Politica privind prelucrarea datelor cu caracter personal și confidențialitatea datelor – RQM Certification

Personal Data Processing and Data Confidentiality Policy – RQM Certification

Introducere

Politica de față descrie modul în care RQM Certification SRL (furnizor de formare profesională pentru adulți) colectează, utilizează, stochează și protejează datele cu caracter personal ale cursanților, clienților și ale altor persoane cu care interacționează.

RQM Certification se angajează să respecte legislația aplicabilă, inclusiv Regulamentul (UE) 2016/679 (Regulamentul general privind protecția datelor – GDPR) și legile naționale relevante (de exemplu, OG 129/2000 privind formarea profesională a adulților). Scopul politicii este de a asigura transparența prelucrării datelor și protejarea confidențialității, în conformitate cu principiile GDPR și cu angajamentul companiei de a prelucra doar datele necesare furnizării serviciilor sale de formare. Documentul de mai jos prezintă principiile, scopurile, temeiurile legale și măsurile de securitate adoptate, precum și drepturile de care beneficiază persoanele vizate în relația cu RQM Certification.

Introduction 

This policy describes how RQM Certification SRL (provider of professional training for adults) collects, uses, stores, and protects the personal data of trainees, clients, and other individuals with whom it interacts.

RQM Certification is committed to complying with applicable legislation, including Regulation (EU) 2016/679 (General Data Protection Regulation – GDPR) and relevant national laws (for example, Government Ordinance 129/2000 regarding professional training for adults). The purpose of this policy is to ensure transparency in data processing and protection of confidentiality, in accordance with GDPR principles and the company’s commitment to process only the data necessary for providing its training services. The document below presents the principles, purposes, legal grounds, and security measures adopted, as well as the rights that data subjects have in their relationship with RQM Certification.

Principii de prelucrare a datelor

În prelucrarea datelor cu caracter personal, RQM Certification respectă strict principiile impuse de GDPR, asigurând o prelucrare legală, echitabilă și transparentă. Principiile de bază aplicate sunt:

• Legalitate, echitate și transparență: Datele sunt prelucrate în mod legal și transparent față de persoana vizată, compania asumându-și responsabilitatea respectării legislației aplicabile (principiul răspunderii). Persoanele vizate sunt informate complet, exact și obiectiv cu privire la datele colectate și scopurile prelucrării (principiul transparenței).
• Limitarea scopului: Datele cu caracter personal sunt colectate în scopuri determinate, explicite și legitime și nu vor fi ulterior prelucrate într-un mod incompatibil cu aceste scopuri. RQM Certification utilizează datele numai în scopul pentru care au fost colectate, așa cum este detaliat în secțiunea de mai jos privind scopurile prelucrării.
• Minimizarea datelor: Se colectează doar datele adecvate, relevante și limitate la ceea ce este necesar raportat la scopurile pentru care sunt prelucrate. RQM Certification solicită doar datele strict necesare pentru o bună comunicare și pentru furnizarea serviciilor către clienți.
• Acuratețea datelor: Datele personale colectate sunt menținute corecte și, acolo unde este necesar, actualizate (principiul exactității). Compania ia măsuri pentru ca datele inexacte să fie rectificate sau șterse prompt.
• Limitarea stocării: Datele nu sunt stocate mai mult timp decât este necesar pentru îndeplinirea scopurilor declarate ale prelucrării (principiul limitării stocării). Perioadele concrete de păstrare sunt descrise în secțiunea “Perioada de stocare”, respectându-se termenele legale aplicabile fiecărei categorii de date.
• Integritate și confidențialitate: RQM Certification implementează măsuri tehnice și organizatorice adecvate pentru securitatea datelor, protejând datele personale împotriva accesului, divulgării, modificării sau distrugerii neautorizate. Compania garantează confidențialitatea datelor prelucrate, prevenind riscurile externe și incidentele interne care ar putea afecta datele personale.

Prin respectarea acestor principii, RQM Certification asigură o prelucrare etică și responsabilă a datelor cu caracter personal, oferind totodată persoanelor vizate încrederea că datele lor sunt în siguranță și folosite într-un mod transparent și previzibil.

Principles of Data Processing 

In processing personal data, RQM Certification strictly adheres to the principles imposed by GDPR, ensuring lawful, fair, and transparent processing. The basic principles applied are:

• Lawfulness, fairness, and transparency: Data is processed legally and transparently with respect to the data subject, with the company assuming responsibility for compliance with applicable legislation (the principle of accountability). Data subjects are fully, accurately, and objectively informed about the data collected and the purposes of processing (the principle of transparency).
• Purpose limitation: Personal data is collected for specified, explicit, and legitimate purposes and will not be further processed in a manner incompatible with these purposes. RQM Certification uses the data only for the purpose for which it was collected, as detailed in the section below regarding the purposes of processing.
• Data minimization: Only data that is adequate, relevant, and limited to what is necessary in relation to the purposes for which it is processed is collected. RQM Certification requests only the data strictly necessary for good communication and for providing services to clients.
• Data accuracy: The personal data collected is kept accurate and, where necessary, updated (the principle of accuracy). The company takes measures to ensure that inaccurate data is promptly rectified or deleted.
• Storage limitation: Data is not stored for longer than necessary for fulfilling the declared purposes of processing (the principle of storage limitation). The specific retention periods are described in the “Storage Period” section, respecting the legal terms applicable to each category of data.
• Integrity and confidentiality: RQM Certification implements appropriate technical and organizational measures for data security, protecting personal data against unauthorized access, disclosure, modification, or destruction. The company guarantees the confidentiality of processed data, preventing external risks and internal incidents that could affect personal data.

By adhering to these principles, RQM Certification ensures ethical and responsible processing of personal data, while also providing data subjects with confidence that their data is safe and used in a transparent and predictable manner.

Categoriile de date prelucrate

RQM Certification prelucrează diverse categorii de date cu caracter personal, în principal date furnizate direct de persoanele vizate în contextul participării la cursuri sau al interacțiunii cu site-ul și serviciile noastre. Categoriile de date colectate pot include:

• Date de identificare: Nume și prenume; pentru anumite cursuri sau certificate poate fi necesară și informația de identificare unică (de exemplu, cod numeric personal – CNP, serie și număr act de identitate), mai ales în cazul programelor certificate oficial (cum sunt cursurile acreditate de “Ministerul Muncii, Familiei, Tineretului și Solidarității Sociale”).
• Date de contact: Adresă de e-mail, număr de telefon mobil/fix, adresă poștală (domiciliu/reședință sau adresă profesională, după caz). Aceste date ne permit comunicarea cu cursanții și emiterea documentelor necesare (de exemplu: transmiterea certificatului de absolvire).
• Date profesionale sau academice: În funcție de curs, pot fi solicitate informații despre ocupația actuală, locul de muncă, funcția, sau nivelul de educație atins (de exemplu, dovada absolvirii unui anumit nivel de studii, dacă este condiție prealabilă pentru înscrierea la curs).
• Date financiare pentru facturare: Nume și prenume (pentru persoane fizice) sau denumirea companiei (pentru persoane juridice), codul numeric personal sau CUI (cod unic de înregistrare) al firmei, adresa de facturare, și detalii legate de plăți (de exemplu, cont bancar) acolo unde este necesar. Aceste date sunt folosite exclusiv pentru emiterea facturilor și îndeplinirea obligațiilor contabile/fiscale.
• Date privind participarea la cursuri: Cursurile la care v-ați înscris sau pe care le-ați absolvit, date privind prezența și rezultatele obținute (de ex. promovarea examenelor asociate cursului, note/ calificative dacă e cazul), seria și detaliile certificatului emis. Aceste informații sunt necesare pentru organizarea cursurilor și eliberarea certificatelor de absolvire.
• Date transmise voluntar de către persoană: Orice informații suplimentare pe care persoana vizată le oferă în mod voluntar. De exemplu, mesajele trimise prin formularul de contact al site-ului sau corespondența pe e-mail pot conține date personale suplimentare (cum ar fi detalii despre solicitări, feedback, preferințe sau alte date pe care utilizatorul le împărtășește).
• Date tehnice de navigare (date colectate automat): La vizitarea site-ului web RQM Certification, anumite date pot fi colectate automat din motive tehnice și de securitate, cum ar fi adresa IP, tipul dispozitivului și al browserului folosit, fișiere jurnal de server și cookie-uri. Aceste date sunt utilizate exclusiv pentru buna funcționare și securizare a site-ului și pentru îmbunătățirea experienței de navigare, conform Politicii de cookie-uri (veți fi informat și veți putea accepta/refuza cookie-urile la prima vizită pe site).

Majoritatea datelor de mai sus sunt colectate direct de la dumneavoastră, în două situații principale: (1) la înscrierea la cursurile oferite de RQM Certification, prin completarea formularului de participare (online sau pe suport hârtie) și (2) când ne contactați prin intermediul formularului de contact de pe site. Furnizarea acestor date este voluntară, însă refuzul de a oferi datele esențiale (precum numele sau datele de contact) poate împiedica înscrierea la curs sau comunicarea ulterioară cu dumneavoastră în vederea prestării serviciilor solicitate.

