Politica de confidențialitate

POLITICA DE SECURITATE A PRELUCRĂRII DATELOR PERSONALE

POLITICA DE SIGURANȚĂ
PRELUCRAREA DATELOR PERSONALE
În
Societate cu răspundere limitată BizeA
cu sediul social în Tomice, ul. european 4.

Intrare


Punerea în aplicare a dreptului constituțional al oricărei persoane la protecția vieții private și a prevederilor Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și privind libera circulație a acestor date, și de abrogare a Directivei 95/46/CE (regulament general privind protecția datelor) în vederea aplicării măsurilor tehnice și organizatorice care să asigure protecția datelor cu caracter personal în curs de prelucrare adecvate amenințărilor și categoriilor de date protejate, în special protejarea datelor împotriva dezvăluirii neautorizate, a eliminării de către o persoană neautorizată, a prelucrării cu încălcarea de mai sus reglementare și modificare, pierdere, deteriorare sau distrugere, următorul set de proceduri este în vigoare.


Capitolul 1
Dispoziții generale


§ 1. Ori de câte ori documentul menționează:
1) regulament - înseamnă Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46 /EC (regulament general privind protecția datelor);
2) date personale – înseamnă informații despre o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special pe baza unui identificator, cum ar fi numele și prenumele, numărul de identificare, datele de localizare, identificatorul online sau unul sau mai mulți factori specifici care determină starea fizică, fiziologică, genetică, mentală identitatea economică, culturală sau socială a persoanei fizice;
3) set de date – înseamnă un set ordonat de date cu caracter personal disponibil în funcție de criterii specifice, indiferent dacă acest set este centralizat, descentralizat sau dispersat funcțional sau geografic;
4) procesarea datelor – înseamnă o operațiune sau un set de operațiuni efectuate asupra datelor cu caracter personal sau seturi de date cu caracter personal într-un mod automat sau neautomatizat, cum ar fi colectarea, înregistrarea, organizarea, organizarea, stocarea, adaptarea sau modificarea, descărcarea, vizualizarea, utilizarea, dezvăluirea prin trimitere, diseminare sau punerea la dispoziție în alt mod, potrivirea sau combinarea, restricționarea, ștergerea sau distrugerea;
5) sistem IT – înseamnă un set de dispozitive cooperante, programe, proceduri de prelucrare a informațiilor și instrumente software utilizate pentru prelucrarea datelor;
6) securizarea datelor în sistemul informatic – înseamnă implementarea și operarea măsurilor tehnice și organizatorice adecvate pentru a asigura protecția datelor împotriva prelucrărilor neautorizate;
7) ștergerea datelor – înseamnă distrugerea datelor cu caracter personal sau modificarea acestora în așa fel încât să nu se poată stabili identitatea persoanei vizate;
8) operator de date – înseamnă o persoană fizică sau juridică, autoritate publică, unitate sau altă entitate care, singură sau împreună cu alții, determină scopurile și mijloacele de prelucrare a datelor cu caracter personal; în cazul în care scopurile și mijloacele unei astfel de prelucrări sunt determinate de legislația Uniunii sau a statului membru, operatorul sau criteriile specifice pentru desemnarea acesteia pot fi prevăzute de legislația Uniunii sau a statului membru;
9) consimțământul persoanei vizate – înseamnă o declarație de voință voluntară, specifică, informată și fără ambiguitate prin care persoana vizată, sub forma unei declarații sau a unei acțiuni afirmative clare, își dă consimțământul pentru prelucrarea datelor cu caracter personal care o privesc;
10) destinatarul datelor – înseamnă o persoană fizică sau juridică, autoritate publică, unitate sau altă entitate căreia îi sunt dezvăluite datele cu caracter personal, indiferent dacă este o terță parte. Cu toate acestea, autoritățile publice care pot primi date cu caracter personal ca parte a unei anchete specifice în temeiul dreptului Uniunii sau al statelor membre nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective trebuie să respecte regulile de protecție a datelor aplicabile în funcție de scopurile prelucrării;
11) tara terta – înseamnă o țară care nu aparține Spațiului Economic European;
12) masuri tehnice si organizatorice – ar trebui să fie înțeles ca măsuri tehnice și organizatorice necesare pentru a asigura confidențialitatea, integritatea și responsabilitatea datelor cu caracter personal prelucrate;
13) restrângerea prelucrării – ar trebui să fie înțeles ca marcarea datelor cu caracter personal stocate pentru a limita prelucrarea lor viitoare;
14) profilare – aceasta înseamnă orice formă de prelucrare automată a datelor cu caracter personal, care constă în utilizarea datelor cu caracter personal pentru a evalua anumiți factori personali ai unei persoane fizice, în special pentru a analiza sau prezice aspecte privind efectele muncii, situația economică, sănătatea acelei persoane fizice; , preferințele personale, interesele, comportamentul de credibilitate, locația sau mișcarea;
15) pseudonimizare – aceasta înseamnă prelucrarea datelor cu caracter personal în așa fel încât acestea să nu mai poată fi atribuite unei anumite persoane vizate fără utilizarea unor informații suplimentare, cu condiția ca aceste informații suplimentare să fie păstrate separat și supuse unor măsuri tehnice și organizatorice care împiedică atribuirea acestora unei persoane fizice identificate sau identificabile;
16) entitate de procesare – aceasta înseamnă o persoană fizică sau juridică, autoritate publică, unitate sau altă entitate care prelucrează date cu caracter personal în numele operatorului;
17) încălcarea protecției datelor cu caracter personal – aceasta înseamnă o încălcare a securității care duce la distrugerea accidentală sau ilegală, pierderea, modificarea, dezvăluirea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod.

