POLITICA DE SECURITATE PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL A „NEW POST INTERNATIONAL MLD” SRL
Prezenta Politică privind prelucrarea datelor cu caracter personal (în continuare „Politica”) a fost elaborată și aprobată de NEW POST INTERNATIONAL MLD SRL, IDNO 1014600029674 cu adresa juridică înregistrată pe str. Barbu Lăutaru 3, mun. Chișinău, Republica Moldova (în continuare „Operator”), o companie care există și funcționează în conformitate cu legislația Republicii Moldova, în vederea corespunderii cu prevederile Legii nr.133 din 8 iulie 2011 privind protecția datelor cu caracter personal și a cerințelor faţă de prelucrarea criptografică și asigurarea securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal, aprobate prin Hotărârea Guvernului nr.1123 din 14 decembrie 2010, precum și întru respectarea prevederilor altor reglementări aferente protecției datelor cu caracter personal a persoanei vizate, cu privire la următoarele:
1. SFERA DE APLICARE
- 1Această Politică reprezintă un act de ordine interioară, care este obligatoriu pentru Operator, salariații şi prepuşii Operatorului. Operatorul va comunica prin plasarea la vedere conținutul acestei Politici tuturor salariaţilor săi. Conținutul acestei Politici va fi plasat la vederea Clienților Operatorului prin plasarea pe portalul web www.novapost.com.
- 2Prezenta Politică se aplică și este obligatorie pentru toate activitățile operaționale ale Companiei care implică prelucrarea datelor cu caracter personal, dar fără a se limita la: - prelucrarea datelor despre Salariați, prelucrarea datelor despre Clienți/furnizori/subcontractanți; prelucrarea datelor prin mijloace de supraveghere video și prelucrarea datelor în cadrul evidenței contabile.
- 3Salariaţii şi prepuşii Operatorului vor prelucra date cu caracter personal, cu respectarea principiilor şi regulilor menţionate în prezenta Politică, în scopuri legitime.
2. SCOPUL
- 1Scopul elaborării prezenței Politici este de a defini cerințele și procedura de protecție a Datelor cu caracter personal împotriva scurgerilor neautorizate și de a respecta regulile de prelucrare a Datelor cu caracter personal, pentru a se asigura protecția vieții private a subiecților.
- 2Sistemul de contabilitate și pontaj, datele despre salariați, clienți și furnizori, precum și oricare alte date prelucrate în corespundere cu prezenta Politică, sunt păstrate pe serverele Operatorului. Datele sunt transferate transfrontalier în Ucraina către Compania „NEW POST” LLC în baza Contractului de transfer a datelor cu caracter personal încheiat.
- 3Datele gestionate în cadrul acestui sistem sunt păstrate pe serverele Operatorului pentru a fi stocate pe serverele localizate la adresa înregistrată a Importatorului de date pentru îndeplinirea scopurilor de stocare și recuperare a datelor ca urmare a colectării informațiile generate ca urmare a încheierii contractelor cu clienții, precum și în scopuri statistice. Datele sunt stocate pe servere atât timp cât este necesar în temeiul contractului încheiat. În cazul în care contractul transfrontalier este încetat, suspendat sau sub o altă formă nu este posibil stocarea datelor în afara jurisdicției Republicii Moldova de către Exportatorul de date, atunci Operatorul va suspenda temporar transferul datelor. În oricare caz de încetare, părțile acordului de transfer transfrontalier își vor păstra drepturile și obligațiilor în privința datelor personale transferate. Datele sunt transferate transfrontalier în Ucraina.
- 4Datele cu caracter personal înregistrate în prezentul sistem de evidență vor fi stocate pe serverele Operatorului, care sunt amplasate în afara Republicii Moldova. În acest sens, Operatorul a încheiat un Acord de transfer transfrontalier a datelor cu caracter personal cu Operatorul străin împuternicit, care să reglementeze detaliat condițiile și detaliile la transferul datelor cu caracter personal, fiind reglementate drepturile și obligațiile importatorului și exportatorului de date. În special, Importatorul de date are obligația de a procesa datele cu caracter personal numai în condițiile și conform instrucțiunilor exportatorului de date.
- 5Următoarele categorii de date vor fi supuse transferului: Datele cu caracter personal se referă la următoarele categorii de date: numele, prenumele și patronimicul; Sexul ,Semnătura, Semnătura electronică, numărul personal de identificare de stat (IDNP); data și locul nașterii; cetățenia, datele din actele de stare civilă, codul personal de asigurări medicale (CPAM), telefon mobil, adresă domiciliu/reședință telefon/ fax, email profesie, funcție formare profesională – diplome – studii situație familială datele membrilor de familie situație economică sau financiară, mărimea salariului brut, premii, sporuri, suplimente, stimulări, date din certificatul de concediu medical, date bancare imagine date din permisul de conducere sancțiuni disciplinare codul personal de asigurări sociale (CPAS) codul personal al asigurării medicale date din certificate de înmatriculare locul de muncă.
- 6Subiectul datelor cu caracter personal, va fi informat cu privire la transferul datelor, și cu privire la drepturile acestuia. Transmiterea transfrontalieră a datelor are loc cu acordul expres a Subiectului de date. Consimțământul privind transmiterea transfrontalieră va fi încorporat în Contractul Individual de Muncă, sub forma unui consimțământ exprimat expres. Modelul consimțământului privind transmiterea transfrontalieră a datelor este anexat la prezenta Politica. Factura poștală prin care se prelucrează datele Clienților este anexată la prezenta Politica.
- 7Atât exportatorul de date, cât și importatorul de date va asigura respectarea strictă a drepturilor subiectului de date. În această ordine de idei, subiecților de date le vor fi, în mod direct sau prin intermediul unei părți terțe, furnizate informațiile personale despre ei în cazul în care o organizație deține, cu excepția cererilor care sunt vădit abuzive. Sursele de date cu caracter personal nu trebuie să fie identificate atunci când acest lucru nu este posibil, prin eforturi rezonabile, sau în cazul în care drepturile altor persoane decât individul s-ar fi încălcat. Subiecții de date trebuie să fie capabili de a avea informațiile cu caracter personal despre ei rectificate, cu modificările ulterioare, sau șterse în cazul în care sunt inexacte sau prelucrate împotriva acestor principii. În cazul în care există motive întemeiate de a pune la îndoială legitimitatea cererii, organizația poate cere justificări suplimentare înainte de a proceda la rectificare, modificare sau ștergere. Notificarea oricărei rectificări, modificări sau ștergeri a terților cărora le-au fost dezvăluite datele nu trebuie să fie făcută atunci când acest lucru implică un efort disproporționat. O persoană trebuie să aibă, de asemenea, posibilitatea de a se opune la prelucrarea datelor cu caracter personal care o privesc, dacă există motive întemeiate și legitime legate de situația sa personală. Sarcina probei pentru orice refuz se pune pe seama importatorului de date, iar subiectul de date poate contesta întotdeauna un refuz în fața autorității.
3. CATEGORII DE SUBIECȚI ȘI CATEGORII DE DATE
- 1Operatorul în legătură cu activitatea sa prelucrează date cu caracter personal ale salariaților săi (curenți, candidați la angajare), precum şi date care se referă la persoane fizice: parteneri, sub-contractanți și alți furnizori de bunuri și servicii ai Operatorului în limitele stabilite de legislație („Subiecți”).
- 2Categoriile de date personale prelucrate de Operator sunt prezentate în Anexa 1 la această Politică.
- 3Operatorul prelucrează datele cu caracter personal cu utilizarea mijloacelor manuale și/sau automate, cu respectarea cerințelor legale și în condiții care să asigure securitatea, confidențialitatea și respectarea drepturilor subiecților.
