Politica de securitate a prelucrării datelor cu caracter personal

POLITICĂ DE SECURITATE

PRELUCRAREA DATELOR PERSONALE

în

BIZON INT Sp. z o. o

cu sediul în Tomice, ul. European 4.

Admitere

Punerea în aplicare a dreptului constituțional al fiecărei persoane la protecția vieții private și a dispozițiilor Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46 / CE (regulament general privind protecția datelor) pentru a aplica măsuri tehnice și organizatorice care să asigure protecția datelor cu caracter personal prelucrate, adecvate amenințărilor și categoriilor de date supuse protecției , și în special pentru a proteja datele împotriva accesului neautorizat, eliminarea de către o persoană neautorizată, prelucrarea de mai sus din regulament și modificarea, pierderea, deteriorarea sau distrugerea, este introdus următorul set de proceduri.

Capitolul 1

Dispoziții generale

§ 1. Ori de câte ori documentul menționează:

1) regulament - se înțelege ca Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95 / 46 / CE (regulament general privind protecția datelor);

2) date personale - înseamnă informații despre o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată direct sau indirect, în special pe baza unui identificator, cum ar fi numele și prenumele, numărul de identificare, datele de localizare, identificatorul de internet sau unul sau mai mulți factori fizici, fiziologici, genetici, mentali specifici identitatea economică, culturală sau socială a unei persoane fizice;

3) set de date - se înțelege ca un set ordonat de date cu caracter personal disponibile conform unor criterii specifice, indiferent dacă acest set este centralizat, descentralizat sau dispersat funcțional sau geografic;

4) procesarea datelor - se înțelege ca o operațiune sau un set de operațiuni efectuate pe date personale sau seturi de date personale într-un mod automat sau neautomatizat, cum ar fi colectarea, înregistrarea, organizarea, organizarea, stocarea, adaptarea sau modificarea, descărcarea, vizualizarea, utilizarea, divulgarea prin trimiterea, difuzarea sau partajarea în alt mod, ajustarea sau combinarea, limitarea, ștergerea sau distrugerea;

5) Sistem IT - este înțeles ca un set de dispozitive, programe, proceduri de prelucrare a informațiilor și instrumente software utilizate pentru prelucrarea datelor;

6) securizarea datelor în sistemul IT - se înțelege ca implementarea și funcționarea măsurilor tehnice și organizatorice adecvate care asigură protecția datelor împotriva prelucrării neautorizate;

7) ștergerea datelor - se înțelege ca distrugerea datelor cu caracter personal sau modificarea acestora în așa fel încât să nu fie posibilă identificarea persoanei vizate;

8) controlor de date - se înțelege ca o persoană fizică sau juridică, autoritate publică, unitate sau altă entitate care, singură sau împreună cu alte persoane, determină scopurile și mijloacele de prelucrare a datelor cu caracter personal; dacă scopurile și mijloacele unei astfel de prelucrări sunt specificate în dreptul Uniunii sau în legislația unui stat membru, operatorul poate fi desemnat, de asemenea, în conformitate cu dreptul Uniunii sau legislația unui stat membru sau pot fi stabilite criterii specifice pentru numirea sa;

9) consimțământul persoanei vizate - înseamnă o declarație de voință voluntară, specifică, informată și fără echivoc, pe care persoana vizată, sub forma unei declarații sau a unei acțiuni afirmative clare, permite prelucrarea datelor cu caracter personal care îl privesc;

10) destinatarii datelor - înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau altă entitate căreia îi sunt dezvăluite datele cu caracter personal, indiferent dacă este sau nu o terță parte. Cu toate acestea, autoritățile publice care pot primi date cu caracter personal în cursul unei proceduri specifice în temeiul legislației Uniunii sau ale statelor membre nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective trebuie să respecte normele aplicabile de protecție a datelor în conformitate cu scopurile prelucrării;

11) o țară terță - este înțeleasă ca o țară care nu aparține Spațiului Economic European;

12) măsuri tehnice și organizatorice - ar trebui înțeles ca măsuri tehnice și organizatorice necesare pentru a asigura confidențialitatea, integritatea și responsabilitatea datelor cu caracter personal prelucrate;

13) restricționarea prelucrării - ar trebui înțeles ca marcarea datelor cu caracter personal stocate pentru a limita prelucrarea lor viitoare;

