Politica de securitate

POLITICA DE SECURITATE – CUPRINS

1. INTRODUCERE

2. GLOSAR DE TERMENI

3. RASPUNDEREA LEGATA DE PRELUCRAREA DATELOR CU CARACTER PERSONAL

3.1 Principii Generale

3.2 Atributiile Operatorului de Date cu Caracter Personal

3.3 Atributii ale Managerului Tehnic

3.4 Obligatiile Utilizatorilor

4. reguli de dezvaluire a datelor cu caracter personal CATRE terte persoane

5. REGULI DE INCREDINTARE A DATELOR CU CARACTER PERSONAL CATRE TERTE PERSOANE

6. programe utilizate pentru prelucrarea datelor cu caracter personal

7. categoriile de Date cu Caracter Personal prelucrate

7.1 Baza clienti

7.2 Facturi si recuperari creante

7.3 Reclamatii

7.4 Evidenta corespondentei

7.5 Date de contact

8.  Verificari/actualizari ale politicii de securitate

8.1 Actualizare

8.2 Audit

9.  alte MASURI TEHNICE SI ORGANIZATORICE

9.1 Masuri de securitate fizica (birou)

9.2 Mijloace de securitate logica a serverelor

9.3 Masurile de securitate incorporate in sistemul software si in instrumentele si programele utilizate pentru prelucrarea Datelor cu Caracter Personal

9.4 Autorizatii pentru protectia Datelor cu Caracter Personal

9.5 Proceduri pentru acordarea, schimbarea si revocarea drepturilor de a prelucra Datele cu Caracter Personal in sistemul IT

9.6 Metode si mijloace de autentificare si proceduri legate de gestionarea si utilizarea acestora.

9.7 Proceduri de incepere, suspendare si finalizare a lucrului pentru utilizatorii sistemului

9.8 Proceduri de backup ale seturilor de date precum si programe si instrumente software pentru prelucararea acestora

9.9 Depozitarea suporturilor de informatii referitoare la Datelecu Caracter Personal

9.10 Protectia sistemului IT impotriva programelor care vizeaza accesul neautorizat la sistemul informatic

9.11 Alte cerinte specificate in cadrul comenzii

9.12 Procedurile de inspectie si mentenanta ale sistemelor si suporturilor de date folosite pentru Prelucrarea Datelor cu Caracter Personal

9.13 Procedura in cazul incalcarii securitatii Datelor cu Caracter Personal

9.14 Procedura in cazul detectarii incalcarii securitatii datorata starii unui dispozitiv al calculatorului

9.15 Cerinte suplimentare pentru utilizarea calculatoarelor portabile si a dispozitivelor mobile

10. LISTA DE anexe

POLITICA DE SECURITATE

1. INTRODUCERE

Societatea noastra, Laboratorul de Stil S.R.L. o societatea romaneasca avand sediul social in Bucuresti, Str Jandarmeriei, nr. 14, bl. A1, et. 4, ap. 41, cam. 1, sector 1, numar de telefon 0371 308 298, adresa de e-mail contact@girotondo.ro, inregistrata la Registrul Comertului de pe langa Tribunalul Bucuresti sub numarul J40/618/21.01.2015, cod unic de inregistrare 33998919 („Laboratorul de Stil”), desfasoara in mare parte activitati legate de piata online, unde potentialii cumparatori cumpara diferite obiecte (e.g., haine, accesorii), asadar Laboratorul de Stil actioneaza in calitate de vanzator, punand la dispozitia cumparatorilor propriile sale produse direct prin intermediul website-ului sau prin distribuitori.

Prezenta Politica de Securitate a Datelor cu Caracter Personal („Politica de Securitate”) se refera la metodele de securizare a Datelor cu Caracter Personal prelucrate in legatura cu website-ul www.perpetuummobile.online („Site-ul”), detinut de Laboratorul de Stil si masurile de protectie a acestor Date in conformitate cu legile in vigoare aplicabile.

Prezenta Politica de Securitate se aplica si este obligatorie pentru oricare si toate persoanele fizice ce actioneaza in numele Laboratorul de Stil sau persoanei imputernicite de acesta, persoane fizice ce au acces la Datele cu Carater Personal colectate si/sau prelucrate pentru si in numele Laboratorul de Stil.

La numirea unei persoane imputernicite de Laboratorul de Stil pentru prelucrarea datelor, Laboratorul de Stil trebuie sa aleaga o persoana ce prezinta destule garantii din punctul de vedere a masurilor tehnice si de securitate organizationala in privinta prelucrarii ce trebuie indeplinita si trebuie sa supravegheze aplicarea acestor masuri de persoana imputernicita de operator.

Oricare si toate Datele cu Caracter Personal sunt prelucrate de Laboratorul de Stil in mod special in baza urmatoarelor acte normative romanesti:

  • Legea no. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date cu modificarile ulterioare (in continuare denumita „Legea datelor cu caracter personal”);
  • Ordinul Avocatului Poporului Roman nr. 52/ 2002 privind aprobarea Cerintelor minime de securitate a prelucrarilor de Date cu Caracter Personal.

2. GLOSAR DE TERMENI

Aplicatie (software) functionalitate software ce asigura posibilitatea indeplinirii unor activitati importante care implica prelucrarea datelor de Utilizatori;
Consimtamantul Persoanei Vizate declaratie expresa de vointa prin care persoana isi da consimtamantul  pentru prelucrarea datelor lui/ei cu caracter personal; consimtamantul nu poate fi implicit sau dedus dintr-o declaratie de vointa cu un alt continut;
Client orice persoana care cumpara sau vine orice Produs prin intermediul Site-ului;
Confidentialitatea Datelor o functie ce asigura ca datele nu vor fi dezvaluite entitatilor neautorizate;
Operator de Date cu Caracter Personal/ Societatea/ Operatorul Laboratorul de Stil S.R.L. o societatea romaneasca avand sediul social in Bucuresti, Str Jandarmeriei, nr. 14, bl. A1, et. 4, ap. 41, cam. 1, sector 1, numar de telefon 0371 308 298, adresa de e-mail contact@girotondo.ro, inregistrata la Registrul Comertului de pe langa Tribunalul Bucuresti sub numarul J40/618/21.01.2015, cod unic de inregistrare 33998919;
Persoana imputernicita de catre operator persoana fizica sau juridica, agentie sau orice alta entitate ce prelucreaza Date cu Caracter Personal in numele Operatorului;
Destinatar al Datelor orice persoana careia ii sunt dezvaluite datele, in afara de: Persoana Vizata, o persoana imputernicita de operator sa prelucreze datele, un reprezentant al operatorului de Date cu Caracter Personal cu sediul inregistrat sau rezident intr-o tara terta, o entitate careia i s-a incredintat cu prelucrarea datelor cu caracter personal, autoritati statale sau autoritati locale carora li s-au dezvaluit datele in legatura cu procedurile desfasurate;
Persoana vizata o persoana fizica identificata sau identificabila ale caror Date cu Caracter Personal sunt prelucrate in orice mod prevazut de lege;
Stergerea Datelor distrugerea Datelor cu Caracter Personal sau modificarea lor ce face imposibila determinarea identitatii Persoanei Vizate;
Entitate Externa entitate careia i s-a incredintat prelucrarea datelor in baza unui acord scris in conformitate cu Art. 20 (5) din Legea Datelor cu Caracter Personal;
Echipament ICT orice dispozitiv tehnic de informare sau comunicare, precum desktop, calculatoare, laptopuri, tablete, smartphone, servere, monitoare, imprimante, echipamente audio-vizual (AV), echipamente software si de retea, dar fara consumabile IT cum ar fi cartus cerneala pentru imprimanta;
Manager tehnic persoana numita de Operator sa supervizeze si controleze conformitatea cu regulile de protectie si securitate a Datelor cu Caracter Personal in interiorul Societatii, prin utilizarea de metode tehnice, si responsabil in egala masura de infrastructura ICT in Societate;
Sistem IT set de dispozitive, hardware, software si baza de date ce prelucreaza Date cu Caracter Personal;
ANSPDCP Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (Romania);
Ordin Ordinul nr. 52/ 2002 privind aprobarea Cerintelor minime de securitate a prelucrarilor de Date cu Caracter Personal, emisa de Avocatul Poporului Roman;
Parola o insiruire de litere, cifre sau alte caractere, cunoscuta doar de Utilizator;
Date cu Caracter Personal orice informatie cu privire la o persoana fizica identificata sau identificabila, precum este aceasta definite de Legea Datelor cu Caracter Personal si prelucrata de Operatorul de Date cu sisteme IT sau folosind metode traditionale (versiunea cu hartie);
Legea Datelor cu Caracter Personal Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date cu modificarile ulterioare;
Prelucrarea de Date cu Caracter Personal orice operatiune efectuata asupra Datelor cu Caracter Personal, cum ar fi colectarea, inregistrarea, stocarea, compilarea, alterarea, dezvaluirea si stergerea Datelor cu Caracter Personal, efectuata in parte prin sisteme IT;
Politica de Securitate prezentul document;
Categorii speciale de Date cu Caracter Personal Date cu Caracter Personal prin care se dezvaluie rasa sau originea etnica, opiniile politice, convingerile religioase sau filosofice, apartenenta sindicala, precum si prelucrarea de date privind sanatatea si viata sexuala;
Utilizator o persoana autorizata de catre Operator sa prelucreze Date cu Caracter Personal in sistemul IT sau folosind o metoda traditionala, ex. pe hartie; si
ID-ul Utilizatorului o insiruire de litere, cifre sau alte caractere, ce identifica  unic o persoana autorizata sa prelucreze Date cu Caracter Personal in sistemul IT;

