SCOP
Scopul acestei politici este de a stabili măsurile necesare și responsabilitățile angajaților ARSEMA GROUP S.R.L., pentru îndeplinirea obligațiilor referitoare la garantarea și protejarea drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului la viața intimă, familială și privată, cu privire la prelucrarea datelor cu caracter personal.
DOMENIUL DE APLICARE
Prezenta politică se aplică tuturor angajaților și colaboratorilor ARSEMA GROUP S.R.L., cu atribuții de prelucrare a datelor cu caracter personal și/sau, după caz, persoanelor împuternicite.
TERMENI ȘI DEFINIȚII
ANSPDCP – Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal;
Date cu caracter personal – orice informaţii referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
Date anonime – date care, datorită originii sau modalităţii specifice de prelucrare, nu pot fi asociate cu o persoană identificată sau identificabilă;
Operator – orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal; dacă scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizică sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin acel act normativ sau în baza acelui act normativ;
Persoana responsabilă de politica de securitate a datelor cu caracter personal – persoana responsabilă de funcţionarea corespunzătoare a sistemului complex de protecţie a informaţiei care conţine date cu caracter personal, precum şi de elaborarea, implementarea şi monitorizarea respectării prevederilor politicii de securitate a deţinătorului de date cu caracter personal;
Prelucrarea datelor cu caracter personal – orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau
neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea;
Stocarea – păstrarea pe orice fel de suport a datelor cu caracter personal culese;
Utilizator – orice persoană care acţionează sub autoritatea operatorului, a persoanei împuternicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal.
DOCUMENTE DE REFERINȚĂ
- Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulație a acestor date, cu modificările și completările ulterioare;
- Ordinul Avocatului Poporului nr. 52 din 18/04/2002 privind aprobarea Cerințelor minime de securitate a prelucrărilor de date cu caracter personal
- Decizia ANSPDCP nr. 90 din 18/07/2006 privind stabilirea cazurilor în care nu este necesară notificarea prelucrării unor date cu caracter personal
- Decizia ANSPDCP nr. 100 din 23/11/2007 privind stabilirea cazurilor în care nu este necesară notificarea prelucrării unor date cu caracter personal
- Decizia ANSPDCP nr. 132 din 20/12/2011 privind condițiile prelucrării codului numeric personal și a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală
PRECIZĂRI – REGULI GENERALE
ARSEMA GROUP S.R.L. a adoptat măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva pierderii, accesului neautorizat, distrugerii accidentale sau ilegale, modificării sau dezvăluirii neautorizate.
Măsurile includ:
- Sisteme de autentificare pentru utilizatori (nume de utilizator/parolă unică)
- Instruirea personalului cu privire la protecția datelor
- Acces restricționat fizic la echipamentele ce conțin date
- Monitorizarea activităților de accesare a bazelor de date
- Politici clare de colectare, stocare, modificare și ștergere a datelor
- Interdicții privind extragerea neautorizată de date în afara companiei
PROCEDURI SPECIFICE
- Identificarea si autentificarea utilizatorului
Pentru a căpăta acces la date cu caracter personal, utilizatorii trebuie să se autentifice în sistemele informatice ale RYN Beauty. Autentificarea în cadrul sistemelor informatice ale RYN Beauty se face prin introducerea credențialelor de autentificare unice și netransmisibile dobândite în urma procesului de înrolare și management al identității electronice, guvernat de politicile de securitate în vigoare.
Fiecare utilizator are propriul său cod de identificare (nume de utilizator). Niciodată nu este alocat acelaşi cod de identificare mai multor utilizatori și acesta nu poate fi partajat de către mai multe persoane.
Codurile de identificare (sau conturi de utilizator) nefolosite o perioadă mai îndelungată sunt dezactivate şi distruse după un control prealabil. Perioada după care codurile trebuie dezactivate şi distruse este stabilită prin politica RYN Beauty.
Orice cont de utilizator este însoţit de o modalitate de autentificare, prin introducerea unei chei de autentificare precum o parolă.
Parolele sunt şiruri de caractere, adecvate din punct de vedere al securităţii ca lungime şi compoziţie. La introducerea parolelor acestea nu sunt afişate în clar pe monitor. Parolele sunt schimbate periodic conform politicilor de securitate RYN Beauty. Schimbarea periodică a parolelor se face numai de către utilizatori autorizaţi.
Sistemul informaţional blochează automat accesul unui utilizator după un număr fix de introduceri greşite ale cheii de autentificare.
Orice utilizator care primeşte un cod de identificare şi un mijloc de autentificare este obligat prin fişa postului să păstreze confidenţialitatea acestora şi să răspundă în acest sens în faţa operatorului.
Este stabilită o procedură proprie de administrare şi gestionare a conturilor de utilizator. Sunt autorizati anumiţi utilizatori pentru a revoca sau a suspenda un cod de identificare şi autentificare, dacă utilizatorul acestora şi-a dat demisia ori a fost concediat, şi-a încheiat contractul, a fost transferat la alt serviciu şi noile sarcini nu îi solicită accesul la date cu caracter personal, a abuzat de codurile primite sau dacă va absenta o perioadă îndelungată stabilită de entitate - Tipul de acces
Utilizatorii trebuie să acceseze numai datele cu caracter personal necesare pentru îndeplinirea atribuţiilor lor de serviciu. Pentru aceasta trebuie să fie stabilite tipurile de acces după funcţionalitate (administrare, introducere, prelucrare, salvare etc.) şi după acţiuni aplicate asupra datelor cu caracter personal (scriere, citire, ştergere), precum şi procedurile privind aceste tipuri de acces.
