Politica de securitate a datelor cu caracter personal
Regulamentul (EU) 2016/679 privind protecția datelor (RGPD) se aplica direct în cadrul Statelor membre dupa data de 25 mai 2018.
Prezentul document a fost intocmit in scopul de a defini politica privitoare la securizarea datelor personale, practicata de catre operatorul de date cu caracter personal Rainbow Vision Go S.R.L. si de a asigura conformitatea pastrarii si utilizarii datelor cu prevederile Regulamentului(EU) nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecţia Datelor)
Conform documentului mentionat (cap.Definiţii, pct 12), „încălcarea securităţii datelor cu caracter personal” este definita ca fiind o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
Avand in vedere faptul ca Rainbow Vision Go S.R.L. efectueaza prelucrari pe care Regulamentul 679/2016 le defineste ca fiind ,,pe scara larga”, in scopul de a oferi datelor clientilor si colaboratorilor ei un nivel de securitate a datelor personale cat mai ridicat, Rainbow Vision Go S.R.L a stabilit proceduri privind pastrarea datelor cu caracter personal.
In acest sens:
- Am stabilit cu exactitate care sunt datele pe care le prelucram, modurile de prelucrare si compartimentele care folosesc date personale
- Ne-am asigurat ca datele prelucrate nu sunt supuse colectarii excesive avand in vedere scopul prelucrarii
- Am identificat toti destinatarii datelor cu caracter personal si am stabilit cu claritate modul in care acestia intra in contact cu datele prelucrate
- Am consideratposibilele riscuri cu privire la securitatea datelor si am evaluat impactul asupra protectiei datelor.
- Am intocmit proceduri pentru situatii care au legatura cu securitatea datelor
- Am intocmit, pentru a controla cu usurinta modul in care sunt prelucrate datele, registrul de evidenta al prelucrarii datelor, care contine urmatoarele elemente:
- Scopurile pentru care au fost colectate;
- Categoriile de persoane în cauză;
- Categoriile de date cu caracter personal;
- Categoriile de destinatari;
- Transferurile către o țară terță sau o organizație internațională;
- Termenul prevăzut pentru ștergere;
- Descrierea generală a măsurilor de securitate tehnice și organizatorice.
- Am stabilit conditiile de acces si utilizare a programelor IT(firewall, parole individuale si puternice pentru acces, autorizatii) care gestioneaza bazele de date cu caracter personal
- Am luat masuri organizatorice pentru a ne asigura ca nu exista riscul prelucrarii neautorizate, ilegale, pierderii sau distrugerii accidentale sau ilegale si ne-am asigurat impotriva oricaror daune accidentale sau ilegale.
- Am stabilit persoanele care se ocupa de verificarea securitatii sistemelor de stocare a datelor si de descoperirea posibilelor brese de securitate
- Am instruit personalul(contabilitate, resurse umane, expeditii etc.) si colaboratorii pentru aplicarea standardelor interne si a procedurilor referitoare la pastrarea datelor personale
- Am stabilit sarcini specifice personalului care ia contact cu datele personale, in sensul limitarii colectarii datelor la cele care sunt absolut necesare in indeplinirea sarcinilor de serviciu
In situatia sesizarii unor brese sau incidente de securitate, personalul Rainbow Vision Go S.R.L. este instruit sa sisteze activitatile de prelucrare, pana la descoperirea cauzelor incidentului de securitate, compartimentelor afectate, limitele incidentului, consecintele acestuia si recuperarea datelor in scopul de a reveni la situatia anterioara.
Breșele de securitate pot avea cauze diferite: de la nefuncționarea sau funcționarea necorespunzătoare a sistemelor informatice până la erori umane. Un studiu al autorităților de supraveghere a datelor personale privind breșele de securitate arată că cele mai multe incidente de securitate se datorează erorilor umane: situații în care documente sau fisiere conținând date cu caracter personal sunt uitate ori pierdute.
Daca avem un grad de certitudine rezonabil ca s-a produs o incalcare a securității prelucrării datelor personale, analizam in ce masura incidentul de securitate poate afecta datele personale si daca afectarea este semnificativa, raportăm incidentul de securitate catre managerul companiei noastre, catre responsabilul cu protectia datelor si, daca este cazul, catre autoritatea de supraveghere pentru protectia datelor si catre persoanele vizate de incident (prin e-mail, sms, verbal, in scris etc). Nu orice breșă de securitate trebuie notificată autorității de supraveghere, ci doar cea care, in urma analizei de caz, genereaza riscuri majore pentru drepturile si libertatile persoanelor vizate.
În cazurile în care notificarea autorității este obligatorie, aceasta trebuie făcută „fără întârziere”, de principiu nu mai târziu de 72 de ore de la data la care operatorul a luat la cunoștință de existența breșei.
In scurt timp, procedam la descoperirea si remedierea cauzelor care au stat la baza incidentului si limitam producerea consecintelor nedorite.
Intrerupem operarea datelor personale si daca o persoana ridica o obiectie relativ la acestea.
In scop preventiv, am stabilit posibilele consecinteale incidentului de securitate:
- distrugerea accidentala sau ilegala a datelor personale,
- pierderea accidentală sau ilegală a controlului datelor cu caracter personal,
- pierderea accidentală sau ilegală a accesului la datele cu caracter personal,
- alterarea accidentală sau ilegală a datelor cu caracter personal,
- divulgarea neautorizată a datelor cu caracter personal,
- acces neautorizat la datele cu caracter personal.
