Politica de confidentialitate

Politica de confidentialitate2018-09-28T23:15:48+00:00
Procedură privind folosirea dispozitivelor personale în manipularea
datelor cu caracter personal, inclusiv măsurile de siguranță impuse
CONŢINUTUL PROCEDURII
SCOP: Această procedură stabileşte:
1. Un set unitar de reguli care reglementează folosirea dispozitivelor personale în
manipularea datelor cu caracter personal, inclusiv măsurile de siguranță impuse în
cadrul ALCOS BIOPROD SRL în scopul asigurării, respectând în acelaşi timp
obligaţiile ce revin ALCOS BIOPROD SRL şi măsurile de securitate adoptate
pentru protecţia datelor cu caracter personal, protejarea vieţii private, a intereselor
legitime şi garantarea drepturilor fundamentale ale persoanelor vizate.
2. Responsabilităţile privind folosirea dispozitivelor personale în manipularea
datelor cu caracter personal, precum şi cele privind întocmirea, avizarea şi
aprobarea documentelor aferente acestor activităţi.
Procedura privind folosirea dispozitivelor personale în manipularea datelor cu
caracter personal, inclusiv măsurile de siguranță impuse, prezintă măsurile de
protecţie luate de ALCOS BIOPROD SRL pentru a proteja datele cu caracter
personal, viaţa privată şi alte drepturi fundamentale şi interese legitime ale
persoanelor ale căror date au ajuns în posesia firmei ALCOS BIOPROD SRL.
DOMENIUL: Procedura se aplica în cadrul activității de prelucrare
protective, stocare și manipulare a datelor personale. Politica se aplică,
corespunzător competenţelor, de către:
- personalul desemnat din cadrul Structurii de Tehnologia Informaţiei;
- structura responsabilă cu protecţia datelor personale;
- personalul extern care asigură mentenanţa infrastructurii IT din cadrul firmei;
- angajaţilor ALCOS BIOPROD SRL.
TERMENI ŞI DEFINIŢII:
ANSPDCP = Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu
Caracter Personal;
Codul numeric personal (CNP) = un număr semnificativ care individualizează în
mod unic o persoană fizică, constituind un instrument de verificare a stării civile a 
Procedură privind folosirea dispozitivelor personale în manipularea datelor cu caracter personal, inclusiv măsurile de siguranță impuse
2
acesteia şi de identificare în anumite sisteme informatice de către persoanele
autorizate;
Date cu caracter personal = orice informaţii referitoare la o persoană fizică
identificată sau identificabilă; o persoană identificabilă este acea persoană care
poate fi identificată, direct sau indirect, în mod particular prin referire la un număr
de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice,
fiziologice, psihice, economice, culturale sau sociale;
Date cu caracter personal cu funcţie de identificare de aplicabilitate generală
(date cu caracter special) = numere prin care se identifică o persoană fizică în
anumite sisteme de evidenţă şi care au aplicabilitate generală, cum ar fi: codul
numeric personal, seria şi numărul actului de identitate, numărul paşaportului, al
permisului de conducere, numărul de asigurare socială sau de sănătate;
Date anonime - date care, datorită originii sau modalităţii specifice de prelucrare,
nu pot fi asociate cu o persoană identificată sau identificabilă;
Operator - orice persoană fizică sau juridică, de drept privat ori de drept public,
inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care
stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal; dacă
scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt determinate
printr-un act normativ sau în baza unui act normativ, operator este persoana fizică
sau juridică, de drept public ori de drept privat, care este desemnată ca operator
prin acel act normativ sau în baza acelui act normativ;
Operator - Persoana fizică sau juridică, autoritatea publică, agenția sau al
organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de
prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele
prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau
criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii
sau în dreptul intern;
Persoană împuternicită de către operator - o persoană fizică sau juridică, de
drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi
structurile teritoriale ale acestora, care prelucrează date cu caracter personal pe
seama operatorului;
Responsabilul cu protecția datelor – persoana desemnată cu:
o Informarea și consilierea operatorului precum și a angajaților cu
privire la obligațiile care le revin referitoare la protecția datelor;
o Monitorizarea respectării regulamentului GDPR și a politicilor
operatorului în ceea ce privește protecția datelor cu caracter personal, inclusiv
acțiunile de sensibilizare și de formare a personalului;
o Furnizarea de consiliere în ceea ce privește evaluarea impactului
asupra protecției datelor și monitorizarea funcționării acesteia;
o Cooperarea cu autoritatea de supraveghere; 
Procedură privind folosirea dispozitivelor personale în manipularea datelor cu caracter personal, inclusiv măsurile de siguranță impuse
3
o Asumarea rolului de punct de contact pentru autoritatea de
supraveghere privind aspectele legate de prelucrare.
