POLITICA DE SECURITATE INTERNA PENTRU PRELUCRAREA DATELOR CU CARACTER PRESONAL A DODO PIZZA S.R.L. (Societatea)

 

 

I.      Principiile procesarii datelor

 

(i)           Datele cu caracter personal sunt procesate cu buna credinta si in conformitate cu dispozitiile legale;

(ii)          Datele cu caracter personal sunt colectate doar in scopuri determinate, explicite si legitime si procesarea ulterioara nu va contraveni acestor scopuri;

(iii)         Date cu caracter personal procesate sunt adecvate, pertinente si neexcesive prin raportare la scopul pentru care au fost colectate;

(iv)        Datele cu caracter personal procesate sunt exacte si actualizate;

(v)         Datele cu caracter personal nu sunt stocate pentru o durata mai mare decat este necesar pentru realizarea scopurilor in care datele au fost colectate;

(vi)        Datele cu caracter personal sunt procesate cu respectarea drepturilor persoanei vizate astfel cum sunt prevazute de Legea 677/2001;

(vii)       Datele incorecte sau incomplete prin raportare la scopul procesarii vor fi inlaturate sau sterse in functie de caz;

(viii)      Sunt adoptate masuri tehnice si procedurale pentru protectia datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat.

 

II.       Protectia si securitatea datelor procesate

 

Societatea a implementat urmatoarele masuri pentru a asigura protectia si securitatea procesarii datelor cu caracter personal a persoanelor vizate:

 

1.         Identificarea si autentificarea utilizatorilor care au acces la date cu caracter personal

 

§  Identificarea utilizatorilor (i.e. orice persoana care actioneaza sub autoritatea operatorului sau a persoanei imputernicite, cu drept recunoscut de acces la bazele de date cu caracter personal) se poate face prin introducerea codului de identificare de la tastatura (un sir de caractere);

§  Fiecare utilizator are propriul sau cod de identificare. Orice cont de utilizator este insotit de o modalitate de autentificare. Autentificarea se face prin introducerea unei parole, care cand este introdusa nu este afisata in clar pe monitor. Parolele sunt schimbate doar de utilizatorii autorizati si cel putin la fiecare 90 de zile. In caz de 5 introduceri gresite ale parolei, accesul la cont va fi refuzat automat.

§  Conturile neutilizate pentru o perioada de cel putin 180 de zile sunt dezactivate si distruse dupa un control prealabil intern al operatorului. In plus, conturile vor fi dezactivate si distruse la incetarea contractului de munca sau pentru orice alt motiv rezonabil.

§  Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se va face pe baza unei liste aprobate de conducerea Societatii.

§  Persoanele cu acces la date cu caracter personal sunt intruite cu privire la responsabilitatile lor pentru protectia datelor cu caracter personal. Ele sunt obligate pastreze confidentialitatea acestor date si raspund in acest sens in fata Societatii.

 

2.         Tipul de acces

 

§  Datele cu caracter personal pot fi accesate doar de utilizatorii autorizati si doar daca respectiva accesare este necesara pentru indeplinirea atributiilor lor specifice; acesti utilizatori vor respecta toate masurile tehnice si de securitate.

§  Programatorii sistemelor de prelucrare a datelor cu caracter personal nu vor avea acces la datele cu caracter personal. Compartimentul care asigura suportul tehnic poate avea acces la datele cu caracter personal doar in cazuri exceptionale si doar pentru indeplinirea indatoririlor sale.

 

3.         Colectarea datelor cu caracter personal

 

§  Utilizatori autorizati pentru operatiunile de colectare si introducere de date cu caracter personal intr-un sistem informational sunt desemnati de Societate.

§  Orice modificare a datelor cu caracter personal se poate face numai de catre utilizatori autorizati desemnati de Societate. Sistemul informational inregistreaza orice modificarea, data si ora modificarii, precum si persoana care a facut modificarea. Datele modificate sau sterse vor putea fi recuperate intr-un termen de 60 de zile.

