Site‑ul Digital Innovation Zone („Site‑ul”) și Platformele aferente sunt operate de Asociația Digital Innovation Zone – Zona de Inovare Digitală („noi”, „nouă” sau „al nostru/ă”), în calitate de operator de date cu caracter personal, în conformitate cu legislația privind protecția datelor, inclusiv Regulamentul (UE) 2016/679 („GDPR”). Rolul acestei note este de a informa utilizatorii Site‑ului și ai Platformei, precum și persoanele care se înscriu la evenimentele și activitățile eDIH‑DIZ 2.0, cu privire la activitățile de prelucrare a datelor cu caracter personal desfășurate de Asociația Digital Innovation Zone – Zona de Inovare Digitală și de partenerii săi din consorțiul Digital Innovation Zone.
Dacă vizitați Site‑ul fără a crea un cont sau fără a completa formulare, datele dvs. sunt prelucrate în principal prin intermediul cookie‑urilor, în conformitate cu Politica de Cookies publicată pe Site, pe care vă rugăm să o consultați. Ca utilizator cu cont în Platformă sau ca persoană înscrisă la un eveniment, datele dvs. vor fi prelucrate conform informațiilor de mai jos și conform cadrului descris în Data Management Plan eDIH‑DIZ 2.0.
Operatorii asociați
Proiectul eDIH-DIZ 2.0 este implementat de un consorțiu de parteneri (Beneficiari) care acționează în calitate de operatori asociați pentru prelucrarea datelor dumneavoastră cu caracter personal în contextul înscrierii și participării la evenimente și activități ale proiectului.
Activitățile Digital Innovation Zone sunt organizate de Asociația Digital Innovation Zone – Zona de Inovare Digitală (și partenerii DIZ din consorțiul Digital Innovation Zone, Agenția pentru Dezvoltare Regională Nord-Est, Atelierul de Idei, Grapefruit, Imago-Mol Cluster, Strongbytes, Universitatea Tehnică ,,Gheorghe Asachi’’ Iași (TUIASI), Universitatea de Medicină și Farmacie ,,Grigore T. Popa’’, Universitatea de ȘTIINȚELE VIEȚII din IAȘI 1842, RoDIH, Universitatea Națională de Arte George Enescu Iași, Universitatea Alexandru Ioan Cuza din Iași, Asociația patronală a industriei de software și servicii), un HUB european de inovare digitală care sprijină transformarea și inovația digitală în rândul IMM-urilor și instituțiilor publice din sectoarele de sănătate și producție.
Lista actualizată a partenerilor și rolurile acestora în prelucrarea datelor este disponibilă pe site-ul proiectului, în secțiunea „Protecția datelor”.
Datele prelucrate
Prin acest formular online se colectează și se prelucrează, după caz
Pentru a putea furniza funcționalitățile Site‑ului și ale Platformei, precum și pentru a gestiona înscrierea și participarea la evenimente (conferințe, grupuri de lucru, webinare, etc), utilizăm datele pe care le furnizați în formularele de înscriere sau atunci când aplicați la oportunitățile publicate pe Site. În mod obișnuit, aceste date includ: nume, prenume, funcție, organizație, număr de angajați (pentru companii), adresa de e‑mail, număr de telefon, localitate, precum și informații privind interesul pentru anumite servicii, tipul evenimentului și preferințe logistice.
Unele funcționalități ale Site‑ului/Platformei au ca scop evaluarea nivelului de maturitate digitală al companiei dvs.; instrumentele de tip Digital Maturity Assessment analizează dimensiuni precum strategia digitală, pregătirea digitală, orientarea human‑centric, managementul datelor, automatizarea și digitalizarea sustenabilă. Rezultatele acestor evaluări sunt utilizate pentru a vă propune un parcurs adecvat în cadrul serviciilor eDIH‑DIZ 2.0 și pentru raportare în cadrul proiectului, în temeiul executării contractului și al obligațiilor de raportare.