Categories of Processed Data 

RQM Certification processes various categories of personal data, primarily data provided directly by the data subjects in the context of course participation or interaction with our website and services. The categories of collected data may include:

• Identification data: First and last name; for certain courses or certificates, unique identification information may also be required (for example, personal identification number – CNP, ID card series and number), especially for officially certified programs (such as courses accredited by the “Ministry of Labor, Family, Youth and Social Solidarity”).
• Contact data: Email address, mobile/landline phone number, postal address (home/residence or professional address, as applicable). This data allows us to communicate with trainees and issue necessary documents (for example: sending the completion certificate).
• Professional or academic data: Depending on the course, information about current occupation, workplace, position, or level of education achieved may be requested (for example, proof of completion of a certain level of studies, if it is a prerequisite for course enrollment).
• Financial data for billing: First and last name (for individuals) or company name (for legal entities), personal identification number or CUI (unique registration code) of the company, billing address, and payment details (for example, bank account) where necessary. This data is used exclusively for issuing invoices and fulfilling accounting/fiscal obligations.
• Course participation data: Courses you have enrolled in or completed, attendance data and obtained results (e.g., passing course-associated exams, grades/qualifications if applicable), the series and details of the issued certificate. This information is necessary for organizing courses and issuing completion certificates.
• Data voluntarily transmitted by the person: Any additional information that the data subject voluntarily provides. For example, messages sent through the website’s contact form or email correspondence may contain additional personal data (such as details about requests, feedback, preferences, or other data that the user shares).
• Technical navigation data (automatically collected data): When visiting the RQM Certification website, certain data may be automatically collected for technical and security reasons, such as IP address, device and browser type used, server log files, and cookies. This data is used exclusively for the proper functioning and security of the website and to improve the browsing experience, according to the Cookie Policy (you will be informed and can accept/refuse cookies upon your first visit to the site).

Most of the above data is collected directly from you, in two main situations: (1) when registering for courses offered by RQM Certification, by completing the participation form (online or on paper) and (2) when contacting us through the contact form on the website. Providing this data is voluntary, but refusing to provide essential data (such as name or contact details) may prevent course enrollment or subsequent communication with you for the purpose of providing the requested services.

Scopurile prelucrării

Datele cu caracter personal colectate de RQM Certification sunt utilizate exclusiv în scopuri legitime legate de desfășurarea activităților de formare profesională și de furnizare a serviciilor către clienți. Scopurile principale ale prelucrării includ:

• Furnizarea serviciilor de formare profesională și comunicarea cu clienții: Datele sunt prelucrate pentru a permite înscrierea la cursuri, gestionarea participării și comunicarea cu dumneavoastră pe parcursul derulării cursului. Aceasta include comunicări administrative (confirmarea înscrierii, informații organizatorice despre curs – locație, orar, materiale de curs), comunicări tehnice (asistență pentru acces la platforma online, dacă este cazul) și comunicări comerciale legate strict de serviciul achiziționat (facturi, oferte pentru cursuri adiționale solicitate de client etc.).
• Îndeplinirea obligațiilor financiare (facturare și plăți): Datele personale sunt folosite pentru emiterea facturilor fiscale pentru serviciile de formare prestate și pentru gestionarea plăților (încasarea taxelor de curs). De exemplu, numele și adresa furnizate sunt utilizate la generarea facturii, conform legislației fiscale.
• Eliberarea certificatelor de absolvire și atestarea competențelor: Pentru cursanții care finalizează programele de formare, RQM Certification prelucrează datele necesare emiterii certificatelor/diplomelor care atestă absolvirea. Acest scop include și verificarea îndeplinirii condițiilor de certificare și, dacă este cazul, transmiterea datelor către organisme de certificare partenere sau autorități (de ex. Autoritatea Națională pentru Calificări, Directoratul Național de Securitate Cibernetică, Ministerul Muncii, Familiei, Tineretului și Solidarității Sociale sau organisme internaționale precum PECB/AXELOS – vezi secțiunea “Destinatarii datelor”)
• Respectarea obligațiilor legale în domeniul formării profesionale: În calitate de furnizor autorizat de formare, RQM Certification are anumite obligații legale, cum ar fi raportarea participanților și a rezultatelor către autorități (de exemplu, transmiterea situațiilor către Ministerul Muncii, Familiei, Tineretului și Solidarității Sociale și/sau Directoratul Național de Securitate Cibernetică) pentru cursurile acreditate de acestea. Astfel, datele pot fi prelucrate pentru întocmirea registrelor de formare, a rapoartelor sau a statisticilor cerute de lege.
• Asigurarea securității și îmbunătățirea serviciilor: Anumite date tehnice (precum log-urile serverului web sau informațiile colectate prin cookie-uri necesare) sunt folosite pentru a menține securitatea site-ului și a sistemelor, pentru a preveni fraudele sau accesările neautorizate și pentru a îmbunătăți experiența utilizatorilor pe site. Aceste scopuri sunt strict legate de funcționarea optimă a serviciilor și protecția intereselor legitime ale companiei și ale utilizatorilor.
• Alte scopuri pentru care există consimțământ: În situația în care RQM Certification ar dori să utilizeze datele în scopuri de marketing (de exemplu, trimiterea de newslettere cu informații despre cursuri noi sau oferte speciale), acest lucru se va face doar pe baza consimțământului prealabil, liber exprimat al persoanei vizate. În prezent, RQM Certification nu folosește datele colectate în alte scopuri decât cele legate direct de furnizarea serviciilor de formare și nu vinde datele către terți pentru marketing/comercial.

Important: Datele cu caracter personal nu vor fi prelucrate ulterior într-un mod incompatibil cu scopurile inițiale. În situația în care RQM Certification intenționează să prelucreze datele în alt scop decât cele descrise mai sus, va fi furnizată persoanei vizate o informare suplimentară, iar dacă este necesar, se va solicita consimțământul acesteia.

Purposes of Processing 

Personal data collected by RQM Certification is used exclusively for legitimate purposes related to conducting professional training activities and providing services to clients. The main purposes of processing include:

• Providing professional training services and communicating with clients: Data is processed to enable course enrollment, manage participation, and communicate with you during the course. This includes administrative communications (enrollment confirmation, organizational information about the course – location, schedule, course materials), technical communications (assistance for accessing the online platform, if applicable), and commercial communications strictly related to the purchased service (invoices, offers for additional courses requested by the client, etc.).
• Fulfilling financial obligations (billing and payments): Personal data is used for issuing fiscal invoices for the training services provided and for managing payments (collecting course fees). For example, the name and address provided are used when generating the invoice, in accordance with fiscal legislation.
• Issuing completion certificates and certifying competencies: For trainees who complete the training programs, RQM Certification processes the data necessary for issuing certificates/diplomas that attest completion. This purpose also includes verifying the fulfillment of certification conditions and, if applicable, transmitting data to partner certification bodies or authorities (e.g., National Authority for Qualifications, National Directorate for Cyber Security, Ministry of Labor, Family, Youth and Social Solidarity, or international organizations such as PECB/AXELOS – see the “Data Recipients” section)
• Compliance with legal obligations in the field of professional training: As an authorized training provider, RQM Certification has certain legal obligations, such as reporting participants and results to authorities (for example, submitting reports to the Ministry of Labor, Family, Youth and Social Solidarity and/or the National Directorate for Cyber Security**)** for courses accredited by them. Thus, data may be processed for preparing training registers, reports, or statistics required by law.
• Ensuring security and improving services: Certain technical data (such as web server logs or information collected through necessary cookies) are used to maintain the security of the website and systems, to prevent fraud or unauthorized access, and to improve the user experience on the site. These purposes are strictly related to the optimal functioning of services and the protection of the legitimate interests of the company and users.
• Other purposes for which consent exists: In the event that RQM Certification would like to use the data for marketing purposes (for example, sending newsletters with information about new courses or special offers), this will only be done based on the prior, freely expressed consent of the data subject. Currently, RQM Certification does not use the collected data for purposes other than those directly related to providing training services and does not sell the data to third parties for marketing/commercial purposes. 

Important: Personal data will not be subsequently processed in a manner incompatible with the initial purposes. In the event that RQM Certification intends to process the data for a purpose other than those described above, the data subject will be provided with additional information, and if necessary, their consent will be requested.

