Confidentialitate

EXTRAS DIN LEGEA nr. 677 din 21 noiembrie 2001

CAP. IV Drepturile persoanei vizate în contextul prelucrării datelor cu caracter personal Informarea persoanei vizate


ART. 12 (1) În cazul în care datele cu caracter personal sunt obŃinute direct de la persoana vizata, operatorul este obligat sa furnizeze persoanei vizate cel puŃin următoarele informaŃii, cu excepŃia cazului în care aceasta persoana poseda deja informaŃiile respective: a) identitatea operatorului şi a reprezentantului acestuia, dacă este cazul; b) scopul în care se face prelucrarea datelor; c) informaŃii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacă furnizarea tuturor datelor cerute este obligatorie şi consecinŃele refuzului de a le furniza; existenta drepturilor prevăzute de prezenta lege pentru persoana vizata, în special a dreptului de acces, de intervenŃie asupra datelor şi de opoziŃie, precum şi condiŃiile în care pot fi exercitate; d) orice alte informaŃii a căror furnizare este impusa prin dispoziŃie a autorităŃii de supraveghere, Ńinând seama de specificul prelucrării. (2) În cazul în care datele nu sunt obŃinute direct de la persoana vizata, operatorul este obligat ca, în momentul colectării datelor sau, dacă se intenŃionează dezvaluirea acestora către terŃi, cel mai târziu până în momentul primei dezvaluiri, sa furnizeze persoanei vizate cel puŃin următoarele informaŃii, cu excepŃia cazului în care persoana vizata poseda deja informaŃiile respective: a) identitatea operatorului şi a reprezentantului acestuia, dacă este cazul; b) scopul în care se face prelucrarea datelor; c) informaŃii suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari ai datelor, existenta drepturilor prevăzute de prezenta lege pentru persoana vizata, în special a dreptului de acces, de intervenŃie asupra datelor şi de opoziŃie, precum şi condiŃiile în care pot fi exercitate; d) orice alte informaŃii a căror furnizare este impusa prin dispoziŃie a autorităŃii de supraveghere, Ńinând seama de specificul prelucrării. (3) Prevederile alin. (2) nu se aplică atunci când prelucrarea datelor se efectuează exclusiv în scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor de informare. (4) Prevederile alin. (2) nu se aplică în cazul în care prelucrarea datelor se face în scopuri statistice, de cercetare istorica sau ştiinŃifică, ori în orice alte situaŃii în care furnizarea unor asemenea informaŃii se dovedeşte imposibila sau ar implica un efort disproportionat faŃă de interesul legitim care ar putea fi lezat, precum şi în situaŃiile în care înregistrarea sau dezvaluirea datelor este expres prevăzută de lege.