Putem folosi datele de contact (e‑mail, telefon) pentru a vă contacta în vederea realizării de studii de piață, sondaje de opinie sau chestionare de satisfacție, pe baza interesului nostru legitim de a monitoriza impactul serviciilor și de a le îmbunătăți. Dacă nu doriți să fiți contactat în aceste scopuri, ne puteți comunica opțiunea dvs., iar noi o vom respecta.
Scopul și temeiul legal al prelucrării
Datele dumneavoastră sunt prelucrate în următoarele scopuri:
Nu utilizăm datele colectate prin acest formular pentru decizii automatizate cu efect juridic sau similar semnificativ asupra dumneavoastră; eventualele recomandări sau profilări de tip „journey beneficiar” sunt supuse intervenției și validării umane.
Ai dreptul de a‑ți retrage consimțământul privind utilizarea fotografiilor și materialelor video, în orice moment; în acest caz, solicitările privind ștergerea sau anonimizarea imaginilor pot fi adresate către Coordonatorul Consorțiului – Universitatea Tehnică „Gheorghe Asachi” din Iași sau către responsabilul cu protecția datelor (cpdcp@groups.tuiasi.ro), pentru evenimentele și activitățile organizate de aceștia, sau către responsabilii cu protecția datelor nominalizați de către fiecare partener, în măsura în care ștergerea este posibilă și nu contravine obligațiilor de retenție sau de arhivare ale proiectului.
Destinatarii datelor și transferuri
Datele sunt accesibile doar persoanelor autorizate din cadrul consorțiului eDIH-DIZ 2.0 implicate în organizarea și raportarea evenimentelor (coordonator de proiect, responsabili de work package, personal administrativ, traineri și experți implicați în activități), în baza principiului „need-to-know”.
Datele pot fi comunicate autorităților finanțatoare și altor organisme de control doar în măsura necesară îndeplinirii obligațiilor legale și contractuale ale proiectului, în condiții de confidențialitate.
Prelucrarea datelor are loc în spațiul UE/SEE; nu sunt anticipate transferuri de date către țări terțe în afara UE/SEE.
În cazul utilizării unor servicii de tip CRM sau platforme cloud (de exemplu pentru gestionarea înscrierilor și comunicărilor), acestea sunt operate în baza unor Acorduri de Prelucrare a Datelor (DPA), cu centre de date în UE și cu măsuri adecvate de securitate, inclusiv criptare și controale de acces.
Perioada de stocare
Datele legate de înscrierea și participarea la evenimente se păstrează pe durata proiectului și ulterior, pe perioada necesară îndeplinirii obligațiilor de audit, raportare și arhivare prevăzute în contractul de finanțare și legislația aplicabilă.
Datele utilizate pentru comunicări de tip newsletter sunt păstrate până la retragerea consimțământului sau exercitarea dreptului de opoziție, iar ulterior sunt șterse sau anonimizate, conform politicii de retenție din Data Management Plan.
Drepturile dumneavoastră
În legătură cu prelucrarea datelor dumneavoastră, beneficiați de următoarele drepturi, în limitele stabilite de GDPR:
Exercitarea drepturilor se poate realiza printr‑o solicitare scrisă transmisă către responsabilul cu protecția datelor (DPO) al partenerului organizator, la datele de contact menționate pe site‑ul proiectului; cererile sunt soluționate, de regulă, în termen de cel mult 30 de zile.
Securitatea datelor
Consorțiul eDIH-DIZ 2.0 aplică principii de „privacy by design și by default” și implementează măsuri tehnice și organizatorice adecvate pentru protejarea datelor:
În cazul unui incident de securitate care afectează confidențialitatea, integritatea sau disponibilitatea datelor dumneavoastră, consorțiul va acționa conform procedurilor de notificare prevăzute de GDPR (inclusiv, dacă este cazul, informarea autorității de supraveghere și a persoanelor vizate).
Autoritatea de supraveghere
Aveți dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) sau la altă autoritate de supraveghere competentă, dacă apreciați că prelucrarea datelor dumneavoastră în contextul proiectului eDIH-DIZ 2.0 încalcă prevederile GDPR.