4. PRINCIPII GENERALE LA PRELUCRAREA DATELOR CU CARACTER PERSONAL
- 1Datele cu caracter personal sunt prelucrate:
- 1.1corect și conform prevederilor legale – prelucrarea de date cu caracter personal se va efectua în strictă conformitate cu legislația din domeniul protecției datelor cu caracter personal. Acest fapt presupune că înainte de a colecta, utiliza și dezvălui datele cu caracter personal, prelucrarea trebuie să rezulte expres dintr-un drept sau obligație legală;
- 1.2în scopuri determinate, explicite și legitime, iar ulterior nu sunt prelucrate în scopuri incompatibile – orice prelucrare de date cu caracter personal se face în scopuri bine determinate, explicite și legitime, adecvate, pertinente și neexcesive prin raportare la scopul în care sunt colectate și ulterior prelucrate. Informaţiile acumulate sunt destinate utilizării de către Operator și partenerii acestuia în scopuri legitime şi pot fi comunicate, în funcţie de necesitate, următorilor destinatari: părţilor co-contractante, notarilor publici, instanţelor de judecată, consultanți juridici și financiari, inclusiv avocați, furnizorilor de bunuri și servicii, instituţiilor publice, instituţiilor bancare, registrelor publice, precum şi altor tipuri de destinatari direct vizaţi.
- 1.3confidențialitatea - salariaţii Operatorului, care sunt antrenați în prelucrarea nemijlocită a datelor cu caracter personal sunt obligați să respecte confidențialitatea datelor personale prelucrate de Operator, în baza legii şi/sau a contractelor corespunzătoare.
- 1.4consimțământul – orice prelucrare de date cu caracter personal a Subiecţilor poate fi efectuată numai dacă aceştia şi-au exprimat consimţământul pentru prelucrare, cu excepțiile prevăzute de lege.
- 1.5protejarea Subiecţilor - subiecţii au dreptul de acces la datele despre ei care sunt prelucrate de Operator, de intervenție asupra acestora, de opoziţie și de a nu fi supus unei decizii individuale, precum și dreptul de a se adresa Centrului Naţional pentru Protecţia Datelor cu Caracter Personal sau instanţei de judecată pentru apărarea oricăror drepturi garantate de lege, care le-au fost încălcate. Limitarea acestor drepturi poate fi admisă în cazurile prevăzute de lege.
- 1.6securitatea – Măsurile de securitate a datelor cu caracter personal sunt stabilite astfel încât să asigure un nivel adecvat de securitate a datelor cu caracter personal procesate de către Operator.
- 1.7adecvat, pertinent și neexcesiv – orice prelucrare de date cu caracter personal trebuie să corespundă scopului pentru care au fost colectate și să fie pertinente și neexcesive în contextul scopului urmărit. În vederea respectării acestor cerințe, operatorul aplică principiul minimizării datelor cu caracter personal, care constă în colectarea doar acelor informații care sunt strict necesare pentru realizarea serviciilor prestate. Evaluarea respectării acestor trebuințe se va efectua periodic și la necesitate.
- 1.8exacte și actualizate – categoriile de date prelucrate de către operator sunt stabilite exhaustiv, fiind prelucrate doar date veridice. Operatorul verifică periodic datele cu caracter personal prelucrate, prin contrapunerea datelor prelucrate cu cele deținute de către subiecții de date.
- 1.9pe o perioadă care nu va depăși durata necesară atingerii scopurilor pentru care sunt colectate și ulterior prelucrate – datele cu caracter personal se stochează doar pe perioada existenței raporturilor civile și/sau pe termenul expres stabilit de legislația specială în temeiul căreia sunt prelucrate datele cu caracter personal.
5. DREPTURILE SUBIECȚILOR DE DATE CU CARACTER PERSONAL
- 1În cazul în care datele cu caracter personal sunt colectate direct de la subiectul acestor date, în conformitate cu prevederile art.12 al Legii privind protecția datelor cu caracter personal, persoanei necesită a-i fi furnizate următoarele informații, exceptând cazul în care el deține deja informațiile respective:
- 1.1privind identitatea operatorului sau, după caz, a persoanei împuternicite de către operator (denumirea, adresa juridică, IDNO-ul, numărul de înregistrare în Registrul de evidență al operatorilor de date cu caracter personal);
- 1.2privind scopul concret al prelucrării datelor cu caracter personal colectate;
- 1.3privind destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
- 1.4existenţa drepturilor la informare și de acces la datele colectate; de intervenţie asupra datelor (în special de a rectifica, actualiza, bloca sau şterge datele cu caracter personal a căror prelucrare contravine legii datorită caracterului incomplet sau inexact al acestora) şi de opoziţie, precum și condiţiile în care aceste drepturi pot fi exercitate; dacă răspunsurile la întrebările cu ajutorul cărora se colectează datele sînt obligatorii sau voluntare, inclusiv consecinţele posibile ale refuzului de a răspunde la întrebările prin care se colectează informaţia.
- 2Subiecţilor de date cu caracter personal le este asigurat dreptul de acces și posibilitatea de a lua cunoştinţă cu actele întocmite în scopul verificării corectitudinii întocmirii lor, contestării împotriva neincluderii sau includerii incorecte a unor date, precum şi împotriva altor erori comise la înscrierea datelor despre sine. În acest sens, persoanele responsabile de prelucrarea datelor cu caracter personal, vor asigura accesul persoanei doar la datele cu caracter personal care o vizează nemijlocit, fiind exclusă posibilitatea consultării datelor cu caracter personal ce vizează alţi subiecţi, conţinute în fișele personale (alte materiale), cu excepţia cazurilor în care solicitanţii își realizează un interes legitim care nu prejudiciază interesele sau drepturile şi libertăţile fundamentale ale subiectului datelor cu caracter personal.
- 3Dreptul de informare este asigurat de către operatorul datelor cu caracter personal (sau entitățile ce asigură mentenanța sistemului și sau prestează servicii externalizate ale operatorului) tuturor persoanelor supuse prelucrării.
- 4În cazul realizării de către subiectul de date cu caracter personal a dreptului de intervenţie, datele inexacte vor fi actualizate prin rectificare sau ştergere, ca bază servind doar surse legale (acte de identitate, de stare civilă, resurse informaţionale principale de stat etc.), modificarea urmând a fi efectuată în toate sistemele informaționale și de evidenţă gestionate.
6. APLICAREA, COMPETENȚA ȘI DESTINATARII POLITICII
- 1Prezenta Politică se aplică și este obligatorie pentru toate activitățile operaționale ale Companiei și se aduce la cunoștință salariaților și partenerilor Operatorului şi este obligatorie pentru aceştia.
Persoana responsabilă - 2Operatorul, printr-un ordin semnat de persoana cu funcție de conducere, va desemna, din rândul salariaților săi, o persoană responsabilă pentru elaborarea, implementarea şi monitorizarea respectării obligațiilor în domeniul protecției datelor cu caracter personal. Persoana responsabilă pentru protecția datelor cu caracter personal este Administratorului Companiei („Persoana responsabilă”).
- 3Atribuțiile persoanei responsabile:
- 3.1realizează analiza de risc aferentă resurselor informaționale;
- 3.2prevede măsurile de protecție logică;
- 3.3asigură verificarea existenței, actualizării și suficienței licențelor pentru resursele informaționale;
- 3.4asigură evidența auditului sistemelor informatice, precum și stocarea și accesibilitatea acestora pentru inspecție în conformitate cu regulamentele interne;
- 3.5definește procedura prin care utilizatorii sistemului de informații beneficiază de dreptul de a accesa resursele informaționale și de a le gestiona și organizează controlul utilizării acestor resurse;
- 3.6asigură producerea copiilor de rezervă a resurselor informaționale și stocarea acestora, precum și de renovarea resurselor informaționale în cazul în care funcționarea resurselor informaționale a fost perturbată sau imposibilă din cauza deteriorării resurselor tehnice sau din alte motive;
- 3.7prevede măsuri de protecție fizică;
- 3.8participă la analiza riscurilor, identifică amenințările sistemului informațional referitor la resursele tehnice și evaluează probabilitatea acestor amenințări;
- 3.9asigură restaurarea resurselor tehnice în cazul în care au fost deteriorate.
- 4Persoana responsabilă furnizează introducerea unor proceduri relevante de prelucrare a datelor, precum și realizarea de înregistrări de audieri pentru a înregistra\ actele de gestionare a Datelor cu caracter personal.
- 5Persoana responsabilă cu protecția Datelor cu caracter personal asigură instruirea angajaților, precum și testarea cunoștințelor în domeniul protecției datelor cu caracter personal.
- 6Persoana responsabilă va fi implicată în mod adecvat și în timp util în toate aspectele referitoare la protecția datelor cu caracter personal.