3. RASPUNDEREA LEGATA DE PRELUCRAREA DATELOR CU CARACTER PERSONAL

3.1 Principii Generale

Inainte de a incepe munca, toate persoanele ce indeplinesc sarcini care implica accesul la Date cu Caracter Personal au obligatia de:

  • a citi (si semna o declaratie ce confirma faptul ca) principiile referitoare la Datele cu Caracter Personal in vigoare stabilite in prezenta Politica de Securitate (Anexa 1 la Politica de Securitate);
  • a semna o declaratie despre tinerea Datelor cu Caracter Personal si metoda de protectie a acestora ( parola de acces) confidentiala (Anexa 6 la Politica de Securitate).

3.2 Atributiile Operatorului de Date cu Caracter Personal

Atributiile generale ale managerului Societatii cu privire la prelucrarea Datelor cu Caracter Personal sunt:

  • sa se asigure ca Datele cu Caracter Personal aflate in posesia sa sunt prelucrate in conformitate cu legea;
  • sa aprobe masuri tehnice si organizationale adecvate pentru protejarea Datelor cu Caracter Personal prelucrate proportional cu riscurile specifice a fiecarei categorii de Date cu Caracter Personal protejate;
  • sa depuna notificarile relevante la ANSPDCP referitoare la Datele cu Caracter Personal in conformitate cu art. 22 din Legea Datelor cu Caracter Personal;
  • sa asigure pastrarea documentelor ce descriu metodele de prelucrare a Datelor cu Caracter Personal (Politica de Securitate precum si celelalte documente aferente);
  • sa numeasca un Manager Tehnic;
  • orice alte obligatii legale ce sunt in sarcina operatorilor de date si care nu au fost delegate.

3.3 Atributiile Managerului Tehnic

Managerul Tehnic are urmatoarele atributii principale privind prelucrarea Datelor cu Caracter Personal:

  • actualizarea Politicii de Securitate in conformitate cu nevoile Societatii si asigurarea respectarii de catre toti angajatii si partenerii a regulilor prevazute in prezenta Politica de Securitate;
  • dezvoltarea unor proceduri aditionale pentru protectia Datelor cu Caracter Personal, daca este cazul;
  • coordonarea redactarii si aprobarea modelelor de documente (clauze relevante din documente) referitoare la protectia Datelor cu Caracter Personal;
  • pregatirea oricaror notificari si actualizari pentru a fi depuse la ANSPDCP si asigurarea, in general, a respectarii prevederilor legale;
  • oferirea de opinii asupra acordurilor privitoare la Datele cu Caracter Personal, la cererea managerului Societatii;
  • supravegherea operatiunilor de prelucrare a Datelor cu Caracter Personal si evaluarea motivelor ce au cauzat orice incalcare a regulilor de securitate;
  • instruirea regulata a Utilizatorilor in domeniul securitatii prelucrarii Datelor cu Caracter Personal;
  • monitorizarea circulatiei documentelor continand Date cu Caracter Personal, inclusiv supravegherea dezvaluirii Datelor cu Caracter Personal catre destinatari sau alte entitati;
  • asigurarea confidentialitatii Datelor cu Caracter Personal la care acesta are acces;
  • gestionarea autorizatiilor de prelucrare a Datelor cu Caracter Personal (Anexa 2 la Politica de Securitate) si tinerea si actualizarea Registrului persoanelor autorizate sa prelucreze Date cu Caracter Personal (Anexa 3 la Politica de Securitate);
  • gestionarea autorizatiilor persoanelor autorizate sa fie prezente in zona de prelucrare a Datelor cu Caracter Personal (Anexa 4 la Politica de Securitate) si tinerea si actualizarea Registrului persoanelor autorizate sa fie prezente in zona de prelucrare a Datelor cu Caracter Personal (Anexa 5  la Politica de Securitate);
  • gestionarea declaratiilor referitoare la pastrarea confidentialitatii Datelor cu Caracter Personal (Anexa 6 la Politica de Securitate);
  • indeplinirea oricaror alte sarcini asa cum acestea sunt descrise in prezenta Politica de Securitate;
  • asigurarea respectarii principiilor de protectie a Datelor cu Caracter Personal prevazute in Politica de Securitate si in alte documente aferente;
  • asigurarea utilizarii adecvate a Sistemului IT, in conformitate cu scopurile prelucrarii Datelor cu Caracter Personal;
  • instruirea Utilizatorilor sistemului IT asupra procedurilor si instructiunilor care asigura protectia Datelor cu Caracter Personal in cadrul sistemului IT;
  • monitorizarea drepturilor Utilizatorilor sistemului IT folosit pentru prelucrarea Datelor cu Caracter Personal;
  • supervizarea mecanismelor de controlare a accesului in sistemul IT folosit pentru prelucrarea Datelor cu Caracter Personal;
  • supervizarea procesului de backup, asigurarea depozitarii corespunzatoare a backup-ului si controale periodice in scopul recuperarii Datelor cu Caracter Personal in caz de esec a sistemului IT;
  • executarea lucrarilor de intretinere software;
  • asigurarea analizei continue a logurilor in scopul controlarii accesului neautorizat sau incercarilor esuate de accesare a sistemului IT utilizat pentru prelucrarea Datelor cu Caracter Personal;
  • asigurarea protectiei fisierelor ce cuprind copii ale seturilor de Date cu Caracter Personal;
  • clarificarea tuturor neregulilor si incidentelor raportate;
  • informarea conducerii Laboratorul de Stil cu privire la orice neregularitati constatate si care reduc nivelul de protectie a Datelor cu Caracter Personal;
  • asigurarea confidentialitatii datelor cu caracter personal la care acesta are acces;
  • indeplinirea altor sarcini descrise in prezenta Politica de Securitate.