Protecția datelor
În cadrul proiectului eDIH‑DIZ 2.0, protecția datelor cu caracter personal este tratată ca o obligație operațională și de conformitate aplicabilă tuturor activităților de promovare, înscriere, evaluare, livrare de servicii, monitorizare și raportare. Prelucrarea datelor se realizează în conformitate cu Regulamentul (UE) 2016/679 (GDPR), cu cerințele Programului Europa Digitală, cu prevederile Consortium Agreement și cu regulile interne definite în Data Management Plan al proiectului.
Proiectul funcționează ca un ecosistem de servicii digitale și de inovare pentru IMM-uri și organizații din sectorul public, iar datele sunt prelucrate numai în măsura necesară pentru gestionarea relației cu beneficiarii, furnizarea serviciilor și respectarea obligațiilor de audit, raportare și calitate. Formularul oficial online de intake reprezintă punctul standardizat de intrare în procesul de onboarding, iar datele colectate prin acesta sunt utilizate pentru evaluarea inițială a eligibilității, înregistrarea lead‑ului și alocarea parcursului beneficiarului în hub.
Operatori și roluri
eDIH‑DIZ 2.0 este implementat de un consorțiu de parteneri, iar în funcție de activitatea concretă de prelucrare, aceștia pot acționa ca operatori asociați, operatori independenți sau persoane împuternicite, conform relației dintre scopurile și mijloacele prelucrării. D5.3 Planul de Management al datelor în cadrul proiectului prevede explicit utilizarea acordurilor de tip controller-to-controller, controller-to-processor și joint controller arrangements, inclusiv pentru seturile de date gestionate în comun, cum este CRM‑ul HubSpot administrat în principal de Asociația Digital Innovation Zone (DIZ ONG) și Universitatea Tehnică Gheorghe Asachi din Iași (TUIASI).
Structura de guvernanță a datelor include un Data Management Coordinator la TUIASI, responsabili cu protecția datelor în fiecare beneficiar, un CRM Data Manager la DIZ ONG și responsabili cu protecția datelor de date pentru fiecare organizație parteneră. În arhitectura operațională a proiectului, TUIASI are rol central în coordonare, WP2 Test Before Invest și WP5 Coordination & Sustainability, DIZ ONG gestionează în special CRM‑ul, activitățile WP3 Skills/AI Helpdesk și WP4 Access to Finance, iar Agenția pentru Dezvoltare Regională Nord-Est (ADRNE) are rol relevant în activitățile de ecosistem, outreach și date asociate WP1.
Parteneri și roluri în prelucrarea datelor
Lista de mai jos este informativă și actualizată periodic, pe măsură ce se modifică responsabilitățile operaționale sau persoanele de contact.
Partener / entitate | Rol principal în proiect | Rol posibil în prelucrarea datelor | Exemple de date / operațiuni | Date de contact Responsabil Protecția Datelor |
|---|---|---|---|---|
TUIASI – Universitatea Tehnică „Gheorghe Asachi” din Iași | Coordonare generală, WP2, WP5 | Operator sau operator asociat pentru coordonare, evaluări, PoC, raportare
| Date de management de proiect, date de evaluare DMA, date tehnice din TBI, date financiare și de raportare | dpo@tuiasi.ro |
DIZ ONG
| CRM management, WP3, WP4, punct unic de intrare pentru lead‑ur
| Operator asociat / operator pentru CRM, training, helpdesk, comunicare cu beneficiarii | Date de contact, date de training, interacțiuni AI Helpdesk, înscrieri la evenimente, newslettere | |
ADRNE – Agenția pentru Dezvoltare Regională Nord‑Est | WP1 Ecosystem & Outreach | Operator sau operator asociat pentru activități de ecosistem și evenimente | Baze de date stakeholderi, înscrieri și participare la evenimente, feedback, date de comunicare | |
Alți parteneri din consorțiu și entități afiliate
| Furnizare servicii specializate și suport operațional
| Operatori / persoane împuternicite, după caz și după relația contractuală
| Date strict necesare pentru livrarea serviciului alocat, în baza principiului need-to-know
|
D5.3 prevede că fiecare beneficiar și entitate afiliată are responsabilități proprii de conformitate GDPR, iar solicitările persoanelor vizate sunt gestionate prin DPO‑ul părții care efectuează prelucrarea sau prin mecanismul comun stabilit la nivelul consorțiului.
