folosit frecvent și lizibil de către mașinării, și
  7. Numirea unei persoane care să exercite drepturile la moartea sau incapacitatea individului.

Persoanele care doresc să exercite aceste drepturi și/sau să obțină informații despre prelucrarea datelor lor personale pot trimite o solicitare conform secțiunii "Întrebări și recurs" de mai jos.

Când CGI procesează date personale pentru propriile nevoi: CGI comunică orice rectificare sau ștergere a datelor personale sau restricție a procesării efectuată în conformitate cu Legislația aplicabilă privind protecția datelor fiecărui destinatar căruia i-au fost divulgate datele personale, cu excepția cazului în care acest lucru se dovedește imposibil sau implică un efort disproporționat. CGI se asigură că gestionează cererile fără întârzieri nejustificate, în conformitate cu procesul de solicitare a drepturilor individuale al CGI.

Când CGI procesează datele personale ale clienților: Dacă CGI primește o plângere sau o solicitare din partea persoanelor care doresc să-și exercite drepturile, CGI va comunica prompt toate informațiile relevante clientului și va indica în mod expres că este responsabilitatea clientului să gestioneze acea plângere sau cerere. CGI este responsabil doar pentru gestionarea plângerilor sau solicitărilor conform instrucțiunilor clientului.

Cum gestionează CGI breșele de securitate ale datelor personale?
CGI are un proces matur, bazat pe standarde, de răspuns și management al incidentelor de securitate, conceput pentru a gestiona toate fazele unui incident de securitate, inclusiv cele cu impact asupra confidențialității. Responsabilitățile Partenerilor CGI sunt clar definite la toate nivelurile. Se respectă standardele de evaluare a incidentelor și prioritizare pentru a asigura niveluri adecvate de implicare și rezolvare la timp.

Evidențele incidentelor sunt păstrate și raportate conducerii superioare CGI, după caz. Toate incidentele sunt gestionate prin Centrul Global de Operațiuni de Securitate (SOC) 24/7 al CGI, unde profesioniști în răspunsul la incidente, cu normă întreagă, coordonează eforturile de răspuns. Echipa de confidențialitate CGI este implicată imediat în procesul de gestionare a incidentelor ori de câte ori se suspectează sau se știe că sunt implicate date personale.

Dacă CGI consideră în mod rezonabil că a avut loc o încălcare a securității care a dus la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul la date personale transmise, stocate sau procesate în alt mod a avut loc, CGI va furniza notificări de incident de securitate și actualizări de stare autorității relevante pentru Protecția Datelor, persoanelor fizice și/sau clienților (după caz),  în conformitate cu Legislația Aplicabilă privind Protecția Datelor, precum și cu Fundația de Management CGI (CGI Management Foundation).

În mod similar, în cazul în care o breșă de date personale este identificată de un furnizor terț angajat de CGI, furnizorul terț trebuie să informeze CGI, conform acordului convenit în acordul relevant și în conformitate cu legislația aplicabilă privind protecția datelor.
 

1.5 Comunicare și instruire

CGI promovează continuu o cultură a protecției datelor în cadrul organizației sale. CGI implementează anual un program de învățare privind confidențialitatea datelor, actualizat regulat pentru a reflecta schimbările tehnologice și legislative. Un astfel de training este obligatoriu pentru toți partenerii CGI, subcontractorii și freelancerii. Toți liderii CGI trebuie să se asigure că partenerii CGI care le raportează urmează instruirea.
Partenerii CGI care raportează acestora urmează instruirea. Cursuri de învățare specifice rolului, adaptate mai multor funcții din cadrul organizației, precum și instruirile de securitate sunt disponibile pe platforma de învățare CGI.
Informații suplimentare dedicate partenerilor CGI pot fi furnizate și prin mai multe canale, inclusiv informări specifice privind confidențialitatea, webinarii, întâlniri individuale, buletine informative, sesiuni "Know How", campanii de conștientizare a securității și comunicări anuale globale legate de Ziua Confidențialității Datelor.
Acestea oferă partenerilor CGI conștientizarea principiilor de bază conținute în această Politică de Confidențialitate a Datelor și a celor mai bune practici asociate pentru a ajuta la protejarea CGI și a părților interesate împotriva accesului neautorizat și a manipulării necorespunzătoare a datelor personale.

