Politica de Confidentialitate

Cuprins

1. Extras din Legea nr. 677/2001 - drepturile persoanei vizate
2. Politica de securitate a prelucrării datelor cu caracter personal

1. Extras din Legea nr. 677/2001

Capitolul IV - Drepturile persoanei vizate în contextul prelucrării datelor cu caracter personal.

Art. 12 - Informarea persoanei vizate

În cazul în care datele cu caracter personal sunt obținute direct de la persoana vizată, operatorul furnizează cel puțin: identitatea operatorului, scopul prelucrării, destinatarii datelor, caracterul obligatoriu al furnizării datelor, consecințele refuzului și drepturile persoanei vizate (acces, intervenție, opoziție).

În cazul în care datele nu sunt obținute direct de la persoana vizată, informațiile de mai sus se furnizează la colectare sau cel târziu la prima dezvăluire către terți, cu excepțiile prevăzute de lege.

Art. 13 - Dreptul de acces la date

Orice persoană vizată are dreptul de a obține de la operator, la cerere și gratuit pentru o solicitare pe an, confirmarea faptului că datele care o privesc sunt sau nu prelucrate.

Dacă datele sunt prelucrate, operatorul comunică informații privind scopurile, categoriile de date, destinatarii, forma inteligibilă a datelor, originea acestora, principiile de funcționare pentru prelucrări automate, drepturile persoanei vizate și căile de atac disponibile.

Cererea se formulează în scris, datată și semnată, iar răspunsul se comunică în termen de 15 zile de la primire.

Art. 14 - Dreptul de intervenție asupra datelor

Persoana vizată poate solicita rectificarea, actualizarea, blocarea, ștergerea datelor prelucrate nelegal, transformarea în date anonime și notificarea terților cărora le-au fost dezvăluite datele.

Operatorul comunică măsurile dispuse în termen de 15 zile de la primirea cererii.

Art. 15 - Dreptul de opoziție

Persoana vizată se poate opune, din motive întemeiate și legitime, prelucrării datelor care o vizează. De asemenea, se poate opune gratuit și fără justificare prelucrării în scop de marketing direct.

Operatorul comunică măsurile luate în termen de 15 zile de la primirea cererii.

Art. 16 - Excepții

Prevederile articolelor anterioare se pot limita pentru activități prevăzute de lege, strict pe perioada necesară atingerii obiectivului urmărit și cu respectarea obligațiilor de evidență și informare a autorității de supraveghere.

Art. 17 - Dreptul de a nu fi supus unei decizii individuale

Persoana vizată poate solicita retragerea, anularea sau reevaluarea deciziilor care produc efecte juridice și sunt adoptate exclusiv pe baza prelucrării automate a datelor cu caracter personal.

Art. 18 - Dreptul de a se adresa justiției

Persoana vizată are dreptul să se adreseze instanței pentru apărarea drepturilor garantate de lege, inclusiv pentru repararea prejudiciilor cauzate de prelucrări ilegale de date cu caracter personal.

2. Politica de securitate a prelucrării datelor cu caracter personal

Capitolul 1 - Scop

Scopul acestei politici este stabilirea măsurilor și responsabilităților administratorului societății pentru garantarea și protejarea drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului la viață intimă, familială și privată, în raport cu prelucrarea datelor cu caracter personal.

Capitolul 2 - Domeniul de aplicare

Prezenta politică se aplică tuturor angajaților societății cu atribuții de prelucrare a datelor cu caracter personal și, după caz, persoanelor împuternicite.

Capitolul 3 - Termeni și definiții

• ANSPDCP - Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
• Date cu caracter personal - orice informații referitoare la o persoană fizică identificată sau identificabilă
• Operator - persoana fizică ori juridică ce stabilește scopul și mijloacele prelucrării datelor
• Persoană împuternicită - persoana care prelucrează date pe seama operatorului
• Prelucrare - orice operațiune efectuată asupra datelor (colectare, stocare, utilizare, transmitere, ștergere etc.)
• Utilizator - persoana care acționează sub autoritatea operatorului și are drept de acces la bazele de date

Capitolul 4 - Documente de referință

• Legea nr. 677/2001 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal
• Ordinul Avocatului Poporului nr. 52/2002 privind cerințele minime de securitate
• Decizia ANSPDCP nr. 52/2012 privind supravegherea video
• Deciziile ANSPDCP nr. 90/2006, nr. 100/2007 și nr. 132/2011 privind prelucrarea anumitor categorii de date

Capitolul 5 - Precizări

Societatea a adoptat măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii, pierderii, modificării, divulgării sau accesului neautorizat.

Pentru asigurarea securității datelor și informațiilor, sunt aplicate următoarele direcții principale:

• Identificarea și autentificarea utilizatorilor
• Stabilirea tipurilor de acces
• Controlul colectării și modificării datelor
• Executarea copiilor de siguranță
• Controlul accesului la computere și terminale
• Înregistrarea și păstrarea fișierelor de acces
• Instruirea periodică a personalului

5.2.1 Identificarea și autentificarea utilizatorului

Accesul la date cu caracter personal este permis numai utilizatorilor autentificați în sistemele informatice ale societății, pe baza unor credențiale unice. Conturile nefolosite o perioadă îndelungată sunt dezactivate conform politicilor interne.

5.2.2 Tipul de acces

Utilizatorii accesează doar datele necesare atribuțiilor de serviciu. Tipurile de acces sunt definite pe funcționalități și acțiuni (citire, scriere, ștergere). Sunt implementate măsuri suplimentare de control al accesului fizic și logic.

5.2.3 Colectarea datelor

Colectarea și modificarea datelor se realizează de utilizatori autorizați. Sistemele informaționale înregistrează cine a efectuat modificările, precum și data și ora operațiunilor.

5.2.4 Executarea copiilor de siguranță

Copiile de siguranță ale bazelor de date și programelor folosite la prelucrări automatizate se efectuează periodic, de un număr restrâns de utilizatori desemnați, și sunt păstrate în condiții de siguranță.

5.2.5 Computerele și terminalele de acces

Terminalele care afișează date cu caracter personal sunt amplasate în spații cu acces controlat. Sesiunile de lucru inactive se închid automat după intervalele stabilite intern.

5.2.6 Fișierele de acces

Accesările bazelor de date cu caracter personal sunt înregistrate în fișiere de acces. Aceste evidențe sunt păstrate minimum 2 ani pentru audit și investigații.

5.2.7 Sistemele de telecomunicații

Datele cu caracter personal sunt transmise prin canale securizate. Transferurile către zone externe/nesigure sunt criptate conform politicilor de securitate aplicabile.

5.2.8 Instruirea personalului

Personalul este informat periodic cu privire la obligațiile legale și riscurile aferente prelucrării datelor cu caracter personal. Utilizatorii au obligația de a respecta confidențialitatea și de a închide sesiunea la părăsirea postului de lucru.

5.2.9 Folosirea computerelor

Pentru menținerea securității prelucrării datelor sunt implementate măsuri de protecție împotriva programelor malițioase și proceduri de utilizare adecvată a sistemelor informatice.