Temeiul legal al prelucrării

Pentru fiecare activitate de prelucrare a datelor personale, RQM Certification se bazează pe un temei juridic clar, în conformitate cu art. 6 din GDPR. Temeiurile legale aplicabile, în funcție de context, includ:

• Executarea unui contract/demersuri precontractuale (Art. 6(1)(b) GDPR): Majoritatea datelor prelucrate pentru înscrierea la cursuri, desfășurarea lor și eliberarea certificatelor sunt necesare pentru executarea contractului de prestări servicii de formare la care persoana vizată este parte. De exemplu, prelucrarea datelor de contact și a celor privind participarea este necesară pentru a vă furniza efectiv cursul și certificarea dorită.
• Obligație legală (Art. 6(1)(c) GDPR): Anumite prelucrări sunt impuse de legi sau reglementări. De exemplu, emiterea și păstrarea facturilor fiscale implică prelucrarea datelor conform Codului Fiscal și legislației financiar-contabile. De asemenea, transmiterea listelor de absolvenți către Ministerul Muncii, Familiei, Tineretului și Solidarității Sociale și Directoratul Național de Securitate Cibernetică, sau păstrarea registrelor de formare sunt realizate pentru a îndeplini obligațiile legale din OG 129/2000 și reglementările DNSC. Aceste prelucrări se bazează pe necesitatea respectării unei obligații legale de către operator.
• Interes legitim (Art. 6(1)(f) GDPR): În anumite situații, RQM Certification poate prelucra date pe baza interesului său legitim, având grijă să nu prevaleze drepturile și libertățile persoanei vizate. Exemple pot include: asigurarea securității rețelei și a informațiilor (de ex. stocarea de log-uri pentru a detecta accesări neautorizate), prevenirea fraudelor, exercitarea sau apărarea unor drepturi în justiție (de ex. păstrarea unor dovezi ale participării la curs în cazul unui litigiu). În toate cazurile de interes legitim, RQM Certification va evalua dacă acest interes nu este depășit de interesele sau drepturile fundamentale ale persoanelor vizate.
• Consimțământ (Art. 6(1)(a) GDPR): Atunci când niciunul din temeiurile de mai sus nu se aplică, RQM Certification va solicita consimțământul persoanei vizate pentru prelucrarea datelor. Spre exemplu, înscrierea la newsletter-ul companiei (pentru a primi informații despre cursuri viitoare) sau folosirea anumitor cookie-uri opționale pe site se bazează pe consimțământul dumneavoastră explicit. De asemenea, la momentul completării formularelor online (de înscriere la curs sau de contact), vi se solicită acordul pentru prelucrarea datelor furnizate în scopurile specificate. Aveți dreptul de a vă retrage în orice moment consimțământul, iar RQM Certification va opri prelucrarea respectivă, dacă nu există un alt temei legal care să permită continuarea prelucrării.
• Interes public/Autoritate publică (Art. 6(1)(e) GDPR): Acest temei este rareori aplicabil în cazul RQM Certification, deoarece compania este entitate privată. Totuși, în măsura în care prelucrăm date pentru îndeplinirea unei sarcini de interes public în domeniul educației adulților (cum ar fi raportări statistice solicitate de autoritățile publice), prelucrarea se va baza pe prevederi legale specifice care atribuie un astfel de rol furnizorilor de formare.

Pentru transparență, iată câteva exemple de asociere între scopuri și temeiuri legale: emiterea unei facturi se bazează atât pe executarea contractului (prestarea serviciului de curs) cât și pe obligația legală fiscală; transmiterea datelor către Ministerul Muncii, Familiei, Tineretului și Solidarității Sociale și/sau Directoratul Național de Securitate Cibernetică se bazează pe obligația legală; comunicările de marketing (dacă ar exista) s-ar baza pe consimțământ; păstrarea datelor de participare după finalizarea cursului pentru arhivă și eventuale verificări viitoare se bazează pe interese legitime și obligații legale de arhivare. În orice moment, RQM Certification va prelucra datele dumneavoastră doar în baza unui temei legal valid și vă va informa despre acesta, fie prin prezenta politică, fie prin informări specifice la colectarea datelor.

Legal Basis for Processing 

For each personal data processing activity, RQM Certification relies on a clear legal basis, in accordance with Art. 6 of GDPR. The applicable legal bases, depending on the context, include:

• Execution of a contract/pre-contractual measures (Art. 6(1)(b) GDPR): Most of the data processed for course enrollment, their conduct, and certificate issuance are necessary for the execution of the training services contract to which the data subject is a party. For example, processing contact information and participation data is necessary to effectively provide you with the desired course and certification.
• Legal obligation (Art. 6(1)(c) GDPR): Certain processing activities are imposed by laws or regulations. For example, issuing and keeping fiscal invoices involves data processing according to the Fiscal Code and financial-accounting legislation. Also, transmitting lists of graduates to the Ministry of Labor, Family, Youth and Social Solidarity and the National Directorate for Cyber Security, or keeping training registers are carried out to fulfill legal obligations from Government Ordinance 129/2000 and DNSC regulations. These processing activities are based on the necessity to comply with a legal obligation by the controller.
• Legitimate interest (Art. 6(1)(f) GDPR): In certain situations, RQM Certification may process data based on its legitimate interest, taking care not to override the rights and freedoms of the data subject. Examples may include: ensuring network and information security (e.g., storing logs to detect unauthorized access), preventing fraud, exercising or defending legal rights (e.g., keeping evidence of course participation in case of litigation). In all cases of legitimate interest, RQM Certification will assess whether this interest is not overridden by the interests or fundamental rights of the data subjects.
• Consent (Art. 6(1)(a) GDPR): When none of the above bases apply, RQM Certification will request the data subject’s consent for data processing. For example, subscribing to the company newsletter (to receive information about future courses) or using certain optional cookies on the site is based on your explicit consent. Also, when completing online forms (for course registration or contact), you are asked for your agreement to process the data provided for the specified purposes. You have the right to withdraw your consent at any time, and RQM Certification will stop the respective processing, if there is no other legal basis that allows the continuation of processing.
• Public interest/Public authority (Art. 6(1)(e) GDPR): This basis is rarely applicable in the case of RQM Certification, as the company is a private entity. However, to the extent that we process data for the fulfillment of a task carried out in the public interest in the field of adult education (such as statistical reporting requested by public authorities), the processing will be based on specific legal provisions that attribute such a role to training providers.

For transparency, here are some examples of association between purposes and legal bases: issuing an invoice is based on both the execution of the contract (providing the course service) and the fiscal legal obligation; transmitting data to the Ministry of Labor, Family, Youth and Social Solidarity and/or the National Directorate for Cyber Security is based on legal obligation; marketing communications (if they existed) would be based on consent; keeping participation data after course completion for archive and possible future verifications is based on legitimate interests and legal archiving obligations. At any time, RQM Certification will process your data only on the basis of a valid legal basis and will inform you about it, either through this policy or through specific information when collecting the data.

Destinatarii datelor

RQM Certification dezvăluie sau transferă datele cu caracter personal către terțe părți numai atunci când este necesar pentru îndeplinirea scopurilor menționate sau când există o obligație legală în acest sens. Categoriile de destinatari includ:

• Angajații și personalul autorizat al RQM Certification: Accesul la datele personale este limitat la angajații și colaboratorii interni care au nevoie de aceste informații pentru a-și îndeplini atribuțiile (de ex. personalul care gestionează înscrierile la curs, instructorii/formatorii ce trebuie să cunoască lista participanților, personalul administrativ care emite facturile și certificatele etc.). Toate persoanele care au acces la date sunt supuse obligațiilor de confidențialitate și li se aplică reguli stricte privind utilizarea datelor.
• Colaboratori externi și împuterniciți (persone împuternicite de operator): RQM Certification poate apela la servicii externe pentru desfășurarea activității sale, transmitând anumite date către acești parteneri, în măsura în care este necesar. Exemple:
  • Servicii de contabilitate și financiare: Un cabinet sau serviciu extern de contabilitate care procesează date legate de facturare și plăți va avea acces la datele de facturare (nume, adresă, CNP sau CUI, sume de plată) strict în scopul ținerii evidenței contabile.
  • Formatori, evaluatori și alți colaboratori didactici: Pentru organizarea cursurilor, RQM Certification poate colabora cu formatori sau evaluatori externi (specialiști contractați să predea sau să evalueze cursanții). Acestora li se pot furniza datele de identificare ale participanților la curs (nume, prenume) și eventual informații relevante despre pregătirea lor, doar în măsura necesară desfășurării cursului.
  • Furnizori de servicii IT și platforme tehnice: Dacă RQM Certification utilizează platforme de e-learning, servicii de găzduire web, servicii de e-mail marketing (pentru newsletter) sau alte soluții informatice furnizate de terți, este posibil ca acești furnizori să prelucreze datele personale ca împuterniciți ai companiei. RQM Certification încheie acorduri specifice (contracte de prelucrare a datelor) cu astfel de furnizori, asigurându-se că aceștia oferă garanții adecvate de securitate și confidențialitate.
• Organisme de certificare și parteneri instituționali: În cazul cursurilor care oferă certificare recunoscută internațional sau național, este necesară transmiterea datelor cursanților către organismele de certificare partenere. De exemplu, RQM Certification oferă servicii de instruire acreditate de organisme internaționale precum PECB (Canada) și AXELOS (Marea Britanie). Pentru eliberarea certificatelor de absolvire sau certificărilor internaționale, RQM Certification transmite către aceste organizații datele necesare despre participanți – în principal numele complet și adresa de e-mail a participantului (și, dacă solicită, alte informații strict necesare certificării). Doar datele absolut necesare sunt partajate, iar partenerii respectivi acționează fie ca operatori independenți, fie ca operatori asociați, asigurând la rândul lor protecția datelor (vezi și secțiunea “Transferuri internaționale”).
• Autorități publice și instituții ale statului: În anumite situații, RQM Certification are obligația legală de a furniza date personale către autorități. Exemple de astfel de destinatari:
  • Ministerul Muncii, Familiei, Tineretului și Solidarității Sociale și/sau Directoratul Național de Securitate Cibernetică: Pentru cursurile autorizate de aceste autorități, compania le transmite date despre absolvenți (de obicei nume, prenume, CNP și detalii ale certificatului obținut) în vederea înregistrării calificărilor și tipăririi certificatelor oficiale, conform reglementărilor aplicabile.
  • Autorități de reglementare sau de control: Autoritățile abilitate (cum ar fi Inspecția Muncii, Ministerul Educației sau alte organisme guvernamentale relevante) pot solicita acces la documentele și evidențele companiei care conțin date personale (liste de cursanți, registre de formare, etc.) în cadrul unor controale sau audituri oficiale. RQM Certification va furniza datele solicitate numai dacă există o bază legală clară și în limitele solicitării autorității.
  • Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP): În caz de investigații privind protecția datelor sau plângeri depuse de persoane vizate, ANSPDCP (autoritatea de protecție a datelor) poate cere informații și date relevante. RQM Certification are obligația să coopereze și să furnizeze datele cerute de această autoritate, în conformitate cu legea.
  • Organele de aplicare a legii și instanțe judecătorești: Dacă primim solicitări legale (de exemplu, un mandat sau o hotărâre judecătorească) sau dacă este necesar să apărăm drepturile companiei într-o acțiune legală, putem divulga anumite date personale conform necesității și în baza prevederilor legale.