Dreptul de acces la date ART. 13 (1) Orice persoană vizata are dreptul de a obŃine de la operator, la cerere şi în mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, în situaŃia în care prelucreaza date cu caracter personal care privesc solicitantul, sa comunice acestuia, împreună cu confirmarea, cel puŃin următoarele: a) informaŃii referitoare la scopurile prelucrării, categoriile de date avute în vedere şi destinatarii sau categoriile de destinatari cărora le sunt dezvăluite datele; b) comunicarea într-o formă inteligibila a datelor care fac obiectul prelucrării, precum şi a oricărei informaŃii disponibile cu privire la originea datelor; c) informaŃii asupra principiilor de funcŃionare a mecanismului prin care se efectuează orice prelucrare automată a datelor care vizează persoana respectiva; d) informaŃii privind existenta dreptului de intervenŃie asupra datelor şi a dreptului de opoziŃie, precum şi condiŃiile în care pot fi exercitate; e) informaŃii asupra posibilităŃii de a consulta registrul de evidenta a prelucrarilor de date cu caracter personal, prevăzut la art. 24, de a înainta plângere către autoritatea de supraveghere, precum şi de a se adresa instanŃei pentru atacarea deciziilor operatorului, în conformitate cu dispoziŃiile prezentei legi. (2) Persoana vizata poate solicita de la operator informaŃiile prevăzute la alin. (1), printr-o cerere întocmită în forma scrisă, datată şi semnată. În cerere solicitantul poate arata dacă doreşte ca informaŃiile sa îi fie comunicate la o anumită adresa, care poate fi şi de posta electronică, sau printr-un serviciu de corespondenta care să asigure ca predarea i se va face numai personal. (3) Operatorul este obligat sa comunice informaŃiile solicitate, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2). (4) În cazul datelor cu caracter personal legate de starea de sănătate, cererea prevăzută la alin. (2) poate fi introdusă de persoana vizata fie direct, fie prin intermediul unui cadru medical care va indica în cerere persoana în numele căreia este introdusă. La cererea operatorului sau a persoanei vizate comunicarea prevăzută la alin. (3) poate fi făcuta prin intermediul unui cadru medical desemnat de persoana vizata. (5) În cazul în care datele cu caracter personal legate de starea de sănătate sunt prelucrate în scop de cercetare ştiinŃifică, dacă nu exista, cel puŃin aparent, riscul de a se aduce atingere drepturilor persoanei vizate şi dacă datele nu sunt utilizate pentru a lua decizii sau măsuri faŃă de o anumită persoana, comunicarea prevăzută la alin. (3) se poate face şi într-un termen mai mare decât cel prevăzut la acel alineat, în măsura în care aceasta ar putea afecta bunul mers sau rezultatele cercetării, şi nu mai târziu de momentul în care cercetarea este încheiată. În acest caz persoana vizata trebuie să îşi fi dat în mod expres şi neechivoc consimŃământul ca datele să fie prelucrate în scop de cercetare ştiinŃifică, precum şi asupra posibilei amânări a comunicării prevăzute la alin. (3) din acest motiv. (6) Prevederile alin. (2) nu se aplică atunci când prelucrarea datelor se efectuează exclusiv în scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor de informare.


Dreptul de intervenŃie asupra datelor ART. 14 (1) Orice persoană vizata are dreptul de a obŃine de la operator, la cerere şi în mod gratuit: a) după caz, rectificarea, actualizarea, blocarea sau ştergerea datelor a căror prelucrare nu este conformă prezentei legi, în special a datelor incomplete sau inexacte; b) după caz, transformarea în date anonime a datelor a căror prelucrare nu este conformă prezentei legi; c) notificarea către terŃii cărora le-au fost dezvăluite datele a oricărei operaŃiuni efectuate conform lit. a) sau b), dacă aceasta notificare nu se dovedeşte imposibila sau nu presupune un efort disproportionat faŃă de interesul legitim care ar putea fi lezat. (2) Pentru exercitarea dreptului prevăzut la alin. (1) persoana vizata va înainta operatorului o cerere întocmită în forma scrisă, datată şi semnată. În cerere solicitantul poate arata dacă doreşte ca informaŃiile sa îi fie comunicate la o anumită adresa, care poate fi şi de posta electronică, sau printr-un serviciu de corespondenta care să asigure ca predarea i se va face numai personal. (3) Operatorul este obligat sa comunice măsurile luate în temeiul alin. (1), precum şi, dacă este cazul, numele terŃului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizata, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).


Dreptul de opoziŃie ART. 15 (1) Persoana vizata are dreptul de a se opune în orice moment, din motive întemeiate şi legitime legate de situaŃia sa particulară, ca date care o vizează să facă obiectul unei prelucrari, cu excepŃia cazurilor în care exista dispoziŃii legale contrare. În caz de opoziŃie justificată prelucrarea nu mai poate viza datele în cauza. (2) Persoana vizata are dreptul de a se opune în orice moment, în mod gratuit şi fără nici o justificare, ca datele care o vizează să fie prelucrate în scop de marketing direct, în numele operatorului sau al unui terŃ, sau să fie dezvăluite unor terŃi într-un asemenea scop. (3) În vederea exercitării drepturilor prevăzute la alin. (1) şi (2) persoana vizata va înainta operatorului o cerere întocmită în forma scrisă, datată şi semnată. În cerere solicitantul poate arata dacă doreşte ca informaŃiile sa îi fie comunicate la o anumită adresa, care poate fi şi de posta electronică, sau printr-un serviciu de corespondenta care să asigure ca predarea i se va face numai personal. (4) Operatorul este obligat sa comunice persoanei vizate măsurile luate în temeiul alin. (1) sau (2), precum şi, dacă este cazul, numele terŃului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizata, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (3).


