1. Angajamentul Companiei
1.1 Protejarea sigurantei si securitatii datelor personale este importanta pentru Companie, astfel ca activitatile desfasurate sunt in conformitate cu legislatia aplicabila referitoare la protectia sigurantei datelor si la securitatea acestora. Oferirea garantiilor in ceea ce priveste siguranta, protectia si confidentialitatea datelor, inclusiv a datelor cu caracter personal, asigurarea increderii in calitatea serviciilor oferite si asigurarea unui mediu de afaceri stabil, reprezinta un element fundamental in activitatea companiei. De aceea, compania, prin activitatile sale isi asuma responsabilitati fata de salariati, clienti si colaboratori, bazate pe confidentialitate, protectie si siguranta, asigurate prin aplicarea si respectarea legilor si normelor aplicabile la nivel national si european si implementarea si aplicarea politicilor proprii de securitate privind protectia datelor cu caracter personal si securitate corporativa. Astfel, prezenta Politica de Securitate, are drept scop asigurarea nivelului corespunzator de securitate in ceea ce priveste modul in care sunt colectate, stocate si prelucrate datele cu caracter personal (DCP) si este elaborata in conformitate cu prevederile Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date.
1.2 Politica de securitate prezinta modul in care sunt colectate si utilizate aceste informatii, scopul colectarii si prelucrarii, precum si conditiile de utilizare ale informatiilor cu caracter personal.
2. Principiile colectarii si prelucrarii datelor cu caracter personal
2.1 Datele cu caracter personal sunt prelucrate cu buna-credinta, in temeiul si in conformitate cu prevederile legale.
2.2 Datele cu caracter personal sunt colectate numai in scopuri bine determinate, explicite si legitime, iar prelucrarea ulterioara nu va fi incompatibila cu aceste scopuri.
2.3 Datele cu caracter personal nu se stocheaza pentru o perioada mai lunga decat este necesar pentru realizarea scopurilor in care au fost colectate.
2.4 Compania va lua toate masurile tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat din punct de vedere al scopului in care sunt colectate si pentru care vor fi prelucrate.
3. Categorii de date cu caracter personal prelucrate de Companie
3.1 In indeplinirea obiectului sau de activitate, Compania colecteaza, prelucreaza si stocheaza, cu acordul persoanelor vizate, sau in temeiul prevederilor legale privind infiintarea si functionarea societatilor, in baza contractelor incheiate sau in scopul incheierii unor contracte comerciale, urmatoarele categorii de date:
a) informatiile personale furnizate de catre client/prestator persoana fizica sau persoana fizica reprezentant al clientului/prestatorului persoana juridica, necesare pentru identificarea clientului/furnizorului, in scopul incheierii contractelor comerciale: nume, prenume date din cartea de identitate ale persoanei fizice rezidente (serie, numar, CNP, adresa domiciliu) date din pasaport (serie, numar, adresa domiciliu) in cazul persoanelor nerezidente adresa posta electronica, alte adrese de corespondenta numere de telefon semnatura.
b) informatii personale necesare in vederea incheierii si executarii contractelor individuale de munca si managementului resurselor umane: nume, prenume date din cartea de identitate ale persoanei fizice rezidente (serie, numar, CNP, adresa domiciliu) date din pasaport (serie, numar, adresa domiciliu) in cazul persoanelor nerezidente adresa posta electronica, alte adrese de corespondenta numere de telefon profesie, calificare / formare-profesionala istoric angajari / antecedente profesionale informatiile furnizate de GPS-ul instalat pe o masina informatii privind modul de folosire al unui calculator cont bancar semnatura date privind veniturile obtinute.