1.6 Audit

CGI integrează în programul său intern de audit la nivel de afaceri o revizuire a conformității cu această Politică de Confidențialitate a Datelor. Programul de audit intern definește:

  1. Un program în baza căruia vor fi efectuate audituri,
  2. Domeniul așteptat al auditului, și
  3. Echipa responsabilă de audit.

Programul de audit intern la nivelul întregii afaceri include verificare la nivel de livrare, funcțional și corporativ. Programele de audit pot fi revizuite periodic. Totuși, CGI va efectua audituri interne în mod regulat prin echipe de audit calificate. Astfel de programe vor fi inițiate de departamentele relevante de audit CGI pentru fiecare nivel.

Rezultatele auditului vor fi comunicate organizației CGI Privacy și acțiunile rezultate vor fi definite și prioritizate, permițând organizației CGI Privacy să stabilească un program pentru implementarea măsurilor corective și preventive.

Autoritățile competente pentru protecția datelor, precum și clienții, pot solicita acces la rezultatele auditului (în acest ultim caz, sub rezerva obligațiilor contractuale, așa cum sunt definite în Cadrul de Management al Contractelor). O astfel de comunicare este supusă unui acord de confidențialitate, iar rezultatele auditului nu includ nicio informație confidențială despre alți clienți CGI sau arii interne de afaceri CGI. Publicarea unor astfel de rezultate este supusă aprobării organizației CGI Privacy și a Serviciilor Juridice.

Ca parte a certificării CGI ISO27701:2019, auditorii externi independenți de CGI acționează ca o linie suplimentară de conformitate. Ei asigură supravegherea și asigurarea implementării ISO27701:2019 pe toate locațiile noastre CGI certificate și efectuează audituri anuale. Rezultatele acestor audituri sunt tratate conform tuturor rezultatelor auditului, orice măsuri corective și preventive recomandate fiind prioritizate în toate ariile afacerii.

1.7 Organizația de Confidențialitate CGI

CGI a desemnat un Ofițer Principal pentru Confidențialitate ("CPO") și o rețea de Parteneri de Afaceri în Confidențialitate care pot fi, de asemenea, numiți Ofițeri pentru Protecția Datelor, în conformitate cu Legislația aplicabilă privind Protecția Datelor, precum și specialiști în managementul documentelor. Organizația de confidențialitate CGI este definită mai detaliat pe pagina de confidențialitate a intranetului corporativ CGI.

1.8 Evidența activităților de procesare

CGI păstrează o evidență a activităților de procesare desfășurate ca parte a operațiunilor sale ("Inventarul de Procesare a Datelor"). CGI se va asigura că orice nouă precesare a datelor personale este înregistrată în Inventarul de Procesare a Datelor, cu informații relevante privind contextul fiecărei prelucrări a datelor personale. CGI va pune la dispoziția autorității de supraveghere o înregistrare a procesării la cerere.

1.9 Actualizări ale Politicii de Confidențialitate a Datelor

Această Politică de Confidențialitate a Datelor poate fi modificată periodic, după necesitate, iar CGI va emite comunicări relevante referitoare la astfel de modificări la momentul potrivit.

1.10 Întrebări, cereri și resurse

Întrebări și solicitări: În cazul întrebărilor legate de interpretarea sau aplicarea acestei Politici sau solicitări legate de datele dumneavoastră personale prelucrate de CGI, vă rugăm:

  • trimiteți un e-mail către privacy@cgi.com, sau
  • contactați Directorul de Confidențialitate CGI din Paris – Carré Michelet, 10-12 Cours Michelet, 92800 Puteaux, Franța, sau
  • Completați următorul formular online.