Avand in vedere cunosterea si evaluarea acestora, depunem toate eforturile pentru atenuarea riscului imediat de producere a unui prejudiciu.
Nu suntem obligați să vă informăm direct dacă:
- am luat măsuri pentru a face ca datele dvs. personale să nu poata fi accesate de orice persoana neautorizata,
- imediat după incidentul de securitate, am luat măsuri pentru a ne asigura că riscul ridicat pentru drepturile și libertățile dvs. nu mai este posibil să se producă sau
- ar implica eforturi disproporționate, caz in care vă vom informa prin intermediul altor posibilitati de contactare (tel, mail, posta etc.).
Practic, accesul la produsele si serviciile noastre si vanzarea acestora se face in baza deschiderii unui cont si este protejat de parole. Recomandam sa nu dezvaluiti nimanui parola si sa va delogati in momentul in care nu mai folositi contul. Va sfatuim de asemenea sa inchideti fereastra browserului in care ati lucrat la sfarsitul navigarii dvs. in site-urile sau serviciile furnizate de Rainbow Vision Go S.R.L.
Din pacate, nici o transmisie de date prin intemediul internetului nu poate fi garantata ca sigura in proportie de 100%. In consecinta, in ciuda eforturilor noastre de a va proteja informatia personala, Rainbow Vision Go S.R.L. nu poate asigura sau garanta securitatea informatiilor transmise de dvs. catre noi, catre si de la serviciile noastre online sau produsele noastre. Va avertizam asadar ca orice informatie trimisa catre noi se va face pe propriu dvs. risc.
In momentul in care vom primi informatiile transmise de dvs.insa, garantam ca vom depune toate eforturile pentru a asigura securitatea acestora in sistemele noastre, conform standardelor de securitate impuse de legislatia romana in vigoare si contractelor sau acordurilor de colaborare pe care le incheiem cu cei care proceseaza datele in interesul nostru. Imputernicitii nostri, chiar daca proceseaza date pentru noi, au obligatia legala de a le procesa in conditii de deplina securitate.
Protectia fizica a datelor, o realizam prin: limitarea accesului in spatiile, computerele unde se afla bazele de date; limitarea accesului la arhivele si documentele care contin date personale; instalarea de sisteme de alertare sau monitorizare in spatiile unde sunt bazele de date.
Am stabilit coduri de acces individuale pentru persoanele autorizate sa foloseasca datele si pentru a impiedica accesul persoanelor neautorizate la zonele de prelucrare a datelor.
In vederea prevenirii citirii, copierii, modificarii sau eliminarii suportului de date in mod neautorizat, am stabilit persoanele care pot accesa bazele de date; am eliminat permisiunile de acces invechite; am stabilit, parole de acces puternice, pe care le schimbam in mod regulat; am asigurat mijloace de criptare pentru laptop-uri si dispozitive de stocare (chei USB, CD-uri, DVD-uri etc.); am configurat copii de rezerva periodice si am stocat materialele de rezerva intr-un singur loc.
Controlam stocarea datelor prin accesul doar al persoanelor desemnate anume sa le stocheze, pe baza atribuirii unei identitati individuale de utilizator si al unui cod de acces confidential acestor persoane; nicio alta persoana nu poate introduce date in sistem.
Pentru a permite exercitarea drepturilor persoanelor vizate (”dreptul de a fi uitat”, dreptul de acces la informații, dreptul de a fi informat etc) ne-am asigurat că personalul desemnat cu servicii de gestiune a datelor cunoaste locația fizică a fiecărui server prin care administrează bazele de date în discuție.Aceasta se impune întrucât documentele electronice sunt mai greu de găsit decât documentele în format fizic, primele putând fi transferate prin sisteme backup, arhive sau către terțe părți/entități (ex., Dropbox).
În același scop (i.e., exercitarea drepturilor de către persoanele vizate), vom impune revizuirea protocoalelor de backup și stocare utilizate de către prestatorii de servicii de gestiune a datelor cu care colaboram in domeniul securitatii datelor.
Determinarea locației exacte a serverelor este utilă și pentru a determina legislația aplicabilă diferitelor operațiunii.
Nu permitem intrarea in sistem, citirea sau transferul datelor decat a persoanelor desemnate de lege in acest sens si numai daca exista o obligatie legala in acest sens. Daca este necesara transmiterea datelor, nu o permitem decat prin utilizarea unor tehnici corespunzatoare de criptare, care asigura controlul transportului de date.
Monitorizam tot timpul eficacitatea masurilor de securitate sus-mentionate si luam masuri de organizare necesare referitoare la monitorizarea interna pentru a asigura conformitatea cu Regulamentul.
Toti colaboratorii nostri sunt obligati, prin acord, sa ia aceste masuri.
Efectuarea de operatiuni neautorizate asupra datelor pe care le detinem si tentativa de efectuare a acestora, incluzand: utilizarea abuziva, utilizarea frauduloasa, accesul neautorizat, modificarea, copierea de informatii in vederea comercializarii lor, blocarea accesului si altele de acest gen, vor fi pedepsite conform legii.
Prezenta politica de securitate se intregeste cu prevederile specifice ale Regulamentului 679/2016, precum si cu procedurile interne pe care le-am dezvoltat pentru situatii care au legatura cu securitatea datelor.