3.4 Obligatiile Utilizatorilor

Utilizatorii au urmatoarele obligatii principale privind prelucrarea Datelor cu Caracter Personal:

  • conformarea cu principiile de protectie a Datelor cu Caracter Personal prevazute in Politica de Securitate si in documentele aferente; Inainte de consimtirea prelucrarii Datelor cu Caracter Personal, fiecare Utilizator trebuie sa citeasca documentele mentionate mai sus si sa completeze o declaratie corespunzatoare (Anexa 1 la Politica de Securitate
  • citirea tuturor legilor in vigoare privitoare la protectia datelor cu caracter personal;
  • prelucrarea Datelor cu Caracter Personal doar in conformitate cu scopurile prelucrarii si doar potrivit instructiunilor primite de la conducerea Societatii;
  • acordarea de atentie deosebita procesului de prelucrare a Datelor cu Caracter Personal in scopul protejarii drepturilor si intereselor Persoanelor Vizate;
  • informarea Managerului Tehnic cu privire la orice neregularitati constatate care reduc nivelul de protectie a Datelor cu Caracter Personal;
  • asigurarea confidentialitatii Datelor cu Caracter Personal la care are acces, inclusiv confidentialitatea ID-ului si a parolei dezvaluite catre acesta de catre Operator ori de catre Persoana imputernicita de catre operator;
  • in ceea ce priveste hardware-ul si echipamentul ICT, precum si in legatura cu utilizarea resurselor si aplicatiilor sistemului pentru prelucrarea Datelor cu Caracter Personal, Utilizatorul este obligat:
    • sa aiba propriul sau cod de identificare si trebuie sa acceseze doar Datele cu Caracter Personal necesare pentru indeplinirea sarcinilor sale;
    • sa schimbe in mod periodic parola de acces la sistemul de operare si aplicatiile utilizate pentru prelucrarea Datelor cu Caracter Personal; parolele nu trebuie sa fie notata si lasata intr-un loc usor accesibil; Utilizatorii trebuie sa inchida sesiunea de lucru de fiecare data cand parasesc locul de munca;
    • sa pastreze in conditii de siguranta locul de munca, in special prin blocarea computer-ului, prin introducerea unei parole si sa se abtina de la a pune la dispozitia persoanelor neautorizate statiile de lucru sau laptopurile folosite pentru prelucrarea Datelor cu Caracter Personal;
    • sa lucreze cu atentie atunci cand primesc e-mail-uri din partea unor expeditori necunoscuti sau avand un titlu suspect;
    • sa se aigurare ca toate documentele sunt depozitate in seifuri, dulapuri sau sertare blocate; doar persoanele autorizate sa prelucreze Datele cu Caracter Personal pot avea acces la cheie;
  • Utilizatorii care colecteaza Date cu Caracter Personal sunt obligati sa respecte obligatia de a furniza informatii, in special sa informeze fiecare Persoana Vizata cu privire la identitatea Operatorului de Date cu Caracter Personal (indicand numele complet si sediul), sa specifice scopul/scopurile prelucrarii Datelor, sa informeze despre dreptul de a accesa si modifica Datele, precum si despre toate celelalte drepturi prevazute de Legea Datelor cu Caracter Personal;
  • Utilizatorii care descarca sau incarca Date cu Caracter Personal de pe sau pe Site-ul Laboratorul de Stil trebuie sa aiba cunostinta de legislatia romaneasca privind comertul electronic si serviciile informationale si trebuie sa asigure conformitatea cu aceasta legislatie (Legea nr. 365/2002 privind comertul electronic, republicata cu modificarile si completarile ulterioare, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, modificata, Ordonanta de Urgenta nr. 34/2014 privind drepturile consumatorilor in cadrul contractelor incheiate cu profesionistii, precum si pentru modificarea si completarea unor acte normative, etc.).

4                    reguli de dezvaluire a datelor cu caracter personal LA terte persoane

4.1              Avand in vedere ca dezvaluirea Datelor cu Caracter Personal obisnuite reprezinta una din formele de prelucrare a acestora, dezvaluirea este permisa daca una dintre urmatoarele conditii este indeplinita, conditii prevazute la art. 5 din Legea Datelor cu Caracter Personal:

  • Persoana Vizata isi da consimtamantul in mod expres si neechivoc pentru respectiva prelucrare;
  • Consimtamantul Persoanei Vizate nu este necesar in niciunul din urmatoarele cazuri:
    • cand prelucrarea este necesara in vederea executarii unui contract sau antecontract la care Persoana Vizata este parte ori in vederea luarii unor masuri, la cererea acesteia, inaintea incheierii unui contract sau antecontract;
    • cand prelucrarea este necesara in vederea protejarii vietii, integritatii fizice sau sanatatii Persoanei Vizate ori a unei alte persoane amenintate;
    • cand prelucrarea este necesara in vederea indeplinirii unei obligatii legale a operatorului;
    • cand prelucrarea este necesara in vederea aducerii la indeplinire a unor masuri de interes public sau care vizeaza exercitarea prerogativelor de autoritate publica cu care este investit operatorul sau tertul caruia ii sunt dezvaluite datele;
    • cand prelucrarea este necesara in vederea realizarii unui interes legitim al operatorului sau al tertului caruia ii sunt dezvaluite datele, cu conditia ca acest interes sa nu prejudicieze interesul sau drepturile si libertatile fundamentale ale Persoanei Vizate;
    • cand prelucrarea priveste date obtinute din documente accesibile publicului, conform legii;
    • cand prelucrarea este facuta exclusiv in scopuri statistice, de cercetare istorica sau stiintifica, iar datele raman anonime pe toata durata prelucrarii.

4.2 Cu privire la prelucrarea unor Categorii Speciale de Date cu Caracter Personal, Legea Datelor cu Caracter Personal stipuleaza faptul ca aceasta prelucrare este interzisa si doar in urmatoarele conditii este admisibila:

  • cand Persoana Vizata si-a dat in mod expres consimtamantul pentru o astfel de prelucrare, cu exceptia situatiei in care autoritatea de supraveghere dispune altfel pentru motive intemeiate;
  • cand prelucrarea este necesara in scopul respectarii obligatiilor sau drepturilor specifice ale Operatorului in domeniul dreptului muncii, cu respectarea garantiilor prevazute de lege; o eventuala dezvaluire catre un tert a datelor prelucrate poate fi efectuata numai daca exista o obligatie legala a Operatorului in acest sens sau daca Persoana Vizata a consimtit expres la aceasta dezvaluire;
  • cand prelucrarea este necesara pentru protectia vietii, integritatii fizice sau a sanatatii Persoanei Vizate ori a altei persoane, in cazul in care Persoana Vizata se afla in incapacitate fizica sau juridica de a-si da consimţamantul;
  • cand prelucrarea este efectuata in cadrul activitatilor sale legitime de catre o fundatie, asociatie sau de catre orice alta organizatie cu scop nelucrativ si cu specific politic, filozofic, religios ori sindical, cu conditia ca Persoana Vizata sa fie membra a acestei organizatii sau sa intretina cu aceasta, in mod regulat, relatii care privesc specificul activitatii organizatiei si ca datele sa nu fie dezvaluite unor terti fara consimtamantul Persoanei Vizate;
  • cand prelucrarea se refera la date facute publice in mod manifest de catre Persoana Vizata sau cand prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept in justitie;
  • cand prelucrarea este necesara in scopuri de medicina preventiva, de stabilire a diagnosticelor medicale, de administrare a unor ingrijiri sau tratamente medicale pentru Persoana Vizata ori de gestionare a serviciilor de sanatate care actioneaza in interesul Persoanei Vizate, cu conditia ca prelucrarea datelor respective sa fie efectuate de catre ori sub supravegherea unui cadru medical supus secretului profesional sau de catre ori sub supravegherea unei alte persoane supuse unei obligatii echivalente in ceea ce priveste secretul;
  • cand legea prevede in mod expres aceasta in scopul protejarii unui interes public important, cu conditia ca prelucrarea sa se efectueze cu respectarea drepturilor Persoanei Vizate si a celorlalte garantii prevazute de Legea Datelor cu Caracter Personal.

4.3 Persoanele ce dezvaluie Datele cu Caracter Personal au obligatia de a tine registre privind Datele dezvaluite (specificand entitatea ce solicita dezvaluirea datelor, temeiul dezvaluirii, scopul si data dezvaluirii). Registrele au forma din Anexa 7 la prezenta Politica de Securitate.

5. REGULI DE INCREDINTARE A DATELOR CU CARACTER PERSONAL catre TERTE PERSOANE

5.1 Incredintarea catre Entitati Externe a prelucrarii Datelor cu Caracter Personal se efectueaza pe baza unui contract in forma scrisa. Managerul Tehnic este responsabil pentru pregatirea unui contract adecvat in scopul prelucrarii datelor cu caracter personal.

5.2 La elaborarea unui asemenea contract, Managerul Tehnic coopereaza cu Utilizatorul resposabil, pe fond, pentru proiectul care necesita sa fie reglementat de catre contract. Utilizatorul responsabil de proiect este obligat sa notifice Managerul Tehnic cu privire la incredintarea datelor cu caracter personal.