Compartimentul care asigură suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea incidentelor și a problemelor apărute în utilizarea sistemelor informatice. - Colectarea datelor
RYN Beauty desemnează utilizatori autorizaţi pentru operaţiile de colectare şi introducere de date cu caracter personal în sistemele informaţionale .
Orice modificare a datelor cu caracter personal trebuie să se poată face numai de către utilizatori autorizaţi desemnaţi.
RYN Beauty va lua măsuri pentru ca sistemele informaţionale să înregistreze cine a făcut modificarea datelor cu caracter personal, data şi ora modificării. Pentru o mai bună administrare, vor fi implementate măsuri pentru ca sistemele informaţionale să menţină datele şterse sau modificate. - Computerele si terminalele de acces
Computerele şi alte terminale de acces la date cu caracter personal aflate în sediul RYN Beauty vor fi instalate în încăperi cu acces restricţionat.
Unde nu pot fi asigurate aceste condiţii, computerele vor fi instalate în încăperi care se pot încuia. Dacă pe ecran apar date cu caracter personal asupra cărora nu se acţionează o perioadă dată, stabilită de către RYN Beauty, sesiunea de lucru se va închide automat. Mărimea acestei perioade se determină în funcţie de operaţiile care trebuie executate.
Serverele care găzduiesc date cu caracter personal pot fi accesate doar în mod controlat, pe baza de drepturi de acces.
Nu este permisă scoaterea din instituţie a mediilor de stocare mobile (CD/ DVD, USB Stick, Portable HDD) care conțin date cu caracter personal, decât cu aprobare prealabilă din partea conducerii societăţii. - Fisierele de acces
RYN Beauty ia măsuri ca orice accesare a bazei de date cu caracter personal să fie înregistrată.
Pentru prelucrările automate, aceste informaţii sunt stocate într-un fişier de acces general sau în fişiere separate pentru fiecare utilizator. Orice încercare de acces neautorizat va fi, de asemenea, înregistrată.
RYN Beauty păstreaza fişierele de acces cel puţin 2 ani, pentru a fi folosite ca probe în cazul unor investigaţii. Dacă investigaţiile se prelungesc, aceste fişiere se vor păstra atât timp cât se va considera necesar.
Fişierele de acces fac posibilă identificarea de către RYN Beauty sau de către persoana împuternicită, a persoanelor care au accesat date cu caracter personal fără un motiv anume, în vederea aplicării unor sancţiuni sau a sesizării organelor competente.. - Instruirea personalului
Personalul RYN Beauty este informat cu privire la prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, la cerinţele minime de securitate a prelucrărilor de date cu caracter personal, precum şi cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal.
Utilizatorii care au acces la date cu caracter personal vor fi instruiţi asupra confidenţialităţii acestora şi vor fi avertizaţi prin mesaje care vor apărea pe monitoare în timpul activităţii.
Utilizatorii sunt obligaţi să îşi închidă sesiunea de lucru atunci când părăsesc locul de muncă. - Folosirea computerelor
Pentru menţinerea securităţii prelucrării datelor cu caracter personal (în special împotriva viruşilor informatici) trebuie luate măsuri privind:
7.1 interzicerea folosirii de către utilizatori a programelor software care provin din surse neverificate;
7.2 informarea utilizatorilor în privinţa pericolului privind viruşii informatici;
7.3 implementarea unor sisteme automate de tip antivirus si protective malware şi de securitate a sistemelor informaţice;
7.4 dezactivarea posibilitatii de copiere sau imprimare a datelor cu caracter personal afisate pe ecran in afara fluxurilor normale de afaceri. - Imprimarea datelor
Scoaterea la imprimantă a datelor cu caracter personal se va realiza numai de utilizatori autorizaţi de către RYN Beauty pentru această operaţiune. - Prelucrarea manuala de date cu caracter personal
Documentele care conţin date cu caracter personal vor fi ţinute în fişete sau dulapuri închise cu cheie sau cu un alt mecanism de securizare. Documentele care conţin date cu caracter personal, folosite pentru realizarea anumitor operaţiuni se vor preda persoanelor abilitate sau se vor închide imediat după terminarea acestora.
DREPTURILE PERSOANELOR VIZATE
Persoanele ale căror date sunt prelucrate de ARSEMA GROUP S.R.L. beneficiază de următoarele drepturi, conform GDPR:
- Dreptul la informare
- Dreptul de acces
- Dreptul la rectificare
- Dreptul la ștergere („dreptul de a fi uitat”)
- Dreptul la restricționarea prelucrării
- Dreptul la opoziție
- Dreptul la portabilitate
- Dreptul de a nu fi supus unui proces decizional automatizat
- Dreptul de a se adresa ANSPDCP sau instanței
COMUNICAREA DATELOR CU CARACTER PERSONAL
Datele pot fi comunicate către terți doar în următoarele situații:
- Pe baza consimțământului persoanei vizate
- Pentru îndeplinirea unei obligații legale
- Pentru executarea unui contract
- Către autorități sau parteneri agreați, cu respectarea măsurilor de securitate
DISPOZIȚII FINALE
Pentru întrebări legate de protecția datelor sau pentru exercitarea drepturilor tale, ne poți contacta:
ARSEMA GROUP S.R.L.
📍 Str. Anul Revoluției 1848, nr. 49, camera 2, Galați
📧 arsemagroupsrl@yahoo.com
📞 0747 879 887 / 0751 433 823