Politica de confidențialitate
SCOP:
Scopul acestei politici este de a stabili măsurile necesare și
responsabilitățile angajaților Gofio Danielle, pentru îndeplinirea obligaţiilor
referitoare la garantarea şi protejarea drepturilor şi libertăţilor
fundamentale ale persoanelor fizice, în special a dreptului la viaţa intimă,
familială şi privată, cu privire la prelucrarea datelor cu caracter personal.
DOMENIUL DE APLICARE:
Prezenta politică se aplică tuturor angajaților Gofio Danielle cu atribuții de
prelucrare a datelor cu caracter personal și/ sau după caz persoanelor
împuternicite.
TERMENI ŞI DEFINIŢII:
ANSPDCP - Autoritatea Naţională de
Supraveghere a Prelucrării Datelor cu Caracter Personal;
Date cu caracter personal - orice informaţii
referitoare la o persoană fizică identificată sau identificabilă; o persoană
identificabilă este acea persoană care poate fi identificată, direct sau
indirect, în mod particular prin referire la un număr de identificare ori la
unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice,
psihice, economice, culturale sau sociale;
Date anonime - date care, datorită originii
sau modalităţii specifice de prelucrare, nu pot fi asociate cu o persoană
identificată sau identificabilă;
Operator - orice persoană fizică sau juridică,
de drept privat ori de drept public, inclusiv autorităţile publice,
instituţiile şi structurile teritoriale ale acestora, care stabileşte scopul şi
mijloacele de prelucrare a datelor cu caracter personal; dacă scopul şi
mijloacele de prelucrare a datelor cu caracter personal sunt determinate
printr-un act normativ sau în baza unui act normativ, operator este persoana
fizică sau juridică, de drept public ori de drept privat, care este desemnată
ca operator prin acel act normativ sau în baza acelui act normativ;
Persoana responsabilă de politica de securitate a datelor cu
caracter personal - persoana responsabilă de funcţionarea
corespunzătoare a sistemului complex de protecţie a informaţiei care conţine
date cu caracter personal, precum şi de elaborarea, implementarea şi
monitorizarea respectării prevederilor politicii de securitate a deţinătorului
de date cu caracter personal;
Prelucrarea datelor cu caracter personal -
orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu
caracter personal, prin mijloace automate sau
neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea,
adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea
către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori
combinarea, blocarea, ştergerea sau distrugerea;
Stocarea - păstrarea pe orice fel de suport a datelor cu caracter
personal culese;
Utilizator - orice persoană care acţionează
sub autoritatea operatorului, a persoanei împuternicite sau a reprezentantului,
cu drept recunoscut de acces la bazele de date cu caracter personal.
DOCUMENTE DE REFERINŢĂ:
·
Legea nr. 677/2001 pentru protecția persoanelor cu privire la
prelucrarea datelor cu caracter personal si libera circulație a acestor date,
cu modificările și completările ulterioare;
·
Ordinul Avocatului Poporului nr. 52 din 18/04/2002 privind
aprobarea Cerințelor minime de securitate a prelucrărilor de date cu caracter
personal
·
Decizia ANSPDCP nr. 90 din 18/07/2006 privind stabilirea
cazurilor în care nu este necesară notificarea prelucrării unor date cu
caracter personal
·
Decizia ANSPDCP nr. 100 din 23/11/2007 privind stabilirea
cazurilor în care nu este necesară notificarea prelucrării unor date cu
caracter personal
·
Decizia ANSPDCP nr. 132 din 20/12/2011 privind condițiile
prelucrării codului numeric personal și a altor date cu caracter personal având
o funcție de identificare de aplicabilitate generală
PRECIZĂRI:
REGULI GENERALE
Gofio Danielle a adoptat măsuri tehnice şi organizatorice adecvate pentru
protejarea datelor cu caracter personal împotriva distrugerilor accidentale sau
ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat. În
acest sens au fost desemnate, la nivelul Gofio Danielle, persoane responsabile
cu respectarea dispoziţiilor Legii nr.677/2001.
Gofio Danielle a luat măsuri de stocare în siguranţă a informaţiilor privind
date cu caracter personal, astfel încât sa fie asigurat un nivel adecvat de
protecţie şi securitate, în sensul Legii 677/2001.
Pentru îndeplinirea prevederilor legale aferente şi în vederea satisfacerii
cerinţelor păstrării în siguranţă a datelor şi informaţiilor, instituţia a
elaborat şi implementat măsuri organizatorice şi tehnice orientate pe anumite
direcţii de acţiune:
1.
Identificarea şi autentificarea utilizatorului
2.
Tipul de acces
3.
Colectarea datelor
4.