Mecanism independent de recurs: Dacă credeți că aveți dovezi de conduită necorespunzătoare care ar putea afecta CGI, CGI Partners, clienții sau acționarii săi, ar trebui să le raportați folosind Linia Etică CGI (CGI Ethics Hotline).
CGI urmărește să mențină relații solide cu autoritățile de protecție a datelor și să coopereze cu acestea în orice chestiune relevantă, inclusiv în orice solicitare de audit. CGI va analiza, de asemenea, cu atenție recomandările emise de autoritățile competente în protecția datelor în legătură cu prelucrarea datelor personale efectuată de CGI ca parte a operațiunilor sale.
Dacă aveți orice întrebare sau solicitare legată de datele dumneavoastră personale care nu este abordată de CGI în conformitate cu Legislația aplicabilă privind protecția datelor sau aveți nevoie de asistență din partea oricărei autorități competente pentru protecția datelor, puteți depune o plângere sau contacta autoritatea relevantă. Mai jos sunt resurse utile:

  • Canada
  • UE/Spațiul Economic European
  • Comisia Federală pentru Comerț (FTC)
  • India
  • Malaysia
  • Filipine
  • Quebec
  • Comisarul Federal Elvețian pentru Protecția Datelor și Informații
  • Biroul Comisarului pentru Informații din Marea Britanie (ICO) sau Autoritatea de Reglementare din Gibraltar (GRA)

Curtea de Revizuire a Protecției Datelor: Conform Cadrului de Confidențialitate a Datelor UE-SUA (DPF EU-SUA), validat de Comisia Europeană la 10 iulie 2023, Curtea de Revizuire a Protecției Datelor este al doilea nivel al unui mecanism de redresare în două niveluri care prevede revizuirea plângerilor calificate depuse de persoane fizice, prin autoritățile publice competente din țări străine desemnate sau organizații regionale de integrare economică,  acuzând anumite încălcări ale legii Statelor Unite referitoare la activitățile de informații de semnal ale Statelor Unite.

Proprietarul poliței
Directorul de confidențialitate al CGI

Autoritatea de aprobare
Comitetul Executiv de Management CGI

Data intrării în vigoare
01.05.2025
 

Versiune Data Autor Descriere
1.0 2017-10-16 Data privacy Documentul original al politicii.
1.1 2018-01-09 Data privacy Modificări ale stilului.
1.2 2021-01-01 Data privacy Actualizat pentru mai buna reflectare viitoarele cerințe ale Regulilor Corporative Obligatorii (Binding Corporate Rules) și Legea privind Confidențialitate Consumatorilor din California.
2.0 2021-10-01 Data privacy Actualizat pentru a reflecta Regulile Corporative Obligatorii.
2.1 2021-12-11 Data privacy Adăugarea Cadrului de Confidențialitate a Datelor UE-SUA (EU-US data privacy framework – DPF), extensia Regatului Unit (UK extension) si Cadrul de Confidențialitate a Datelor Elveția-SUA (Swiss – US DPF), a secțiunii 14 Întrebări și Recurs din Politica Externă, plus alinieri între versiunea internă și cea externă.
2.2 2024-12-19 Data privacy Actualizări privind terminologia Partenerilor CGI, revizuirea anuală a Regulilor Corporative Obligatorii CGI (Binding Corporate Rules), modificări legislative noi, îmbinarea dintre versiunea politicii externe și cea internă a Politicii de Confidențialitate a Datelor, plus referiri la cadrele CGI de Utilizare Responsabilă a Datelor, Inteligenței Artificiale și Tehnologiilor Cloud. 
2.3 2025-03-26 Data privacy Actualizare minor în secțiunea de Audit care să reflecte rezultatele auditurilor externe.

 

În scopul acestei Politici de Confidențialitate a Datelor, se folosesc următorii termeni cu definiții asociate:

  • Termeni și Definiții

Legislația aplicabilă privind protecția datelor    
Toate legile aplicabile prelucrării datelor personale, inclusiv, fără limitare și după caz:

(i) Regulamentul European privind Protecția Datelor 2016/679 (Regulamentul General privind Protecția Datelor, "GDPR") referitor la Prelucrarea Datelor Personale,
(ii) orice legislație locală aplicabilă.

  • BCR    

Reguli corporative obligatorii detaliate în Anexa 2 "Transferul datelor personale".