5.3 Transferul de Date cu Caracter Personal catre o Entitate Externa pentru prelucrare nu duce la o schimbare a Operatorului de Date cu Caracter Personal.

5.4 Entitatea Externa trebuie sa utilizeze datele incredintate doar in scopul si in masura in care se identifica in contractul incheiat cu Operatorul de Date cu Caracter Personal.

5.5 Entitatea Externa este obligata in special:

  • sa actioneze doar pe baza instructiunilor Operatorului de Date cu Caracter Personal;
  • sa utilizeze masuri tehnice si organizatorice adecvate pentru protejarea Dateloc cu Caracter Personal impotriva distrugerii accidentale sau ilicite ori pierderii accidentale, alterarii, dezvaluririi sau accesului neautorizat;
  • sa pregateasca documentatia referitoare la prelucrarea Datelor cu Caracter Personal;
  • sa notifice Operatorul Datelor cu Caracter Personal cu privire la orice incalcare a prelucrarii Datelor cu Caracter Personal incredintate si sa inregistreze orice informatie care ar putea ajuta la stabilirea circumstantelor unei asemenea incalcari;
  • sa faca un backup sistemelor IT, in care sunt prelucrate Datele cu Caracter Personal incredintate;
  • sa asigure ca fiecare angajat si/sau asociat al entitatii externe incredintate cu prelucrarea Datelor cu Caracter Personal are autorizatia de a prelucra aceste Date cu Caracter Personal;
  • sa distruga sau sa returneze datele furnizate in conformitate cu prevederile contractului pentru prelucrarea datelor.

6. programe utilizate pentru prelucrarea datelor cu caracter personal

·         Baza de date a www.perpetuummobile.online, unde datele sunt pastrate encriptat, in format;

·         Firma detinatoare a server-ului pe care este gazduit website-ul este EUROWEB SRL

·         Firma de contabilitate SC Accounting and Human Resources SRL

·         Serviciul de curierat DHL

·         Procesatorul de plata PayU

7. categoriile de Date cu Caracter Personal prelucrate

Cu scopul de a-si derula activitatea comerciala, urmatoarele Date cu Caracter Personal vor fi colectate de catre Societate prin intermediul Utilizatorilor autorizati:

7.1 Baza Clienti

In acest set sunt colectate urmatoarele Date cu Caracter Personal: nume si prenume, adresa, numar de telefon, cont bancar, adresa e-mail, adresa IP.

Datele din acest set sunt colectate in scopul executarii contractelor de vanzare incheiate prin intermediul site-ului Laboratorul de Stil. Datele sunt colectate de la Persoanele Vizate. Numai persoanele autorizate au acces la date.

7.2 Facturi si recuperari creante

In acest set sunt colectate urmatoarele Date cu Caracter Personal: nume si prenume, adresa, numar de telefon, cont bancar, adresa e-mail, adresa IP.

Datele sunt colectate de la Persoanele Vizate. Numai persoanele autorizate au acces la date.

7.3 Reclamatii

In acest set sunt colectate urmatoarele Date cu Caracter Personal: nume si prenume, adresa, numar de telefon, adresa e-mail.

Setul include datele cu caracter personal ale persoanelor ce au depus plangeri privitoare la serviciile oferite de catre Societate. Plangerile pot fi formulate prin telefon, prin intermediul e-mail-ului sau trimise prin posta.

Datele sunt colectate de la Persoanele Vizate. Numai persoanele autorizate au acces la date.

7.4 Evidenta corespondentei

In acest set sunt colectate urmatoarele Date cu Caracter Personal: nume si prenume, adresa, numar de telefon, adresa e-mail.

Datele sunt colectate de la Persoanele Vizate. Numai persoanele autorizate au acces la date.

7.5 Date de contact

In acest set sunt colectate urmatoarele Date cu Caracter Personal: nume si prenume, functie, numele societatii, adresa sediului, numar telefon, fax, si adresa e-mail.

Datele sunt colectate in scopuri tehnice si operationale si include datele de contact colectate prin schimbul de carti de vizita, detalii incluse in contractele incheiate de catre Laboratorul de Stil, etc.

Datele sunt colectate de la Persoanele Vizate si din alte surse si numai persoanele autorizate au acces la ele.

8. Verificari/actualizari ale politicii de securitate

8.1 Actualizare

8.1.1 Prezenta Politica de Securitate trebuie sa fie revizuita cel putin o data pe an. In cazul unor modificari semnificative in prelucrarea Datelor cu Caracter Personal, Managerul Tehnic poate cere o revizuire a Politicii de Securitate in conformitate cu situatiile si evenimentele ce au loc.

8.1.2 Managerul Tehnic analizeaza daca Politica de Securitate si documentele aferente sunt conforme cu:

  • Modificarile din structura sistemului IT;
  • Modificarile organizatorice ale Operatorului de Date cu Caracter Personal;
  • Modificarile legislatiei in vigoare;
  • Ale modificari ce pot avea efecte asupra securitatii Datelor cu Caracter Personal.

8.2 Audit intern

Managerul Tehnic, in urma consultarii cu Operatorul de Date, poate, daca este cazul, proceda la efectuarea unui audit intern privitor la conformitatea prelucrarii datelor cu reglementarile din domeniul protectiei Datelor cu Caracter Personal.

9. alte MASURI TEHNICE SI ORGANIZATORICE

Acest capitol specifica masurile tehnice si organizatorice necesare pentru a asigura confidentialitatea, integritatea si raspunderea datelor prelucrate de Laboratorul de Stil.

In special, operatorul de date va implementa urmatoarele masuri destinate sa asigure protectia si securitatea Datelor sale cu Caracter Personal in conformitate cu cerintele Ordinului:

9.1 Masuri de securitate fizica (birou)

9.1.1 Intreaga cladire este monitorizata de catre angajati ai unei companii de securitate.

9.1.2 Biroul este protejat de un sistem de alarma.

9.1.3 Exista camere de luat vederi in cladirea in care se afla sediul.

9.1.4 Un card de acces este necesar pentru a intra in camere.

9.1.5 Documentele inutile care contin Date cu Caracter Personal sunt distruse in tocatoare.

9.2 Mijloace de securitate logica a serverelor

9.2.1 Orice logare in servere este inregistrata. Logarile pot fi vizualizate.

9.2.2 Software-ul de tip server este actualizat zilnic.

9.3 Masurile de securitate incorporate in sistemul software si in instrumentele si programele utilizate pentru prelucrarea Datelor cu Caracter Personal

9.3.1 Logarea la www.perpetuummobile.online necesita autentificarea Utilizatorilor prin introducerea autentificarii si parolei constand in cel putin 8 caractere intr-o combinatie de litere mari si litere mici, caractere speciale sau numere.

9.3.2 Parola domeniului pentru angajatii si colaboratorilor care prelucreaza Datele cu Caracter Personal se schimba la fiecare 90 de zile.

9.3.3 Routerele sunt echipate cu firewall-uri.

9.3.4 Antivirusul Software-ului este instalat pe toate calculatoarele.

9.3.5 Sunt facute backup-uri pentru toate sistemele informatice utilizate in scopul prelucrarii Datelor cu Caracter Personal.

9.3.6 Toate sistemele IT sunt intretinute in mod regulat.

9.4 Autorizatii pentru protectia Datelor cu Caracter Personal

9.4.1 Manager-ul Tehnic a fost numit.

9.4.2 Fiecare persoana cu acces la Date cu Caracter Personal a fost familiarizata cu principiile de prelucrare a datelor in conditii de siguranta care decurg din aceasta Politica.

9.4.3 Numai persoanele autorizate au acces la spatiile in care sunt prelucrate Datele cu Caracter Personal.

9.4.4 Numai persoanele autorizate au acces la calculatoarele pe care sunt prelucrate Datele cu Caracter Personal.

9.4.5 Persoanele care au acces la Datele cu Caracter Personal sunt obligate sa pastreze confidentiale Datele cu Caracter Personal si informatiile legate de metoda lor de protectie.