Utilizator - orice persoană care acţionează sub autoritatea operatorului, a persoanei
împuternicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date
cu caracter personal;
Prelucrarea datelor cu caracter personal - orice operaţiune sau set de operaţiuni
care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau
neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori
modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin
transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea,
ştergerea sau distrugerea;
Stocarea - păstrarea pe orice fel de suport a datelor cu caracter personal culese,
respectând în același timp protecția datelor cu caracter personal „începând cu
momentul conceperii și în mod implicit” (by design and by default);
Pseudonimizarea datelor - prelucrarea datelor cu caracter personal într-un
asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane
vizate;
Functie hash (hash function) - reprezintă un algoritm matematic criptografic care
generează un checksum (rezumat criptografic) unic pentru fiecare mesaj. Acest
checksum se numeste message diggest, diggest sau hash.
1. CONDIŢII DE LEGITIMITATE
ALCOS BIOPROD SRL prelucrează datele cu caracter personal înregistrate în
sistemele IT ale firmei, respectând prevederile legale în domeniu.
1.1 Referinţe normative:
a) Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor
cu caracter personal şi libera circulaţie a acestor date, cu modificările şi
completările ulterioare;
b) Ordinul nr. 52 din 18 aprilie 2002 privind aprobarea Cerinţelor minime de
securitate a prelucrărilor de date cu caracter personal;
c) Decizia nr. 200 din 14 decembrie 2015 privind stabilirea cazurilor de prelucrare
a datelor cu caracter personal pentru care nu este necesară notificarea, precum şi
pentru modificarea şi abrogarea unor decizii;
d) Ordinul Avocatului Poporului nr. 52 din 18/04/2002 privind aprobarea
Cerințelor minime de securitate a prelucrărilor de date cu caracter personal;
e) Decizia ANSPDCP nr. 52/2012 privind prelucrarea datelor cu caracter personal
prin utilizarea mijloacelor de supraveghere video;
Procedură privind folosirea dispozitivelor personale în manipularea datelor cu caracter personal, inclusiv măsurile de siguranță impuse
4
f) Decizia ANSPDCP nr. 132 din 20/12/2011 privind condițiile prelucrării codului
numeric personal și a altor date cu caracter personal având o funcție de identificare
de aplicabilitate generală;
g) Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce
privește prelucrarea datelor cu caracter personal și privind libera circulație a
acestor date.
1.2 Transparenţă
Procedura privind folosirea dispozitivelor personale în manipularea datelor
cu caracter personal, inclusiv măsurile de siguranță impuse este disponibilă ca
anexă a Regulamentului de Ordine Interioară ALCOS BIOPROD SRL.
1.3 Revizuiri periodice
O revizuire periodică va fi întreprinsă anual sau ori de câte ori apar
modificări legislative, de către structurile responsabile, cu asigurarea securităţii şi
va reanaliza:
- îndeplinirea scopului declarat;
- posibile îmbunătățiri ale procedurii privind folosirea dispozitivelor personale în
manipularea datelor cu caracter personal, inclusiv măsurile de siguranță impuse;
2. Reguli Generale
Prin cerinţe minime de securitate este avut în vedere un complex de măsuri
tehnice, informatice, organizatorice, logistice, proceduri şi politici de securitate
prin care să se asigure nivelul minim de securitate prevăzut în art. 20 din Legea nr.