c) date personale ale actionarilor persoane fizice necesare tinerii Registrului de evidenta al actionarilor si exercitarii acestei calitati in cadrul companiei: nume, prenume date din cartea de identitate ale persoanei fizice rezidente (serie, numar, CNP, adresa domiciliu) date din pasaport (serie, numar, adresa domiciliu) in cazul persoanelor nerezidente adresa posta electronica, alte adrese de corespondenta numere de telefon cont bancar. semnatura datele referitoare la aportul actionarului in cadrul societatii (tipul aportului, cuantumul aportului, data subscrierii, data varsarii etc.) date referitoare la cota de participare la beneficii si pierderi date referitoare la drepturile si obligatiile actionarului informatii privind participarea si modul de exercitare al votului al cadrul adunarilor generale (data participarii, locul participarii, modul de exercitare al votului) date privind veniturile obtinute de actionar de la societate (ex: sumele platite, cuantumul acestora, data platii, natura acestora etc).
d) date personale ale administratorului persoana fizica, necesare exercitarii acestei calitati in cadrul companiei: nume, prenume date din cartea de identitate ale persoanei fizice rezidente (serie, numar, CNP, adresa domiciliu etc.) date din pasaport (serie, numar, adresa domiciliu etc.) in cazul persoanelor nerezidente adresa posta electronica, alte adrese de corespondenta numere de telefon cont bancar. semnatura date privind experienta profesionala date referitoare la drepturile si obligatiile administratorului; informatii privind modul in care isi exercita functia date privind veniturile obtinute.
3.2. Compania prelucreaza date privind sanatatea exclusiv in scopul indeplinirii obligatiilor si exercitsrii unor drepturi specifice ale companei sau ale persoanei vizate in domeniul ocuparii fortei de munca si al securitatii sociale si protectiei sociale.
3.3. Compania NU colecteaza si nu stocheaza informatii referitoare la categorii speciale de date, respectiv date cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filosofice sau apartenenta la sindicate si NU prelucreaza date genetice, date biometrice pentru identificarea unica a unei persoane fizice, sau date privind viata sexuala sau orientarea sexuala ale unei persoane fizice.
4. Scopul prelucrarii datelor cu caracter personal
4.1 Compania va colecta, utiliza si prelucra datele personale atat in mod direct, prin obtinerea acordului persoanelor vizate, prin incheierea contractelor comerciale, a contractelor de prestari servicii, a contractelor individuale de munca sau a altor contracte necesare sau oportune pentru realizarea obiectului de activitate, cat si in calitate de destinatar, prin intermediul partenerilor comerciali care au obtinut in prealabil acordul persoanelor vizate.
4.2 Datele cu caracter personal sunt destinate utilizarii de catre Companie, insa acestea pot fi furnizate partenerilor comerciali doar in masura in care acest lucru este considerat necesar in contextul livrarii / achizitiei de bunuri sau achizitiei / prestarii de servicii.
4.3 Datele cu caracter personal ale salariatilor sunt colectate, prelucrate si stocate in vederea incheierii si executarii contractelor individuale de munca, in conformitate cu prevederile legislatiei muncii, in scopul managementului resurselor umane si asigurarii raporturilor de munca (inregistrari Revisal, plati de natura salariala si contributii sociale obligatorii, arhivare, etc.).
4.4 Datele cu caracter personal ale actionarilor persoane fizice sunt necesare tinerii Registrului de evidenta al actionarilor
5. Acoperirea cerintelor minime de securitate
5.1 Acces restrans la baza de date
Tipul de acces
Utilizatorii acceseaza numai datele cu caracter personal necesare pentru indeplinirea atributiilor de serviciu. Pentru aceasta sunt stabilite roluri de utilizator, iar fiecare rol de utilizator are acces doar la datele necesare pentru indeplinirea atributiilor de serviciu.