9.4.6 Exista un resistru al persoanelor autorizate sa prelucreze Datele cu Caracter Personal.

9.4.7 Toate codurile de identificare (sau conturile Utilizatorilor) care nu au fost utilizate mai mult de 3 ani vor fi dezactivate sau distruse dupa o verificare prealabila a Managerului Tehnic.

9.5 Proceduri pentru acordarea, schimbarea si revocarea drepturilor de a prelucra Datele cu Caracter Personal in sistemul IT

9.5.1 Utilizatorilor le sunt acordate privilegiile sistemului IT de catre Managerul Tehnic la cererea superiorului Utilizatorului in masura necesara indeplinirii sarcinilor lor de serviciu.

9.5.2 Autorizatia mentionata in Sectiunea 9.5.1 este acordata de catre Operatorul de Date cu Caracter Personal prin intermediul Managerului Tehnic inainte ca un Utilizator sa inceapa prelucrarea Datelor cu Caracter Personal. Impreuna cu autorizatia, Managerul Tehnic ofera Utilizatorului o declarative cu privire la pastrarea Datelor cu Caracter Personal confidential, declarative pe care Utilizatorul trebuie sa o semneze. (Anexa 6 la Politica de Securitate).

9.5.3 Managerul Tehnic inregistreaza fiecare caz de acordare a oricarui drept sau autorizatie in registrul de persoane autorizate sa prelucreze Datele cu Caracter Personal (Anexa 3 la Politica de Securitate) si introduce in registru ID-ul (autentificarea) acordata Utilizatorului.

9.5.4 Managerul Tehnic va revoca si suspenda codurile de identificare si autentificare ale Utilizatorilor in urmatoarele cazuri:

  • Utilizatorul a demisionat sau a fost demis;
  • Contractul Utilizatorului cu societatea a incetat;
  • Utilizatorul a fost transferat la o alta functie si noile sarcini nu presupun accesul la Datele cu Caracter Personal;
  • Utilizatorul a abuzat de codurile incredintate lui/ei.
  • Utilizatorul va fi departe de locul de muncă pentru o perioadă mai mare de 30 de zile.

9.5.5 Managerul Tehnic va actualiza registrul persoanelor autorizate sa prelucreze Datele cu Caracter Personal (Anexa 3 la Politica de Securitate) prin adaugarea informatiilor legate de drepturile revocate.

9.5.6 In cazuri justificate, Managerul Tehnic poate retine dreptul fiecarui Utilizator de a utiliza sistemul IT. Daca drepturile sunt retinute, toate asemenea drepturi ale Utilizatorului de a accesa sistemul IT sunt revocate imediat si in cazuri justificate ID-ul si parolele de acces ale tuturor grupurilor sau ale grupurilor specific sunt schimbate. In caz de dubii, Managerul Tehnic poate consulta alt manager.

9.5.7 Daca accesul unui Utilizator la Datele cu Caracter Personal este revocat, autorizatia lui/ei de a prelucra datele trebuie de asemenea anulata.

9.5.8 Utilizatorii vor avea acces la bazele de date de Date cu Caracter Personal create manual pe baza unei liste aprobate de conducerea Societatii.

9.6 Metode si mijloace de autentificare si proceduri legate de gestionarea si utilizarea acestora

9.6.1 Responsabilitate

Managerul Tehnic este responsabil pentru acordarea ID-urilor (autentificarilor) si parolelor la care se face referire in aceasta sectiune.

Conturile Utilizatorilor nu trebuie sa fie divulgate. Fiecare Utilizator trebuie sa aiba un ID si o parola unice pentru fiecare sistem. Utilizatorii nu trebuie sa imparta sau sa dezvaluie PIN-ul de acces al cardului, parolele, codurile de acces, etc.

Pentru a avea acces la Datele cu Caracter Personal, in functie de tipul de sistem, Utilizatorii trebuie sa se identifice prin tastarea cel putin a unui cod de identificare (serie de caractere).

Codurile de identificare sau conturile Utilizatorilor care nu au fost utilizate pentru o perioada de 60 de zile, trebuie dezactivate si distruse in urma unui control intern al Operatorului.

Orice Utilizator care primeste un ID si o parola trebuie sa le pastreze confidential si este raspunzator fata de Societate pentru orice incalcare a acestei confidentialitati.

9.6.2 ID-uri

Fiecare ID nu trebuie utilizat de mai mult de un Utilizator.

Un ID care a fost utilizat nu poate fi alocat unui alt Utilizator.

ID-ul Utilizatorului este introdus de catre Managerul Tehnic in Registrul persoanelor autorizate sa prelucreze Datele cu Caracter Personal (Anexa 3 la Politica de Securitate).

9.6.3 Parole

Parolele trebuie livrate printr-o metoda care sa garanteze confidentialitatea.

O parola este formata din cel putin 6 caractere intr-o combinatie de litere si numere sau caractere speciale. Accesul va fi automat refuzat dupa cinci introduceri gresite ale parolei.

Parolele sunt supuse schimbarii periodice, care se face cel putin o data la fiecare 90 de zile. Asemenea schimbare poate fi efectuata numai de catre persoane autorizate.

Parolele introduce nu pot aparea pe ecran sub forma unui text.

O parola nu poate fi dezvaluita, nici atunci cand nu mai este valabila.

Stocarea parolelor in locuri usor accesibile (ex: pe monitoarele calculatoarelor, sub tastaturi) este interzisa.

Accesul se acorda numai la o lista precisa de IP-uri. Fiecare IP este alocat unui Utilizator al Societatii.

9.6.4 Tipuri de acces

Tipurile de acces la Datele cu Caracter Personal se bazeaza pe urmatoarele criterii:

  • Functionalitate (, administrare, introducere, prelucrare, salvare etc.) si
  • Actiuni (ex., scris, citit, sters etc).

Programatorii sistemelor de prelucrare a Datelor cu Caracter Personal trebuie sa aiba aces la acestea. Societatea trebuie sa permita accesul numai dupa ce Datele cu Caracter Personal au fost transformate in date anonime.

Departamentul IT care asigura suport tehnic poate avea acces la Datele cu Caracter Personal pentru rezolvarea unor situatii exceptionale.

Pentru activitatea de pregatire a Utilizatorilor sau pentru realizarea de prezentari se vor folosi date anonime. Cu toate acestea, angajatii care predau cursurile de pregatire utilizeaza Date cu Caracter Personal in timpul propriei lor pregatirii.

9.7 Proceduri de incepere, suspendare si finalizare a lucrului pentru utilizatorii sistemului

9.7.1 Utilizatorii autorizati sa opereze sistemul IT trebuie sa prelucreze orice Date cu Caracter Personal doar conform instructiunilor Operatorului de Date cu Caracter Personal si vor fi responsabili, in masura in care rezulta din legislatia muncii, pentru daune cauzate prin incalcarea protectiei Datelor cu Caracter Personal – in masura corespunzatoare sarcinilor efectuate de acestea cand prelucreaza Datele cu Caracter Personal.

9.7.2 In timpul lucrului, Utilizatorul trebuie sa parcurga toti pasii pentru a asigura prelucrarea in siguranta a Datelor cu Caracter Personal.

9.7.3 Calculatoare si alte terminale de acces sunt instalate in camere cu acces restrictionat sau, cel putin, in camere care pot fi incuiate sau sunt luate masuri astfel incat accesul la computere este posibil cu ajutorul unei chei sau a unei cartele magnetice.

9.7.4 Daca pe ecran apar Date cu Caracter Personal asupra carora nu se actioneaza timp de 30 de min, sesiunea de lucru trebuie inchisa automat.

9.7.5 Terminalele de acces folosite in relatia cu publicul, pe care apar date cu caracter personal, vor fi pozitionate astfel incat sa nu poata fi vazute de public si dupa 10 minute in care nu se actioneaza asupra lor, acestea trebuie ascunse.

9.8 Executia copiilor de siguranta

9.8.1 Managerul Tehnic este responsabil cu procedura de backup a bazei de date si a unitatilor de retea din cadrul Societatii si supravegheaza desfasurarea in conditii normale a acestei proceduri.

9.8.2 Numai persoanele autorizate de catre Managerul Tehnic vor avea acces la backup.  Totalitatea backup-urilor gazduite de SC IND WEB SRL sunt realizate:

  • Zilnic – backup diferential de baze de date; si
  • Lunar – backup total de baze de date.