Ce date prelucrăm
În cadrul proiectului sunt gestionate 14 categorii distincte de date, incluzând date despre organizații beneficiare, persoane de contact, evaluări de maturitate digitală, foi de parcurs, date PoC, date de training, interacțiuni din AI Helpdesk, loguri de acces, date financiare, date despre experți, date pentru evenimente și comunicare, feedback și date de management de proiect. Pentru interacțiunile prin website și formularele online, categoriile cele mai frecvente sunt datele organizației beneficiare, datele persoanei de contact, datele privind participarea la evenimente și comunicare, precum și feedbackul furnizat după activități.
În mod obișnuit, pot fi colectate următoarele tipuri de date: nume și prenume, organizație, funcție, e‑mail, telefon, localizare, sector de activitate, interes pentru servicii, informații privind participarea la evenimente sau cursuri, răspunsuri la chestionare și feedback. În unele fluxuri operaționale, proiectul poate prelucra și date mai sensibile din punct de vedere al confidențialității comerciale, cum sunt cele din evaluări, prototipuri, analize tehnice sau pregătire pentru finanțare, însă accesul la acestea este restrâns și guvernat contractual.
Scopuri și temeiuri legale
Datele sunt prelucrate pentru gestionarea înscrierilor și relației cu beneficiarii, livrarea serviciilor contractate, desfășurarea activităților de training și evenimente, monitorizarea calității, raportarea către finanțator și îndeplinirea obligațiilor legale și contractuale aferente proiectului. D5.3 stabilește că temeiurile principale utilizate în proiect sunt executarea contractului, obligația legală, consimțământul și interesul legitim, în funcție de activitatea concretă de prelucrare.
Pentru serviciile furnizate beneficiarilor, temeiul este în principal executarea contractului, conform art. 6 alin. (1) lit. b GDPR. Pentru raportarea către autoritatea finanțatoare, conformarea cu regulile de ajutor de stat și obligațiile de audit, temeiul este obligația legală, conform art. 6 alin. (1) lit. c GDPR. Pentru monitorizarea satisfacției și îmbunătățirea calității serviciilor, D5.3 indică interesul legitim, cu documentarea testului de balansare. Pentru fotografii, înregistrări video la evenimente, newslettere și alte comunicări de marketing, temeiul este consimțământul persoanei vizate, conform art. 6 alin. (1) lit. a GDPR.
Partajare și acces
Accesul la date se acordă pe baza principiului „minimum necessary access” și prin mecanisme de control pe bază de rol, astfel încât fiecare partener sau membru al echipei să poată accesa numai informațiile necesare pentru sarcinile sale. D5.3 descrie patru niveluri principale de acces în CRM: full access pentru administrare și coordonare, WP-level access pentru liderii de pachete de lucru, service-level access pentru echipele de livrare și read-only reporting pentru statistici și indicatori agregați.
Atunci când serviciile sunt co-livrate de mai mulți parteneri, transferul de date între aceștia se face numai după încheierea acordurilor corespunzătoare privind prelucrarea datelor, conform Consortium Agreement 4.5 și cadrului de DPA descris în D5.3. Datele pot fi puse la dispoziția autorităților de management, organismelor de audit, Comisiei Europene, OLAF, EPPO sau altor entități cu competență legală, în măsura strict necesară și, ori de câte ori este posibil, sub formă agregată sau anonimizată.
Proiectul urmează principiul „As Open as Possible, As Closed as Necessary”, ceea ce înseamnă că materialele metodologice agregate, prezentările de eveniment și anumite rezultate nepersonale pot fi publicate deschis, însă datele individuale ale beneficiarilor, datele experților, informațiile financiare și detaliile tehnice confidențiale nu sunt făcute publice.