Utilizatorii au urmatoarele obligatii specifice:
sa cunoasca si sa aplice prevederile actelor normative din domeniul prelucrarii datelor cu caracter personal precum si ale prezentei Politici de securitate;
sa informeze persoana vizata atunci cand datele cu caracter personal sunt colectate direct de la aceasta, in conditiile legii, cu privire la: identitatea operatorului, scopul in care se face prelucrarea datelor, eventualii destinatari ai datelor, obligativitatea furnizarii tuturor datelor cerute si consecintele refuzului de a le pune la dispozitie, drepturile prevazute de lege, in special drepturile de acces, de interventie asupra datelor si de opozite, conditiile in care pot fi exercitate aceste drepturi;
sa prelucreze numai datele cu caracter personal necesare indeplinirii atributiilor de serviciu si sa acorde sprijin conducatorului operatorului pentru realizarea activitatilor specifice ale acestuia;
sa pastreze confidentialitatea datelor prelucrate, a contului de utilizator, a parolei/codului de acces la sistemele informatice/baze de date prin care sunt gestionate date cu caracter personal;
sa respecte masurile de securitate, precum si celelalte reguli stabilite de operator;
sa informeze de indata conducerea companiei despre imprejurari de natura a conduce la o diseminare neautorizata de date cu caracter personal sau despre o situatie in care au fost accesate/ prelucrate date cu caracter personal prin incalcarea normelor legale, despre care a luat la cunostinta.
Programatorii sistemelor de prelucrare a datelor cu caracter personal nu au acces la datele cu caracter personal, accesul programatorilor la datele cu caracter personal este permis numai dupa ce acestea au fost transformate in date anonime. Departamentul care asigura suportul tehnic are acces la datele cu caracter personal pentru rezolvarea unor cazuri exceptionale. Pentru activitatea de pregatire a utilizatorilor sau pentru realizarea de prezentari se folosesc date anonime.
5.2 Identificarea si autentificarea utilizatorului
Pentru a capata acces la o baza de date cu caracter personal utilizatorul trebuie sa se identifice. Identificarea se poate face pe baza unui nume de utilizator unic, astfel niciodata mai multi utilizatori nu au acelasi nume de utilizator. Un utilizator se poate autentifica prin introducerea unei parole care trebuie sa indeplineasca urmatoarele criterii de complexitate:
- sa aiba minimum 6 caractere dintre care cel putin unul trebuie sa fie o cifra. La introducerea parolelor acestea nu se afiseaza in clar pe monitor. Conturile de utilizator sunt administrate de catre o persoana autorizata care are dreptul de a revoca sau a suspenda un cod de identificare si autentificare, daca utilizatorul si-a dat demisia ori a fost concediat, si-a incheiat contractul, a fost transferat la alt serviciu si noile sarcini nu ii solicita accesul la date cu caracter personal sau a abuzat de codurile primite. Accesul la bazele de date cu caracter personal pentru a efectua modificari manuale se face doar de de catre persoane aprobate de conducerea companiei conform fisei postului.
5.3 Colectarea datelor
Colectarea datelor se face prin introducere directa de catre personal autorizat si orice modificare a datelor cu caracter personal se poate face numai de catre utilizatori autorizati. Sistemul informational inregistreaza cine a facut modificarea, data si ora modificarii. Sistemul informational mentine un istoric al datelor sterse sau modificate.
5.4 Executia copiilor de siguranta
Copiile de siguranta ale bazelor de date cu caracter personal precum si ale programelor folosite pentru prelucrarile automatizate se executa zilnic, de catre personal specializat. Copiile de siguranta sunt stocate in alte camere, in fisete metalice cu sigiliu aplicat, iar accesul la copiile de siguranta este monitorizat.
5.5 Computerele si terminalele de acces
Accesul la computerele si alte terminale de acces se face doar prin intermediul unui nume de utilizator si a unei parole. Daca utilizatorul nu realizeaza actiuni in cadrul aplicatiei o perioada de 5 minute sesiunea de lucru expira automat. Serverele care gazduiesc bazele de date ce contin date cu carater personal pot fi accesate doar in mod controlat si se afla in incaperi inchise cu cheie.