capitolul 2
administrator de date


§ 2. Administratorul de date în special:

  1. Luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul încălcării drepturilor sau libertăților persoanelor fizice cu probabilitate și gravitate diferite, implementează măsuri tehnice și organizatorice adecvate pentru a se asigura că prelucrarea este efectuată în conformitate cu cu regulamentul și să-l poată demonstra. Aceste măsuri sunt revizuite și actualizate după caz.
  2. Păstrează o evidență a activităților de prelucrare. Registrul va conține următoarele informații:
    • numele și prenumele sau denumirea comercială și datele de contact ale operatorului de date și ale oricăror co-operatori, precum și, după caz, reprezentantului operatorului de date și DPO;
    • scopuri de prelucrare,
    • o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
    • categorii de destinatari cărora le-au fost sau vor fi dezvăluite datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
    • după caz, transferurile de date cu caracter personal către o țară terță sau organizație internațională, inclusiv numele țării terțe sau organizație internațională respective, iar în cazul transferurilor menționate în Regulament, art. 49 sec. 1, al doilea paragraf, documentația privind garanțiile corespunzătoare,
    • dacă este posibil, datele planificate de ștergere a categoriilor individuale de date,
    • dacă este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la art. 32 sec. 1. reglementare,

capitolul 3
Măsuri tehnice și organizatorice


§ 3. Pentru protejarea datelor, operatorul de date îndeplinește cerințele prevăzute în regulament:

a) efectuează o evaluare a impactului privind protecția datelor,
b) efectuează o analiză de risc în raport cu resursele implicate în procesele individuale;
c) numai persoanele autorizate de operatorul de date au fost autorizate să prelucreze datele (Anexa 1),
d) au fost încheiate contracte de încredințare a prelucrării datelor în conformitate cu anexa 2,
e) această politică de securitate a fost elaborată și implementată.

§ 4. Pentru a proteja datele personale, se aplică următoarele măsuri de protecție fizică a datelor cu caracter personal:

  • fișierele de date cu caracter personal sunt stocate într-o cameră securizată cu o ușă obișnuită (nearmată, nerezistă la foc),
  • fișierele cu date personale sunt stocate într-o cameră securizată cu o ușă, fișierele cu date personale sunt stocate într-o cameră situată la primul și al doilea etaj.
  • imobilul in care isi are sediul operatorul de date este dotat cu sistem de alarmare la efractie
  • accesul în încăperile în care se prelucrează fișierele de date cu caracter personal este acoperit de un sistem de control acces - cheile se eliberează la recepție doar persoanelor autorizate.
  • accesul la clădirea în care se află controlorul de date este controlat de un sistem de monitorizare care utilizează camere industriale
  • clădirea în care își are sediul operatorul de date este supravegheată 24 de ore din 24 de către serviciul de securitate,
  • fișierele de date cu caracter personal sub formă de hârtie sunt stocate într-un dulap metalic închis și în dulapuri nemetalice închise,
  • Copiile de rezervă/arhivare ale fișierelor cu date personale sunt stocate într-un dulap nemetalic închis
  • încăperile în care sunt prelucrate fișierele de date cu caracter personal sunt protejate împotriva efectelor incendiului prin intermediul unui sistem de protecție împotriva incendiilor și/sau al unui stingător de incendiu de sine stătător;
  • documentele care conțin date cu caracter personal sunt distruse mecanic după data de expirare cu ajutorul dispozitivelor de distrugere a documentelor.