14) profilare - aceasta înseamnă orice formă de prelucrare automată a datelor cu caracter personal, care constă în utilizarea datelor cu caracter personal pentru a evalua anumiți factori personali ai unei persoane fizice, în special pentru a analiza sau previziona aspecte legate de efectele muncii, situației economice ale unei persoane fizice; sănătate, preferințe personale, interese, fiabilitate, comportament, locație sau mișcare;

15) pseudonimizare - aceasta înseamnă prelucrarea datelor cu caracter personal astfel încât să nu mai poată fi atribuite unei anumite persoane vizate fără utilizarea informațiilor suplimentare, cu condiția ca aceste informații suplimentare să fie păstrate separat și să fie supuse măsurilor tehnice și organizatorice care împiedică atribuirea acestora unei persoane fizice identificate sau identificabile;

16) procesorul - înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau alt organism care prelucrează date cu caracter personal în numele operatorului;

17) încălcarea protecției datelor cu caracter personal - înseamnă o încălcare a securității care duce la distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele personale transmise, stocate sau prelucrate în alt mod.

 

capitolul 2

Operator de date

§ 2. Operatorul de date, în special:

1. Luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul încălcării drepturilor sau libertăților persoanelor fizice cu probabilitate și severitate diferite ale riscului, pune în aplicare măsuri tehnice și organizatorice adecvate pentru a se asigura că prelucrarea este efectuată în conformitate cu regulamentul și să îl poată demonstra. Aceste măsuri sunt revizuite și actualizate, după caz.

2. Păstrează un registru al activităților de prelucrare. Următoarele informații sunt incluse în registru:

  • numele și prenumele sau numele și datele de contact ale operatorului de date, precum și ale oricăror operatori comuni și, dacă este cazul - reprezentantul operatorului de date și al RPD;
  • scopurile procesării,
  • descrierea categoriilor de persoane vizate și a categoriilor de date cu caracter personal,
  • categorii de destinatari cărora le-au fost sau vor fi dezvăluite date cu caracter personal, inclusiv destinatari din țări terțe sau din organizații internaționale;
  • după caz, transferul de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv numele țării terțe sau a organizației internaționale respective, iar în cazul transferurilor menționate în regulament, art. 49 sec. 1, al doilea paragraf, documentația garanțiilor adecvate,
  • dacă este posibil, datele planificate de ștergere a categoriilor individuale de date,
  • dacă este posibil, o descriere generală a măsurilor de securitate tehnică și organizațională menționate la articolul 8 32 sec. 1. din regulament,

capitolul 3

Măsuri tehnice și organizatorice

§ 3. Pentru a proteja datele, operatorul de date respectă cerințele menționate în regulament:

a) efectuează o evaluare a impactului asupra protecției datelor;

b) efectuează o analiză a riscurilor în raport cu resursele implicate în procesele individuale;

c) numai persoanele autorizate de administratorul de date au fost autorizate să prelucreze datele (anexa 1),

d) contracte pentru încredințarea prelucrării datelor în conformitate cu anexa 2;

e) această politică de securitate a fost dezvoltată și implementată.

§ 4 . Pentru a proteja datele cu caracter personal, sunt utilizate următoarele măsuri de protecție fizică a datelor cu caracter personal :

  • colecțiile de date cu caracter personal sunt stocate într-o cameră securizată cu uși obișnuite (fără armături, fără foc),
  • fișierele cu date personale sunt stocate într-o cameră securizată de o ușă, fișierele cu date personale sunt stocate într-o cameră situată la etajul 1 și 2.
  • clădirea în care se află administratorul de date este echipată cu un sistem de alarmă antifurt
  • accesul în camerele în care sunt prelucrate fișierele cu date personale este acoperit de sistemul de control al accesului - cheile sunt eliberate la recepție numai persoanelor autorizate.
  • accesul la clădirea în care se află administratorul de date este controlat de un sistem de supraveghere cu ajutorul camerelor industriale
  • clădirea în care se află controlorul de date este supravegheată de serviciul de securitate non-stop,
  • fișierele cu date personale pe hârtie sunt stocate într-un dulap metalic închis și în dulapuri nemetalice închise,
  • copiile de rezervă / arhivele fișierelor cu date personale sunt stocate într-un dulap nemetalic închis
  • încăperile în care sunt prelucrate fișierele cu date personale sunt protejate împotriva efectelor focului prin intermediul unui sistem de protecție împotriva incendiilor și / sau a unui stingător de sine stătător;
  • După expirarea utilității lor, documentele care conțin date cu caracter personal sunt distruse mecanic folosind tocătoare de documente.