Computerele şi terminalele de acces
5.
Fişierele de acces
6.
Instruirea personalului
PROCEDURI SPECIFICE
1.
Identificarea si autentificarea utilizatorului
Pentru a căpăta acces la date cu caracter personal, utilizatorii trebuie să se
autentifice în sistemele informatice ale Gofio Danielle. Autentificarea în
cadrul sistemelor informatice ale Gofio Danielle se face prin introducerea
credențialelor de autentificare unice și netransmisibile dobândite în urma
procesului de înrolare și management al identității electronice, guvernat de
politicile de securitate în vigoare.
Fiecare utilizator are propriul său cod de identificare (nume de utilizator).
Niciodată nu este alocat acelaşi cod de identificare mai multor utilizatori și
acesta nu poate fi partajat de către mai multe persoane.
Codurile de identificare (sau conturi de utilizator) nefolosite o perioadă mai
îndelungată sunt dezactivate şi distruse după un control prealabil. Perioada
după care codurile trebuie dezactivate şi distruse este stabilită prin politica
Gofio Danielle.
Orice cont de utilizator este însoţit de o modalitate de autentificare, prin
introducerea unei chei de autentificare precum o parolă.
Parolele sunt şiruri de caractere, adecvate din punct de vedere al securităţii
ca lungime şi compoziţie. La introducerea parolelor acestea nu sunt afişate în
clar pe monitor. Parolele sunt schimbate periodic conform politicilor de
securitate Gofio Danielle. Schimbarea periodică a parolelor se face numai de
către utilizatori autorizaţi.
Sistemul informaţional blochează automat accesul unui utilizator după un număr
fix de introduceri greşite ale cheii de autentificare.
Orice utilizator care primeşte un cod de identificare şi un mijloc de
autentificare este obligat prin fişa postului să păstreze confidenţialitatea
acestora şi să răspundă în acest sens în faţa operatorului.
Este stabilită o procedură proprie de administrare şi gestionare a conturilor
de utilizator. Sunt autorizati anumiţi utilizatori pentru a revoca sau a
suspenda un cod de identificare şi autentificare, dacă utilizatorul acestora
şi-a dat demisia ori a fost concediat, şi-a încheiat contractul, a fost
transferat la alt serviciu şi noile sarcini nu îi solicită accesul la date cu
caracter personal, a abuzat de codurile primite sau dacă va absenta o perioadă îndelungată
stabilită de entitate
2.
Tipul de acces
Utilizatorii trebuie să acceseze numai datele cu caracter personal necesare
pentru îndeplinirea atribuţiilor lor de serviciu. Pentru aceasta trebuie să fie
stabilite tipurile de acces după funcţionalitate (administrare, introducere,
prelucrare, salvare etc.) şi după acţiuni aplicate asupra datelor cu caracter
personal (scriere, citire, ştergere), precum şi procedurile privind aceste
tipuri de acces.
Compartimentul care asigură suportul tehnic poate avea acces la datele cu
caracter personal pentru rezolvarea incidentelor și a problemelor apărute în
utilizarea sistemelor informatice.
3.
Colectarea datelor
Gofio Danielle desemnează utilizatori autorizaţi pentru operaţiile de colectare
şi introducere de date cu caracter personal în sistemele informaţionale .
Orice modificare a datelor cu caracter personal trebuie să se poată face numai
de către utilizatori autorizaţi desemnaţi.
Gofio Danielle va lua măsuri pentru ca sistemele informaţionale să înregistreze
cine a făcut modificarea datelor cu caracter personal, data şi ora modificării.
Pentru o mai bună administrare, vor fi implementate măsuri pentru ca sistemele
informaţionale să menţină datele şterse sau modificate.
4.
Computerele si terminalele de acces
Computerele şi alte terminale de acces la date cu caracter personal aflate în
sediul Gofio Danielle vor fi instalate în încăperi cu acces restricţionat.
Unde nu pot fi asigurate aceste condiţii, computerele vor fi instalate în
încăperi care se pot încuia. Dacă pe ecran apar date cu caracter personal
asupra cărora nu se acţionează o perioadă dată, stabilită de către Gofio
Danielle, sesiunea de lucru se va închide automat. Mărimea acestei perioade se
determină în funcţie de operaţiile care trebuie executate.
Serverele care găzduiesc date cu caracter personal pot fi accesate doar în mod
controlat, pe baza de drepturi de acces.
Nu este permisă scoaterea din instituţie a mediilor de stocare mobile (CD/ DVD,
USB Stick, Portable HDD) care conțin date cu caracter personal, decât cu
aprobare prealabilă din partea conducerii societăţii.
5.
Fisierele de acces
Gofio Danielle ia măsuri ca orice accesare a bazei de date cu caracter personal
să fie înregistrată.