§ 5. Pentru a proteja datele cu caracter personal, sunt utilizate următoarele măsuri hardware ale infrastructurii IT și de telecomunicații:

  • calculatoarele utilizate pentru prelucrarea datelor cu caracter personal sunt conectate la o rețea locală de calculatoare,
  • dispozitive precum UPS, generator de energie și/sau o rețea electrică separată au fost utilizate pentru a proteja sistemul IT utilizat pentru prelucrarea datelor cu caracter personal împotriva efectelor pene de curent,
  • accesul la fișierul de date cu caracter personal, care este procesat pe un computer separat/calculator portabil, a fost protejat împotriva activării neautorizate cu o parolă
  • accesul la sistemul de operare al computerului în care sunt prelucrate datele cu caracter personal este securizat printr-un proces de autentificare folosind un ID de utilizator și o parolă,
  • au fost luate măsuri pentru a preveni realizarea de copii neautorizate ale datelor cu caracter personal prelucrate folosind sisteme informatice,
  • a fost utilizat un sistem de înregistrare a accesului la sistem/fișierul de date cu caracter personal,
  • au fost aplicate măsuri de protecție a datelor criptografice pentru datele cu caracter personal transmise prin teletransmisie,
  • o matrice de discuri a fost folosită pentru a proteja datele personale împotriva efectelor defecțiunii memoriei discului,
  • au fost aplicate măsuri de protecție împotriva software-ului dăunător, cum ar fi viermi, viruși, cai troieni, rootkit-uri,
  • sistemul Firewall a fost folosit pentru a proteja accesul la rețeaua de calculatoare,
  • sistemul IDS/IPS a fost folosit pentru a proteja accesul la rețeaua de calculatoare,


§ 6. Pentru a proteja datele cu caracter personal, se aplică următoarele măsuri de protecție ca parte a instrumentelor software și a bazelor de date:

  • au fost utilizate măsuri pentru a determina drepturile de acces la domeniul indicat de date din setul de date cu caracter personal prelucrat;
  • accesul la seturile de date din partea procesată în sistemele IT necesită autentificare folosind un ID de utilizator și o parolă,
  • au fost utilizate măsuri de sistem pentru a determina drepturile de acces adecvate la resursele IT, inclusiv seturile de date cu caracter personal pentru utilizatorii individuali ai sistemului IT;
  • a fost utilizat un mecanism care forța schimbarea periodică a parolelor de acces la fișierul de date cu caracter personal,
  • au fost instalate economizoare de ecran la stațiile de lucru unde sunt procesate date cu caracter personal,
  • a fost aplicat un mecanism de blocare automată a accesului la sistemul informatic utilizat pentru prelucrarea datelor cu caracter personal în cazul inactivității prelungite a muncii utilizatorului (screensavere),
  • § 7. Următoarele măsuri organizatorice sunt utilizate pentru a proteja datele cu caracter personal:
  • persoanele angajate în prelucrarea datelor au fost familiarizate cu prevederile privind protecția datelor cu caracter personal,
  • persoanele angajate în prelucrarea datelor cu caracter personal au fost instruite în domeniul securității sistemelor informatice,
  • persoanele angajate în prelucrarea datelor cu caracter personal sunt obligate să le păstreze secrete,
  • monitoarele computerelor pe care sunt prelucrate datele cu caracter personal sunt setate astfel încât să împiedice accesul neautorizat la datele prelucrate,
  • copiile de rezervă ale setului de date cu caracter personal sunt stocate într-o cameră diferită de cea în care se află serverul pe care datele cu caracter personal sunt procesate în mod continuu,
  • operatorul de date a definit regulile de bază de securitate aplicabile tuturor angajaților Companiei, adică:
    • principiul nevoii de a cunoaște – limitarea accesului la date numai la acelea care sunt necesare pentru îndeplinirea sarcinilor într-o anumită poziție;
    • principiul răspunderii pentru resurse - operatorul este responsabil pentru datele pe care le prelucrează și este obligat să respecte procedurile de securitate stabilite în acest sens,
    • principiul unei camere închise - a nu lăsa pe cei din afară singuri în cameră (în absența unei persoane autorizate), încuierea absolută a camerelor cu o cheie atunci când le părăsești și a nu lăsa cheile în încuietori,
    • principiul unui birou curat - nu lăsați documentele de hârtie și suporturile de date nesupravegheate pe birou (CD-uri, DVD-uri, unități flash USB etc.),
    • principiul confidențialității conturilor în sisteme - fiecare angajat este obligat să lucreze în sistemele TIC pe conturile care îi sunt alocate, este absolut interzis să partajeze conturi cu persoane care nu le-au fost alocate,
    • principiul confidențialității parolelor și codurilor de acces - menținerea confidențialității și nu furnizarea parolelor și codurilor de acces persoanelor neautorizate, în special acest principiu se aplică parolelor personale de acces la sistemele TIC și la zonele protejate;
    • principiul utilizării e-mailului de afaceri - fiecare persoană autorizată să prelucreze date în îndeplinirea atribuțiilor oficiale folosește doar căsuța de e-mail de afaceri, fiind interzisă utilizarea e-mailului privat în acest sens,
    • principiul ecranului curat - blocarea computerului înainte de a părăsi camera, în cazul unei absențe mai lungi în cameră, este necesară deconectarea din sistem,
    • principiul desktop-ului curat - pe desktop-ul computerului ar trebui să existe doar pictograme ale aplicațiilor software și de afaceri standard, precum și comenzi rapide către foldere, cu condiția ca numele să nu conțină date, în special date personale care pot fi dezvăluite într-un mod necontrolat (de exemplu, în timpul o prezentare),
    • regula imprimantelor/fotocopiatoarelor curate - preluarea documentelor de la imprimante imediat după imprimare, în special, această regulă se aplică documentelor lăsate în imprimante situate în altă cameră,
    • principiul coșului curat - documentele pe hârtie, cu excepția materialelor promoționale, trebuie distruse în tocatoare sau printr-o companie externă;
    • principiul legalității software-ului - o interdicție a autoinstalării software-ului, inclusiv în special stocarea conținutului care încalcă drepturile de autor și a altor date ilegale pe computer;
    • principiul raportării incidentelor de securitate - fiecare operator de date este obligat să raporteze incidentele legate de securitatea informațiilor, adică dezvăluirea, distrugerea sau modificarea neautorizată a informațiilor, în conformitate cu procedura prevăzută în capitolul 8;
    • principiul utilizării resurselor Companiei - datele deținute de operatorul de date pot fi prelucrate numai prin mijloace de prelucrare aprobate pentru utilizare în cadrul Companiei, în special este interzisă utilizarea mijloacelor private de prelucrare a datelor în acest scop,
    • principiul de a nu folosi nume care conțin date cu caracter personal în scopul specificării fișierelor, folderelor etc.
    • principiul protecției adecvate a resurselor hardware ale Companiei utilizate ca echipamente de afaceri - calculatoare portabile, telefoane, smartphone-uri, tablete și alte dispozitive utilizate de persoanele care prelucrează date în cadrul Companiei în scopuri comerciale ar trebui să fie protejate corespunzător împotriva accesului de către persoane neautorizate, cel puțin acestea ar trebui să aibă o securitate sub formă de parole de acces pentru a activa dispozitivul.

capitolul 4
procedura DPIA
(Evaluarea impactului privind protecția datelor)


§ 8. Pentru fiecare proces este efectuată o Evaluare a Impactului Protecției Datelor (DPIA).
§ 9. DPIA se efectuează de fiecare dată când are loc o schimbare semnificativă în prelucrarea datelor cu caracter personal, de exemplu schimbarea furnizorului de servicii, schimbarea metodei de prelucrare a datelor, înlocuirea resurselor implicate în proces.
§ 10. DPIA se realizează împreună cu o analiză de risc cel puțin o dată pe an în legătură cu procesele care, ca urmare a unei DPIA efectuate anterior, au evidențiat un risc ridicat pentru drepturile și libertățile persoanelor vizate.

capitolul 5
Procedura de analiza a riscurilor si planul de management al riscului


§ 11. Administratorul de date realizează o analiză de risc pentru resursele implicate în procese.
§ 12. Analiza riscurilor se realizează cel puțin o dată pe an și stă la baza actualizării metodei de management al riscului.
§ 13. Pe baza rezultatelor analizei de risc, operatorul de date implementează în mod independent metode de abordare a riscului.
§ 14. De fiecare dată, operatorul de date alege cum să facă față riscului și stabilește care riscuri și în ce ordine vor fi luate în considerare mai întâi.