- 7Operatorul sprijină persoana responsabilă în îndeplinirea sarcinilor sale, asigură resursele necesare pentru a permite specialistului în protecția datelor cu caracter personal să îndeplinească sarcinile descrise mai sus și oferă acces la Datele cu caracter personal și la actele de prelucrare a Datelor cu caracter personal, dar și posibilitatea de a actualiza cunoștințe speciale specialistului în domeniul protecției datelor.
- 8Sarcinile persoanei responsabile în protecția datelor cu caracter personal:
- 8.1să informeze și să consulte angajații care realizează prelucrarea Datelor cu caracter personal în ceea ce privește atribuțiile acestora în conformitate cu actele interne ale Operatorului și ale actelor normative privind protecția Datelor cu caracter personal;
- 8.2să supravegheze respectarea actelor interne și externe de reglementare a protecției Datelor cu caracter personal, inclusiv divizarea sarcinilor, să informeze și să instruiască angajații implicați în acte de prelucrare a Datelor cu caracter personal;
- 8.3la cerere, să ofere consultanță cu privire la Evaluarea Impactului asupra protecției Datelor cu caracter personal, să participe la pregătirea acestei evaluări și să supravegheze punerea sa în aplicare;
- 8.4să elaboreze și să mențină registrul de încălcări a protecției Datelor cu caracter personal;
- 8.5să coopereze cu Autoritatea de Supraveghere competentă și să fie contactul Autorității de Supraveghere cu privire la aspectele legate de prelucrarea Datelor cu caracter personal, inclusiv în legătură cu discuțiile prealabile și alte probleme;
- 8.6să consulte Persoanele Vizate care au abordat specialistul în protecția datelor cu caracter personal în ceea ce privește prelucrarea Datelor cu caracter personal în cadrul Companiei.
- 9Drepturile persoanei responsabile în protecția datelor cu caracter personal:
- 9.1să colecteze informații pentru a identifica procesele de prelucrare a Datelor cu caracter personal, să analizeze și să verifice conformitatea prelucrării Datelor cu caracter personal cu actele interne și să informeze, să ofere consultanță și recomandări în legătură cu prelucrarea Datelor cu caracter personal;
- 9.2să realizeze auditul prelucrării Datelor cu caracter personal fără a asigura în prealabil o notificare;
- 9.3să se familiarizeze cu documentele companiei, cerințele tehnice și organizatorice care afectează prelucrarea Datelor cu caracter personal, precum și să primească informații în timp util despre incidentele de securitate și să se familiarizeze cu Registrul incidentelor de securitate;
- 9.4să participe la adoptarea de rezoluții care au ca obiect protecția Datelor cu caracter personal, să se familiarizeze cu documentele relevante pentru ași exprima opinia și pentru a oferi sfaturi în acest sens.
7. COMPONENTELE SECURITĂȚII INFORMAȚIILOR
- 1Operatorul este conștient de importanța și însemnătatea securității informaționale și definește componentele securității informațiilor și cerințele pe care angajații Operatorului trebuie să le îndeplinească în cadrul activităților zilnice de muncă.
- 2Securitatea informațiilor se descrie prin confidențialitatea, integritatea și accesibilitatea acestora. Compania are grijă să se asigure că:
- 2.1informațiile să fie disponibile doar persoanelor autorizate să le primească (confidențialitate);
- 2.2informațiile și metodele lor de prelucrare sunt corecte și complete (integritate);
- 2.3utilizatorii autorizați au acces la informații în caz de nevoie (accesibilitate).
- 3Compania implementează protecția tehnică a Datelor cu caracter personal prin mijloace fizice și logice de protecție, prin asigurarea protecției împotriva amenințării Datelor cu caracter personal cauzate de impactul fizic și prin protecția implementată prin mijloace de tehnologia informației (mijloace IT). Prin selectarea tipului de stocare a Datelor cu caracter personal se va lua în considerare posibilitatea ca daunele să fie cauzate de incendii, inundații, explozii, precum și ca alte incidente de Securitate să fie cauzate de natură, IT și oameni.
- 4Resursele tehnice care conțin Date cu caracter personal, inclusiv computerele desktop și cele portabile, hard disk-uri, atunci când nu sunt utilizate, sunt stocate în locuri care nu sunt ușor accesibile altor persoane (cum ar fi, în camere sau dulapuri încuiate).
8. CLASIFICAREA PROTECȚIEI DATELOR CU CARACTER PERSONAL ÎN CONFORMITATE CU NIVELUL ACESTORA, VALOAREA ȘI CONFIDENȚIALITATEA, REGISTRUL DE PRELUCRARE A DATELOR CU CARACTER PERSONAL
- 1În cadrul activităţii sale, Operatorul ţine evidenţa mai multor date personale cum ar fi evidența salariaților, formatorilor, participanților la trening, partenerilor Operatorului, evidenţa contabilă, evidenţa vizitatorilor, altele, consemnându-le în registrele respective. Toate aceste registre conţin date cu caracter personal. Toate registrele, care conţin date cu caracter personal, se păstrează în locuri protejate în strictă conformitate cu prezentele reguli şi se utilizează exclusiv în scopurile pentru care ele sunt create.
- 2Registre de evidență
- 2.1Operatorul întocmește și menține Registrul care este revizuit și completat regulat în conformitate cu prelucrarea efectivă a Datelor cu caracter personal, inclusiv revizuiri periodice ale termenelor de stocare a Datelor cu caracter personal definite în Registru.
- 2.2Registrul este menținut în scopul înregistrării generale a actelor realizate cu Date cu caracter personal în cadrul unuia sau a mai multor scopuri, inclusiv înregistrarea și controlul destinatarilor Datelor cu caracter personal.
- 2.3În caz de necesitate, Operatorul oferă acces la Registru Autorității de Supraveghere competente.
9. REGULI ȘI PROCEDEE DE SECURITATE
- 1Accesul în sediu:
- 1.1Conducerea Operatorului este conștientă de importanța și însemnătatea securității informaționale și definește cerințele pe care angajații Companiei trebuie să le îndeplinească în cadrul activităților zilnice de muncă.
- 1.2Accesul în sediile/ birourile de lucru ale Operatorului, ori spaţiile unde sunt amplasate sistemele informaţionale de date cu caracter personal prelucrate de Operator este restricţionat, se efectuează în baza ecusoanelor sau cartelelor de identificare sau cheilor de acces, fiind permis doar salariaților Operatului, partenerilor şi vizitatorilor autorizați (”Utilizatori”). Accesul vizitatorilor se înregistrează în registre, care se păstrează minimum un an. La expirarea termenului de păstrare, registrele se lichidează, iar datele şi documentele ce se conţin în registrul supus lichidării se transmit în arhivă. Înainte de acordarea accesului fizic la sistemele informaţionale de date cu caracter personal se verifică competenţele de acces.
- 1.3Se efectuează administrarea şi monitorizarea accesului fizic în toate punctele de acces la sistemele informaţionale de date cu caracter personal, inclusiv se reacţionează la încălcarea regimului de acces. Registrele de monitorizare se păstrează minimum un an, la expirarea căruia acestea se lichidează, iar datele şi documentele ce se conţin în registrul supus lichidării se transmit în arhivă.
- 1.4Computerele, serverele, alte terminale de acces se amplasează în locuri cu acces limitat pentru persoane străine.
- 2Administrarea conturilor de acces (account-urilor)
- 2.1Administrarea conturilor de acces a utilizatorilor care prelucrează date cu caracter personal, inclusiv crearea, activarea, modificarea, revizuirea, dezactivarea şi ştergerea acestora este administrată de către Operator. La administrare sunt folosite mijloace automatizate de suport. Acţiunea conturilor de acces a utilizatorilor temporari, care prelucrează date cu caracter personal, încetează automat la expirarea unei perioade stabilite în timp (pentru fiecare tip de cont de acces în parte). Sunt dezactivate automat, după o perioadă de maximum trei luni, conturile de acces ale utilizatorilor neactivi, care prelucrează date cu caracter personal. Se folosesc mijloace automatizate de înregistrare şi informare despre crearea, modificarea, dezactivarea şi încetarea acţiunii conturilor de acces.