5.6 Fisierele de acces
Orice accesare a bazei de date cu caracter personal este inregistrata intr-un fisier de acces (numit log). Informatiile inregistrate in fisierul de acces sunt: codul de identificare, numele fisierului accesat, codul operatiei executate sau programul folosit, data accesului (an, luna, zi), timpul (ora, minutul, secunda). Orice incercare de acces neautorizat este de asemenea inregistrata. Compania pastreaza fisierele de acces cel putin 2 ani, pentru a fi folosite ca probe in cazul unor investigatii. Daca investigatiile se prelungesc, aceste fisiere se vor pastra atat timp cat se va considera necesar. Fisierele de acces fac posibila identificarea de catre operator sau de catre persoana imputernicita a persoanelor care au accesat date cu caracter personal fara un motiv anume, in vederea aplicarii unor sanctiuni sau a sesizarii organelor competente.
5.7 Instruirea personalului
In cadrul cursurilor de pregatire a utilizatorilor se face informarea acestora cu privire la prevederile Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date, la cerintele minime de securitate a prelucrarilor de date cu caracter personal, precum si cu privire la riscurile pe care le comporta prelucrarea datelor cu caracter personal. Utilizatorii care au acces la date cu caracter personal sunt instruiti asupra confidentialitatii acestora.
5.8 Folosirea computerelor
Pentru mentinerea securitatii prelucrarii datelor cu caracter personal (in special impotriva virusilor informatici) sunt luate urmatoarele masuri:
- interzicerea folosirii de catre utilizatori a programelor software care provin din surse externe sau dubioase
- informarea utilizatorilor in privinta pericolului privind virusii informatici
- implementarea unor sisteme automate de devirusare si de securitate a sistemelor informatice.
5.9 Imprimarea datelor
Listarea la imprimanta a datelor cu caracter personal se realizeaza numai de utilizatori autorizati pentru aceasta operatiune, existand proceduri interne specifice privind folosirea si distrugerea acestor materiale.
6. Masuri suplimentare de securitate
6.1 In cazul in care dezvaluirea datelor este impusa de lege, societatea, prin reprezentatul legal, se va asigura ca tertul care solicita dezvaluirea actioneaza in conformitate cu dispozitiile legale si este autorizat sa solicite dezvaluirea.
6.2 Serverele care pastreaza bazele de date sunt protejate prin antivirusi si firewall care isi actualizeaza semnaturile la un interval regulat si scurt de timp.
6.3 Atunci cand accesul la date se face printr-o interfata web este folosit un certificat de securitate HTTPS - GeoTurst
6.4 Atunci cand accesul la date se face printr-un API autentificarea se face, in plus fata de utilizator si parola, folosind o cheie de securiate.
6.5 In cazul in care apare o eroare sau cedeaza echipamentul, societatea dispune atat de personal propriu calificat cat si de asistenta externa specializata, care poate sa intervina.
7. Drepturile persoanelor ale caror date personale sunt colectate si / sau prelucrate
Persoana vizata dispune de drepturile prevazute de Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date, respectiv: dreptul la informare, dreptul de acces la date, dreptul de interventie asupra datelor, anume restrictionare, rectificare si stergere, dreptul de opozitie, dreptul de a nu fi supus unei decizii individuale, pe care le poate exercita printr-o cerere scrisa adresata Companiei.
Fara a se aduce atingere posibilitatii de a se adresa cu plangere autoritatii de supraveghere, persoanele vizate au de asemenea dreptul de a se adresa justitiei pentru apararea oricaror drepturi garantate de lege, care le-ar fi fost incalcate. Orice persoana care a suferit un prejudiciu in urma unei prelucrari de date cu caracter personal, efectuata ilegal, se poate adresa instantei competente pentru repararea acestuia.
8. Alte dispozitii
Prezenta Politica de securitate este o declaratie a principiilor privind prelucrarea datelor cu caracter personal, in acord cu legislatia relevanta si este obligatorie pentru toate departamentele Companiei.