677/2001 și luând în considerare cerințele din legislația națională, deciziile
ANSPDCP în acest domeniu și Regulamentul (UE) 2016/679 privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și
privind libera circulație a acestor date.
ALCOS BIOPROD SRL a adoptat măsuri tehnice şi organizatorice
adecvate pentru protejarea datelor cu caracter personal împotriva distrugerilor
accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat.
În acest sens au fost desemnate, la nivelul ALCOS BIOPROD SRL, persoane
responsabile cu respectarea dispoziţiilor Legii nr.677/2001.
ALCOS BIOPROD SRL a luat măsuri de stocare în siguranţă a
informaţiilor privind date cu caracter personal, astfel încât sa fie asigurat un nivel
adecvat de protecţie şi securitate, în sensul Legii 677/2001 al deciziilor ANSPDCP
în acest domeniu și Regulamentul (UE) 2016/679.
Procedură privind folosirea dispozitivelor personale în manipularea datelor cu caracter personal, inclusiv măsurile de siguranță impuse
5
3. Reguli de folosintă a dispozitivelor personale în maniplarea datelor cu
caracter personal, inclusiv măsurile de sigurantă impuse în cadrul
ALCOS BIOPROD SRL
3.1. PROCEDURI SPECIFICE
3.1.1 Procedura specifică de acces, prelucrare și protecție a datelor cu
caracter personal este disponibilă ca anexă a Regulamentului de Ordine Interioară
ALCOS BIOPROD SRL, prin intermediul acesteia este reglementat accesul,
prelucrarea și protecția datelor cu caracter personal în cadrul companiei și prezintă
măsurile de protecţie luate de ALCOS BIOPROD SRL pentru a proteja datele cu
caracter personal, viaţa privată şi alte drepturi fundamentale şi interese legitime ale
persoanelor ale caror date au ajuns în posesia firmei ALCOS BIOPROD SRL.
3.1.2. Reguli referitoare la folosirea dispozitivelor personale în
manipularea datelor cu caracter personal.
Administratorul de sistem este persoana împuternicită să efectueze orice fel
de schimbări hardware/software ale serverelor companiei. Orice fel de schimbare
software/hardware pe serverele companiei, este precedată de un set de măsuri
tehnice de backup a sistemelor pentru a asigura buna funcționalitate în ansamblu a
intregului sistem informatic din cadrul companiei în cazul apariției unei defecțiuni
majore a serverelor în timpul procedurilor de upgrade software/hardware.
Toate dispozitivele de stocare a datelor de backup sunt păstrate în camera
serverelor. Accesul la aceste dispozitive de stocare este controlat și înregistrat
corespunzator prin intermediul sistemului de control acces.
Toate operațiunile de intreținere software și hardware a sistemelor
informatice din cadrul companiei sunt efectuate de personal autorizat de către
conducerea companiei și dupa caz, în funcție de necesități, de către alte companii
în urma semnării unui contract de service și mentenanță.
Toate persoanele care au acces la date cu caracter personal, semnează un
acord de confidențialitate.
În procesul de securizare și protecție a sistemelor informatice unde se
stochează, se manipulează și se prelucrează date personale, criptarea datelor
folosind un algoritm de criptare, alături de toate celelalte măsuri de ordin tehnic și
organizatoric în cadrul ALCOS BIOPROD SRL, protejează informațiile și datele
cu caracter personal de accesul nedorit și de prelucrarea neautorizată și ilegală a
datelor. Toate aceste măsuri referitoare la protecția și securitatea sistemelor
informatice unde se stochează și prelucrează date cu caracter personal utilizând
inclusiv metode specifice de criptare și de pseudonimizare a datelor cu caracter
personal, sunt cuprinse în Procedura privind protecția și securitatea sistemelor
informatice unde se stochează și prelucrează date cu caracter personal -
Procedură privind folosirea dispozitivelor personale în manipularea datelor cu caracter personal, inclusiv măsurile de siguranță impuse
6
disponibilă ca anexă a Regulamentului de Ordine Interioară ALCOS BIOPROD
SRL.