Capitolul 6
Procedura de cooperare cu entitati externe


§ 15.1. Fiecare utilizare a serviciilor entității de prelucrare este precedată de încheierea unui contract de încredințare a prelucrării datelor cu caracter personal
2. Administratorul de date ține un registru al entităților externe cărora li se încredințează date cu caracter personal pentru prelucrare
§ 16. De fiecare dată înainte de încheierea unui contract de încredințare a prelucrării datelor cu caracter personal, operatorul de date verifică respectarea reglementării tuturor entităților de prelucrare ale căror servicii intenționează să le folosească folosind procedura de cooperare cu entități externe.

Capitolul 7
Procedura implicită de protecție a datelor
(protecția datelor prin proiectare)


§ 17. Ori de câte ori este creat un nou produs sau serviciu, operatorul de date ia în considerare drepturile persoanelor vizate în fiecare etapă cheie a proiectării și implementării acestuia. Implementează măsuri tehnice și organizatorice adecvate pentru a se asigura că în mod implicit sunt prelucrate numai acele date cu caracter personal care sunt necesare pentru atingerea fiecărui scop specific al prelucrării (cantitatea de date colectate, sfera și perioada datelor prelucrate și disponibilitatea acestora).
§ 18. În cazul în care intenția de a începe prelucrarea datelor cu caracter personal într-un nou proces, operatorul de date efectuează o DPIA în legătură cu acest proces.

Capitolul 8
Procedura de gestionare a incidentelor


§ 20. În fiecare caz de încălcare a datelor cu caracter personal, operatorul de date verifică dacă încălcarea a avut ca rezultat un risc pentru drepturile sau libertățile persoanelor fizice.
§ 21. În cazul în care se constată că încălcarea a avut ca rezultat un risc de încălcare a drepturilor sau libertăților persoanelor fizice, operatorul de date informează imediat autoritatea de supraveghere, dar nu mai târziu de 72 de ore. de la identificarea unei încălcări utilizând procedura de gestionare a incidentelor de securitate.
§ 22. Operatorul de date informează persoanele vizate în cazul unei încălcări care le implică care are ca rezultat un risc de încălcare a drepturilor sau libertăților acestora, pe baza unui model de notificare a persoanei vizate cu privire la încălcare, cu excepția cazului în care a aplicat măsuri pentru eliminarea probabilității un risc ridicat de încălcare menționată mai sus. încălcări.
§ 23. Operatorul de date documentează încălcările și ține un registru al încălcărilor care au ca rezultat încălcarea drepturilor și libertăților persoanelor fizice.

Capitolul 9
Procedura de realizare a drepturilor persoanelor


§ 24. Fiecare caz de notificare de către persoana vizată a voinței de a exercita drepturile prevăzute de regulament este luat în considerare de către operatorul de date în mod individual.
§ 25. Operatorul de date implementează imediat următoarele drepturi ale persoanelor vizate:

  • dreptul de acces la date,
  • dreptul la rectificarea datelor,
  • dreptul de a șterge datele,
  • dreptul de a transfera date,
  • dreptul de a vă opune prelucrării datelor,
  • dreptul de a nu fi supus unor decizii bazate exclusiv pe profilare.


§ 26. În cazul exercitării dreptului la rectificare, ștergere și limitare a prelucrării datelor, operatorul de date va informa de îndată destinatarii datelor cărora le-a pus datele la dispoziție, cu excepția cazului în care este imposibil sau va necesita un efort disproporționat.
§ 27. Operatorul de date refuză exercitarea drepturilor persoanelor vizate dacă o astfel de posibilitate rezultă din prevederile regulamentului, totuși, fiecare refuz de a exercita drepturile persoanelor vizate necesită justificare cu temeiul legal rezultat din regulament.

Capitolul 10
Procedura de primire a consimțământului și informarea persoanelor


§ 28. 1. În fiecare caz de colectare a datelor direct de la persoana vizată, operatorul de date îndeplinește obligația de informare față de persoana vizată.
2. În cazul colectării datelor de la un angajat, se folosește modelul de obligație de informare.
§ 29. În fiecare caz de colectare a datelor din alte surse decât persoana vizată, operatorul de date îndeplinește obligația de informare față de persoana vizată imediat, dar nu mai târziu de la primul contact cu persoana vizată,
§ treizeci. În fiecare caz de obținere a consimțământului de la persoana vizată se folosesc clauze.

Capitolul 11
Dispoziții finale


§ 31. Toate regulile descrise în acest document sunt respectate de către persoanele autorizate să prelucreze date cu caracter personal, cu accent deosebit pe binele persoanelor vizate.
§ 32. Acest document este valabil de la data aprobării lui de către operatorul de date.