- 2.2În spațiile de ședință destinate publicului, se va minimiza în măsura posibilității activitățile de prelucrare a datelor cu caracter personal, iar mijloacele și echipamentele care oferă acces la datele prelucrate de Operator vor fi securizate.
- 2.3Computerele, serverele, alte terminale de acces se amplasează în locuri cu acces limitat pentru persoane străine.
- 3Integritatea perimetrului
- 3.1Perimetrul biroului Operatorului este determinat concret şi clar. Perimetrul clădirii sau încăperii în care sunt amplasate mijloacele de prelucrare a datelor cu caracter personal trebuie să fie integru din punct de vedere fizic. Pereţii exteriori ai încăperilor trebuie să fie rezistenţi, intrările echipate cu lacăte.
- 4Măsuri pentru a proteja resursele tehnice împotriva situațiilor de urgență (incendii, inundații):
- 4.1Pentru a asigura protecția centrului de date a fost construit un sistem modern de stingere a incendiilor. Starea securității la incendiu la centrul de date este supravegheată de Administrator.
- 4.2Un computer unde sunt stocate informații cu un anumit grad de confidențialitate poate să nu fie conectat la rețelele externe ale rețelei locale din care pot fi accesate rețelele externe.
- 4.3Informațiile despre un nivel special de confidențialitate nu sunt transmise prin intermediul rețelelor externe.
- 4.4În cazul în care computerele care dețin informații cu un anumit nivel de confidențialitate sunt conectate la rețeaua locală, cablurile rețelei locale nu pot traversa teritoriul unde protecția fizică relevantă împotriva unei amenințări la adresa sistemului informatic nu este furnizată, iar dispozitivele de rețea ar trebui să fie localizat în incinte cu protecție fizică corespunzătoare pentru o amenințare la adresa sistemului informatic.
- 4.5Protecția datelor clienților împotriva accesului neautorizat se asigură de: 24/7 sisteme de alarmă și sisteme de supraveghere la nivel înalt.
- 5Auditul securității
- 5.1Se efectuează înregistrarea tentativelor de intrare/ieșire a utilizatorului în sistem, conform următorilor parametri:
- 5.1.1data şi timpul tentativei intrării/ieşirii;
- 5.1.2ID-ul utilizatorului;
- 5.1.3rezultatul tentativei de intrare/ieşire – pozitivă sau negativă.
- 5.2Este efectuată și înregistrarea tentativelor de pornire/încheiere a sesiunii de lucru a programelor aplicative şi proceselor, destinate prelucrării datelor cu caracter personal, înregistrarea modificărilor drepturilor de acces ale utilizatorilor şi statutul obiectelor de acces conform următorilor parametri:
- 5.2.1data şi timpul tentativei de pornire;
- 5.2.2denumirea/identificatorul programului aplicativ sau procesului;
- 5.2.3ID-ul utilizatorului;
- 5.2.4rezultatul tentativei de pornire – pozitivă sau negativă.
- 5.3Se efectuează înregistrarea tentativelor de obţinere a accesului (de executare a operaţiunilor) pentru aplicaţii şi procese destinate prelucrării datelor cu caracter personal, conform următorilor parametri:
- 5.3.1data şi timpul tentativei de obţinere a accesului (executare a operaţiunii);
- 5.3.2denumirea (identificatorul) aplicaţiei sau procesului;
- 5.3.3ID-ul utilizatorului;
- 5.3.4specificaţiile resursei protejate (identificator, nume logic, nume fişier, număr etc.);
- 5.3.5tipul operaţiunii solicitate (citire, înregistrare, ştergere etc.);
- 5.3.6rezultatul tentativei de obţinere a accesului (executare a operaţiunii) – pozitivă sau negativă.
- 5.4Este efectuată înregistrarea modificărilor drepturilor de acces (competenţelor) utilizatorului şi statutului obiectelor de acces, conform următorilor parametri:
- 5.4.1data şi timpul modificării competenţelor;
- 5.4.2ID-ul administratorului care a efectuat modificările;
- 5.4.3ID-ul utilizatorului şi competenţele acestuia sau specificarea obiectelor de acces şi statutul nou al acestora.
- 5.5Se efectuează înregistrarea ieşirii din sistem a informaţiei care conţine date cu caracter personal (documente electronice, date etc.), înregistrarea modificărilor drepturilor de acces ale subiecţilor şi statutul obiectelor de acces, conform următorilor parametri:
- 5.5.1data şi timpul eliberării;
- 5.5.2denumirea informaţiei şi căile de acces la aceasta;
- 5.5.3specificarea echipamentului (dispozitivului) care a eliberat informaţia (numele logic);
- 5.5.4ID-ul utilizatorului, care a solicitat informaţia;
- 5.5.5volumul documentului eliberat (numărul paginilor, a filelor, copiilor) şi rezultatul eliberării – pozitiv sau negativ.
- 6Păstrarea datelor de audit
- 6.1Se efectuează monitorizarea permanentă şi analiza înregistrărilor de audit a securităţii în sistemele informaţionale de date cu caracter personal, în scopul depistării activităţilor neobişnuite sau suspecte de utilizare a acestor sisteme informaţionale, cu întocmirea raportului referitor la cazurile depistării acestor activităţi. Durata stocării rezultatelor auditului securităţii în sistemele informaţionale de date cu caracter personal este de 2 ani, pentru a fi posibil folosirea acestora în calitate de probe în cazul incidentelor de securitate, unor eventuale investigaţii sau procese judiciare.
7. ANTIVIRUS
- 1Operatorul şi salariaţii vor asigura protecţia contra infiltrării programelor dăunătoare (viruşilor) în soft-urile destinate prelucrării datelor cu caracter personal, măsură care asigură posibilitatea reînnoirii automate şi la timp a mijloacelor de asigurare a protecţiei contra programelor dăunătoare. Totodată, Operatorul şi salariaţii vor utiliza tehnologii şi mijloace de constatare a intruziunilor, care permit monitorizarea evenimentelor în sistemele informaţionale de date cu caracter personal şi constatarea atacurilor, inclusiv care asigură identificarea tentativelor folosirii neautorizate a sistemelor informaţionale. Se asigură identificarea, înregistrarea şi înlăturarea deficienţelor de soft-uri destinate prelucrării datelor cu caracter personal, inclusiv instalarea corectărilor şi pachetelor de reînnoire a acestor soft-uri. Se exercită controlul şi evidenţa instalării şi scoaterii mijloacelor de program, mijloacelor tehnice şi celor tehnice de program, utilizate în cadrul sistemelor informaţionale de date cu caracter personal. Soft-urile destinate prelucrării datelor cu caracter personal şi informaţia care conţine date cu caracter personal, accesul la care se efectuează prin intermediul sistemelor de acces public, sunt securizate prin metoda folosirii semnăturii digitale/mobile.
8. COPII DE REZERVĂ
- 1O dată în an Operatorul va asigura executarea copiilor de siguranţă a informaţiilor care conţin date cu caracter personal şi copiile soft-urilor folosite pentru prelucrările automatizate a datelor cu caracter personal. Copiile de rezervă se păstrează în locuri protejate, în afara zonei de amplasare a acestei informaţii. Copiile de siguranţă se testează în scopul verificării siguranţei purtătorilor de informaţii şi integrităţii informaţiei care conţine date cu caracter personal. Procedurile de restabilire a copiilor de siguranţă se actualizează şi se testează cu regularitate, în scopul asigurării eficacităţii acestora.
9. VERIFICĂRI INTERNE
- 1Cel puțin o dată în an se verifică îndeplinirea măsurilor tehnice şi/sau organizaţionale luate pentru detectarea unor disfuncţionalităţi în ceea ce priveşte folosirea în procesul prelucrării datelor cu caracter personal a sistemelor de telecomunicaţii şi/sau efectuarea îmbunătăţirilor, în caz de necesitate. Controalele de securitate sunt actualizate de fiecare dată. În funcție de rezultatele Controalelor de securitate, Operatorul datelor cu caracter personal întreprinde măsuri de reorganizare a proceselor sau îşi schimbă infrastructura.