ExcepŃii ART. 16 (1) Prevederile art. 12, 13, ale art. 14 alin. (3) şi ale art. 15 nu se aplică în cazul activităŃilor prevăzute la art. 2 alin. (5), dacă prin aplicarea acestora este prejudiciata eficienta acŃiunii sau obiectivul urmărit în îndeplinirea atribuŃiilor legale ale autorităŃii publice. (2) Prevederile alin. (1) sunt aplicabile strict pentru perioada necesară atingerii obiectivului urmărit prin desfăşurarea activităŃilor menŃionate la art. 2 alin. (5). (3) După încetarea situaŃiei care justifica aplicarea alin. (1) şi (2) operatorii care desfăşoară activităŃile prevăzute la art. 2 alin. (5) vor lua măsurile necesare pentru a asigura respectarea drepturilor persoanelor vizate. (4) AutorităŃile publice Ńin evidenta unor astfel de cazuri şi informează periodic autoritatea de supraveghere despre modul de soluŃionare a lor.


Dreptul de a nu fi supus unei decizii individuale ART. 17 (1) Orice persoană are dreptul de a cere şi de a obŃine: a) retragerea sau anularea oricărei decizii care produce efecte juridice în privinŃa sa, adoptată exclusiv pe baza unei prelucrari de date cu caracter personal, efectuată prin mijloace automate, destinată sa evalueze unele aspecte ale personalităŃii sale, precum competenŃa profesională, credibilitatea, comportamentul sau ori alte asemenea aspecte; b) reevaluarea oricărei alte decizii luate în privinŃa sa, care o afectează în mod semnificativ, dacă decizia a fost adoptată exclusiv pe baza unei prelucrari de date care întruneşte condiŃiile prevăzute la lit. a). (2) Respectându-se celelalte garanŃii prevăzute de prezenta lege, o persoană poate fi supusă unei decizii de natura celei vizate la alin. (1), numai în următoarele situaŃii: a) decizia este luată în cadrul încheierii sau executării unui contract, cu condiŃia ca cererea de încheiere sau de executare a contractului, introdusă de persoana vizata, sa fi fost satisfacuta sau ca unele măsuri adecvate, precum posibilitatea de a-şi susŃine punctul de vedere, sa garanteze apărarea propriului interes legitim; b) decizia este autorizata de o lege care precizează măsurile ce garantează apărarea interesului legitim al persoanei vizate.


Dreptul de a se adresa justiŃiei ART. 18 (1) Fără a se aduce atingere posibilităŃii de a se adresa cu plângere autorităŃii de supraveghere, persoanele vizate au dreptul de a se adresa justiŃiei pentru apărarea oricăror drepturi garantate de prezenta lege, care le-au fost incalcate. (2) Orice persoană care a suferit un prejudiciu în urma unei prelucrari de date cu caracter personal, efectuată ilegal, se poate adresa instanŃei competente pentru repararea acestuia. (3) InstanŃa competenŃa este cea în a carei raza teritorială domiciliază reclamantul. Cererea de chemare în judecata este scutită de taxa de timbru. 


POLITICA DE SECURITATE A PRELUCRARII DATELOR CU CARACTER PERSONAL


 

CAPITOLUL 1. SCOP : 

Scopul acestei politici este de a stabili masurile necesare si responsabilitatile administratorului SOCIETATII,  pentru îndeplinirea obligaţiilor referitoare la garantarea şi protejarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special a dreptului la viaţa intimă, familială şi privată, cu privire la prelucrarea datelor cu caracter personal. 

 

 

CAPITOLUL 2. DOMENIUL DE APLICARE :

Prezenta politica se aplica tuturor angajatilor SOCIETATII cu atributii de prelucrare a datelor cu caracter personal si/sau dupa caz persoanelor imputernicite.