RQM Certification se asigură că toți destinatarii datelor respectă, la rândul lor, cerințele de protecție a datelor. În relația cu împuterniciții (procesatorii de date) – precum furnizorii de servicii IT, contabilitate etc. – există acorduri contractuale care impun standarde de securitate și folosirea datelor exclusiv în scopurile instruite de RQM Certification. În cazul transferurilor către alți operatori (de ex. Ministerul Muncii, Familiei, Tineretului și Solidarității Sociale și/sau Directoratul Național de Securitate Cibernetică, sau parteneri de certificare), RQM Certification verifică temeiul legal al solicitării și transmite doar datele necesare. Nu în ultimul rând, nu vindem și nu divulgăm datele personale către terțe părți în scop de marketing sau publicitate, și nu permitem accesul nimănui la datele clienților noștri în afara situațiilor menționate mai sus, necesare bunei desfășurări a serviciilor.

Data Recipients

RQM Certification discloses or transfers personal data to third parties only when necessary for fulfilling the mentioned purposes or when there is a legal obligation to do so. Categories of recipients include:

• Employees and authorized personnel of RQM Certification: Access to personal data is limited to employees and internal collaborators who need this information to fulfill their duties (e.g., personnel managing course registrations, instructors/trainers who need to know the list of participants, administrative staff who issue invoices and certificates, etc.). All persons who have access to data are subject to confidentiality obligations and strict rules regarding data use.
• External collaborators and processors (persons authorized by the controller): RQM Certification may use external services to carry out its activity, transmitting certain data to these partners, to the extent necessary. Examples:
  • Accounting and financial services: An external accounting office or service that processes data related to billing and payments will have access to billing data (name, address, CNP or CUI, amounts payable) strictly for the purpose of keeping accounting records.
  • Trainers, evaluators, and other teaching collaborators: For organizing courses, RQM Certification may collaborate with external trainers or evaluators (specialists contracted to teach or evaluate trainees). They may be provided with identification data of course participants (first name, last name) and possibly relevant information about their training, only to the extent necessary for conducting the course.
  • IT service providers and technical platforms: If RQM Certification uses e-learning platforms, web hosting services, e-mail marketing services (for newsletters), or other IT solutions provided by third parties, it is possible that these providers process personal data as processors of the company. RQM Certification concludes specific agreements (data processing contracts) with such providers, ensuring that they offer adequate guarantees of security and confidentiality.
• Certification bodies and institutional partners: In the case of courses that offer internationally or nationally recognized certification, it is necessary to transmit trainees’ data to partner certification bodies. For example, RQM Certification offers training services accredited by international organizations such as PECB (Canada) and AXELOS (United Kingdom). For issuing completion certificates or international certifications, RQM Certification transmits to these organizations the necessary data about participants – mainly the participant’s full name and email address (and, if requested, other information strictly necessary for certification). Only absolutely necessary data is shared, and the respective partners act either as independent controllers or as joint controllers, ensuring in turn data protection (see also the “International Transfers” section).
• Public authorities and state institutions: In certain situations, RQM Certification has a legal obligation to provide personal data to authorities. Examples of such recipients:
  • Ministry of Labor, Family, Youth and Social Solidarity and/or the National Directorate for Cyber Security: For courses authorized by these authorities, the company transmits data about graduates (usually first name, last name, CNP, and details of the certificate obtained) for the registration of qualifications and printing of official certificates, according to applicable regulations.
  • Regulatory or control authorities: The competent authorities (such as the Labor Inspectorate, the Ministry of Education, or other relevant government bodies) may request access to company documents and records containing personal data (lists of trainees, training registers, etc.) as part of official controls or audits. RQM Certification will provide the requested data only if there is a clear legal basis and within the limits of the authority’s request.
  • National Supervisory Authority for Personal Data Processing (ANSPDCP): In case of investigations regarding data protection or complaints filed by data subjects, ANSPDCP (the data protection authority) may request relevant information and data. RQM Certification has the obligation to cooperate and provide the data requested by this authority, in accordance with the law.
  • Law enforcement bodies and courts: If we receive legal requests (for example, a warrant or court decision) or if it is necessary to defend the company’s rights in a legal action, we may disclose certain personal data as necessary and based on legal provisions.

RQM Certification ensures that all data recipients also comply with data protection requirements. In the relationship with processors (data processors) – such as IT, accounting service providers, etc. – there are contractual agreements that impose security standards and the use of data exclusively for the purposes instructed by RQM Certification. In the case of transfers to other controllers (e.g., Ministry of Labor, Family, Youth and Social Solidarity and/or the National Directorate for Cyber Security, or certification partners), RQM Certification verifies the legal basis of the request and transmits only the necessary data. Last but not least, we do not sell or disclose personal data to third parties for marketing or advertising purposes, and we do not allow anyone access to our clients’ data outside the situations mentioned above, necessary for the proper conduct of services.

Transferuri internaționale

Politica RQM Certification este de a prelucra datele preponderent în spațiul Uniunii Europene. În anumite cazuri, însă, este necesară transmiterea datelor în afara Spațiului Economic European (SEE), către parteneri sau furnizori internaționali. Astfel de transferuri internaționale de date se realizează în conformitate cu prevederile GDPR (Capitolul V) și doar dacă sunt implementate garanțiile adecvate pentru protejarea datelor.

Situații în care are loc transferul datelor în afara UE/SEE:

• Transmiterea datelor către organismele de certificare internaționale: Așa cum s-a menționat la secțiunea anterioară, pentru cursurile certificate de organisme precum PECB (Professional Evaluation and Certification Board, cu sediul în Canada) sau AXELOS (organizație din Marea Britanie, care gestionează certificările PRINCE2®, ITIL® etc.), RQM Certification comunică acestor entități numele și adresa de e-mail ale participanților, în vederea emiterii certificatelor de calificare internațională. Aceste transferuri sunt necesare pentru îndeplinirea contractului cu persoana vizată (prestarea serviciului de certificare) și se fac în baza relației contractuale dintre RQM Certification și organismele respective.
• Utilizarea unor servicii sau platforme găzduite în afara UE: Dacă RQM Certification folosește infrastructură cloud, servicii de email marketing, instrumente de videoconferință sau alte aplicații furnizate de companii din afara SEE (de exemplu, servere situate în SUA, servicii de webinar, platforme de e-learning globale), este posibil ca anumite date (precum nume și email pentru crearea contului de utilizator pe platformă) să fie stocate sau transferate în afara Uniunii Europene. În astfel de cazuri, compania va alege furnizori care oferă garanții solide de protecție a datelor și care au aderentat la mecanisme de conformitate recunoscute (precum clauzele contractuale standard ale Comisiei Europene).