10. INTEGRITATEA ECHIPAMENTULUI
- 1Operatorul şi salariaţii acestuia vor asigura securitatea echipamentului electric utilizat pentru menţinerea funcţionalităţii sistemelor informaţionale de date cu caracter personal, a cablurilor electrice, a routerelor, întrerupătoarelor, inclusiv protecţia acestora contra deteriorărilor şi conectărilor nesancţionate. Cablurile de reţea, prin care se efectuează operaţiuni de prelucrare a datelor cu caracter personal, trebuie protejate contra conectărilor nesancţionate sau deteriorărilor.
- 2Deconectare la nevoie are loc în cazul apariţiei situaţiilor excepţionale, de avarie sau de forţă majoră, trebuie asigurată posibilitatea deconectării electricităţii la sistemele informaţionale de date cu caracter personal, inclusiv posibilitatea deconectării oricărui component de tehnologie informaţională.
- 3Salariaţii Operatorului vor deconecta computerele, terminalele de acces şi imprimantele la terminarea sesiunilor de lucru.
- 4Folosirea UPS: Operatorul va prevedea surse autonome de alimentare cu energie electrică de scurtă durată, folosite pentru terminarea corectă a sesiunii de lucru a sistemului (componentului) în cazul deconectării de la sursa principală de alimentare cu energie electrică.
- 1Parole
Operatorul şi salariaţii acestuia vor respecta următoarele reguli de asigurare a securităţii informaţionale în cazul alegerii şi folosirii parolelor:
- 1păstrarea confidenţialităţii parolelor;
- 2este interzisă înscrierea parolelor pe suport de hârtie, în cazul în care nu se asigură securitatea păstrării acestuia, parolele se păstrează în formă cifrată, utilizându-se algoritmul criptografic unilateral (funcţia hash);
- 3modificarea parolelor o dată la maxim 3 luni și de fiecare dată când sunt prezenţi indicii unei eventuale compromiteri a sistemului sau parolei;
- 4alegerea parolelor calitative cu o mărime de minimum 8 simboluri, care nu sânt legate de informaţia cu caracter personal a utilizatorului, nu conţin simboluri identice consecutive şi nu sunt compuse integral din grupuri de cifre sau litere;
- 5dezactivarea procesului automatizat de înregistrare a parolei (cu folosirea parolelor salvate);
- 6este asigurată posibilitatea utilizatorilor de a alege şi schimba parolele individuale, inclusiv de activare a procedurii de evidenţă a introducerilor greşite ale acestora;
- 7accesul este blocat după trei tentative greşite de autentificare;
- 8la momentul introducerii, parolele nu se reflectă clar pe monitor;
- 9după instalarea sistemului, se schimbă informaţiile de autentificare a utilizatorilor utilizate standard;
- 10este asigurată păstrarea istoriilor anterioare ale parolelor în formă de hash a utilizatorilor (pentru o perioadă de un an) şi prevenirea folosirii repetate a acestora.
- 10.1În cazul în care contractul care reglementează relaţiile dintre Operator şi utilizator a fost încetat, suspendat sau modificat şi noile sarcini nu necesită accesul la date cu caracter personal, ori drepturile de acces ale utilizatorului au fost modificate, ori utilizatorul a abuzat de codurile primite în scopul comiterii unei fapte prejudiciabile, a absentat o perioadă îndelungată, codurile de identificare şi autentificare se revocă sau se suspendă. Contul de utilizator inactiv (inacţiune în perioada de maximum 2 luni) se dezactivează;
- 10.2Accesul la funcţiile de securitate ale sistemelor informaţionale de date cu caracter personal şi la datele acestora este acordat doar persoanei responsabile.
- 10.3Utilizatorii sistemelor informaţionale de date cu caracter personal se învestesc doar cu acele drepturi/competenţe, care sînt necesare pentru realizarea de către ei a obiectivelor stabilite acestora. Drepturile de acces ale utilizatorilor la sistemele informaţionale de date cu caracter personal sînt revizuite cu regularitate pentru asigurarea faptului că nu au fost acordate drepturi de acces neautorizate (maximum peste fiecare şase luni) şi după oricare schimbare de statut al utilizatorului. Accesul la informații și resurse este acordat în baza principiului „necesitatea de a avea acces la informație”. Sistemele sunt proiectate cu un minim necesar de informație pentru activitate. Utilizatorii sunt asigurați cu cel mai inferior nivel de acces, necesar pentru îndeplinirea atribuțiilor de funcție.
- 10.4Securizarea accesului de la distanţă:Toate metodele de acces de la distanţă la sistemele informaţionale de date cu caracter personal ale Operatorului sunt securizate cu utilizarea VPN, criptării, cifrării, precum şi a altor metode de securizare, precum şi vor fi documentate, supuse monitorizării şi controlului de către Operator. Fiecare metodă de acces de la distanţă la sistemele informaţionale de date cu caracter personal se autorizează de conducătorul Operatorului şi/sau de persoana responsabilă a Operatorului desemnată de conducător conform prezenței Politici şi se permite doar Utilizatorilor, cărora accesul respectiv le este necesar pentru îndeplinirea obiectivelor profesionale stabilite.
- 10.5Accesul la dispozitive electronice (telefoane mobile, tablete, laptopuri etc.): Folosirea echipamentului portativ şi mobil care permit accesul la sistemele informaţionale de date cu caracter personal ale Operatorului trebuie autorizată de conducătorul Operatorului sau de persoana responsabilă desemnată de conducător.
11. ACCES LA INTERNET ȘI EMAIL
- 1Sistemele de poștă electronică și Internetul sunt mijloace rapide și eficiente de comunicare și colectare de informații. Ambele tipuri de conexiuni aparţin Operatorului şi sunt puse la dispoziţia salariaţilor acestuia ca mijloace de comunicare şi informare eficiente, pentru a fi folosite în cursul și în scopul realizării activităţii profesionale. Reţelele de internet fără fir (wi-fi) gestionate de Operator este protejată cu parolă. Accesul la această parola poate fi oferit de conducătorul Operatorului.
- 2În scopul de a asigura securitatea reţelei informatice, dar şi pentru a preveni utilizarea necorespunzătoare a accesului la Internet, o serie de date de trafic sunt reţinute în mod automat (fără intervenţie umană), continuu şi pentru orice calculator aflat în reţeaua locală a Operatorului. De regulă, aceste informaţii sunt stocate pentru o perioadă de câteva săptămâni sau luni, după care sunt şterse definitiv prin suprascriere. Reţinerea datelor de trafic nu se face în scopul monitorizării salariaţilor Operatorului. Cu toate acestea, Operatorul poate analiza înregistrările existente la un moment dat cu privire la un anumit salariat, vizitator comunicând acestuia atât efectuarea analizei în cauză, cât şi motivele acesteia.
- 3Atenţie la ataşamente. Emailurile sunt mijlocul principal prin care se pot introduce viruşi în reţeaua locală, motiv pentru care întreg colectivul de muncă precum și orice persoană care va obţine acces la resursele informaţionale ale Operatorului trebuie să manifeste grijă la deschiderea ataşamentelor, în special în cazul în care provenienţa acestora este neclară / nesigură / suspectă sau extensia fişierului este .exe.
- 4Despre mesaje private. Mesajele electronice şi documentele ataşate la acestea folosite de salariaţii. Operatorilor folosind mesageria de serviciu nu sunt private atât timp cât sunt create şi/sau stocate pe calculatorul de serviciu. O copie de siguranţă a tuturor emailurilor transmise sau primite de pe sau pe adresele profesionale, de regulă, este păstrată pe serverul Operatorului.
- 5Despre emailuri gratuite. Internetul oferă multe opţiuni de comunicare electronică gratuită, cum sunt @gmail.com, @yahoo.com, @mail.ru, etc. Operatorul avertizează că aceste sisteme de comunicare electronică nu corespund cerinţelor de protecţie a datelor cu caracter personal. Salariaţii Operatorului se vor abţine de la transmiterea datelor personale ale Subiecţilor prin asemenea sisteme de comunicare. Operatorul garantează că are creat un sistem de comunicare electronică corporativă, care este protejată în strictă conformitate cu prezentele reguli şi Legea privind protecţia datelor cu caracter personal.
12. PROCEDURA DE STOCARE ȘI DISTRUGERE A DATELOR CU CARACTER PERSONAL, A SUPORTURILOR DE INFORMAȚII
- 1Suporturile de informații de la centrul de date în care sunt stocate datele Subiecților și care sunt deteriorate sau uzate trebuie păstrate într-un loc sigur în centrul de date după deconectarea lor de la software-ul centrului de date.