1.1 Protejarea sigurantei si securitatii datelor personale este importanta pentru Companie, astfel ca activitatile desfasurate sunt in conformitate cu legislatia aplicabila referitoare la protectia sigurantei datelor si la securitatea acestora. Oferirea garantiilor in ceea ce priveste siguranta, protectia si confidentialitatea datelor, inclusiv a datelor cu caracter personal, asigurarea increderii in calitatea serviciilor oferite si asigurarea unui mediu de afaceri stabil, reprezinta un element fundamental in activitatea companiei. De aceea, compania, prin activitatile sale isi asuma responsabilitati fata de salariati, clienti si colaboratori, bazate pe confidentialitate, protectie si siguranta, asigurate prin aplicarea si respectarea legilor si normelor aplicabile la nivel national si european si implementarea si aplicarea politicilor proprii de securitate privind protectia datelor cu caracter personal si securitate corporativa. Astfel, prezenta Politica de Securitate, are drept scop asigurarea nivelului corespunzator de securitate in ceea ce priveste modul in care sunt colectate, stocate si prelucrate datele cu caracter personal (DCP) si este elaborata in conformitate cu prevederile Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date.
1.2 Politica de securitate prezinta modul in care sunt colectate si utilizate aceste informatii, scopul colectarii si prelucrarii, precum si conditiile de utilizare ale informatiilor cu caracter personal.
2. Principiile colectarii si prelucrarii datelor cu caracter personal
2.1 Datele cu caracter personal sunt prelucrate cu buna-credinta, in temeiul si in conformitate cu prevederile legale.
2.2 Datele cu caracter personal sunt colectate numai in scopuri bine determinate, explicite si legitime, iar prelucrarea ulterioara nu va fi incompatibila cu aceste scopuri.
2.3 Datele cu caracter personal nu se stocheaza pentru o perioada mai lunga decat este necesar pentru realizarea scopurilor in care au fost colectate.
2.4 Compania va lua toate masurile tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat din punct de vedere al scopului in care sunt colectate si pentru care vor fi prelucrate.
3. Categorii de date cu caracter personal prelucrate de Companie
3.1 In indeplinirea obiectului sau de activitate, Compania colecteaza, prelucreaza si stocheaza, cu acordul persoanelor vizate, sau in temeiul prevederilor legale privind infiintarea si functionarea societatilor, in baza contractelor incheiate sau in scopul incheierii unor contracte comerciale, urmatoarele categorii de date:
a) informatiile personale furnizate de catre client/prestator persoana fizica sau persoana fizica reprezentant al clientului/prestatorului persoana juridica, necesare pentru identificarea clientului/furnizorului, in scopul incheierii contractelor comerciale: nume, prenume date din cartea de identitate ale persoanei fizice rezidente (serie, numar, CNP, adresa domiciliu) date din pasaport (serie, numar, adresa domiciliu) in cazul persoanelor nerezidente adresa posta electronica, alte adrese de corespondenta numere de telefon semnatura.
b) informatii personale necesare in vederea incheierii si executarii contractelor individuale de munca si managementului resurselor umane: nume, prenume date din cartea de identitate ale persoanei fizice rezidente (serie, numar, CNP, adresa domiciliu) date din pasaport (serie, numar, adresa domiciliu) in cazul persoanelor nerezidente adresa posta electronica, alte adrese de corespondenta numere de telefon profesie, calificare / formare-profesionala istoric angajari / antecedente profesionale informatiile furnizate de GPS-ul instalat pe o masina informatii privind modul de folosire al unui calculator cont bancar semnatura date privind veniturile obtinute.