9.8.3 Managerul Tehnic este obligat sa verifice in mod periodic backup-urile pentru relevanta lor in recuperarea Datelor cu Caracter Personal.

9.8.4 Copiile de siguranta sunt stocate in incaperi separate de cele in care sunt prelucrate in mod curent, in fisete metalice cu sigiliu aplicat.

9.8.5 Accesul la copiile de backup va fi monitorizat prin parole speciale generate prin accesul web (platforma de backup pusa la dispozitie prin solutii cloud).

9.9 Depozitarea suporturilor de informatii referitoare la Datele cu Caracter Personal

9.9.1 In cazuri exceptionale in care este solicitata prelucrarea Datelor cu Caracter Personal pe suport de date (CD/DVD, USB, unitate flash, etc.) persoanele responsabile cu ele sunt solicitate sa acorde o atentie sporita in timpul transportului si depozitarii acestora.

9.9.2 Suporturile care contin Date cu Caracter Personal trebuie sa fie depozitate in zone care impiedica accesul persoanelor neautorizate.

9.9.3 Odata ce Datele cu Caracter Personal stocate pe suporturile mentionate anterior nu mai sunt necesare, trebuie sa fie definitive inlaturate (fara posibilitatea de a recupera ulterior continutul acestora).

9.9.4 Inainte de a fi inlaturate, dispozitivele, discurile, sau orice alt support pe care Datele cu Caracter Personal sunt inregistrate, trebuie sa fie sterse (stergerea planificata a datelor si formatarea suporturilor), iar daca acest lucru nu este posibil, trebuie sa fie distruse intr-un mod mechanic astfel incat sa nu mai poata fi citite.

9.9.5 Inainte de formatarea lor planificata, dispozitivele, discurile si alte suporturi pe care Datele cu Caracter Personal sunt stocate trebuie sa fie sterse, daca este posibil, iar daca acest lucru nu este posibil, formatarea trebuie sa aiba loc in cadrul unei companii de specialitate, cu care a fost semnat un contract in acest sens, contract care include si prevederi referitoare la confidentialitatea Datelor cu Caracter Personal.

9.9.6 Dispozitive neformatabile, discuri sau alte suporturi pe care sunt stocate Date cu Caracter Personal trebuie sa fie distruse intr-un mod care sa nu mai permita citirea datelor inregistrate.

9.9.7 Suporturile de date care contin Date cu Caracter Personal si care nu vor fi puse la dispozitie vor fi stocate in conditii ce vor impiedica accesul tertelor persoane.

9.10 Protectia sistemului IT impotriva programelor care vizeaza accesul neautorizat la sistemul informatic

9.10.1 Activitatile care au legatura cu protejarea sistemului IT impotriva software-urilor rau intentionate sunt realizate de catre Managerul Tehnic.

9.10.2 Serverele functioneaza sub sistemul de operare Linux.

9.10.3 Pentru a securiza resursele de IT ale Societatii un software anti-virus este folosit, care este in mod automat si constant actualizat.

9.10.4 Optiunea Utilizatorilor de a modifica setarile software-ului mentionat anterior este blocata.

9.10.5 Managerul Tehnic va controla istoricul software-ului mentionat anterior (istoricul unor posibile virusari sau al altor evenimente care ar afecta siguranta resurselor Societatii) in mod periodic (cel putin o data pe luna) de fiecare data cand un incident va avea loc, incident ce ar putea avea un impact major asupra securitatii Datelor cu Caracter Personal sau asupra altor resurse ale Societatii.

9.10.6 Utilizatorilor le este interzis sa deschida e-mail-uri suspicioase (de la destinatari suspiciosi, cu subiect suspicios).

9.10.7 Firewall-ul de pe router-ul principal; este pornit pentru a preveni deschiderea unor pagini ce prezinta continut periculos.

9.10.8 Societatea foloseste, de asemenea, o retea WiFi accesibila prin intermediul unui nume de utilizator si a unei parole.

9.10.9 Utilizatorii sunt obligati sa raporteze Managerului Tehnic, orice defectiune identificata in cadrul sistemului IT.

9.11 Alte cerinte specificate in cadrul comenzii

9.11.1 Pentru fiecare persoana ale carei Date cu Caracter Personal sunt prelucrate de sistemul IT al Societatii (Persoane Vizate), sistemul trebuie sa genereze o inregistrare a:

  • datei primei inregistrari in sistem;
  • ID-ului Utilizatorului care introduce Datele cu Caracter Personal in sistem;
  • sursei datelor in cazul in care acestea nu sunt colectate de la Persoana Vizata;
  • informatiilor in legatura cu Destinatarii carora le-au fost puse la dispozitie Datele cu Caracter Personal;
  • opozitiei fata de prelucrarea Datelor cu Caracter Personal in scopuri de marketing sau pentru furnizarea datelor catre terti.

9.11.2 In plus, sistemul trebuie sa permita oricarei persoane ale caror Date cu Caracter Personal sunt prelucrate, sa pregateasca si sa imprime un raport care include informatiile mentionate anterior.

9.11.3 Cele de mai sus nu se aplica la sistemele utilizate pentru Prelucrarea Datelor cu Caracter Personal limitate numai la editarea textului pentru le face disponibile in scris (Word, PDF).

9.11.4 Pentru aplicatiile care nu intrunesc cerintele mentionate anterior, informatiile trebuie sa fie stocate intr-un registru separat.

9.11.5 Societatea numeste Utilizatorii autorizati sa prelucreze Datele cu Caracter Personal si sa acceseze sistemul IT. Orice schimbare a Datelor cu Caracter Personal va fi operata numai de catre Utilizatorii astfel numiti de catre Managerul Tehnic. Sistemul IT inregistreaza persoana care va opera modificarea, data si ora acelei modificari. Sistemul IT este programat de asa natura incat sa pastreze Datele cu Caracter Personal sterse sau modificate.

9.11.6 Fisierele de Acces

Orice accesare a bazei de date ce contine Date cu Caracter Personal va fi inregistrata intr-un fisier de acces (denumit “log” la prelucrarile automate) sau intr-un registru pentru prelucrarea manuala a Datelor cu Caracter Personal. Informatiile ce vor fi stocate in fisierul de accesare sau in registru vor fi urmatoarele:

  • ID-ul (numele Utilizatorului pentru bazele de date cu caracter personal manuale);
  • numele fisierului accesat;
  • numarul inregistrarilor efectuate;
  • tipul de acces;
  • codul operatiunii executate sau al programului utilizat;
  • data accesului (an, luna,zi);
  • timpul exact (ora, minut, secunda).

Pentru pelucrarea automata, aceasta informatie va fi stocata intr-un fisier de acces general sau intr-un fisier separat pentru fiecare Utilizator. Orice incercare de acces neautorizat va fi, de asemenea, inregistrata.

Societatii ii incumba obligatia de a pastra fisierele de acces pentru o perioada de cel putin 2 (doi) ani pentru ca acestea sa poata fi folosite ca proba in cazul unor investigatii. Daca investigatiile se prelungesc, fisierele vor fi pastrate cat timp se considera necesar.

Fisierele de acces trebuie sa faca posibila identificarea de catre Societate sau de catre Persoana imputernicita de operator a persoanelor care au accesat Datele cu Caracter Personal fara un motiv anume cu scopul de a aplica o sanctiune sau de a informa autoritatile relevante.

9.11.7 Sistemele de telecomunicatii

Managerul Tehnic realizeaza controale periodice in legatura cu autentificarile si tipurile de acces cu scopul de a detecta disfunctionalitati in ceea ce priveste utilizarea sistemelor de telecomunicatii.

Sistemul de telecomunicatii este conceput in asa fel incat Datele cu Caracter Personal sa nu poata fi interceptate sau transmise de oriunde. In plus, Societatea foloseste o metoda de criptare pentru a transmite Datele cu Caracter Personal.

Numai Datele cu Caracter Personal strict necesare vor fi transmise prin sistemele de telecomunicatie.