Pentru prelucrările automate, aceste informaţii sunt stocate într-un fişier de
acces general sau în fişiere separate pentru fiecare utilizator. Orice
încercare de acces neautorizat va fi, de asemenea, înregistrată.
Gofio Danielle păstreaza fişierele de acces cel puţin 2 ani, pentru a fi
folosite ca probe în cazul unor investigaţii. Dacă investigaţiile se prelungesc,
aceste fişiere se vor păstra atât timp cât se va considera necesar.
Fişierele de acces fac posibilă identificarea de către Gofio Danielle sau de
către persoana împuternicită, a persoanelor care au accesat date cu caracter
personal fără un motiv anume, în vederea aplicării unor sancţiuni sau a
sesizării organelor competente..
6.
Instruirea personalului
Personalul Gofio Danielle este informat cu privire la prevederile Legii nr.
677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu
caracter personal şi libera circulaţie a acestor date, la cerinţele minime de
securitate a prelucrărilor de date cu caracter personal, precum şi cu privire
la riscurile pe care le comportă prelucrarea datelor cu caracter personal.
Utilizatorii care au acces la date cu caracter personal vor fi instruiţi asupra
confidenţialităţii acestora şi vor fi avertizaţi prin mesaje care vor apărea pe
monitoare în timpul activităţii.
Utilizatorii sunt obligaţi să îşi închidă sesiunea de lucru atunci când
părăsesc locul de muncă.
7.
Folosirea computerelor
Pentru menţinerea securităţii prelucrării datelor cu caracter personal (în special
împotriva viruşilor informatici) trebuie luate măsuri privind:
7.1 interzicerea folosirii de către utilizatori a programelor software care
provin din surse neverificate;
7.2 informarea utilizatorilor în privinţa pericolului privind viruşii
informatici;
7.3 implementarea unor sisteme automate de tip antivirus si protective malware
şi de securitate a sistemelor informaţice;
7.4 dezactivarea posibilitatii de copiere sau imprimare a datelor cu caracter
personal afisate pe ecran in afara fluxurilor normale de afaceri.
8.
Imprimarea datelor
Scoaterea la imprimantă a datelor cu caracter personal se va realiza numai de
utilizatori autorizaţi de către Gofio Danielle pentru această operaţiune.
9.
Prelucrarea manuala de date cu caracter personal
Documentele care conţin date cu caracter personal vor fi ţinute în fişete sau
dulapuri închise cu cheie sau cu un alt mecanism de securizare. Documentele
care conţin date cu caracter personal, folosite pentru realizarea anumitor
operaţiuni se vor preda persoanelor abilitate sau se vor închide imediat după
terminarea acestora.
PRELUCRAREA DATELOR CU CARACTER PERSONAL AV ND O FUNCŢIE DE
IDENTIFICARE DE APLICABILITATE GENERALĂ, inclusiv dezvăluirea
acestora către terţi, se face numai în urmatoarele condiţii:
1.
persoana vizată şi-a dat în mod expres consimţământul; sau
2.
prelucrarea este prevăzută în mod expres de o dispoziţie legală;
sau
3.
în alte cazuri, cu avizul Autorităţii Naţionale de Supraveghere
a Prelucrării Datelor cu Caracter Personal şi numai cu condiţia instituirii
unor garanţii adecvate pentru respectarea drepturilor persoanelor vizate.
Gofio
Danielle respectă principiul caracterului adecvat, pertinent şi neexcesiv,
precum şi măsurile de confidenţialitate şi de securitate a prelucrărilor. În
cazul prevăzut la punctul 3 de mai sus, se au în vedere următoarele aspecte:
1.
scopul prelucrării să fie determinat, explicit şi legitim;
2.
stabilirea şi aplicarea unor măsuri prin care să se asigure
exercitarea drepturilor persoanelor vizate;
3.
durata de stocare a datelor să fie pe perioadă strict necesară îndeplinirii
scopului, după care datele vor fi şterse sau distruse, după caz;
4.
stabilirea modalităţilor de acces la sistemele de evidenţă în
vederea colectării datelor, în funcţie de care se vor stabili şi respecta
măsuri tehnice şi organizatorice adecvate pentru protejarea datelor;
5.
utilizarea datelor numai în limitele scopului stabilit
DREPTURILE PERSOANELOR ALE CĂROR DATE PERSONALE SUNT COLECTATE
ŞI/ SAU PRELUCRATE
1.