Pentru orice transfer în afara SEE, RQM Certification asigură existența uneia dintre următoarele garanții, conform art. 45-49 GDPR:

• Decizie de adecvare: Transferul se face către țări despre care Comisia Europeană a decis că oferă un nivel adecvat de protecție a datelor personale. (Exemplu: Canada are un nivel considerat adecvat pentru anumite categorii de date; Regatul Unit, la data prezentei politici, beneficiază de o decizie de adecvare post-Brexit, ceea ce permite transferul datelor către UK în condiții similare cu cele din UE).
• Clauze contractuale standard (SCC): Dacă nu există decizie de adecvare, RQM Certification va încheia cu destinatarii din afara UE contracte care includ clauzele standard de protecție a datelor aprobate de Comisia Europeană, obligând destinatarul să protejeze datele la același standard ca în UE.
• Garanții suplimentare: În funcție de situație, se pot implementa și alte mecanisme cum ar fi: reguli corporative obligatorii (dacă destinatarul face parte din același grup de companii), coduri de conduită sau mecanisme de certificare aprobate, împreună cu angajamente executorii din partea destinatarului de a asigura protecția datelor.
• Excepții bazate pe consimțământ sau necesitate: În absența unei decizii de adecvare sau a altor garanții, RQM Certification va efectua transferul doar dacă se aplică una dintre excepțiile prevăzute de GDPR (de ex. persoana vizată și-a dat consimțământul explicit pentru transfer, transferul este necesar pentru executarea unui contract cu persoana vizată, este necesar pentru constatarea, exercitarea sau apărarea unui drept în justiție etc.).

RQM Certification nu transferă în mod curent date personale în afara SEE decât în situațiile menționate (certificări internaționale și eventuale servicii IT externalizate), și nu va transfera date către entități externe dacă nu sunt îndeplinite condițiile de mai sus. În plus, compania declară că nu intenționează să transfere datele personale către terțe părți din afara SEE fără să se asigure că există un nivel de protecție adecvat pentru acestea. În cazul în care, pe viitor, vor apărea noi destinații de transfer internațional (de exemplu, parteneriate cu alte organisme externe), RQM Certification va actualiza prezenta politică și va informa persoanele vizate în mod corespunzător.

International Transfers 

RQM Certification’s policy is to process data predominantly within the European Union. In certain cases, however, it is necessary to transmit data outside the European Economic Area (EEA), to international partners or suppliers. Such international data transfers are carried out in accordance with GDPR provisions (Chapter V) and only if appropriate guarantees for data protection are implemented.

Situations in which data transfer outside the EU/EEA takes place:

• Transmission of data to international certification bodies: As mentioned in the previous section, for courses certified by organizations such as PECB (Professional Evaluation and Certification Board, based in Canada) or AXELOS (an organization from the United Kingdom, which manages PRINCE2®, ITIL® certifications, etc.), RQM Certification communicates to these entities the names and email addresses of participants, for the purpose of issuing international qualification certificates. These transfers are necessary for the fulfillment of the contract with the data subject (providing the certification service) and are made based on the contractual relationship between RQM Certification and the respective organizations.
• Use of services or platforms hosted outside the EU: If RQM Certification uses cloud infrastructure, email marketing services, videoconferencing tools, or other applications provided by companies outside the EEA (for example, servers located in the USA, webinar services, global e-learning platforms), it is possible that certain data (such as name and email for creating the user account on the platform) may be stored or transferred outside the European Union. In such cases, the company will choose suppliers that offer solid guarantees of data protection and that have adhered to recognized compliance mechanisms (such as the European Commission’s standard contractual clauses).

For any transfer outside the EEA, RQM Certification ensures the existence of one of the following guarantees, according to art. 45-49 GDPR:

• Adequacy decision: The transfer is made to countries for which the European Commission has decided that they offer an adequate level of protection for personal data. (Example: Canada is considered to have an adequate level for certain categories of data; the United Kingdom, at the date of this policy, benefits from a post-Brexit adequacy decision, which allows the transfer of data to the UK under conditions similar to those in the EU).
• Standard Contractual Clauses (SCCs): If there is no adequacy decision, RQM Certification will conclude contracts with recipients outside the EU that include the standard data protection clauses approved by the European Commission, obliging the recipient to protect the data to the same standard as in the EU.
• Additional guarantees: Depending on the situation, other mechanisms may also be implemented, such as: binding corporate rules (if the recipient is part of the same group of companies), approved codes of conduct or certification mechanisms, together with binding commitments from the recipient to ensure data protection.
• Exceptions based on consent or necessity: In the absence of an adequacy decision or other guarantees, RQM Certification will perform the transfer only if one of the exceptions provided by GDPR applies (e.g., the data subject has given explicit consent for the transfer, the transfer is necessary for the performance of a contract with the data subject, it is necessary for the establishment, exercise, or defense of legal claims, etc.).

RQM Certification does not currently transfer personal data outside the EEA except in the situations mentioned (international certifications and possible outsourced IT services), and will not transfer data to external entities unless the above conditions are met. In addition, the company declares that it does not intend to transfer personal data to third parties outside the EEA without ensuring that there is an adequate level of protection for them. If, in the future, new international transfer destinations appear (for example, partnerships with other external organizations), RQM Certification will update this policy and inform the data subjects accordingly.

Perioada de stocare

RQM Certification stochează datele cu caracter personal numai pentru perioada necesară îndeplinirii scopurilor pentru care au fost colectate, ulterior acestea fiind șterse sau anonimizate, cu excepția situațiilor în care există obligații legale de arhivare sau interese legitime care justifică păstrarea lor pe o durată mai lungă. Durata de păstrare diferă în funcție de natura datelor și de contextul prelucrării:

• Date despre cursanți și detalii de participare la cursuri: Vor fi păstrate pe durata desfășurării cursului și pentru o perioadă rezonabilă după finalizarea acestuia. De regulă, datele de identificare ale participanților, rezultatele la evaluări și copiile certificatelor emise se păstrează cel puțin pe durata necesară pentru a oferi suport post-curs (de exemplu, reemiterea unui certificat pierdut) sau pentru a respecta cerințele autorităților de acreditare. În cazul cursurilor autorizate Ministerul Muncii, Familiei, Tineretului și Solidarității Sociale și/sau Directoratul Național de Securitate Cibernetică, registrele de formare și rapoartele trebuie păstrate conform cerințelor legale specifice (care pot impune arhivarea pe mai mulți ani). În absența unei obligații legale mai stricte, RQM Certification își propune să nu păstreze datele de cursanți mai mult de 5 ani de la finalizarea ultimului curs la care persoana a participat, cu excepția numelui, prenumelui și informațiilor despre curs (pe care le putem păstra o perioadă extinsă în arhiva noastră internă, pentru a confirma istoricul absolvirii în cazul unor solicitări viitoare din partea cursantului).
• Date de contact pentru comunicări comerciale: Dacă ați fost cursantul nostru, putem păstra adresa de e-mail și numărul de telefon pentru a vă transmite comunicări legate direct de serviciile prestate sau oferte pentru cursuri similare, pe baza interesului nostru legitim, pentru o perioadă de cel mult 2 ani după încheierea relației contractuale, cu posibilitatea de dezabonare oricând. Pentru abonarea voluntară la newsletter (dacă v-ați exprimat consimțământul), vom păstra datele de contact până când vă dezabonați sau vă retrageți consimțământul, sau până când decidem încetarea programului de newsletter.
• Datele din formularele de contact (solicitări nefinalizate în contract): Dacă ne contactați prin site fără să deveniți client (de exemplu, cereți informații despre cursuri dar nu vă înscrieți), vom păstra datele și conversația pe o perioadă de aproximativ 6 luni-1 an pentru a putea răspunde solicitării și pentru a urmări dacă mai putem fi de ajutor, după care aceste date vor fi șterse, cu excepția cazului în care există un alt temei pentru a le păstra (de exemplu, deveniți client ulterior).
• Date financiare și documente contabile (facturi, plăți): Documentele financiar-contabile care conțin date personale (facturi, chitanțe, contracte) sunt păstrate conform termenelor legale fiscale – în prezent, 10 ani de la încheierea exercițiului financiar în cursul căruia au fost întocmite documentele, în baza Legii contabilității. Astfel, datele de pe facturi (nume, adresă etc.) vor fi păstrate cel puțin pe această durată impusă de lege.
• Log-uri de securitate și date tehnice: Informațiile colectate automat de sistemele IT (log-urile de acces la site, jurnalele serverului) ce pot conține adrese IP sau identificatori de dispozitiv sunt de obicei păstrate pe perioade scurte, de regulă între 3 și 12 luni, exclusiv pentru scopuri de securitate și audit IT, cu excepția cazului în care acestea evidențiază un incident de securitate; în acest din urmă caz, log-urile relevante pot fi păstrate atât timp cât este necesar pentru investigarea incidentului și îndeplinirea eventualelor obligații legale de notificare sau raportare.
• Arhivarea pe termen lung în scopuri legale: În anumite situații, RQM Certification poate păstra datele pentru perioade mai lungi decât cele menționate, dacă acest lucru este necesar pentru constatarea, exercitarea sau apărarea unui drept al companiei în instanță. De exemplu, dacă un cursant ar formula o plângere sau s-ar implica într-un litigiu, vom păstra datele relevante pe toată durata soluționării disputei și un timp după final (până la împlinirea termenului de prescripție) pentru a putea răspunde eventualelor întrebări suplimentare. De asemenea, unele date pot fi păstrate mai mult timp dacă o lege specifică o cerință de arhivare (de ex. legislația privind prevenirea spălării banilor sau alte obligații speciale).