9.11.8 Instruirea personalului Societatii

Pe durata cursurilor de formare a Utilizatorilor, formatorul astfel cum acesta a fost numit de catre Managerul Tehnic, va informa Utilizatorii in legatura cu prevederile din legislatia prelucrarii Datelor cu Caracter Personal, referitor la cerintele minime de securitate a prelucrarii Datelor cu Caracter Personal, cat si referitor la riscurile pe care le implica acest fel de prelucrare, in functie de specificul activitatii Utilizatorului.

Utilizatorii care au acces la Datele cu Caracter Personal vor fi instruiti cu privire la confidentialitatea unui asemenea tip de date si vor fi avertizati prin intermediul unor mesaje care vor aparea pe ecrane pe durata activitatii lor. Utilizatorii sunt obligati sa isi inchida sesiunea de lucru atunci cand parasesc locul de munca.

9.11.9 Utilizarea calculatoarelor

Pentru a mentine securitatea Datelor cu Caracter Personal (in special impotriva virusilor informatici), urmatoarele masuri sunt impuse:

a)      utilizatorilor le este interzis sa foloseasca programe software care provin din surse externe sau dubioase;

b)      Utilizatorii sunt informati in privinta pericolului privind virusii informatici;

b)      sisteme automate de devirusare si de securitate a sistemelor informatice sunt implementate;

c)     acolo unde este posibil tasta “Print screen” va fi dezactivaat, pentru a impiedica printarea Datelor cu Caracter Personal.

Printarea Datelor cu Caracter Personal va fi facuta numai de acei Utilizatori autorizati in mod special, asa cum este prevazut in procedurile interne ale Societatii efectuate prin software-ul fluxului de lucru (procedura de acceptare).

9.11.10 Imprimarea datelor

Scoatarea la imprimanta a datelor cu caracter personal se va realize numai de Utilizatori autorizati pentru aceasta operatiune.

9.12 Procedurile de inspectie si mentenanta ale sistemelor si suporturilor de date folosite pentru Prelucrarea Datelor cu Caracter Personal

9.12.1 Managerul Tehnic este responsabil cu efectuare inspectiilor la timp si mentenanta sistemelor.

9.12.2 Orice neregularitate descoperita in timpul activitatilor din sfera inspectiei si a mentenantei vor fi imediat inlaturate, iar cauza acestora va fi analizata.

9.12.3 Managerul Tehnic este responsabil de buna desfasurare a inspectiilor si mentenantei sistemului si trebuie sa se asigure ca programele, inclusiv si in particular software-ul anti-virus (baza de date virus), browserele web si aplicatiile utilizate pentru prelucrarea Datelor cu Caracter Personal sunt actualizate.

9.13 Procedura in cazul incalcarii securitatii Datelor cu Caracter Personal

9.13.1 In cazul oricarui incident care ar putea afecta securitatea Datelor cu Caracter Personal, Managerul Tehnic trebuie sa analizeze cauzele si sa intreprinda masurile adecvate (ex. sa informeze politia, procuratura, sa securizeze datele, etc.).

9.13.2 In Managerul Tehnic va lua masurile necesare:

  • pentru a preveni o viitoare incalcare a securitatii sistemului (deconectarea dispozitivelor, schimbarea parolelor);
  • sa securizeze, sa inregistreze toate informatiile si documentele care ar putea contribui la determinarea cauzei incalcarii;
  • sa determine natura si tipul de incalcare precum si metodele de operare ale persoanei care a incalcat securitatea sistemului;
  • sa repuna imediat in functiune sistemul si in cazul unei defectiuni a bazei de date, sa o recreeze cu ajutorul ultimelor backup-uri, luand masurile de precautie necesare;
  • sa analizeze starea sistemului si sa estimeze dimensiunea prejudiciului cauzat prin incalcare;

9.14 sa pregateasca un raport detaliat care sa contina, in particular: data si ora la care s-a primit informarea cu privire la incalcare (patrunderea neautorizata in sistem), o descriere a procesului, cauza incidentului si concluziile la care s-a ajuns.Cerinte suplimentare pentru utilizarea calculatoarelor portabile si a dispozitivelor mobile

Utilizatorii carora le-au fost incredintate calculatoare portabile sau alte dispozitive mobile pe care Datele cu Caracter Personal sunt prelucrate, trebuie sa le protejeze impotriva oricaror deteriorari, furt sau impotriva accesului neautorizat. In plus, este recomandat a se acorda o atentie sporita in timpul transportului si in special este recomandata respectarea urmatoarelor principii:

  • calculatorul portabil sau alt dispozitiv mobil nu trebuie lasat nesupravegheat;
  • calculatorul portabil trebuie sa fie transportat fie intr-o cutie incuiata sau pe podeaua aferenta locului pasagerului; nu trebuie transportata pe locul din spate;
  • masurile luate in vederea protejarii calculatoarelor portabile sau a altor dipozitive mobile in cazul unei tentative de furt trebuie sa fie proportionale cu riscul, ceea ce inseamna ca nu trebuie sa puna in pericol viata sau sanatatea Utilizatorului si nici a altor persoane care insotesc Utilizatorul in cael moment;
  • calculatorul portabil sau orice alt dispozitiv mobil nu trebuie inmanat niciunei terte persoane;
  • este necesar ca Utilizatorii sa informeze Managerul Tehnic in legatura cu prelucrarea Datelor cu Caracter Personal pe calculatoare portabile;
  • utilizarea unui calculator portabil se va efectua in baza unei parole si a unui ID individual de Utilizator; Utilizatorii isi vor schimba parola aferenta calculatoarelor portabile cel putin o data la 90 de zile;
  • daca un calculator portabil este utilizat pentru prelucrarea Datelor cu Caracter Personal, partitia pe care datele sunt stocate trebuie sa fie criptata; Managerul Tehnic este responsabil de instalarea unei aplicatii de criptarea adecvate si pentru instruirea Utilizatorului in ceea ce priveste folosirea acesteia;
  • orice defectiune in sistemul de operare al calculatorului portabil cat si necesitatea uneui actualizari de software trebuie sa fie raportate Managerului Tehnic;
  • programe adecvate si actualizate anti-virus vor fi instalate in calculatoarele portabile.

10. Lista de anexe

Anexa 1 – Declaratie de cunoastere a sistemului de Date cu Caracter Personal al Societatii;

Anexa 2 – Autorizatie pentru a prelucra Date cu Caracter Personal;

Anexa 3 – Registrul persoanelor autorizate sa prelucreze Date cu Caracter Personal;

Anexa 4 – Autorizatia pentru permiterea prezentei in zona de prelucrare a Datelor cu Caracter Personal;

Anexa 5 – Registrul persoanelor a caror prezenta este autorizata in zona de prelucrare a Datelor cu Caracter Personal;

Anexa 6 – Declaratie de confidentialitate a Datelor cu Caracter Personal;

Anexa 7 – Registrul Datelor cu Caracter Personal dezvaluite;

Aprobat de asociatii LABORATORUL DE STIL S.R.L.
 
CHIVU OANA-ADELINA

 

Semnatura: ____________________

APOSTOL MARIA-LUCIANA

 

Semnatura: ____________________

   
Data aprobarii: _________________ Data aprobarii: _________________

Anexa 1

Bucuresti, [A se insera data semnarii documentului]

 

DECLARATIE

De cunoastere a Sistemului de Date cu Caracter Personal al Societatii

Subsemnatul/Subsemnata [A se insera numele si datele de identificare],

declar prin prezenta ca:

  1. am fost instruit(a) asupra confidentialitatii si prelucrarii in conditii de securitate a datelor cu caracter personal, in conformitate cu legile aplicabile, in special:
    • Legea 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu completarile si modificarile ulterioare;
    • Ordin nr. 52 privind aprobarea Cerinţelor minime de securitate a prelucrărilor de date cu caracter personal;
  2. am fost instruit(a) cu privire la riscurile pe care le comporta prelucrarea datelor cu caracter personal specifica activitatii mele ca [Functia detinuta in cadrul societatii] in cadrul Laboratorul de Stil S.R.L. si asupra faptului ca trebuie sa inchid sesiunea de lucru atunci cand parasesc locul de munca;
  3. m-am familiarizat cu Politica de Securitate a societatii Laboratorul de Stil S.R.L. si ma angajez prin prezenta sa respect regulile stipulate in documentul mentionat.