c) date personale ale actionarilor persoane fizice necesare tinerii Registrului de evidenta al actionarilor si exercitarii acestei calitati in cadrul companiei: nume, prenume date din cartea de identitate ale persoanei fizice rezidente (serie, numar, CNP, adresa domiciliu) date din pasaport (serie, numar, adresa domiciliu) in cazul persoanelor nerezidente adresa posta electronica, alte adrese de corespondenta numere de telefon cont bancar. semnatura datele referitoare la aportul actionarului in cadrul societatii (tipul aportului, cuantumul aportului, data subscrierii, data varsarii etc.) date referitoare la cota de participare la beneficii si pierderi date referitoare la drepturile si obligatiile actionarului informatii privind participarea si modul de exercitare al votului al cadrul adunarilor generale (data participarii, locul participarii, modul de exercitare al votului) date privind veniturile obtinute de actionar de la societate (ex: sumele platite, cuantumul acestora, data platii, natura acestora etc).
d) date personale ale administratorului persoana fizica, necesare exercitarii acestei calitati in cadrul companiei: nume, prenume date din cartea de identitate ale persoanei fizice rezidente (serie, numar, CNP, adresa domiciliu etc.) date din pasaport (serie, numar, adresa domiciliu etc.) in cazul persoanelor nerezidente adresa posta electronica, alte adrese de corespondenta numere de telefon cont bancar. semnatura date privind experienta profesionala date referitoare la drepturile si obligatiile administratorului; informatii privind modul in care isi exercita functia date privind veniturile obtinute.
3.2. Compania prelucreaza date privind sanatatea exclusiv in scopul indeplinirii obligatiilor si exercitsrii unor drepturi specifice ale companei sau ale persoanei vizate in domeniul ocuparii fortei de munca si al securitatii sociale si protectiei sociale.
3.3. Compania NU colecteaza si nu stocheaza informatii referitoare la categorii speciale de date, respectiv date cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filosofice sau apartenenta la sindicate si NU prelucreaza date genetice, date biometrice pentru identificarea unica a unei persoane fizice, sau date privind viata sexuala sau orientarea sexuala ale unei persoane fizice.
4. Scopul prelucrarii datelor cu caracter personal
4.1 Compania va colecta, utiliza si prelucra datele personale atat in mod direct, prin obtinerea acordului persoanelor vizate, prin incheierea contractelor comerciale, a contractelor de prestari servicii, a contractelor individuale de munca sau a altor contracte necesare sau oportune pentru realizarea obiectului de activitate, cat si in calitate de destinatar, prin intermediul partenerilor comerciali care au obtinut in prealabil acordul persoanelor vizate.
4.2 Datele cu caracter personal sunt destinate utilizarii de catre Companie, insa acestea pot fi furnizate partenerilor comerciali doar in masura in care acest lucru este considerat necesar in contextul livrarii / achizitiei de bunuri sau achizitiei / prestarii de servicii.
4.3 Datele cu caracter personal ale salariatilor sunt colectate, prelucrate si stocate in vederea incheierii si executarii contractelor individuale de munca, in conformitate cu prevederile legislatiei muncii, in scopul managementului resurselor umane si asigurarii raporturilor de munca (inregistrari Revisal, plati de natura salariala si contributii sociale obligatorii, arhivare, etc.).
4.4 Datele cu caracter personal ale actionarilor persoane fizice sunt necesare tinerii Registrului de evidenta al actionarilor
5. Acoperirea cerintelor minime de securitate
5.1 Acces restrans la baza de date
Tipul de acces
Utilizatorii acceseaza numai datele cu caracter personal necesare pentru indeplinirea atributiilor de serviciu. Pentru aceasta sunt stabilite roluri de utilizator, iar fiecare rol de utilizator are acces doar la datele necesare pentru indeplinirea atributiilor de serviciu.