 

4.         Executarea copiilor de siguranta

 

§  Copiile de siguranta vor fi facute periodic pentru datele stocate electronic. Copiile de siguranta vor fi depozitate in camere sigure si monitorizate.

§  Copiile pe hartie vor fi tinute intr-o locatie sigura sau intr-un spatiu de depozitare inchis la sediul Societatii.

 

5.         Imprimarea datelor cu caracter personal

 

Imprimarea datelor cu caracter personal se va realiza numai de utilizatori autorizati pentru aceasta operatiune de catre operator. Acesta din urma aproba proceduri interne specifice privind folosirea si distrugerea acestor materiale.

 

6.         Fisierele de acces

 

Fiecare accesare a bazei de date cu caracter personal va fi inregistrata intr-un fisier de acces sau intr-un registru pentru datele ce sunt procesate manual de catre Societate. Informatiile inregistrate in fisierul de acces sau in registru vor fi: (i) codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale); (ii) numele fisierului accesat (fisei); (iii) numarul inregistrarilor efectuate; (iv) tipul de acces; (v) codul operatiei executate sau programul folosit; (vi) data accesului (an, luna, zi); (vii) timpul (ora, minutul, secunda). In plus, orice incercare de acces neautorizat sau orice acces fara un motiv intemeiat vor fi inregistrate.

Fisierele de acces vor fi pastrate pentru o perioada de minimum 2 ani.

 

7.         Sistemele de telecomunicatii

 

Societatea se obliga sa faca periodic controlul autentificarilor si tipurilor de acces pentru detectarea unor disfunctionalitati in ceea ce priveste folosirea sistemelor de telecomunicatii. Societatea va folosi o metoda de criptare pentru transmisia datelor cu caracter personal. Prin sistemele de telecomunicatii se vor transmite numai datele cu caracter personal strict necesare.

 

8.         Instruirea personalului

 

Utilizatori autorizati pentru procesarea datelor cu caracter personal sunt informati cu privire la prevederile Legii 677/2001, la cerintele minime de securitate precum si la riscurile ce rezulta din prelucrarea datelor cu caracter personal.

Utilizatori autorizati pentru procesarea datelor cu caracter personal sunt instruiti asupra confidentialitatii datelor. Utilizatorii sunt obligati sa isi blocheze calculatoarele atunci cand le vor lasa nesupravegheate, indiferent de locatia unde se afla, in birou sau in afara biroului.

 

9.         Calculatoare si terminalele de acces

 

 

Folosirea calculatoarelor/terminalelor de acces poate fi realizata doar pe baza unei combinatii de cont si parola.

 

10.      Folosirea calculatoarelor

 

Utilizatorilor le este interzisa folosirea de programe software care nu sunt autorizate de Societate. Daca programul software care nu este aprobat este necesar, el trebuie sa fie autorizat de departamentul IT anterior instalarii pe calculator. Sisteme antivirus si firewall sunt implementate pe mai multe nivele in cadrul retelei, fiind actualizate si revizuite la zi; sistemele de operare nu permit instalarea sau folosirea de programe software neautorizate.

 

11.      Procesarea datelor cu caracter personal prin mijloace automate/neautomate

 

§  In caz de procesare a datelor cu caracter personal, Societatea se obliga sa:

 

-    Previna accesul si folosirea echipamentelor de procesare a datelor cu caracter personal de catre persoane neautorizate;

-    Previna introducerea, citirea, copierea, modificarea si stergerea datelor cu caracter personal fara autorizare;

-    Previna citirea, copierea, modificarea si stergerea neautorizata a datelor cu caracter personal in timpul transferului sau transportarii pachetelor de date;

-    Asigure posibilitatea stabilirii instrumentelor de control suplimentar in privinta datelor cu caracter personal introduse in mijloace automate de procesare, precum si a datei, timpului si a persoanei care a introdus datele cu caracter personal;

-    Sa asigure ca nicio persoana care actioneaza sub autoritatea Societatii, inclusiv reprezentantul de fapt al Societatii, care are acces la datele cu caracter personal nu poate procesa datele cu caracter personal, in lipsa instructiunilor primite de la Societate;

-    Previna pierderea accidentala a datelor cu caracter personal;

-    Asigure posibilitatea de a reseta sistemele in caz de eroare;

-    Asigure functionarea sistemului, raportarea oricaror erori ale sistemului.