- 2Datele Subiecților sunt distruse atunci când termenul de stocare a acestora este definit în conformitate cu legislația aplicabilă, Regulamentul Intern al Operatorului și este stabilit în termenul de expirare al Registrului.
- 3Stocarea datelor cu caracter personal are loc pe fișiere electronice și pe hârtie. Fișierele electronice și cele de hârtie care conțin Date cu caracter personal sunt stocate pentru termenul definit prin Registru.
- 4Accesul în spațiile/perimetrul unde sunt amplasate sistemele informaționale și de evidență a datelor cu caracter personal este restricționat, fiind permis doar persoanelor care au autorizația necesară conform politicii de securitate instituționale /regulamentelor departamentale aprobate.
- 5Stocarea și păstrarea formatului electronic al datelor cu caracter personal, structurate în sisteme de evidență, în computere care sunt conectate la internet, nu sunt echipate cu mijloace de protecție speciale tehnice şi de program și nu au instalate programe licențiate, programe antivirus, sisteme de control al securităţii soft-ului, de asigurare a efectuării periodice a copiilor de siguranță și de efectuare a auditului - este interzisă.
- 6Introducerea în perimetrul de securitate instituțional și utilizarea calculatoarelor personale ori a purtătorilor de informații în scopuri de serviciu este interzisă. Mai mult, accesul la computerele din dotare sunt protejate/restricționate prin crearea profilurilor de utilizatori, iar drepturile de administrator sunt încredințate doar persoanei responsabile pentru implementarea politicii de securitate desemnate din cadrul Companiei.
- 7Stocarea datelor cu caracter personal pe suport magnetic, optic, laser, de hârtie sau alt suport al informației, pe care se creează, se fixează, se transmite, se recepționează, se păstrează sau, în alt mod, se utilizează documentul și care permite reproducerea acestuia, este asigurat prin plasarea acestora în safeuri sau dulapuri care se încuie. Scoaterea, fără autorizare, a purtătorilor de date cu caracter personal din perimetrul de securitate al operatorului este interzisă.
- 8Compania revizuiește condițiile de stocare ale Datelor cu caracter personal definite de Registru după cum este necesar, cu toate acestea, minim o dată la 2 (doi) ani.
- 9În cursul evaluării termenilor de stocare a Datelor cu caracter personal, Compania va lua în considerare cel puțin următoarele aspecte:
- 9.1Datele cu caracter personal sunt stocate cel puțin până când sunt necesare pentru a atinge scopul prelucrării;
- 9.2Condițiile de stocare a Datelor cu caracter personal sunt aliniate la termenii de stocare definiți de legislație în conformitate cu scopul de stocare a Datelor cu caracter personal;
- 9.3Datele cu caracter personal sunt stocate atât timp cât Compania trebuie să păstreze dovezile în cazul inițierii unei reclamații legale și/sau a unui litigiu;
- 9.4Datele cu caracter personal nu pot fi șterse din documente dacă acestea afectează forța juridică a documentului.
13. TERMEN DE PĂSTRARE A DATELOR
- 1Datele personale prelucrate în cadrul exercitării activităţii Operatorului se vor păstra pe toată perioada contractuală (angajării salariatului, prestării serviciului/ achiziției materialelor etc., de către/către Operator), precum și pe durata necesară realizării scopurilor pentru care au fost colectate sau protejării intereselor legitime ale Operatorului, unităților afiliate acestuia și/sau salariaților și asociaților acesteia.
- 2După expirarea termenului legal/contractual de păstrare, Datele cu caracter personal și/sau documentele pe suport electronic sau de hârtie sunt distruse, anonime sau transferate arhivelor de stat în situații specifice. Fiecare Persoană Responsabilă de procesul de prelucrare a Datelor cu caracter personal este responsabilă cu implementarea ștergerii sau cu procesul de anonimizare.
- 3La încetarea raporturilor care stau la baza prelucrării datelor Subiecţilor de către Operator, purtătorii de date cu caracter personal se transmit în arhiva Operatorului şi se păstrează pe durata următoarelor termene de păstrare:
- 3.1datele personale despre sau obținute de la parteneri și contractanți: 5 ani de la expirarea raporturilor stabilite;
- 3.2datele personale cu privire la salariaţi: 75 ani de la încetarea contractelor individuale de muncă.
- 4Termenul de păstrare poate fi diferit de cel indicat, dacă un termen diferit de păstrare este indicat în indicatorul documentelor-tip și a termenelor lor de păstrare pentru organizațiile și întreprinderile RM. În asemenea caz datele se vor păstra pe perioada indicată în indicatorul documentelor-tip. În caz de litigiu datele se vor prelucra pe toată durata necesară apărării intereselor legitime ale Operatorului și persoanelor asociate acestuia.
14. ȘTERGEREA ȘI DISTRUGEREA DATELOR CU CARACTER PERSONAL
- 1Informațiile care conțin date personale și nu mai sunt necesare pentru atingerea scopurilor de prelucrare definite de Companie și a căror stocare nu este prevăzută de legislația aplicabilă ar trebui distruse. Informațiile electronice sunt distruse astfel încât să nu fie posibilă restaurarea fișierelor informative. Informațiile scrise (pe suport de hârtie) sunt distruse în așa fel încât informațiile conținute în acestea să nu fie restaurate.
- 2Este interzisă transferarea (înstrăinarea) dispozitivelor informatice către părți terțe dacă conțin Date cu caracter personal. Interdicția de mai sus ar trebui, de asemenea, să fie respectată în cazurile în care dispozitivele IT sunt transferate pentru utilizare. Dacă un dispozitiv IT are nevoie de o reparație în cadrul garanției, înainte de a fi livrat pentru reparații, securitatea Datelor personale conținute de acesta trebuie asigurată.
- 3Datele cu caracter personal care au devenit incomplete, învechite, falsificate, procesate ilegal sau care nu mai sunt necesare pentru atingerea scopului prelucrării Datelor cu caracter personal definite de Companie sunt imediat rectificate, actualizate sau șterse.
- 4La încheierea procesului de prelucrare a Datelor cu caracter personal și/sau la expirarea termenului de stocare a acestora, în cazul în care Datele cu caracter personal nu sunt anonime, Compania sau Persoana Autorizată va șterge Datele personale din Sistemul de Informații astfel încât acestea să nu mai poată fi recuperate.
- 5Documentele în format de hârtie care conțin Date cu caracter personal sau ciornele acestora sunt distruse în conformitate cu procedura definită de legislație după prelucrarea datelor și/sau expirarea termenului de stocare, dacă acestea nu sunt transferate în arhivă.
- 6După terminarea necesității utilizării lor, resursele tehnice care conțin date personale (USB, CD, HDD etc.) sunt transferate Departamentului de Tehnologii Informaționale al Companiei, care distruge resursele tehnice centralizat, astfel încât să nu fie posibil să restaurați informațiile stocate și să le ștergeți.
- 7Ștergerea Datelor cu caracter personal este înregistrată (documentată) prin pregătirea unui act privind distrugerea Datelor cu caracter personal în caz de necesitate, prin faptul că nu permite includerea în actul relevant a informațiilor despre Datele cu caracter personal relevante care au fost distruse.
15. GESTIONAREA ȘI ÎNREGISTRAREA INCIDENTELOR DE SECURITATE
- 115.1. Persoana implicată în prelucrarea Datelor cu caracter personal care a găsit o amenințare notifică imediat Persoana Responsabilă și specialistul în domeniul protecției datelor al Companiei de orice amenințare referitoare la prelucrarea Datelor cu caracter personal, inclusiv cele descrise mai jos, utilizând numărul de telefon stabilit de Companie în acest scop și/sau adresa de email:
- 1.1dacă s-a descoperit o amenințare la adresa resurselor tehnice, inclusiv a resurselor IT (cum ar fi, întreruperea alimentării cu energie electrică, prezența lichidelor sau a particulelor, daune provocate de impactul fizic, incendiu sau inundație, pierderea sau furtul computerelor și alte mijloace tehnice etc. );
- 1.2dacă s-a descoperit o amenințare la adresa resurselor informaționale (de exemplu, Părțile Terțe au aflat parola de acces, s-a constat accesul neautorizat la Datele cu caracter personale, inclusiv pierderea suporturilor de informații USB, CD-uri, precum și trimiterea unui email ce conține Date cu caracter personal au fost găsite date către destinatari neintenționați, întreruperi în funcționarea Sistemului Informatic, ștergerea neautorizată sau corectarea Datelor cu caracter personal;
- 1.3dacă a fost găsit vreun tip de amenințare la adresa Datelor cu caracter personal în format de hârtie (cum ar fi, umiditate prea ridicată în locație, nefuncționarea lacătului unui dulap sau a ușilor din locație, nefuncționarea alarmei, accesul părților terțe la documente, pierderea documentelor etc.).