_______________________

(semnatura persoanei care face declaratia)

Anexa 2

Bucuresti, [A se insera data semnarii documentului]

Autorizatia nr. ________________

In conformitate cu Ordinul Avocatului Poporului nr. 52 privind aprobarea Cerintelor minime de securitate a prelucrarilor de date cu caracter personal, prin prezenta se autorizeaza

Domnul/Doamna [A se insera numele si datele de identificare] angajat/angajata / colaborator/colaboratoare a Laboratorul de Stil S.R.L. pe functia de [A se insera functia] pentru a avea acces la datele cu caracter personal (astfel cum acestea sunt definite de Legea 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu completarile si modificarile ulterioare) prelucrate de Laboratorul de Stil S.R.L. pentru toata durata contractului de munca/colaborare incheiat intre acesta/aceasta si Laboratorul de Stil S.R.L.

Scopul autorizarii

In temeiul prezentei autorizari aveti dreptul:

  • sa administrati date cu caracter personal
  • sa introduceti date cu caracter personal
  • sa prelucrati date cu caracter personal
  • sa salvati date cu caracter personal

in urmatoarele seturi de date

SETUL: “BAZA CLIENTI”
DA     NU

PERMANENT     TEMPORAR (PANA LA                 )

SETUL: “MARKETING”
DA     NU

PERMANENT     TEMPORAR (PANA LA                 )

SETUL: “RECLAMATII”
DA     NU

PERMANENT     TEMPORAR (PANA LA                 )

SETUL: “FACTURI SI RECUPERARI CREANTE”
DA     NU

PERMANENT     TEMPORAR (PANA LA                 )

SETUL: “EVIDENTA CORESPONDENTEI”
DA     NU

PERMANENT     TEMPORAR (PANA LA                 )

SETUL: “DATE DE CONTACT”
DA     NU

PERMANENT     TEMPORAR (PANA LA                 )

 

Domnului/Doamnei [A se insera numele] ii este permis sa intreprinda urmatoarele actiuni cu privire la datele cu caracter personal:

  • sa scrie
  • sa citeasca
  • sa stearga
  • sa printeze
 

 

________________________

(Semnatura si functia reprezentantului [●] S.R.L.)

 

 

________________________

(Semnatura Utilizatorului)

Anexa 3

 

 

 

Registrul persoanelor autorizate sa prelucreze datele cu caracter personal in cadrul societatii Laboratorul de Stil S.R.L.

Nr. Nume si Prenume Utilizator
(ID)
Scopul autorizarii

(numele setului, numele sistemului/aplicatiei/temeiul)

Data autorizarii Tipul autorizarii Adnotari despre autorizatii suspendate sau revocate
Permanent Temporar Data Precizari

Anexa 4

Autorizatia nr. _________________

PENTRU PERMITEREA PREZENTEI IN ZONA DE PRELUCRARE A DATELOR CU CARACTER PERSONAL

Prin prezenta se autorizeaza Domnul/Doamna [Nume si date de identificare], angajat(a) al [Numele societatii partenere si datele sale de identificare],

societate ce colaboreaza cu Laboratorul de Stil S.R.L., o societatea romaneasca avand sediul social in Bucuresti, Str Jandarmeriei, nr. 14, bl. A1, et. 4, ap. 41, cam. 1, sector 1, numar de telefon 0724389190, numar de fax [●], adresa de e-mail [●], inregistrata la Registrul Comertului de pe langa Tribunalul Bucuresti sub numarul J40/618/21.01.2015, cod unic de inregistrare 33998919,

pentru a fi present/a la sediul Laboratorul de Stil S.R.L., pe perioada [●].

Partea care autorizeaza confirma faptul ca prelucrarea datelor cu caracter personal are loc la sediul mentionat anterior.

Autorizatia este valabila incepand de la [●] pana la [●]/pe perioada nedeterminata.

Instructiuni:

  1. Persoana autorizata se angajeaza sa nu prelucreze datele cu caracter personal depozitate în zonele mentionate mai sus, in special, sa nu isi insuseasca sau sa fotocopieze documentele sau sa inregistreze documentele folosind o metoda diferita (de exemplu, metoda digitala).
  2. Persoana autorizata are obligatia de a pastra confidentialitatea informatiilor privitoare la metodele de protectie a datelor cu caracter personal prelucrate de Laboratorul de Stil S.R.L.
  3. Persoana autorizata declara faptul ca are cunostinta de dispozitiile privind raspunderea penala pentru prelucrarea datelor cu caracter personal a caror prelucrare este interzisa, precum si cele privind prelucrarea datelor cu caracter personal de catre persoane neautorizate.
 

________________________

(Semnatura si functia reprezentantului [●] S.R.L.)

 

________________________

(Semnatura persoanei autorizate)

Data: [●] Loc: [●]

Anexa 5

 

Registrul persoanelor a caror prezenta este autorizata in zona de prelucrare a datelor cu caracter personal

Nr. Nume si Prenume Numele Societatii Scopul autorizarii Data autorizarii Tipul autorizarii Adnotari despre autorizatii suspendate sau revocate
Permanent Temporar Data Precizari

Anexa 6

Bucuresti, [A se insera data semnarii documentului]

DECLARATIE

de confidentialitate a datelor cu caracter personal

Subsemnatul/Subsemnata [A se insera numele si datele de identificare] declar prin prezenta ca:

Colaborez cu societatea Laboratorul de Stil S.R.L. o societatea romaneasca avand sediul social in Bucuresti, Str Jandarmeriei, nr. 14, bl. A1, et. 4, ap. 41, cam. 1, sector 1, numar de telefon 0724389190, numar de fax [●], adresa de e-mail [●], inregistrata la Registrul Comertului de pe langa Tribunalul Bucuresti sub numarul J40/618/21.01.2015, cod unic de inregistrare 33998919 ( “Contractul”).

  1. Ma oblig sa pastrez confidentialitatea tuturor datelor cu caracter personal ce imi sunt furnizate de catre Laboratorul de Stil S.R.L. ori de catre orice alta persoana in legatura cu indeplinirea obligatiilor asumate prin intermediul Contractului, inclusiv confidentialitatea datelor obtinute pe cale orala, scrisa sau pe orice alta cale, cu orice mijloace, in temeiul Contractului semnat, si sa utilizez datele doar in scopurile legate de indeplinirea sarcinilor ce imi sunt atribuite, inclusiv indatoririle oficiale. Datele cu caracter personal inseamna orice informatie referitoare la o persoana fizica identificata sau identificabila.
  2. Prezenta declaratie se refera si la obligatia de a pastra confidentialitatea oricaror informatii privitoare la metodele de protectie a datelor cu caracter personal prelucrate de catre Laboratorul de Stil S.R.L., inclusiv nedezvaluirea ID-ului si parolei utilizate.
  3. Sunt constient(a) de faptul ca pot prelucra datele cu caracter personal doar in baza instructiunilor primite de la Laboratorul de Stil S.R.L., precum si atunci cand acest lucru imi este cerut de lege.
  4. De asemenea, am cunostinta de dispozitiile privind raspunderea penala pentru prelucrarea datelor cu caracter personal a caror prelucrare este interzisa, precum si cele privind prelucrarea datelor cu caracter personal de catre persoane neautorizate.
  5. Ma oblig sa retunez in cel mai scurt timp posibil toate materialele si documentele care contin date cu caracter personal si care se afla in posesia mea sau pe care le-am primit in exercitarea Contractului, la momentul incetarii contractului prin ajungere la termen sau din orice alt motiv, precum si la cererea Laboratorul de Stil S.R.L. in acest sens.
  6. De asemenea, inteleg faptul ca orice incalcare a obligatiilor mentionate mai sus vor avea ca rezultat urmarirea penala sau civila si reprezinta motiv de reziliere cu efect imediat al Contractului.

____________________________

(semnatura persoanei care face declaratia)


Anexa 7

 

Registrul datelor cu caracter personal dezvaluite de catre Laboratorul de Stil S.R.L.

 

Nr. Numele grupului de date cu caracter personal Temeiul dezvaluirii Entitatea ce solicita dezvaluirea datelor Datele dezvaluite

 

Data dezvaluirii