Stocare, retenție și securitate
Conform Planului de Management al Datelor, majoritatea categoriilor de date relevante pentru relația cu beneficiarii și pentru livrarea serviciilor sunt păstrate timp de 5 ani de la plata finală a grantului, iar anumite categorii, cum sunt datele financiare, pot avea o perioadă mai lungă, de 10 ani, în baza obligațiilor fiscale și de audit. Pentru datele din categoria event communication, perioada de retenție este guvernată atât de obligațiile minime de proiect, cât și de termenii consimțământului, în special pentru materiale foto-video sau comunicări ulterioare.
Securitatea datelor este asigurată prin criptare la stocare și în tranzit, control al accesului pe bază de rol, autentificare multi-factor pentru acces administrativ, audit logging, politici interne de protecție a datelor, instruire a personalului și proceduri de răspuns la incidente. Pentru activitățile tehnice din WP2, testarea și dezvoltarea se desfășoară în medii sandbox izolate, cu segregarea strictă a datelor beneficiarilor și cu acces auditat.
În caz de incident de securitate, proiectul aplică o procedură formală de răspuns la breșe, cu notificare internă rapidă, evaluare de impact, notificarea autorității competente în termenul legal și, dacă este cazul, informarea persoanelor vizate fără întârziere nejustificată.
Drepturile persoanelor vizate
Persoanele ale căror date sunt prelucrate în cadrul proiectului beneficiază de drepturile prevăzute de GDPR, inclusiv dreptul de acces, rectificare, ștergere, restricționare, portabilitate, opoziție și retragerea consimțământului, acolo unde prelucrarea se bazează pe consimțământ. D5.3 prevede că solicitările se soluționează, de regulă, în termen de o lună, iar atunci când ștergerea nu este posibilă din cauza obligațiilor de retenție, datele pot fi restricționate în loc să fie șterse.
Solicitările privind exercitarea drepturilor pot fi transmise către responsabilul cu protecția datelor al partenerului relevant sau prin canalul de contact publicat în această secțiune a site‑ului. Proiectul menține registre pentru solicitările persoanelor vizate, pentru accesul la date și pentru operațiunile de ștergere, astfel încât răspunsurile și măsurile adoptate să poată fi urmărite și demonstrate.
Utilizarea instrumentelor GenAI
D5.3 introduce un cadru separat de guvernanță pentru utilizarea instrumentelor de inteligență artificială generativă în proiect, cu accent pe suveranitatea datelor, documentarea utilizării, evaluarea riscurilor și supravegherea umană obligatorie. Orice utilizare semnificativă a unor astfel de instrumente trebuie să fie justificată printr-un scop clar, să fie documentată și să fie validată de o persoană responsabilă înainte ca rezultatul să fie utilizat în servicii, materiale sau livrabile.
Este interzisă utilizarea conturilor personale de GenAI pentru activități de proiect și este interzisă introducerea în instrumente externe de GenAI a datelor cu caracter personal ale beneficiarilor, a informațiilor confidențiale sau a datelor sensibile ale proiectului fără bază legală, evaluare de risc, acorduri contractuale și garanții tehnice adecvate. Atunci când utilizarea GenAI este permisă, proiectul aplică principiul minimizării datelor și favorizează utilizarea datelor anonimizate, agregate sau sintetice.
Contact
Pentru întrebări privind protecția datelor, exercitarea drepturilor GDPR sau clarificări privind rolurile partenerilor, această pagină trebuie să includă un punct unic de contact și, după caz, datele de contact ale DPO‑ului sau persoanei responsabile din cadrul fiecărui partener relevant. În plus, persoanele vizate au dreptul de a depune plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, dacă apreciază că prelucrarea datelor lor nu respectă legislația aplicabilă.
Pentru întrebări privind prelucrarea datelor cu caracter personal în cadrul eDIH‑DIZ 2.0, pentru exercitarea drepturilor GDPR sau pentru clarificări privind partenerii implicați în prelucrare, vă rugăm să utilizați datele de contact publicate în această secțiune. Dacă apreciați că drepturile dumneavoastră au fost încălcate, puteți depune o plângere la ANSPDCP, în condițiile prevăzute de lege.