           

 

CAPITOLUL 3. TERMENI ŞI DEFINIŢII:

ANSPDCP =  Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal;

Codul numeric personal (CNP) = un număr semnificativ care individualizează în mod unic o persoană fizică, constituind un instrument de verificare a stării civile a acesteia şi de identificare în anumite sisteme informatice de către persoanele autorizate;

Date cu caracter personal =  orice informaţii referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale; 

Date cu caracter personal cu funcţie de identificare de aplicabilitate generala (date cu caracter special) =  numere prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care au aplicabilitate generală, cum ar fi: codul numeric personal, seria şi numărul actului de identitate, numărul paşaportului, al permisului de conducere, numărul de asigurare socială sau de sănătate;

Date anonime - date care, datorită originii sau modalităţii specifice de prelucrare, nu pot fi asociate cu o persoană identificată sau identificabilă

Operator - orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal; dacă scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizică sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin acel act normativ sau în baza acelui act normativ; 

Persoană împuternicită de către operator - o persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care prelucrează date cu caracter personal pe seama operatorului;

Persoana responsabilă de politica de securitate a datelor cu caracter personal – persoana responsabilă de funcţionarea corespunzătoare a sistemului complex de protecţie a informaţiei care conţine date cu caracter personal, precum şi de elaborarea, implementarea şi monitorizarea respectării prevederilor politicii de securitate a deţinătorului de date cu caracter personal;

 Prelucrarea datelor cu caracter personal - orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea; 

Stocarea - păstrarea pe orice fel de suport a datelor cu caracter personal culese;

Utilizator - orice persoană care acţionează sub autoritatea operatorului, a persoanei împuternicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal.

 

 

CAPITOLUL 4. DOCUMENTE DE REFERINŢĂ:

           Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter  personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare;

           Ordinul Avocatului Poporului nr. 52 din 18/04/2002 privind aprobarea Cerintelor minime de securitate a prelucrarilor de date cu caracter personal

           Decizia ANSPDCP nr. 52/2012  privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video

           Decizia ANSPDCP nr. 90 din 18/07/2006 privind stabilirea cazurilor în care nu este necesara notificarea prelucrarii unor date cu caracter personal

           Decizia ANSPDCP nr. 100 din 23/11/2007 privind stabilirea cazurilor în care nu este necesara notificarea prelucrarii unor date cu caracter personal

           Decizia ANSPDCP nr. 132 din 20/12/2011 privind conditiile prelucrarii codului numeric personal si a altor date cu caracter personal având o functie de identificare de aplicabilitate generala

 

 

CAPITOLUL 5. PRECIZARI : 

5.1.  REGULI GENERALE

 Prin cerinţe minime de securitate este avut în vedere un complex de măsuri tehnice, informatice, organizatorice, logistice, proceduri şi politici de securitate prin care să se asigure nivelul minim de securitate prevăzut în art. 20 din Legea nr. 677/2001, în conformitate cu cerinţele minime de securitate a prelucrărilor de date cu caracter personal, aprobate prin Ordinul 52 din 18 aprilie 2002 ale Avocatului Poporului.

SOCIETATEA a adoptat măsuri tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerilor accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat. În acest sens au fost desemnate, la nivelul SOCIETATII, persoana responsabila cu respectarea dispoziţiilor Legii nr.677/2001.

SOCIETATEA a luat măsuri de stocare în siguranţă a informaţiilor privind date cu caracter personal, astfel încât sa fie asigurat un nivel adecvat de protecţie şi securitate, în sensul Legii 677/2001.

Pentru îndeplinirea prevederilor legale aferente şi în vederea satisfacerii cerinţelor păstrării în siguranţă a datelor şi informaţiilor, instituţia a elaborat şi implementat măsuri organizatorice şi tehnice orientate pe anumite direcţii de acţiune:

-           Identificarea şi autentificarea utilizatorului

-           Tipul de acces

-           Colectarea datelor

-           Execuţia copiilor de siguranţă

-           Computerele şi terminalele de acces

-           Fişierele de acces

-           Instruirea personalului

 

5.2. PROCEDURI SPECIFICE

5.2.1  Identificarea si autentificarea utilizatorului

Pentru a căpăta acces la date cu caracter personal, utilizatorii trebuie să se autentifice in sistemele informatice ale SOCIETATII. Autentificarea în cadrul sistemelor informatice ale SOCIETATII se face prin introducerea credentialelor de autentificare unice si netransmisibile dobandite in urma procesului de inrolare si management al identitatii electronice, guvernat de politicile de securitate in vigoare.