Dreptul de a fi informat
În cazul în care datele cu caracter personal sunt obţinute direct de la
persoana vizată, Gofio Danielle este obligat să furnizeze persoanei vizate cel
puţin următoarele informaţii, cu excepţia cazului în care această persoană
posedă deja informaţiile respective:
1.1 scopul în care se face prelucrarea datelor;
1.2 existenţa drepturilor prevăzute de lege pentru persoana vizată, în special
a dreptului de acces, de intervenţie asupra datelor şi de opoziţie, precum şi
condiţiile în care pot fi exercitate;
1.3 orice alte informaţii a căror furnizare este impusă prin dispoziţie a autorităţii
de supraveghere, ţinând seama de specificul prelucrării.
Pe pagina de internet a Gofio Danielle (www.gofiodanielle.ro) este postată
Politica de confidentialitate;
Înainte de completarea datelor cu caracter personal se solicită consimțământul
persoanelor vizate, pentru prelucrarea acestora;
Numărul de înregistrare a notificării comunicat de Autoritatea Naţională de
supraveghere se menţionează în orice document prin care se colectează,
stochează sau dezvăluie date cu caracter personal;
Clădirile care sunt supravegheate video vor avea, la intrare, afişat în loc
vizibil, informarea privind preluarea şi stocarea de imagini.
2.
Dreptul de acces la date
Orice persoană vizată are dreptul de a obţine de la Gofio Danielle (în calitate
de operator), la cerere şi în mod gratuit pentru o solicitare pe an,
confirmarea faptului că datele care o privesc sunt sau nu sunt prelucrate de
acesta.
3.
Dreptul de intervenţie asupra datelor
Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi în
mod gratuit:
3.1 după caz, rectificarea, actualizarea, blocarea sau ştergerea datelor a
căror prelucrare nu este conformă legii, în special a datelor incomplete sau
inexacte;
3.2 după caz, transformarea în date anonime a datelor a căror prelucrare nu
este conformă legii.
4.
Dreptul de opoziţie
Persoana vizată are dreptul de a se opune în orice moment, din motive
întemeiate şi legitime legate de situaţia sa particulară, ca date care o
vizează să facă obiectul unei prelucrări, cu excepţia cazurilor în care există
dispoziţii legale contrare. În caz de opoziţie justificată prelucrarea nu mai
poate viza datele în cauză.
5.
Dreptul de a se adresa justiţiei
5.1 Fără a se aduce atingere posibilităţii de a se adresa cu plângere
autorităţii de supraveghere, persoanele vizate au dreptul de a se adresa
justiţiei pentru apărarea oricăror drepturi garantate de lege, care le-au fost
încălcate.
5.2 Orice persoană care a suferit un prejudiciu în urma unei prelucrări de date
cu caracter personal, efectuată ilegal, se poate adresa instanţei competente
pentru repararea acestuia.
COMUNICAREA DATELOR CU CARACTER PERSONAL
1.
Datele cu caracter personal se pot comunica între Gofio Danielle
şi împuterniciţii acestuia sau între Gofio Danielle sau împuterniciţi ai
acestuia şi alte instituţii ori organisme publice sau entităţi de drept public
sau privat în una dintre următoarele situaţii:
1.1 dacă persoana vizată şi-a dat consimţământul expres şi neechivoc pentru
comunicarea datelor sale;
1.2 fără consimţământul persoanei vizate în cazurile prevăzute de lege.
2.
Comunicarea datelor cu caracter personal se poate face şi
on-line, cu respectarea dispoziţiilor alin.(1) şi asigurarea securităţii
sistemelor de comunicaţii a datelor cu caracter personal.
3.
Datele cu caracter personal asupra cărora persoanele vizate au
exercitat şi li s-a recunoscut dreptul de opoziţie nu pot face obiectul
prelucrării
4.
Cererile pentru comunicarea datelor cu caracter personal
adresate Gofio Danielle trebuie să conţină datele de identificare a
solicitantului, precum şi motivarea şi scopul cererii, conform prevederilor
legale.
5.
Cererile care nu conţin aceste elemente se restituie pentru
completare, iar cele care nu se încadrează în condiţiile prevăzute de lege se
resping, menţionându-se motivele pentru care comunicarea datelor cu caracter
personal nu este posibilă.
6.
Înainte de comunicarea datelor cu caracter personal, Gofio
Danielle verifică dacă acestea sunt exacte şi, dacă este cazul, actualizate.
7.
În situaţia în care se constată că au fost transmise date
incorecte sau neactualizate, Gofio Danielle are obligaţia de a informa
destinatarii respectivelor date asupra neconformităţii acestora, cu menţionarea
datelor care au fost modificate.
8.
La comunicarea datelor cu caracter personal Gofio Danielle
atenţionează destinatarii asupra interdicţiei de a prelucra datele pentru alte
scopuri decât cele specificate în cererea de comunicare.