POLITICA DE SECURITATE INTERNA PENTRU PRELUCRAREA DATELOR CU CARACTER PRESONAL A XPRESS SERVICES & DELIVERY S.R.L.(Societatea)
I. Principiile procesarii datelor
II. Protectia si securitatea datelor procesate
Societatea a implementat urmatoarele masuri pentru a asigura protectia si securitatea procesarii datelor cu caracter personal a persoanelor vizate:
2. Tipul de acces
3. Colectarea datelor cu caracter personal
4. Executarea copiilor de siguranta
5. Imprimarea datelor cu caracter personal
6. Fisierele de acces
Fiecare accesare a bazei de date cu caracter personal va fi inregistrata intr-un fisier de acces sau intr-un registru pentru datele ce sunt procesate manual de catre Societate.
Informatiile inregistrate in fisierul de acces sau in registru vor fi:
(i) codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale);
(ii) numele fisierului accesat (fisei);
(iii) numarul inregistrarilor efectuate;
(iv) tipul de acces;
(v) codul operatiei executate sau programul folosit;
(vi) data accesului (an, luna, zi);
(vii) timpul (ora, minutul, secunda).
In plus, orice incercare de acces neautorizat sau orice acces fara un motiv intemeiat vor fi inregistrate.
Fisierele de acces vor fi pastrate pentru o perioada de minimum 2 ani.
7. Sistemele de telecomunicatii
Societatea se obliga sa faca periodic controlul autentificarilor si tipurilor de acces pentru detectarea unor disfunctionalitati in ceea ce priveste folosirea sistemelor de telecomunicatii.
Societatea va folosi o metoda de criptare pentru transmisia datelor cu caracter personal. Prin sistemele de telecomunicatii se vor transmite numai datele cu caracter personal strict necesare.
8. Instruirea personalului
Utilizatori autorizati pentru procesarea datelor cu caracter personal sunt informati cu privire la prevederile Legii 677/2001, la cerintele minime de securitate precum si la riscurile ce rezulta din prelucrarea datelor cu caracter personal.
Utilizatori autorizati pentru procesarea datelor cu caracter personal sunt instruiti asupra confidentialitatii datelor. Utilizatorii sunt obligati sa isi blocheze calculatoarele atunci cand le vor lasa nesupravegheate, indiferent de locatia unde se afla, in birou sau in afara biroului.
9. Calculatoare si terminalele de acces
Folosirea calculatoarelor/terminalelor de acces poate fi realizata doar pe baza unei combinatii de cont si parola.
10. Folosirea calculatoarelor
Utilizatorilor le este interzisa folosirea de programe software care nu sunt autorizate de Societate. Daca programul software care nu este aprobat este necesar, el trebuie sa fie autorizat de departamentul IT anterior instalarii pe calculator. Sisteme antivirus si firewall sunt implementate pe mai multe nivele in cadrul retelei, fiind actualizate si revizuite la zi; sistemele de operare nu permit instalarea sau folosirea de programe software neautorizate.
11. Procesarea datelor cu caracter personal prin mijloace automate/neautomate
In caz de procesare a datelor cu caracter personal, Societatea se obliga sa:
- Previna accesul si folosirea echipamentelor de procesare a datelor cu caracter personal de catre persoane neautorizate;
- Previna introducerea, citirea, copierea, modificarea si stergerea datelor cu caracter personal fara autorizare;
- Previna citirea, copierea, modificarea si stergerea neautorizata a datelor cu caracter personal in timpul transferului sau transportarii pachetelor de date;
- Asigure posibilitatea stabilirii instrumentelor de control suplimentar in privinta datelor cu caracter personal introduse in mijloace automate de procesare, precum si a datei, timpului si a persoanei care a introdus datele cu caracter personal;
- Sa asigure ca nicio persoana care actioneaza sub autoritatea Societatii, inclusiv reprezentantul de fapt al Societatii, care are acces la datele cu caracter personal nu poate procesa datele cu caracter personal, in lipsa instructiunilor primite de la Societate;
- Previna pierderea accidentala a datelor cu caracter personal;
- Asigure posibilitatea de a reseta sistemele in caz de eroare;
- Asigure functionarea sistemului, raportarea oricaror erori ale sistemului.
In caz de procesare prin mijloace neautomate, se iau masuri pentru protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, accesului, pierderii, modificarii sau dezvaluirii neautorizate.
12. Obligatiile utilizatorilor de date cu caracter personal
Utilizatorii de date cu caracter personal au urmatoarele obligatii:
- Sa cunoasca si sa aplice prevederile din legislatia relevanta, precum si prevederile din regulamentele interne;
- Sa proceseze doar date cu caracter personal care sunt necesare pentru indeplinirea sarcinilor lor de serviciu si sa ofere sprijin persoanelor responsabile cu protejarea datelor cu caracter personal;
- Sa pastreze confidentialitatea datelor procesate, contului utilizatorului, parolei/codului de acces si bazei de date folosite in scopul administrarii datelor cu caracter personal;
- Sa respecte masurile de siguranta, precum si celelalte reguli stabilite de catre operator, inclusiv procedurile interne;
- Sa informeze imediat conducerea Societatii si persoana responsabila cu administrarea datelor cu caracter personal cu privire la circumstante ce ar putea conduce la diseminarea neautorizata a datelor cu caracter personal sau in legatura cu o situatie in care datele cu caracter personal au fost accesate/procesate cu nerespectarea prevederilor legale.
13. Alte informatii relevante
Angajatii trebuie sa adere la toate regulamentele in legatura cu siguranta informatiilor, confidentialitatea datelor cu caracter personal si pastrarea inregistrarilor;
Societatea nu va transfera, inchiria sau imprumuta datele cu caracter personal, altfel decat cum este prevazut in notele de informare aplicabile;
Daca legea nu dispune altfel, transferul datelor cu caracter personal catre alte entitati va fi realizat doar dupa obtinerea acordului persoanei vizate (acest acord este obtinut de la persoanele vizate in baza unei notificari de confidentialitate);
Societatea poate sa foloseasca si/sau dezvaluie datele cu caracter personal in baza unor prevederi exprese sau atunci cand Societatea considera, cu buna credinta, ca o astfel de actiune este necesara in scopul de a: (a) respecta legislatia relevanta sau de a se conforma cu obligatiile stabilite in cadrul litigiilor in care Societatea este citata; (b) proteja drepturile, interesele de afaceri si proprietatile Societatii; si (c) actiona in caz de urgenta pentru protejarea angajatilor Societatii sau a publicului, duca va fi cazul;
Persoanele vizate pot accesa datele cu caracter personal adresand o cerere persoanei responsabile indicate in notificarea de confidentialitate. Societatea nu va dezvalui niciun fel de date care ar putea compromite intimitatea unei persoane vizate, altei persoane, decat daca aceasta obligatie decurge din lege. Angajatii ar putea avea acces la o descriere a datelor cu caracter personal ai caror subiecti sunt, scopurile in care datele sunt procesate, destinatarii sau categoriile de destinatari carora le sunt dezvaluite datele lor si, daca se cunoaste, sursa datelor, cu respectarea prevederilor legale si a celor stipulate in regulamentul intern sau in notificarea de confidentialitate;
Angajatii Societatii ar trebui, in conformitate cu legile locale, sa raporteze orice act pe care cu buna-credinta il considera o incalcare sau o incalcare aparenta a acestui regulament sau a prevederilor legale relevante.