§ 5 . Pentru a proteja datele cu caracter personal, sunt utilizate următoarele măsuri hardware ale infrastructurii IT și de telecomunicații :

  • computerele utilizate pentru prelucrarea datelor cu caracter personal sunt conectate la rețeaua locală de calculatoare,
  • dispozitive precum UPS, generator de energie electrică și / sau o rețea electrică separată au fost utilizate pentru a proteja sistemul IT utilizat pentru procesarea datelor cu caracter personal împotriva efectelor unei întreruperi de curent,
  • accesul la setul de date personale, care este procesat pe o stație de computer / laptop separat, a fost protejat împotriva activării neautorizate cu o parolă
  • accesul la sistemul de operare al computerului în care sunt prelucrate datele personale este securizat prin procesul de autentificare utilizând un ID de utilizator și o parolă,
  • au fost luate măsuri pentru a preveni realizarea de copii neautorizate ale datelor cu caracter personal prelucrate cu utilizarea sistemelor IT,
  • a fost utilizat un sistem de înregistrare a accesului la sistem / set de date personale,
  • au fost aplicate măsuri de protecție a datelor criptografice pentru datele cu caracter personal transferate prin teletransmisie,
  • a fost utilizată o matrice de discuri pentru a proteja datele personale împotriva efectelor defectării memoriei de disc,
  • au fost aplicate măsuri anti-malware, cum ar fi viermi, viruși, cai troieni, rootkits,
  • sistemul Firewall a fost folosit pentru a proteja accesul la rețeaua de calculatoare,
  • sistemul IDS / IPS a fost utilizat pentru a proteja accesul la rețeaua de calculatoare,

§ 6 . Pentru a proteja datele cu caracter personal, următoarele instrumente de protecție sunt utilizate în instrumentele software și bazele de date :

  • au fost aplicate măsuri pentru definirea drepturilor de acces la domeniul de date indicat ca parte a setului de date cu caracter personal procesat,
  • accesul la seturile de date, procesate parțial în sistemele IT, necesită autentificare cu utilizarea unui ID de utilizator și a unei parole,
  • au fost aplicate măsuri sistemice pentru a defini drepturile de acces adecvate la resursele IT, inclusiv fișierele de date cu caracter personal pentru utilizatorii individuali ai sistemului IT,
  • a fost utilizat un mecanism pentru a forța schimbarea periodică a parolelor de acces la setul de date personale,
  • salvatoare de ecran au fost instalate la stațiile de lucru unde sunt prelucrate datele cu caracter personal,
  • un mecanism de blocare automată a accesului la sistemul IT utilizat pentru prelucrarea datelor cu caracter personal a fost utilizat în caz de inactivitate prelungită a muncii utilizatorului (protector de ecran),

§ 7 . Pentru a proteja datele cu caracter personal, sunt utilizate următoarele măsuri organizatorice:

  • persoanele angajate în prelucrarea datelor sunt familiare cu dispozițiile privind protecția datelor cu caracter personal,
  • persoanele angajate în prelucrarea datelor cu caracter personal au fost instruite în domeniul securității sistemului IT,
  • persoanele angajate în prelucrarea datelor cu caracter personal sunt obligate să le păstreze în secret,
  • monitoarele de computer pe care sunt prelucrate datele cu caracter personal sunt setate într-un mod care împiedică accesul neautorizat la datele procesate,
  • copiile de siguranță ale setului de date cu caracter personal sunt stocate într-o altă cameră decât cea în care serverul în care sunt prelucrate în mod continuu datele cu caracter personal,
  • administratorul de date a definit regulile de securitate de bază aplicabile tuturor angajaților companiei, și anume:
    • principiul cunoștințelor necesare - limitarea accesului la date numai la cele necesare îndeplinirii sarcinilor într-o funcție dată;
    • principiul responsabilității pentru resurse - procesatorul este responsabil pentru datele pe care le prelucrează și este obligat să respecte procedurile de securitate stabilite în acest sens,
    • principiul unei camere închise - nu lăsați spectatorii singuri în cameră (în absența unei persoane autorizate), blocarea absolută a camerelor cu cheie atunci când le lăsați și nu lăsați cheile în încuietori,
    • principiul unui birou curat - a nu lăsa nesupravegheate documente și suporturi de date pe hârtie (CD-uri, DVD-uri, unități flash USB etc.),
    • principiul confidențialității conturilor din sisteme - fiecare angajat este obligat să lucreze în sistemele TIC pe conturile care i-au fost atribuite, este absolut interzis să pună conturile la dispoziția persoanelor care nu au fost atribuite acestora,
    • principiul confidențialității parolelor și codurilor de acces - păstrarea confidențialității și nedivulgarea parolelor și codurilor de acces persoanelor neautorizate, în special acest principiu se aplică parolelor personale pentru accesarea sistemelor TIC și a zonelor protejate,
    • principiul utilizării e-mailului de afaceri - fiecare persoană autorizată să proceseze date în îndeplinirea sarcinilor oficiale utilizează doar căsuța oficială de e-mail, este interzisă utilizarea e-mailului privat în acest domeniu,
    • principiul unui ecran curat - blocarea computerului înainte de a părăsi camera, în cazul unei absențe mai lungi în cameră, este necesar să vă deconectați de la sistem;
    • principiul curățării desktopului - desktopul computerului ar trebui să conțină doar pictograme pentru aplicații software și de afaceri standard, precum și comenzi rapide către foldere, cu condiția ca numele să nu conțină date, în special date cu caracter personal care pot fi dezvăluite necontrolat (de exemplu, în timpul unei prezentări),
    • principiul imprimantelor / copiatorului curat - preluarea documentelor de la imprimante imediat după tipărirea lor, în special, această regulă se aplică documentelor lăsate în imprimantele situate într-o altă cameră,
    • principiul de gunoi curat - documentele pe hârtie, cu excepția materialelor promoționale, ar trebui să fie mărunțite sau mărunțite de o companie externă,
    • principiul legalității software-ului - interzicerea auto-instalării software-ului, inclusiv în special stocarea pe computer a conținutului care încalcă drepturile de autor și alte date ilegale;
    • principiul raportării incidentelor de securitate - fiecare procesator de date este obligat să raporteze incidentele legate de securitatea informațiilor, adică divulgarea neautorizată, distrugerea sau modificarea informațiilor, în conformitate cu procedura specificată în capitolul 8;
    • principiul utilizării resurselor Companiei - datele deținute de administratorul de date pot fi prelucrate numai în mijloacele de prelucrare autorizate pentru utilizare în Companie, în special, este interzisă utilizarea mijloacelor private de prelucrare a datelor în acest scop,
    • principiul neutilizării denumirilor care conțin date cu caracter personal în ceea ce privește specificarea fișierelor, folderelor etc.
    • principiul protecției adecvate a resurselor hardware ale Companiei utilizate ca echipamente comerciale - computere portabile, telefoane, telefoane inteligente, tablete și alte dispozitive pe care persoanele care prelucrează datele din Companie le folosesc în scopuri comerciale ar trebui să fie protejate în mod adecvat împotriva accesului de către persoane neautorizate, cel puțin ar trebui să aibă securitate sub formă de parole pentru a activa dispozitivul.

 

capitolul 4 

Procedura DPIA

(Evaluarea impactului asupra protecției datelor)

§ 8. Pentru fiecare proces se efectuează o evaluare a impactului asupra protecției datelor cu caracter personal (DPIA).

§ 9. DPIA se realizează cu fiecare schimbare semnificativă a procesării datelor cu caracter personal, de exemplu schimbarea furnizorului de servicii, schimbarea metodei de prelucrare a datelor, schimbul de resurse implicate în proces.

§ 10. DPIA se realizează împreună cu analiza riscurilor cel puțin o dată pe an în raport cu procesele care, ca urmare a DPIA anterioară, au prezentat un risc ridicat pentru drepturile și libertățile persoanelor vizate.

 

capitolul 5

Procedura de analiză a riscurilor și planul de tratament al riscurilor 

§ 11. Operatorul de date efectuează o analiză a riscurilor pentru resursele implicate în procese.

§ 12. Analiza riscurilor se efectuează cel puțin o dată pe an și constituie baza actualizării metodei de gestionare a riscurilor.

§ 13. Pe baza rezultatelor analizei de risc, operatorul de date implementează în mod independent metode de gestionare a riscurilor.

§ 14. De fiecare dată când operatorul de date alege metoda de gestionare a riscului și determină ce riscuri și în ce ordine vor fi luate în considerare mai întâi.