Fiecare utilizator are propriul său cod de identificare (nume de utilizator). Niciodată nu este alocat acelaşi cod de indentificare mai multor utilizatori si acesta nu poate fi partajat de catre mai multe persoane.

Codurile de identificare (sau conturi de utilizator) nefolosite o perioadă mai îndelungată sunt dezactivate şi distruse după un control prealabil. Perioada după care codurile trebuie dezactivate şi distruse este stabilită prin politicile de SOCIETATII.

Orice cont de utilizator este însoţit de o modalitate de autentificare, prin introducerea unei chei de autentificare precum o parola, un certificate digital sau un raspuns generat de un token.

Parolele sunt şiruri de caractere, adecvate din punct de vedere al securităţii ca lungime şi compoziţie. La introducerea parolelor acestea nu sunt afişate în clar pe monitor. Parolele sunt schimbate periodic conform politicilor de Securitate ale SOCIETATII (Politica de Securitate a Informatiei – Securitate Logica). Schimbarea periodică a parolelor se face numai de către utilizatori autorizaţi.

Sistemul informaţional blocheaza automat accesul unui utilizator după un numar fix de introduceri greşite ale cheii de autentificare.

Orice utilizator care primeşte un cod de identificare şi un mijloc de autentificare este obligat prin fişa postului să păstreze confidenţialitatea acestora şi să răspundă în acest sens în faţa operatorului. 

Este stabilită o procedură proprie de administrare şi gestionare a conturilor de utilizator. Sunt autorizati anumiţi utilizatori pentru a revoca sau a suspenda un cod de identificare şi autentificare, dacă utilizatorul acestora şi-a dat demisia ori a fost concediat, şi-a încheiat contractul, a fost transferat la alt serviciu şi noile sarcini nu îi solicită accesul la date cu caracter personal, a abuzat de codurile primite sau dacă va absenta o perioadă îndelungată stabilită de entitate.

 

5.2.2. Tipul de acces

Utilizatorii trebuie sa acceseze numai datele cu caracter personal necesare pentru îndeplinirea atribuţiilor lor de serviciu. Pentru aceasta trebuie sa fie stabilite tipurile de acces după funcţionalitate (administrare, introducere, prelucrare, salvare etc.) şi după acţiuni aplicate asupra datelor cu caracter personal (scriere, citire, ştergere), precum şi procedurile privind aceste tipuri de acces.

Compartimentul care asigură suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea incidentelor si a problemelor aparute in utilizarea sistemelor informatice.

Alte măsuri specifice implementate pentru controlul accesului, sunt:

-  în spaţiile destinate desfăşurării activităţii instituţiei sunt instalate sisteme de alarmă antiefracţie ;

- în spaţiul aferent intrării în cadrul instituţiei si in holurile de acces la etajele superioare sunt instalate sisteme de supraveghere video;

- monitorizarea şi intervenţia în caz de alarmă este asigurată de o firmă de protecţie şi pază.

 

5.2.3. Colectarea datelor

SOCIETATEA desemnează utilizatori autorizaţi pentru operaţiile de colectare şi introducere de date cu caracter personal în sistemele informaţionale .

Orice modificare a datelor cu caracter personal trebuie sa se poate face numai de către utilizatori autorizaţi desemnaţi.

SOCIETATEA va lua măsuri pentru ca sistemele informaţionale să înregistreze cine a făcut modificarea datelor cu caracter personal, data şi ora modificării. Pentru o mai bună administrare, vor fi implementate măsuri pentru ca sistemele informaţionale să menţină datele şterse sau modificate.

    

5.2.4. Executia copiilor de siguranta

SOCIETATEA a stabilit intervalul de timp la care se vor executa copiile de siguranţă ale bazelor de date ce contin date cu caracter personal, precum şi ale programelor folosite pentru prelucrările automatizate.

Utilizatorii care execută aceste copii de siguranţă sunt numiţi de SOCIETATEA, într-un număr restrâns.

Copiile de siguranţă se stocheaza într-un safe box cu aces restrictionat la personal IT, aflat intr-o alta locatie fata de cea in care se efectueaza copia de siguranta.