  • Entități juridice CGI

Toate entitățile juridice sunt controlate direct sau indirect de CGI Inc., cu excepția CGI Federal Inc. și a subsidiarelor sale.

  • Partener(i) CGI

Angajat(i) ai entităților juridice CGI.

  • CPO

Directorul Responsabil pentru Confidențialitate, așa cum este detaliat în Secțiunea "Organizarea Confidențialității CGI".

  • Controlor de date

Orice entitate care stabilește scopurile și mijloacele de prelucrare a datelor personale. Clientul este Controlorul de Date atunci când CGI procesează datele personale în numele acestuia, ca parte a unui proiect client. CGI poate acționa ca un Controlor de Date atunci când implementează, pentru propriile nevoi, o nouă soluție internă de Procesare a Datelor Personale.

  • Procesor de date

Orice entitate care acționează în numele și sub instrucțiunile unui Controlor de Date. CGI este un procesator de date atunci când procesează date personale în numele clienților săi.

  • DPF

Cadrul privind confidențialitatea datelor, așa cum este detaliat în Anexa 2 "Transferul datelor personale".

  • Legislație locală

Toate legile aplicabile în regiunile în care operează CGI, inclusiv, fără limitare: protecția datelor, securitatea, ocuparea forței de muncă, sectorul industriei și legislația consumatorilor.

  • Date personale

Orice informație referitoare la o persoană care poate fi identificată, direct sau indirect, în special prin referire la un identificator precum un nume, un număr de identificare, date de locație, identificator online sau unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale a acelei persoane fizice. Datele personale includ date personale sensibile.

  • Proces, procesare sau procesat

Orice operațiune sau set de operațiuni efectuate asupra datelor personale, fie prin mijloace automate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea, modificarea, recuperarea, consultanța (inclusiv acces la distanță), utilizarea, divulgarea prin transmitere, diseminarea sau altfel punerea la dispoziție, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

  • Date personale sensibile

Categorii specifice de date personale care dezvăluie origine rasială sau etnică, opinie politică, credințe religioase sau filosofice, sau apartenență la sindicat, și procesarea datelor genetice, date biometrice pentru identificarea unică a unei persoane naturale, date privind sănătatea și date privind viața sexuală sau orientarea sexuală a unei persoane fizice, precum și cazierele judiciare.

  • Furnizor terț

Orice terță parte angajată de CGI sau care furnizează bunuri și/sau servicii CGI, inclusiv furnizori, contractori, subcontractori și freelanceri.

  • Transfer

Trimiterea de Date Personale către o altă Entitate Juridică CGI sau către orice altă parte sau facilitarea accesibilă a Datelor Personale prin aceasta, atunci când cealaltă Entitate Juridică CGI sau parte nu se află în aceeași țară, provincie sau zonă geografică, așa cum este detaliat în Anexa 2 "Transfer de Date Personale".

Orice transfer de date personale trebuie să aibă loc în conformitate cu Legislația aplicabilă privind protecția datelor și prevederile din Anexa 2.

  • Transfer în cadrul CGI

O entitate juridică CGI implicată într-un transfer trebuie să se asigure că măsurile tehnice și organizaționale adecvate, proporționale cu orice riscuri de procesare, sunt implementate în conformitate cu această Politică de Confidențialitate a Datelor și politicile, procesele și standardele de securitate ale CGI. Aceste măsuri tehnice și organizaționale adecvate trebuie convenite și prezentate într-un acord de procesare a datelor sau într-un echivalent.

Reguli Corporative Obligatorii
CGI poate transfera datele personale ale persoanelor fizice din UE doar în conformitate cu Legislația aplicabilă privind protecția datelor și Regulile Corporative Obligatorii ("BCR") ale CGI, aprobate de autoritatea franceză pentru protecția datelor la 22 iulie 2021, după cum pot fi modificate. BCR se aplică tuturor entităților juridice CGI listate în BCR, iar fiecare entitate juridică CGI participantă este responsabilă să demonstreze conformitatea sa cu BCR. Toți partenerii CGI sunt obligați de BCR.
Pentru a afla mai multe despre BCR-ul nostru, vă rugăm să consultați intranetul corporativ CGI, site-ul său public și Registrul Consiliului European pentru Protecția Datelor.