- 2În cazul unei amenințări, Persoana implicată în prelucrarea Datelor cu caracter personal este obligată să asigure securitatea Sistemului Informatic în limita competențelor și autorizației sale, până la sosirea Persoanei Responsabile.
- 3La primirea informațiilor despre apariția unui Incident de Securitate, persoana responsabilă de investigarea Incidentului de Securitate realizează următoarele acțiuni:
- 3.1evaluează care persoane din Companie ar trebui să fie notificate cu privire la eventualul Incident de Securitate, pentru a limita imediat impactul Incidentului de Securitate, pentru a minimiza consecințele, pentru a pune capăt Incidentului de Securitate, pentru a preveni repetarea Incidentului de Securitate;
- 3.2evaluează măsurile care urmează să fie puse în aplicare pentru a pune capăt Incidentului de Securitate (în cazul în care acesta nu s-a încheiat), pentru a limita impactul negativ al Incidentului de Securitate asupra Persoanei Vizate, pentru a minimiza eventualele pierderi și pentru a începe imediat punerea în aplicare a acestora;
- 3.3evaluează dacă este necesar să se notifice Incidentul de Securitate poliției (dacă acesta are caracteristicile unei infracțiuni) sau autorităților abilitate de lege;
- 3.4evaluează riscul cauzat de Incidentul de Securitate față de viața privată a persoanelor fizice prin evaluarea următoarelor aspecte:
- 3.4.1Au fost afectate Datele cu caracter personal în cadrul Incidentului de Securitate?
- 3.4.2Ce Date cu caracter personal au fost afectate?
- 3.4.3Cât de sensibile sunt datele implicate în Incidentul de Securitate, acestea sunt date din Categoria Specială?
- 3.4.4Care sunt persoanele care pot fi/sunt afectate în rezultatul Incidentului de Securitate, inclusiv numărul și categoriile de persoane afectate?
- 3.4.5Cum și de ce a apărut Incidentul de Securitate?
- 3.4.6Dacă datele au fost pierdute sau furate, poate Partea Terță să afle ceva despre persoana respectivă din datele relevante?
- 3.4.7Care va fi impactul/consecințele Incidentului de Securitate asupra persoanelor implicate, inclusiv siguranța fizică a acestor persoane ar putea fi amenințată, pierderile materiale cauzate, deteriorarea reputației cauzate sau daunele morale cauzate?
- 3.4.8Dacă datele au fost pierdute sau furate, datele au fost anonimizate, codificate, protejate cu o parolă sau protejate în alt mod?
- 3.4.9Dacă datele ar fi fost furate sau pierdute, ar putea fi folosite în scopuri criminale?
- 3.4.10Care va fi impactul/consecințele Incidentelor de Securitate asupra Companiei, inclusiv, dacă ar putea fi amenințate securitatea Companiei și/sau a Persoanei Vizate, ar putea provoca daune materiale (sancțiuni ale autorităților administrative, solicitări din partea Persoanei Vizate, daune ale reputației)?
- 3.4.11Care sunt identitățile și persoanele de contact ale Persoanei Vizate afectate de Incidentul de Securitate pentru a putea să le contacteze dacă este cazul?
- 4Operatorul de date cu caracter personal informează în scris Centrul Național pentru Protecția Datelor cu Caracter Personal despre incidentele de securitate constatate.
- 5Notificarea Incidentului de Securitate Autorității de Supraveghere trebuie să conțină următoarele informații:
- 5.1informații despre Incidentul de Securitate și o scurtă descriere a Incidentului de Securitate;
- 5.2categoriile de Persoane Vizate implicate în Incidentul de Securitate, numărul aproximativ de Persoane Vizate afectate (domeniul de aplicare al Datelor cu caracter personal afectate);
- 5.3numele, prenumele și datele de contact al specialistului în domeniul protecției datelor sau o trimitere la un alt contact de la care Persoana Vizată ar putea obține informații suplimentare;
- 5.4Consecințele cauzate de un incident de securitate sau eventualele consecințe ale unui incident de securitate;
- 5.5Măsurile luate sau planificate de Companie pentru a atenua posibilele consecințe negative ale unui Incident de Securitate și pentru a nu permite astfel de Incidente de Securitate pe viitor;
- 5.6Alte informații, dacă acest lucru este prevăzut de legislația aplicabilă în vigoare în cazul unei notificări speciale, precum și alte informații considerate ca fiind necesare de către Companie.
- 5.7Persoana responsabilă de înregistrarea Incidentelor de Securitate evaluează fiecare notificare primită referitoare la un Incident de Securitate și, în cazul în care acest incident ar trebui să fie considerat ca fiind o încălcare a protecției Datelor cu caracter personal și poate cauza un risc ridicat pentru drepturile și libertățile persoanelor fizice, Persoana Responsabilă notifică Persoana Vizată implicată în Incidentul de Securitate al Incidentului de Securitate.
16. SUPRAVEGHERE VIDEO
- 1Operatorul folosește un sistem de supraveghere video în limita parametrilor admisibili.
- 216.2. Intimitate: Se subînţelege şi se acceptă că există o aşteptare legitimă a unui anumit grad de intimitate a salariaţilor la locul de muncă, dar acest drept trebuie să fie echilibrat cu drepturile și interesele legitime ale Operatorului, în special dreptul de a-şi administra eficient activitatea și dreptul de a se proteja de răspunderea faţă de terţi pe care membrii colectivului o pot atrage.
17. MARCAREA DOCUMENTELOR
- 1Toată informația care se intenționează a fi dezvăluită, și care conține date cu caracter personal, urmează a fi marcată prin includerea numărului de înregistrare din Registrul de evidență al operatorilor de date cu caracter personal conform Anexei 2.
18. RESPONSABILITATEA PENTRU ASIGURAREA SECURITĂȚII DATELOR CU CARACTER PERSONAL PRECUM ȘI A INFORMAȚIILOR CU ACCESIBILITATE LIMITATĂ
- 1Operatorul de date cu caracter personal, persoana împuternicită de operator, persoanele terțe după caz, semnatari a anexei nr. 1, pentru nerespectarea dispozițiilor Politicii de securitate - poartă răspundere civilă (Codul civil), contravențională (art. 741 Cod contravențional) și penală (art. 177, 178, 180 Cod penal).
19. DISPOZIŢII FINALE
- 1Prezenta Politică de securitate se completează cu prevederile legislației în vigoare.
- 2Modificarea şi completarea prezenței Politici de Securitate se face în modul stabilit pentru aprobarea acesteia.
- 3Conținutul Politicii de securitate este revăzut și actualizat anual, pentru a reflecta orice modificări la cerințele de activității Operatorului, riscurile IT sau amenințările importante față de Sistemele Informaționale.
Privacity GMBH
Neuer Wall 50, 20354 Hamburg, Excellent
Business Center
Hamburg, Germany
Email: dpo@novapost.com
Anexa 1
la Politica de Securitate a prelucrării Datelor cu Caracter Personal
în cadrul activității „NEW POST INTERNATIONAL MLD” SRL
CATEGORIILE de date cu caracter personal
- 1Datele cu caracter personal, care direct sau indirect identifică o persoană fizică, în special prin referire la un număr de identificare (cod personal), la unul sau mai multe elemente specifice proprii identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale, se împart în două categorii: obişnuite şi speciale.