Utilizatorii trebuie să acceseze numai datele cu caracter personal necesare
pentru îndeplinirea atribuţiilor lor de serviciu. Pentru aceasta trebuie să fie stabilite
tipurile de acces după funcţionalitate (administrare, introducere, prelucrare, salvare
etc.) şi după acţiuni aplicate asupra datelor cu caracter personal (scriere, citire,
ştergere), precum şi procedurile privind aceste tipuri de acces.
3.1.3. Măsurile de siguranță impuse în cadrul ALCOS BIOPROD SRL
referitoare la folosirea dispozitivelor personale în manipularea datelor cu
caracter personal.
Măsurile specifice implementate pentru controlul accesului la datele cu
caracter personal, sunt:
- în spaţiile destinate desfăşurării activităţii instituţiei sunt instalate sisteme de
alarmă antiefracţie;
- în spaţiul aferent intrării în cadrul instituţiei și în holurile de acces sunt instalate
sisteme de supraveghere video;
- monitorizarea şi intervenţia în caz de alarmă este asigurată de o firmă de protecţie
şi pază.
Pentru menţinerea securităţii prelucrării datelor cu caracter personal (în
special împotriva viruşilor informatici) sunt luate măsuri privind:
- interzicerea folosirii dispozitivelor personale, inclusiv telefoane mobile, în
manipularea datelor cu caracter personal;
- interzicerea folosirii de către utilizatori a programelor software care provin
din surse neverificate;
- informarea utilizatorilor în privinţa pericolului privind viruşii informatici;
- implementarea unor sisteme automate de tip antivirus și protective
malware şi de securitate a sistemelor informatice;
- dezactivarea posibilității de copiere sau imprimare a datelor cu caracter
personal afișate pe ecran în afara fluxurilor normale de afaceri.
Scoaterea la imprimantă a datelor cu caracter personal se va realiza numai de
utilizatori autorizaţi de către ALCOS BIOPROD SRL pentru această operaţiune.
Nu este permisă scoaterea din instituţie a mediilor de stocare mobile
(CD/DVD, USB Stick, Portable HDD) care conțin date cu caracter personal, decât
cu aprobare prealabilă din partea conducerii instituţiei.
ALCOS BIOPROD SRL ia măsuri ca orice accesare a bazei de date cu
caracter personal să fie înregistrată.
3.1.4 Colectarea datelor
Procedură privind folosirea dispozitivelor personale în manipularea datelor cu caracter personal, inclusiv măsurile de siguranță impuse
7
ALCOS BIOPROD SRL desemnează utilizatori autorizaţi pentru operaţiile
de colectare şi introducere de date cu caracter personal în sistemele informaţionale.
Orice modificare a datelor cu caracter personal trebuie sa se poate face
numai de către utilizatori autorizaţi desemnaţi și să se înregistreze cine a făcut
modificarea datelor cu caracter personal, precum și data şi ora modificării.
Orice modificare a datelor cu caracter personal și orice manipulare a
acestora trebuie facută folosind doar dispozitive tehnice din cadrul ALCOS
BIOPROD SRL.
3.1.5. Execuția copiilor de sigurantă
ALCOS BIOPROD SRL a stabilit intervalul de timp de 1 lună la care se
vor executa copiile de siguranţă ale bazelor de date ce conțin date cu caracter
personal.
Utilizatorii care execută aceste copii de siguranţă sunt numiţi de ALCOS
BIOPROD SRL, într-un număr restrâns.
Accesul la copiile de siguranţă trebuie sa fie monitorizat.
Sistemele care gestionează date cu caracter personal trebuie sa fie protejate
prin procesul de backup periodic împotriva pierderii sau distrugerii datelor sau a
sistemului informatic.
4. GARANTAREA DREPTURILOR PERSOANEI VIZATE
ALCOS BIOPROD SRL garantează că asigură respectarea drepturilor ce
revin persoanelor vizate, conform legii. Toate persoanele implicate în activitatea de
colectare a datelor personale şi cele responsabile de administrarea imaginilor
filmate, vor respecta Procedura specifică de acces, prelucrare și protecție a
datelor cu caracter personal - disponibilă ca anexă a Regulamentului de Ordine
Interioară.