În general, după ce perioada de stocare expiră sau datele nu mai sunt necesare, RQM Certification va șterge în siguranță informațiile respective din sistemele sale sau le va anonimiza (astfel încât să nu mai poată fi asociate cu o persoană identificată). Ne angajăm să nu păstrăm datele personale mai mult decât este necesar, respectând atât principiul limitării stocării, cât și reglementările legale.

Menționăm că persoanele vizate au dreptul de a solicita, oricând, ștergerea datelor lor (dreptul de a fi uitat) – cerere pe care o vom onora în limitele prevăzute de lege și detaliate în secțiunea următoare privind drepturile persoanelor vizate. La primirea unei cereri valide de ștergere, vom elimina sau anonimiza datele respective, cu excepția acelora pe care suntem obligați să le păstrăm (de exemplu, nu putem șterge date din facturi înainte de termenul legal de 10 ani; similar, nu putem șterge date dacă încă vă furnizăm un serviciu activ sau dacă există un temei legal care ne obligă la păstrare)

Storage Period

RQM Certification stores personal data only for the period necessary to fulfill the purposes for which they were collected, after which they are deleted or anonymized, except in situations where there are legal archiving obligations or legitimate interests that justify keeping them for a longer period. The retention period differs depending on the nature of the data and the context of processing:

• Data about trainees and course participation details: Will be kept during the course and for a reasonable period after its completion. Generally, the identification data of participants, assessment results, and copies of issued certificates are kept at least for the period necessary to provide post-course support (for example, reissuing a lost certificate) or to comply with the requirements of accreditation authorities. In the case of courses authorized by the Ministry of Labor, Family, Youth and Social Solidarity and/or the National Directorate for Cyber Security, training registers and reports must be kept according to specific legal requirements (which may impose archiving for several years). In the absence of a stricter legal obligation, RQM Certification aims not to keep trainee data for more than 5 years from the completion of the last course in which the person participated, with the exception of first and last name and information about the course (which we may keep for an extended period in our internal archive, to confirm completion history in case of future requests from the trainee).
• Contact data for commercial communications: If you have been our trainee, we may keep your email address and phone number to send you communications directly related to the services provided or offers for similar courses, based on our legitimate interest, for a period of at most 2 years after the end of the contractual relationship, with the possibility to unsubscribe at any time. For voluntary newsletter subscription (if you have expressed your consent), we will keep your contact data until you unsubscribe or withdraw your consent, or until we decide to terminate the newsletter program.
• Data from contact forms (requests not finalized in a contract): If you contact us through the website without becoming a client (for example, you ask for information about courses but do not enroll), we will keep the data and conversation for a period of approximately 6 months-1 year to be able to respond to your request and to follow up if we can still help, after which these data will be deleted, unless there is another basis for keeping them (for example, you become a client later).
• Financial data and accounting documents (invoices, payments): Financial-accounting documents containing personal data (invoices, receipts, contracts) are kept according to fiscal legal terms – currently, 10 years from the end of the financial year during which the documents were drawn up, based on the Accounting Law. Thus, the data on invoices (name, address, etc.) will be kept at least for this duration imposed by law.
• Security logs and technical data: Information automatically collected by IT systems (site access logs, server journals) that may contain IP addresses or device identifiers are usually kept for short periods, typically between 3 and 12 months, exclusively for IT security and audit purposes, unless they evidence a security incident; in this latter case, relevant logs may be kept as long as necessary to investigate the incident and fulfill any legal notification or reporting obligations.
• Long-term archiving for legal purposes: In certain situations, RQM Certification may keep data for longer periods than those mentioned, if this is necessary for the establishment, exercise, or defense of a company right in court. For example, if a trainee would formulate a complaint or get involved in litigation, we will keep the relevant data throughout the dispute resolution and a time after the end (until the statute of limitations expires) to be able to answer any additional questions. Also, some data may be kept longer if a specific law has an archiving requirement (e.g., legislation on preventing money laundering or other special obligations).

In general, after the storage period expires or the data is no longer necessary, RQM Certification will safely delete the respective information from its systems or anonymize it (so that it can no longer be associated with an identified person). We commit not to keep personal data longer than necessary, respecting both the principle of storage limitation and legal regulations.

We mention that data subjects have the right to request, at any time, the deletion of their data (the right to be forgotten) – a request that we will honor within the limits provided by law and detailed in the following section regarding the rights of data subjects. Upon receiving a valid deletion request, we will eliminate or anonymize the respective data, except for those that we are obliged to keep (for example, we cannot delete data from invoices before the legal term of 10 years; similarly, we cannot delete data if we are still providing you with an active service or if there is a legal basis that obliges us to keep it).

Drepturile persoanelor vizate

În conformitate cu GDPR, orice persoană ale cărei date sunt prelucrate de RQM Certification are o serie de drepturi menite să îi protejeze viața privată și controlul asupra datelor sale. RQM Certification respectă pe deplin aceste drepturi și a implementat proceduri interne pentru facilitarea exercitării lor. Drepturile persoanelor vizate sunt următoarele:

• Dreptul la informare și acces la date: Aveți dreptul de a fi informat cu privire la prelucrarea datelor dvs. (prin documente precum această politică) și dreptul de a obține o confirmare din partea RQM Certification dacă prelucrăm sau nu date personale care vă privesc. La cerere, vă vom furniza o copie a datelor personale prelucrate, precum și informații despre modul în care sunt utilizate, destinatarii, perioada de stocare etc. (conform art. 15 GDPR – dreptul de acces).
• Dreptul la rectificarea datelor: Dacă observați că datele pe care le deținem despre dumneavoastră sunt inexacte sau incomplete, aveți dreptul să ne solicitați corectarea sau completarea lor fără întârzieri nejustificate (art. 16 GDPR). RQM Certification depune eforturi pentru a menține datele actualizate și exacte, însă orice semnalare din partea dvs. este binevenită și va fi tratată cu prioritate.
• Dreptul la ștergerea datelor (“dreptul de a fi uitat”): În anumite circumstanțe, ne puteți cere ștergerea datelor personale care vă privesc. Acest drept se aplică, de exemplu, dacă datele nu mai sunt necesare pentru scopurile pentru care au fost colectate, dacă v-ați retras consimțământul (și nu există alt temei legal pentru prelucrare) sau dacă apreciați că prelucrarea este ilegală. La primirea unei cereri valide, RQM Certification va șterge datele din evidentele și sistemele sale, respectând și obligațiile legale de păstrare acolo unde este cazul. Trebuie menționat că dreptul la ștergere nu este un drept absolut – de exemplu, nu putem șterge date pe care suntem obligați legal să le păstrăm sau date care sunt necesare pentru constatarea sau apărarea unui drept în instanță.
• Dreptul la restricționarea prelucrării: Aveți dreptul să solicitați restricționarea procesării datelor în anumite situații (art. 18 GDPR). De exemplu, puteți cere restricție atunci când contestați exactitatea datelor (pentru perioada necesară verificării) sau dacă prelucrarea este ilegală dar nu doriți ștergerea datelor, ori dacă v-ați opus prelucrării (pentru intervalul în care se verifică dacă interesele noastre legitime prevalează). În caz de restricționare, datele vor fi doar stocate, fără a fi supuse altor prelucrări, exceptând cazurile prevăzute de lege.
• Dreptul la portabilitatea datelor: Pentru datele furnizate de dumneavoastră și prelucrate prin mijloace automate în baza consimțământului sau a executării unui contract, aveți dreptul de a le primi într-un format structurat, utilizat în mod curent și care poate fi citit automat, și de a le transmite altui operator, dacă acest lucru este fezabil din punct de vedere tehnic (art. 20 GDPR). Cu alte cuvinte, ne puteți solicita o copie digitală a datelor pe care ni le-ați oferit (de ex. datele de profil și istoricul cursurilor), pentru a o putea reutiliza în scopuri proprii sau la un alt furnizor de servicii.
• Dreptul la opoziție: Aveți dreptul de a vă opune, în orice moment, prelucrării datelor dvs. personale atunci când aceasta se bazează pe interesul legitim al operatorului (art. 21 GDPR) sau este realizată în scop de marketing direct. În cazul opoziției, RQM Certification nu va mai prelucra datele dumneavoastră în scopul respectiv, exceptând situația în care putem demonstra motive legitime imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților dvs. sau dacă scopul este constatarea sau apărarea unui drept în instanță. Dacă vă opuneți prelucrării în scop de marketing, vom înceta imediat utilizarea datelor dvs. pentru acel scop (de exemplu, nu veți mai primi comunicări comerciale).
• Dreptul de a vă retrage consimțământul: În situațiile în care prelucrarea se bazează pe consimțământul dvs. (de exemplu, pentru newsletter sau pentru anumite date opționale din formularul de înscriere), aveți dreptul să vă retrageți consimțământul oricând. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate înainte de retragere, dar începând din momentul retragerii, RQM Certification va înceta prelucrarea respectivă.
• Dreptul de a nu fi supus unei decizii individuale automate, inclusiv profilare: RQM Certification nu utilizează procese decizionale automate care să producă efecte semnificative asupra persoanelor (de exemplu, nu există un algoritm automat care să decidă admiterea la un curs sau acordarea unei certificări fără intervenție umană). În caz general, aveți dreptul să nu faceți obiectul unei decizii bazate exclusiv pe prelucrarea automată (fără factor uman) care produce efecte juridice asupra dvs. sau vă afectează semnificativ.
• Dreptul de a depune plângere la autoritatea de supraveghere: Dacă apreciați că v-au fost încălcate drepturile sau că RQM Certification prelucrează datele ilegal, aveți dreptul să adresați o plângere către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Autoritatea de supraveghere din România poate fi contactată la adresa B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, sau via e-mail la anspdcp@dataprotection.ro, telefon +40 318 059 211. De asemenea, aveți dreptul la o cale de atac judiciară.