- 2Categoria obişnuită o constituie informaţia care dezvăluie:
- 2.1numele şi prenumele;
- 2.2sexul;
- 2.3data şi locul naşterii;
- 2.4cetăţenia;
- 2.5IDNP;
- 2.6imaginea;
- 2.7situaţia familială;
- 2.8situaţia militară;
- 2.9datele personale ale membrilor de familie;
- 2.10datele din permisul de conducere;
- 2.11datele din certificatul de înmatriculare;
- 2.12situaţia economică şi financiară;
- 2.13datele privind bunurile deţinute;
- 2.14datele bancare;
- 2.15semnătura;
- 2.16datele din actele de stare civilă;
- 2.17numărul dosarului de pensie;
- 2.18codul personal a asigurării sociale (CPAS);
- 2.19codul asigurării medicale (CPAM);
- 2.20numărul de telefon/fax;
- 2.21numărul de telefon mobil;
- 2.22adresa (domiciliului/reşedinţei);
- 2.23adresa e-mail;
- 2.24profesia şi/sau locul de muncă;
- 2.25formarea profesională – diplome – studii;
- 3Categorii speciale de date cu caracter personal sunt datele care dezvăluie originea rasială sau etnică a persoanei, convingerile ei politice, religioase sau filosofice, apartenenţa socială, datele privind starea de sănătate sau viaţa sexuală, precum şi cele referitoare la condamnările penale, măsurile procesuale de constrîngere sau sancţiunile contravenţionale. Operatorul nu prelucrează categorii speciale de date cu caracter personal.
Anexa 2
la Politica de Securitate a prelucrării Datelor cu Caracter Personal
în cadrul activității „NEW POST INTERNATIONAL MLD” SRL
- 1Model de marcaj de avertizare:
Atenţie! Documentul conţine date cu caracter personal, prelucrate în cadrul sistemului de evidenţă al operatorilor de date cu caracter personal www.registru.datepersonale.md. Prelucrarea ulterioară a acestor date poate fi efectuată numai în condițiile prevăzute de Legea nr. 133 din 08.07.2011 privind protecția datelor cu caracter personal. - 2Model de marcaj supraveghere video:
În temeiul autorizării Centrului național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova, New Post International S.R.L., supraveghează zona video:
Adresarea unei plângeri în privința prelucrării datelor cu caracter personal prin intermediul acestui sistem de evidență în adresa Centrului Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova, poate fi realizată doar după depunerea în prealabil a unei cereri operatorului de date cu caracter personal vizat.
Model: Formular de consimțământ la transmiterea transfrontalieră a datelor cu caracter personal:
În conformitate cu prevederile Legii 133 din 08.07.2011 privind protecția datelor cu caracter personal NEW POST INTERNATIONAL MLD SRL cu sediul în mun. Chișinău, str. Barbu Lăutaru 3, număr identificare de stat – cod fiscal 1014600029674 („Companie” „Operator”) colectează și prelucrează unele date cu caracter personal care se refera la Dvs. Aceste date sunt orice informaţie referitoare la o persoană fizică identificată sau identificabilă.
Datele colectate sunt supuse transferului transfrontalier, fiind stocate pe serverele Operatorului care se află în Ucraina, fiind procesate de către „NEW POST” LLC înregistrată în conformitate cu legislația Ucrainei, număr de înregistrare 31316718 al cărei sediu juridic se află pe adresa 03026, Kiev, Stolichne șoseaua, 103, blocul 1, etajul 9, e-mail dpo@novapost.com în calitate de Importator de date. Importatorul de date procesează datele în mărimea și condițiile stabilite de Acordul de transfer a datelor cu caracter personal semnat de către Operator și Importatorul de date. În scopul corespunderii cu legislaţia în vigoare şi în scopul unei bune colaborări dintre Companie şi subiectul datelor cu caracter personal („Subiect”), acesta în baza prezentei îşi exprimă consimţământul liber, necondiţionat, expres şi conştient, şi confirmă următoarele:
- 1Prin prezenta, subiectul datelor cu caracter personal este de acord cu transmiterea transfrontalieră de către Companie a datelor sale personale, date care includ toate sau unele din următoarele categorii: numele, prenumele și patronimicul; Sexul Semnătura, Semnătura electronică, numărul personal de identificare de stat (IDNP); data și locul nașterii; cetățenia, datele din actele de stare civilă codul personal de asigurări medicale (CPAM) telefon mobil, adresă domiciliu/reședință telefon/ fax, email profesie, funcție formare profesională – diplome – studii situație familială datele membrilor de familie situație economică sau financiară Mărimea salariului brut, premii, sporuri, suplimente, stimulări, date din certificatul de concediu medical. date bancare imagine date din permisul de conducere sancțiuni disciplinare codul personal de asigurări sociale (CPAS) codul personal al asigurării medicale date din certificate de înmatriculare locul de muncă, altele: certificat de concediu medical, mărimea salariului brut, premii, sporuri, stimulări, suplimente.
- 2Subiectul datelor cu caracter personal prin prezenta acceptă şi consimte că datele sale cu caracter personal vor fi transmise transfrontalier de către Companie pentru următoarele scopuri:
- 2.1Executarea contractelor între Subiect și Companie;
- 2.2Alte situaţii legate de relaţia contractuală pe care subiectul datelor o are sau o va avea cu Compania.
- 3Subiectul datelor cu caracter personal consimte şi acceptă că datele sale cu caracter personal pot fi transferate de către NEW POST INTERNATIONAL MLD SRL, în condiţiile legii.
- 4Subiectul datelor cu caracter personal prin prezenta consimte şi acceptă precum că acest consimţământ este valabil pentru o perioadă de cinci ani, şi poate fi reînnoit pentru perioade succesive de cinci ani. Consimţământul pentru procesarea datelor cu caracter personal poate fi retras în orice moment înainte de expirarea termenului, printr-o cerere scrisă, datată şi semnată, depusă la sediul Operatorului.
- 5Subiectul datelor cu caracter personal confirmă cunoaşterea prevederilor Legii cu privire la protecţia datelor cu caracter personal (nr. 133 din 08 iulie 2011), recunoscând că în legătură cu procesarea datelor sale de către Companie, are următoarele drepturi, cum e stabilit de lege:
- 5.1Dreptul la obţinerea informaţiilor privind identitatea operatorului sau a persoanei împuternicite de către operator, scopul prelucrării datelor colectate, precum şi informaţii suplimentare referitoare la destinatarii datelor cu caracter personal;
- 5.2Dreptul de acces la datele sale cu caracter personal;
- 5.3Dreptul de intervenţie asupra datelor cu caracter personal;
- 5.4Dreptul de opoziţie;
- 5.5Dreptul de a nu fi supus unei decizii individuale;
- 5.6Accesul la justiţie.
Pentru exercitarea acestor drepturi, subiectul datelor cu caracter personal este în drept să depună o cerere scrisă, datată şi semnată, la sediul Operatorului.
- 6Subiectul datelor cu caracter personal în conformitate cu art. 17 al Legii privind comerţul electronic (nr. 284 din 22 iulie 2004), consimte la procesarea datelor sale cu caracter personal şi îşi exprimă consimţământul de a recepţiona informaţie comercială în format electronic.
Consimţământul
Declar că am fost informat pe deplin cu privire la procesarea datelor cu caracter personal de către Companie şi am citit în întregime, sunt de acord şi accept toate clauzele Formularului de consimţământ cu privire la transmiterea frontalieră a datelor cu caracter personal. Mi-au fost aduse la cunoştinţă documentele Companiei privind securitatea datelor cu caracter personal, inclusiv ordinul Companiei privind protecţia datelor cu caracter personal. Înțeleg că Compania poate primi, colecta, combina, organiza, utiliza, stoca, prelucra, transfera şi dezvălui date cu caracter personal cu privire la persoana mea aşa cum este prevăzut în prezentul Formular de Consimţământ. Declar că înţeleg şi îmi exprim acordul cu privire la faptul că date cu caracter personal pot fi colectate, prelucrate, utilizate, transferate sau dezvăluite şi că Compania îşi rezervă dreptul să realizeze aceste activităţi atunci când consideră necesar, iar date cu caracter personal pot fi transferate altor entităţi atât în interiorul cât și în afara Republicii Moldova, după cum este prevăzut mai sus în prezentul Formular de Consimţământ.
Nume: ________________________________
Data _____________________ Semnătura