Accesul la copiile de siguranţă trebuie sa fie monitorizat.

Sistemele care gestioneaza date cu caracter personal trebuie sa fie protejate prin procesul de backup periodic impotriva pierderii, sau distrugerii datelor sau a sistemului informatic.

 

 5.2.5. Computerele si terminalele de acces

Computerele şi alte terminale de acces la date cu caracter personal aflate in sediul SOCIETATII vor fi instalate în încăperi cu acces restricţionat.

Unde nu pot fi asigurate aceste condiţii, computerele vor fi instalate în încăperi care se pot încuia. Dacă pe ecran apar date cu caracter personal asupra cărora nu se acţionează o perioadă dată, stabilta de catre SOCIETATII, sesiunea de lucru se va închide automat. Mărimea acestei perioade se determină în funcţie de operaţiile care trebuie executate.

Terminalele de acces folosite în relaţia cu publicul, pe care apar date cu caracter personal, vor fi poziţionate astfel încât să nu poată fi văzute de public şi după o perioadă scurtă, stabilită de SOCIETATE, în care nu se acţionează asupra lor, acestea vor fi ascunse sau sesiunea de lucru va fi inchisa.

Serverele care găzduiesc date cu caracter personal pot fi accesate doar în mod controlat, pe baza de drepturi de acces, conform politicilor de securitate ale grupului si adoptate de SOCIETATE; 

Nu este permisă scoaterea din sediu a mediilor de stocare mobile (CD/DVD, USB Stick, Portable HDD) care contin date cu caracter personal, decât cu aprobare prealabilă din partea conducerii instituţiei.

 

5.2.6. Fisierele de acces

SOCIETATEA ia măsuri ca orice accesare a bazei de date cu caracter personal să fie înregistrată .

Pentru prelucrările automate, aceste informaţii sunt stocate într-un fişier de acces general sau în fişiere separate pentru fiecare utilizator. Orice încercare de acces neautorizat va fi, de asemenea, înregistrată.

SOCIETATEA păstreaza fişierele de acces cel puţin 2 ani, pentru a fi folosite ca probe în cazul unor investigaţii. Dacă investigaţiile se prelungesc, aceste fişiere se vor păstra atât timp cât se va considera necesar.

Fişierele de acces fac posibilă identificarea de către SOCIETATE sau de către persoana împuternicită, a persoanelor care au accesat date cu caracter personal fără un motiv anume, în vederea aplicării unor sancţiuni sau a sesizării organelor competente.

 

5.2.7. Sistemele de telecomunicatii

SOCIETATEA face periodic reviziuirea conturilor de utilizatori si a privilegiilor acordate pentru detectarea unor disfunctionalizati in ceea ce priveste sistemelor informationale.

Sisteleme informationale vor fi concepute astfel incat datele cu caracter personal sa nu poate fi interceptate sau transmise de oriunde.

Prin sistemele de telecomunicatii datele cu caracter personal vor fi transmise printr-un canal sigur. Datele cu character personal transferate in zonele de securitate externa sau nesigura vor fi criptate. Toate prevederile documentului Politica de Securitate a Informatiei- Retea si Firewall sunt aplicabile.

 

 

5.2.8. Instruirea personalului

Personalul SOCIETATII este informat cu privire la prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, la cerinţele minime de securitate a prelucrărilor de date cu caracter personal, precum şi cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal.

Utilizatorii care au acces la date cu caracter personal vor fi instruiţi asupra confidenţialităţii acestora şi vor fi avertizaţi prin mesaje care vor apărea pe monitoare în timpul activităţii.

Utilizatorii sunt obligaţi să îşi închidă sesiunea de lucru atunci când părăsesc locul de muncă. 

Toate prevederile documentului Politica de Securitate a Informatiei - Utilizarea Adecvata a Sistemelor IT sunt aplicabile. 

 

5.2.9. Folosirea computerelor

Pentru menţinerea securităţii prelucrării datelor cu caracter personal (în special împotriva viruşilor informatici) trebuie luate măsuri privind:

- informarea utilizatorilor în privinţa pericolului privind viruşii informatici;

- implementarea unor sisteme automate de tip antivirus si protective malware şi de securitate a sistemelor informaţice;