Pentru exercitarea oricăruia dintre aceste drepturi, ne puteți contacta folosind detaliile de la secțiunea următoare (“Date de contact…”). RQM Certification va furniza gratuit informațiile sau acțiunile solicitate în termen de cel mult 30 de zilede la primirea cererii dumneavoastră, cu posibilitatea de prelungire conform GDPR, dacă cererea este complexă (situație în care veți fi informat despre motivul prelungirii). Dacă nu putem da curs integral cererii (de exemplu, în cazul unui drept de ștergere care intră în conflict cu o obligație legală de păstrare), vă vom comunica motivele refuzului și vă vom indica căile de contestare disponibile.

Rights of Data Subjects 

In accordance with GDPR, any person whose data is processed by RQM Certification has a series of rights designed to protect their privacy and control over their data. RQM Certification fully respects these rights and has implemented internal procedures to facilitate their exercise. The rights of data subjects are as follows:

• Right to information and data access: You have the right to be informed about the processing of your data (through documents such as this policy) and the right to obtain confirmation from RQM Certification whether or not we process personal data concerning you. Upon request, we will provide you with a copy of the personal data processed, as well as information about how it is used, recipients, storage period, etc. (according to art. 15 GDPR – right of access).
• Right to rectification of data: If you notice that the data we hold about you is inaccurate or incomplete, you have the right to request us to correct or complete it without undue delay (art. 16 GDPR). RQM Certification makes efforts to keep data updated and accurate, but any notification from you is welcome and will be treated with priority.
• Right to erasure of data (“right to be forgotten”): In certain circumstances, you can ask us to delete personal data concerning you. This right applies, for example, if the data is no longer necessary for the purposes for which it was collected, if you have withdrawn your consent (and there is no other legal basis for processing), or if you consider that the processing is illegal. Upon receiving a valid request, RQM Certification will delete the data from its records and systems, also respecting legal retention obligations where applicable. It should be mentioned that the right to erasure is not an absolute right – for example, we cannot delete data that we are legally obliged to keep or data that is necessary for the establishment or defense of a right in court.
• Right to restriction of processing: You have the right to request restriction of processing of data in certain situations (art. 18 GDPR). For example, you can request restriction when you contest the accuracy of the data (for the period necessary for verification) or if the processing is illegal but you do not want the data to be deleted, or if you have objected to processing (for the interval in which it is verified whether our legitimate interests prevail). In case of restriction, the data will only be stored, without being subject to other processing, except in cases provided by law.
• Right to data portability: For data provided by you and processed by automated means based on consent or performance of a contract, you have the right to receive it in a structured, commonly used, and machine-readable format, and to transmit it to another controller, if this is technically feasible (art. 20 GDPR). In other words, you can request a digital copy of the data you have provided us (e.g., profile data and course history), to be able to reuse it for your own purposes or at another service provider.
• Right to object: You have the right to object, at any time, to the processing of your personal data when it is based on the legitimate interest of the controller (art. 21 GDPR) or is carried out for direct marketing purposes. In case of objection, RQM Certification will no longer process your data for that purpose, except in the situation where we can demonstrate compelling legitimate grounds for the processing which override your interests, rights, and freedoms, or if the purpose is the establishment or defense of a right in court. If you object to processing for marketing purposes, we will immediately cease using your data for that purpose (for example, you will no longer receive commercial communications).
• Right to withdraw consent: In situations where processing is based on your consent (for example, for newsletter or for certain optional data in the registration form), you have the right to withdraw your consent at any time. Withdrawal of consent does not affect the lawfulness of processing based on consent before its withdrawal, but from the moment of withdrawal, RQM Certification will cease the respective processing.
• Right not to be subject to automated individual decision-making, including profiling: RQM Certification does not use automated decision-making processes that produce significant effects on individuals (for example, there is no automatic algorithm that decides admission to a course or granting a certification without human intervention). In general, you have the right not to be subject to a decision based solely on automated processing (without human factor) which produces legal effects concerning you or similarly significantly affects you.
• Right to lodge a complaint with a supervisory authority: If you consider that your rights have been violated or that RQM Certification processes data illegally, you have the right to address a complaint to the National Supervisory Authority for Personal Data Processing (ANSPDCP). The supervisory authority in Romania can be contacted at B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, Bucharest, or via email at anspdcp@dataprotection.ro, phone +40 318 059 211. You also have the right to a judicial remedy.

To exercise any of these rights, you can contact us using the details from the next section (“Contact details…”). RQM Certification will provide the requested information or actions free of charge within a maximum of 30 days from receiving your request, with the possibility of extension according to GDPR, if the request is complex (situation in which you will be informed about the reason for the extension). If we cannot fully comply with the request (for example, in the case of a right to erasure that conflicts with a legal retention obligation), we will communicate the reasons for the refusal and indicate the available means of contestation.

Măsuri de securitate

RQM Certification acordă o importanță deosebită securității datelor cu caracter personal. Pentru a preveni pierderea, accesul neautorizat, modificarea sau divulgarea nepermisă a datelor, implementăm atât măsuri tehnice, cât și măsuri organizatorice adecvate, aliniate cu bunele practici din domeniu și cerințele standardelor de securitate. Printre măsurile de securitate adoptate se numără:

• Controlul accesului și confidențialitatea personalului: Accesul la datele personale este permis numai persoanelor autorizate, în baza principiului “necesității de a cunoaște”. Angajații și colaboratorii noștri sunt instruiți periodic privind importanța protecției datelor și au obligații contractuale de confidențialitate. Fiecare utilizator intern are credențiale individuale, iar accesul la bazele de date și la sistemele care conțin informații personale este jurnalizat și monitorizat.
• Securitate IT și măsuri tehnice: Sistemele informatice ale RQM Certification sunt protejate prin soluții de securitate actualizate – inclusiv firewall-uri, software antivirus/anti-malware, sisteme de detecție a intruziunilor – pentru a preveni atacurile cibernetice. Datele transmise prin intermediul site-ului web sunt criptate folosind protocolul HTTPS/SSL, astfel încât informațiile introduse în formulare (de exemplu, datele de înscriere) sunt criptate pe parcursul transmisiei. Anumite categorii de date stocate în sistemele noastre sunt criptate sau pseudonimizate și la nivel de stocare, acolo unde este posibil, pentru a adăuga un nivel suplimentar de protecție.
• Protecția fizică a locațiilor și documentelor: Spațiile fizice în care sunt stocate date personale (sediul RQM Certification, arhivele de documente pe hârtie) sunt securizate prin măsuri de control al accesului (ex. încuierea fișetelor, supraveghere video la sediu, sisteme de alarmă). Documentele pe suport hârtie care conțin date cu caracter personal (formulare de înscriere, liste de semnături, contracte) sunt păstrate în dulapuri încuiate, cu acces limitat la persoanele autorizate. Pentru a preveni accesul neautorizat, personalul este instruit să nu lase documente cu date sensibile la vedere și să distrugă documentele care nu mai sunt necesare (prin distrugere securizată).
• Backup și continuitatea datelor: Realizăm copii de siguranță (backup) periodice ale datelor importante, pentru a preveni pierderea accidentală a acestora. Backup-urile sunt stocate în medii securizate și replici (uneori în locații diferite) pentru a asigura continuitatea serviciilor în caz de incidente majore (de ex. defectarea unui server). Accesul la backup-uri este și el restricționat și criptat.
• Proceduri de securitate și audit: RQM Certification menține politici și proceduri interne pentru gestionarea securității datelor. Monitorizăm în permanență sistemele pentru a detecta activități suspecte și efectuăm revizuiri periodice ale măsurilor de securitate. Deși transmiterea datelor prin internet nu este niciodată 100% sigură, facem tot posibilul să protejăm datele dumneavoastră odată ce au fost recepționate în sistemele noastre, aplicând proceduri stricte și controale pentru a preveni accesul neautorizat.
• Gestionarea incidentelor de securitate: Avem un plan de răspuns la eventuale incidente de securitate a datelor. În cazul puțin probabil al unei breșe de securitate care v-ar putea afecta în mod semnificativ drepturile și libertățile (de ex. pierderea sau accesarea neautorizată a datelor personale sensibile), RQM Certification va notifica autoritatea de supraveghere în termen de 72 ore de la constatarea incidentului, iar pe dumneavoastră vă vom informa fără întârzieri nejustificate, în conformitate cu obligațiile legale (art. 33-34 GDPR).