 

Capitolul 6

Procedura de cooperare cu entități externe 

§ 15 .1. Fiecare utilizare a serviciilor entității de prelucrare este precedată de încheierea unui contract pentru încredințarea prelucrării datelor cu caracter personal

2. Administratorul de date păstrează un registru al entităților externe cărora li se încredințează date cu caracter personal pentru prelucrare

§ 16. De fiecare dată, înainte de a încheia un contract pentru încredințarea prelucrării datelor cu caracter personal, operatorul de date verifică conformitatea cu reglementarea tuturor operatorilor, ale căror servicii intenționează să le utilizeze, utilizând procedura de cooperare cu entități externe.

 

Capitolul 7

Procedură implicită de protecție a datelor

(luând în considerare protecția datelor în etapa de proiectare) 

§ 17. Ori de câte ori este dezvoltat un nou produs sau serviciu, operatorul de date ia în considerare drepturile persoanelor vizate în fiecare etapă cheie a proiectării și implementării sale. Implementează măsuri tehnice și organizatorice adecvate pentru a prelucra în mod implicit numai acele date cu caracter personal care sunt necesare pentru atingerea fiecărui scop specific de prelucrare (cantitatea de date colectate, domeniul de aplicare și perioada de prelucrare a datelor și disponibilitatea acestora).

§ 18. Operatorul de date, dacă intenționează să înceapă prelucrarea datelor cu caracter personal într-un nou proces, efectuează un DPIA în legătură cu acest proces.

 

Capitolul 8

Procedura de gestionare a incidentelor 

§ 20 . În fiecare caz de încălcare a protecției datelor cu caracter personal, operatorul de date verifică dacă încălcarea a dus la încălcarea drepturilor sau libertăților persoanelor fizice.

§ 21. Operatorul de date, dacă se constată că încălcarea a dus la riscul încălcării drepturilor sau libertăților persoanelor fizice, va notifica imediat autoritatea de supraveghere, dar nu mai târziu de 72 h de la identificarea unei încălcări folosind procedura de management al incidentelor de securitate.

§ 22. Operatorul de date notifică persoanele vizate în cazul unor încălcări care rezultă într-un risc de încălcare a drepturilor sau libertăților lor pe baza modelului de notificare a persoanei vizate cu privire la încălcare, cu excepția cazului în care a aplicat măsuri care elimină probabilitatea unui risc ridicat al celor de mai sus. încălcări.

§ 23. Operatorul de date documentează încălcările și ține un registru al încălcărilor care duc la încălcarea drepturilor și libertăților persoanelor fizice.

Capitolul 9

Procedura de exercitare a drepturilor persoanelor 

§ 24. Operatorul de date ia în considerare fiecare caz de dorința persoanei vizate de a-și exercita drepturile prevăzute în regulament în mod individual.

§ 25. Operatorul de date exercită imediat următoarele drepturi ale persoanelor vizate:

  • dreptul de acces la date,
  • dreptul de a rectifica datele,
  • dreptul de a șterge date,
  • dreptul la portabilitatea datelor,
  • dreptul de a obiecta la prelucrarea datelor,
  • dreptul de a nu fi supus deciziilor bazate exclusiv pe profilare.

§ 26. În cazul exercitării dreptului la rectificare, ștergere și limitare a prelucrării datelor, operatorul informează imediat destinatarii cu privire la datele cărora le-a pus la dispoziție datele, cu excepția cazului în care este imposibil sau va necesita un efort disproporționat.

§ 27. Operatorul de date refuză să exercite drepturile persoanelor vizate, dacă o astfel de posibilitate rezultă din prevederile regulamentului, cu toate acestea, orice refuz al exercitării drepturilor persoanelor vizate necesită o justificare cu baza legală care rezultă din regulament.

Capitolul 10

Procedura pentru obținerea acordurilor și informarea oamenilor

§ 28 . 1. Ori de câte ori datele sunt colectate direct de la persoana vizată, operatorul de date își îndeplinește obligația de informare față de persoana vizată.

2. În cazul colectării datelor de la un angajat, se aplică modelul obligației de informare.

§ 29. În fiecare caz de colectare a datelor din alte surse decât persoana vizată, operatorul de date îndeplinește obligația de informare față de persoana vizată, imediat, dar nu mai târziu de primul contact cu persoana vizată,

§ 30. Clauzele sunt utilizate în fiecare caz de primire a consimțământului de la persoana vizată.

 

Capitolul 11

Dispoziții finale

§ 31. Toate principiile descrise în acest document sunt respectate de persoane autorizate să prelucreze date cu caracter personal, cu un accent deosebit pe interesele persoanelor vizate.

§ 32. Acest document este valabil de la data aprobării sale de către operatorul de date.

ro_RORomână