Cadrul de Confidențialitate a Datelor UE-SUA (DPF), Extensia pentru Regatul Unit și DPF Elveția-SUA
Conform aprobării acordate de Departamentul Comerțului al SUA, următoarele Entități Juridice CGI sunt autocertificate conform Cadrelor de Confidențialitate a Datelor UE-SUA ("DPF"), Extensia UK și DPF Elveția-SUA:

  • CGI Technologies and Solutions Inc.
  • CGI Information Systems and Management Consultants (New York) Inc.
  • CGI Group Holdings USA Inc.

Soluții Automatizate pentru Conturile de Încasare Inc.

Aceste DPF oferă Entităților Juridice CGI menționate mai sus mecanisme fiabile pentru transferurile de date personale către Statele Unite din Uniunea Europeană, Regatul Unit și Elveția, asigurând în același timp protecția datelor în conformitate cu legislația aplicabilă privind protecția datelor din UE, Marea Britanie și Elveția.

CGI respectă Cadrul de Confidențialitate a Datelor UE-SUA (DPF EU-SUA) și Extinderea Regatului Unit la DPF UE-SUA, precum și Raportul Elveția-SUA. Cadrul de confidențialitate a datelor (Elveția-SUA) DPF) așa cum este stabilit de Departamentul de Comerț al SUA. CGI a certificat Departamentului Comerțului al SUA că aderă la Principiile-cadru privind confidențialitatea datelor UE-SUA (Principiile DPF UE-SUA) în ceea ce privește prelucrarea datelor personale primite de la Uniunea Europeană și Regatul Unit, bazându-se pe DPF UE-SUA și pe Extinderea Regatului Unit la DPF UE-SUA. CGI a certificat Departamentul Comerțului al SUA că respectă raportul Elveție-SUA. Principiile cadrului de confidențialitate a datelor (Elveția-SUA) Principiile DPF) în ceea ce privește prelucrarea datelor personale primite din Elveția, bazându-se pe Raportul Elvețiano-SUA. DPF. Dacă există vreun conflict între termenii acestei politici de confidențialitate și Principiile DPF UE-SUA și/sau Principiile Elvețieno-SUA, Principiile DPF vor avea prioritate.

Pentru a afla mai multe despre Programul Data Privacy Framework (DPF) și pentru a vizualiza certificarea noastră, vă rugăm să vizitați www.dataprivacyframework.gov/.

Comisia Federală pentru Comerț are jurisdicție asupra conformității CGI cu Cadrul de Confidențialitate a Datelor UE-SUA (DPF EU-SUA) și cu Extensia Regatului Unit la DPF UE-SUA, precum și cu Cadrul de confidențialitate a datelor Elveția-SUA (DPF Elveția-SUA).

În contextul unui transfer ulterior, CGI este responsabil pentru prelucrarea datelor personale pe care le primește conform principiilor DPF și transferurile ulterioare către un furnizor terț care acționează ca agent în numele acestuia. CGI rămâne răspunzătoare conform Principiilor DPF dacă orice furnizor terț angajat de CGI procesează astfel de Date Personale într-un mod incompatibil cu Principiile DPF, cu excepția cazului în care CGI dovedește că nu este responsabil pentru evenimentul care a generat daunele.

Persoanele pot invoca, în anumite condiții, arbitrajul obligatoriu pentru reclamațiile privind respectarea DPF care nu sunt soluționate de celelalte mecanisme DPF, așa cum este detaliat în ANEXA I A DFD.

  • Transferul către Terți

În mod regulat, CGI efectuează procese de due diligence și evaluări ale riscurilor de confidențialitate și securitate de către terți, cu furnizori terți angajați de CGI, pentru a stabili capacitățile și maturitatea corporativă în ceea ce privește securitatea și protecția datelor.
Ori de câte ori CGI se bazează pe furnizori terți pentru procesarea datelor personale, CGI se asigură că astfel de furnizori oferă un nivel adecvat de protecție datelor personale pe care le procesează, conform legislației aplicabile privind protecția datelor.