Prin aceste măsuri, urmărim să garantăm integritatea și confidențialitatea datelor pe întreg ciclul lor de viață, de la colectare până la ștergere. Ne angajăm să revizuim și să îmbunătățim continuu politicile de securitate, pentru a ne adapta la evoluția amenințărilor și pentru a asigura un nivel ridicat de protecție a datelor clienților noștri.

Security Measures 

RQM Certification places special importance on the security of personal data. To prevent loss, unauthorized access, modification, or unauthorized disclosure of data, we implement both technical and organizational measures that are appropriate, aligned with industry best practices and the requirements of security standards. Among the security measures adopted are:

• Access control and staff confidentiality: Access to personal data is allowed only to authorized persons, based on the principle of “need to know”. Our employees and collaborators are periodically trained on the importance of data protection and have contractual confidentiality obligations. Each internal user has individual credentials, and access to databases and systems containing personal information is logged and monitored.
• IT security and technical measures: RQM Certification’s IT systems are protected by updated security solutions – including firewalls, antivirus/anti-malware software, intrusion detection systems – to prevent cyber attacks. Data transmitted through the website is encrypted using the HTTPS/SSL protocol, so that information entered in forms (for example, registration data) is encrypted during transmission. Certain categories of data stored in our systems are encrypted or pseudonymized at the storage level as well, where possible, to add an additional level of protection.
• Physical protection of locations and documents: Physical spaces where personal data is stored (RQM Certification headquarters, paper document archives) are secured through access control measures (e.g., locking cabinets, video surveillance at headquarters, alarm systems). Documents on paper that contain personal data (registration forms, signature lists, contracts) are kept in locked cabinets, with access limited to authorized persons. To prevent unauthorized access, staff is trained not to leave documents with sensitive data in plain sight and to destroy documents that are no longer necessary (through secure destruction).
• Backup and data continuity: We perform periodic backups of important data to prevent accidental loss. Backups are stored in secure environments and replicas (sometimes in different locations) to ensure service continuity in case of major incidents (e.g., server failure). Access to backups is also restricted and encrypted.
• Security procedures and audit: RQM Certification maintains internal policies and procedures for managing data security. We continuously monitor systems to detect suspicious activities and perform periodic reviews of security measures. Although data transmission over the internet is never 100% secure, we do our best to protect your data once it has been received in our systems, applying strict procedures and controls to prevent unauthorized access.
• Management of security incidents: We have a response plan for possible data security incidents. In the unlikely event of a security breach that could significantly affect your rights and freedoms (e.g., loss or unauthorized access to sensitive personal data), RQM Certification will notify the supervisory authority within 72 hours of discovering the incident, and we will inform you without undue delay, in accordance with legal obligations (art. 33-34 GDPR).

Through these measures, we aim to guarantee the integrity and confidentiality of data throughout their life cycle, from collection to deletion. We are committed to continuously reviewing and improving our security policies, to adapt to the evolution of threats and to ensure a high level of protection for our clients’ data.

Modificări ale politicii

RQM Certification își rezervă dreptul de a actualiza sau modifica prezenta Politică de prelucrare a datelor și confidențialitate ori de câte ori este necesar, de exemplu pentru a reflecta schimbări în operațiunile noastre de prelucrare, modificări legislative sau orientări emise de autoritățile de supraveghere. Orice modificare substanțială a politicii va fi adusă la cunoștința persoanelor vizate în mod adecvat. Vom anunța aceste schimbări fie prin publicarea vizibilă a unei noi versiuni pe site-ul nostru, fie prin comunicări directe (e-mail) către clienți, cu cel puțin 30 de zile înainte ca modificările importante să intre în vigoare.

La începutul documentului vom actualiza și data ultimei versiuni, astfel încât să puteți vedea cu ușurință când a fost revizuită ultima dată politica. Vă încurajăm să verificați periodic site-ul nostru (secțiunea de Politică de confidențialitate) pentru a rămâne informat cu privire la eventualele schimbări. Continuarea utilizării serviciilor noastre sau menținerea relației cu noi după intrarea în vigoare a noii politici va reprezenta acceptarea modificărilor, în măsura permisă de lege. Desigur, dacă modificările implică un nou scop de prelucrare sau un nou temei care necesită consimțământul dumneavoastră, vă vom solicita consimțământul în mod explicit, acolo unde este cazul.

Această politică este în vigoare începând cu 01 mai 2025 și rămâne valabilă până la o eventuală actualizare. Orice versiune anterioară a politicii va fi arhivată și poate fi pusă la dispoziție, la cerere, pentru consultare.

Policy Changes

RQM Certification reserves the right to update or modify this Data Processing and Confidentiality Policy whenever necessary, for example to reflect changes in our processing operations, legislative changes, or guidance issued by supervisory authorities. Any substantial modification of the policy will be appropriately brought to the attention of the data subjects. We will announce these changes either by visibly publishing a new version on our website or through direct communications (email) to clients, at least 30 days before important changes take effect.

At the beginning of the document, we will also update the date of the latest version, so that you can easily see when the policy was last revised. We encourage you to periodically check our website (the Confidentiality Policy section) to stay informed about any changes. Continuing to use our services or maintaining a relationship with us after the new policy takes effect will represent acceptance of the changes, to the extent permitted by law. Of course, if the changes involve a new processing purpose or a new basis that requires your consent, we will explicitly request your consent, where applicable.

This policy is in effect starting May 1, 2025, and remains valid until a possible update. Any previous version of the policy will be archived and can be made available upon request for consultation.

Date de contact ale responsabilului cu protecția datelor

Pentru întrebări, solicitări sau preocupări legate de protecția datelor, ne puteți contacta oricând pentru clarificări. RQM Certification a desemnat un responsabil intern cu protecția datelor (DPO), care poate fi contactat la:

• Responsabil cu protecția datelor – RQM Certification SRL
  Email:  office@rqmcert.com
  Telefon: +40 356 173 020 (disponibil în zilele lucrătoare, interval orar 8:00 – 16:00)
  Adresa poștală: Strada Marginii, Nr.4, Corp A, Ap.6, Timișoara, jud. Timiș, România (cu mențiunea “În atenția Responsabilului cu protecția datelor”)

Ne puteți scrie pe email sau ne puteți contacta telefonic pentru orice aspect legat de datele dvs. personale – fie că doriți să vă exercitați un drept (acces, rectificare, ștergere, etc.), fie că aveți nelămuriri despre cum vă sunt prelucrate datele. De asemenea, dacă suspectați o încălcare a securității datelor sau aveți orice plângere, ne puteți adresa direct aceste aspecte. Responsabilul cu protecția datelor va analiza cererea sau reclamația dumneavoastră și vă va răspunde în cel mai scurt timp posibil, nu mai târziu de 30 de zile de la primire.

În cazul în care nu sunteți mulțumit de răspunsul nostru sau considerați că problema semnalată nu a fost rezolvată, vă reamintim că puteți contacta ANSPDCP (detaliile de contact fiind menționate mai sus, la dreptul de plângere) pentru a depune o reclamație.

Notă: Această politică a fost elaborată ținând cont de specificul activităților RQM Certification și de cerințele legale în vigoare. RQM Certification se angajează să respecte cu strictețe prevederile acestei politici și ale legislației privind protecția datelor, asigurând astfel confidențialitatea și securitatea datelor tuturor persoanelor cu care interacționează. Pentru informații suplimentare, ne puteți contacta la datele menționate mai sus.

Contact Details of the Data Protection Officer 

For questions, requests, or concerns related to data protection, you can contact us at any time for clarification. RQM Certification has appointed an internal data protection officer (DPO), who can be contacted at:

• Data Protection Officer – RQM Certification SRL Email: office@rqmcert.com Phone: +40 356 173 020 (available on working days, between 8:00 – 16:00) Postal address: Strada Marginii, Nr.4, Corp A, Ap.6, Timișoara, jud. Timiș, Romania (with the mention “For the attention of the Data Protection Officer”)

You can write to us by email or contact us by phone for any aspect related to your personal data – whether you wish to exercise a right (access, rectification, deletion, etc.), or have questions about how your data is processed. Also, if you suspect a data security breach or have any complaint, you can address these issues directly to us. The Data Protection Officer will analyze your request or complaint and will respond as soon as possible, no later than 30 days from receipt.

If you are not satisfied with our response or consider that the reported issue has not been resolved, we remind you that you can contact ANSPDCP (contact details mentioned above, under the right to complaint) to file a complaint.

Note: This policy has been developed taking into account the specific activities of RQM Certification and the legal requirements in force. RQM Certification is committed to strictly complying with the provisions of this policy and data protection legislation, thus ensuring the confidentiality and security of data for all persons with whom it interacts. For additional information, you can contact us at the details mentioned above.