 

§  In caz de procesare prin mijloace neautomate, se iau masuri pentru protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, accesului, pierderii, modificarii sau dezvaluirii neautorizate.

 

12.      Obligatiile utilizatorilor de date cu caracter personal

 

§  Utilizatorii de date cu caracter personal au urmatoarele obligatii:

 

-      Sa cunoasca si sa aplice prevederile din legislatia relevanta, precum si prevederile din regulamentele interne;

-      Sa proceseze doar date cu caracter personal care sunt necesare pentru indeplinirea sarcinilor lor de serviciu si sa ofere sprijin persoanelor responsabile cu protejarea datelor cu caracter personal;

-      Sa pastreze confidentialitatea datelor procesate, contului utilizatorului, parolei/codului de acces si bazei de date folosite in scopul administrarii datelor cu caracter personal;

-      Sa respecte masurile de siguranta, precum si celelalte reguli stabilite de catre operator, inclusiv procedurile interne;

-      Sa informeze imediat conducerea Societatii si persoana responsabila cu administrarea datelor cu caracter personal cu privire la circumstante ce ar putea conduce la diseminarea neautorizata a datelor cu caracter personal sau in legatura cu o situatie in care datele cu caracter personal au fost accesate/procesate cu nerespectarea prevederilor legale.

 

13.      Alte informatii relevante

 

§  Angajatii trebuie sa adere la toate regulamentele in legatura cu siguranta informatiilor, confidentialitatea datelor cu caracter personal si pastrarea inregistrarilor;

§  Societatea nu va transfera, inchiria sau imprumuta datele cu caracter personal, altfel decat cum este prevazut in notele de informare aplicabile;

§  Daca legea nu dispune altfel, transferul datelor cu caracter personal catre alte entitati va fi realizat doar dupa obtinerea acordului persoanei vizate (acest acord este obtinut de la persoanele vizate in baza unei notificari de confidentialitate);

§  Societatea poate sa foloseasca si/sau dezvaluie datele cu caracter personal in baza unor prevederi exprese sau atunci cand Societatea considera, cu buna credinta, ca o astfel de actiune este necesara in scopul de a: (a) respecta legislatia relevanta sau de a se conforma cu obligatiile stabilite in cadrul litigiilor in care Societatea este citata; (b) proteja drepturile, interesele de afaceri si proprietatile Societatii; si (c) actiona in caz de urgenta pentru protejarea angajatilor Societatii sau a publicului, duca va fi cazul;

§  Persoanele vizate pot accesa datele cu caracter personal adresand o cerere persoanei responsabile indicate in notificarea de confidentialitate. Societatea nu va dezvalui niciun fel de date care ar putea compromite intimitatea unei persoane vizate, altei persoane, decat daca aceasta obligatie decurge din lege. Angajatii ar putea avea acces la o descriere a datelor cu caracter personal ai caror subiecti sunt, scopurile in care datele sunt procesate, destinatarii sau categoriile de destinatari carora le sunt dezvaluite datele lor si, daca se cunoaste, sursa datelor, cu respectarea prevederilor legale si a celor stipulate in regulamentul intern sau in notificarea de confidentialitate;

§  Angajatii Societatii ar trebui, in conformitate cu legile locale, sa raporteze orice act pe care cu buna-credinta il considera o incalcare sau o incalcare aparenta a acestui regulament sau a prevederilor legale relevante.