Utilizatorii au urmatoarele obligatii specifice:
sa cunoasca si sa aplice prevederile actelor normative din domeniul prelucrarii datelor cu caracter personal precum si ale prezentei Politici de securitate;
sa informeze persoana vizata atunci cand datele cu caracter personal sunt colectate direct de la aceasta, in conditiile legii, cu privire la: identitatea operatorului, scopul in care se face prelucrarea datelor, eventualii destinatari ai datelor, obligativitatea furnizarii tuturor datelor cerute si consecintele refuzului de a le pune la dispozitie, drepturile prevazute de lege, in special drepturile de acces, de interventie asupra datelor si de opozite, conditiile in care pot fi exercitate aceste drepturi;
sa prelucreze numai datele cu caracter personal necesare indeplinirii atributiilor de serviciu si sa acorde sprijin conducatorului operatorului pentru realizarea activitatilor specifice ale acestuia;
sa pastreze confidentialitatea datelor prelucrate, a contului de utilizator, a parolei/codului de acces la sistemele informatice/baze de date prin care sunt gestionate date cu caracter personal;
sa respecte masurile de securitate, precum si celelalte reguli stabilite de operator;
sa informeze de indata conducerea companiei despre imprejurari de natura a conduce la o diseminare neautorizata de date cu caracter personal sau despre o situatie in care au fost accesate/ prelucrate date cu caracter personal prin incalcarea normelor legale, despre care a luat la cunostinta.
Programatorii sistemelor de prelucrare a datelor cu caracter personal nu au acces la datele cu caracter personal, accesul programatorilor la datele cu caracter personal este permis numai dupa ce acestea au fost transformate in date anonime. Departamentul care asigura suportul tehnic are acces la datele cu caracter personal pentru rezolvarea unor cazuri exceptionale. Pentru activitatea de pregatire a utilizatorilor sau pentru realizarea de prezentari se folosesc date anonime.
5.2 Identificarea si autentificarea utilizatorului
Pentru a capata acces la o baza de date cu caracter personal utilizatorul trebuie sa se identifice. Identificarea se poate face pe baza unui nume de utilizator unic, astfel niciodata mai multi utilizatori nu au acelasi nume de utilizator. Un utilizator se poate autentifica prin introducerea unei parole care trebuie sa indeplineasca urmatoarele criterii de complexitate:
- sa aiba minimum 6 caractere dintre care cel putin unul trebuie sa fie o cifra. La introducerea parolelor acestea nu se afiseaza in clar pe monitor. Conturile de utilizator sunt administrate de catre o persoana autorizata care are dreptul de a revoca sau a suspenda un cod de identificare si autentificare, daca utilizatorul si-a dat demisia ori a fost concediat, si-a incheiat contractul, a fost transferat la alt serviciu si noile sarcini nu ii solicita accesul la date cu caracter personal sau a abuzat de codurile primite. Accesul la bazele de date cu caracter personal pentru a efectua modificari manuale se face doar de de catre persoane aprobate de conducerea companiei conform fisei postului.
5.3 Colectarea datelor
Colectarea datelor se face prin introducere directa de catre personal autorizat si orice modificare a datelor cu caracter personal se poate face numai de catre utilizatori autorizati. Sistemul informational inregistreaza cine a facut modificarea, data si ora modificarii. Sistemul informational mentine un istoric al datelor sterse sau modificate.
5.4 Executia copiilor de siguranta
Copiile de siguranta ale bazelor de date cu caracter personal precum si ale programelor folosite pentru prelucrarile automatizate se executa zilnic, de catre personal specializat. Copiile de siguranta sunt stocate in alte camere, in fisete metalice cu sigiliu aplicat, iar accesul la copiile de siguranta este monitorizat.
5.5 Computerele si terminalele de acces
Accesul la computerele si alte terminale de acces se face doar prin intermediul unui nume de utilizator si a unei parole. Daca utilizatorul nu realizeaza actiuni in cadrul aplicatiei o perioada de 5 minute sesiunea de lucru expira automat. Serverele care gazduiesc bazele de date ce contin date cu carater personal pot fi accesate doar in mod controlat si se afla in incaperi inchise cu cheie.
5.6 Fisierele de acces
Orice accesare a bazei de date cu caracter personal este inregistrata intr-un fisier de acces (numit log). Informatiile inregistrate in fisierul de acces sunt: codul de identificare, numele fisierului accesat, codul operatiei executate sau programul folosit, data accesului (an, luna, zi), timpul (ora, minutul, secunda). Orice incercare de acces neautorizat este de asemenea inregistrata. Compania pastreaza fisierele de acces cel putin 2 ani, pentru a fi folosite ca probe in cazul unor investigatii. Daca investigatiile se prelungesc, aceste fisiere se vor pastra atat timp cat se va considera necesar. Fisierele de acces fac posibila identificarea de catre operator sau de catre persoana imputernicita a persoanelor care au accesat date cu caracter personal fara un motiv anume, in vederea aplicarii unor sanctiuni sau a sesizarii organelor competente.
5.7 Instruirea personalului
In cadrul cursurilor de pregatire a utilizatorilor se face informarea acestora cu privire la prevederile Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date, la cerintele minime de securitate a prelucrarilor de date cu caracter personal, precum si cu privire la riscurile pe care le comporta prelucrarea datelor cu caracter personal. Utilizatorii care au acces la date cu caracter personal sunt instruiti asupra confidentialitatii acestora.
5.8 Folosirea computerelor
Pentru mentinerea securitatii prelucrarii datelor cu caracter personal (in special impotriva virusilor informatici) sunt luate urmatoarele masuri:
- interzicerea folosirii de catre utilizatori a programelor software care provin din surse externe sau dubioase
- informarea utilizatorilor in privinta pericolului privind virusii informatici
- implementarea unor sisteme automate de devirusare si de securitate a sistemelor informatice.
5.9 Imprimarea datelor
Listarea la imprimanta a datelor cu caracter personal se realizeaza numai de utilizatori autorizati pentru aceasta operatiune, existand proceduri interne specifice privind folosirea si distrugerea acestor materiale.
6. Masuri suplimentare de securitate
6.1 In cazul in care dezvaluirea datelor este impusa de lege, societatea, prin reprezentatul legal, se va asigura ca tertul care solicita dezvaluirea actioneaza in conformitate cu dispozitiile legale si este autorizat sa solicite dezvaluirea.
6.2 Serverele care pastreaza bazele de date sunt protejate prin antivirusi si firewall care isi actualizeaza semnaturile la un interval regulat si scurt de timp.
6.3 Atunci cand accesul la date se face printr-o interfata web este folosit un certificat de securitate HTTPS - GeoTurst
6.4 Atunci cand accesul la date se face printr-un API autentificarea se face, in plus fata de utilizator si parola, folosind o cheie de securiate.
6.5 In cazul in care apare o eroare sau cedeaza echipamentul, societatea dispune atat de personal propriu calificat cat si de asistenta externa specializata, care poate sa intervina.
7. Drepturile persoanelor ale caror date personale sunt colectate si / sau prelucrate
Persoana vizata dispune de drepturile prevazute de Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date, respectiv: dreptul la informare, dreptul de acces la date, dreptul de interventie asupra datelor, anume restrictionare, rectificare si stergere, dreptul de opozitie, dreptul de a nu fi supus unei decizii individuale, pe care le poate exercita printr-o cerere scrisa adresata Companiei.
Fara a se aduce atingere posibilitatii de a se adresa cu plangere autoritatii de supraveghere, persoanele vizate au de asemenea dreptul de a se adresa justitiei pentru apararea oricaror drepturi garantate de lege, care le-ar fi fost incalcate. Orice persoana care a suferit un prejudiciu in urma unei prelucrari de date cu caracter personal, efectuata ilegal, se poate adresa instantei competente pentru repararea acestuia.
8. Alte dispozitii
Prezenta Politica de securitate este o declaratie a principiilor privind prelucrarea datelor cu caracter personal, in acord cu legislatia relevanta si este obligatorie pentru toate departamentele Companiei.