PROCEDURA INTERNĂ

1. SCOP

1.1.Stabilirea unui set unitar de reguli referitoare la organizarea, conducerea si coordonarea activitatilor pe linia protectiei datelor cu caracter personal

1.2. Asigurarea continuitatii activitatilor pe linia protectiei datelor chiar si in conditiile de fluctuatie de personal

1.3.Sprijinirea autoritatilor cu atributiuni de control pe aceasta linie precum si a managerului in luarea deciziei

2. DOCUMENTE DE REFERINTA

1. REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor);

2. LEGEA nr. 129/ 2018 pentru modificarea si completarea LEGII nr. 102 din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal ; .

3. LEGEA nr. 102 din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal;

4. LEGEA nr. 82 din 13 iunie 2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice*);

5. LEGEA nr. 272 din 29 iunie 2006 pentru completarea art. 7 din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice;

6. LEGEA nr. 278 din 15 octombrie 2007 privind aprobarea Ordonanţei de urgenţă a Guvernului nr. 36/2007 pentru abrogarea Legii nr. 476/2003 privind aprobarea taxei de notificare a prelucrărilor de date cu caracter personal, care cad sub incidenţa Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date;

7. LEGEA nr. 506 din 17 noiembrie 2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice;

8. LEGEA nr. 682 din 28 noiembrie 2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizata a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981;

9. ORDONANŢĂ DE URGENŢĂ nr. 13 din 24 aprilie 2012 pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice;

10. ORDONANŢĂ DE URGENŢĂ nr. 131 din 22 septembrie 2005 pentru prorogarea termenului prevăzut la art. 19 alin. (1) din Legea nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal;

11. REGULAMENTUL din 2 noiembrie 2005 de organizare şi funcţionare a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal;

12. Decizia NR. 99 din 18.05.2018 a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

13. LEGE nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).

3. DEFINITII

1. colectarea – strângerea, adunarea ori primirea datelor cu caracter personal prin orice mijloace legale şi din orice sursă;

1. colectarea strângerea, adunarea ori primirea datelor cu caracter personal prin orice mijloace legale şi din orice sursă;
2. înregistrarea consemnarea datelor cu caracter personal într-un sistem de evidenţă automat ori neautomat, care poate fi registru, fişier automat, bază de date sau orice altă formă de evidenţă organizată, structurată ori ad-hoc sau într-un text, înşiruire de date ori document, indiferent de modalitatea în care se înscriu datele;
3. organizarea ordonarea, structurarea sau sistematizarea datelor cu caracter
personal, conform unor criterii prestabilite, potrivit atribuţiilor legale ale operatorului, în scopul eficientizării/optimizării activităţilor de prelucrare a acestora;
4. stocarea păstrarea pe orice fel de suport a datelor cu caracter personal culese, inclusiv prin efectuarea copiilor de siguranţă;
5. adaptarea transformarea datelor cu caracter personal colectate iniţial, conform criteriilor prestabilite şi scopurilor pentru care au fost colectate;
6. modificarea actualizarea, completarea, schimbarea, corectarea ori refacerea datelor cu caracter personal, în scopul menţinerii caracteristicilor de exactitate, realitate, actualitate;
7. extragerea scoaterea unei părţi din categoria specifică de date cu caracter personal, în scopul utilizării acesteia, separat şi distinct de prelucrarea iniţială;
8. consultarea examinarea, vizualizarea, interogarea ori cercetarea datelor cu caracter personal, fără a fi limitate la acestea, în scopul efectuării unei operaţiuni sau set de operaţiuni de prelucrare ulterioară;
9. utilizarea folosirea datelor cu caracter personal, în tot sau în parte, de către şi în interiorul operatorului, împuterniciţilor operatorului ori destinatarului, după caz, inclusiv prin tipărire, copiere, multiplicare, scanare sau orice alte procedee similare;
10. dezvăluirea a face disponibile date cu caracter personal către terţi prin comunicare, transmitere, diseminare sau în orice alt mod;
11. alăturarea adăugarea, alipirea sau anexarea unor date cu caracter personal la cele deja existente, pe care nu le modifică;
12. combinarea îmbinarea, unirea sau asamblarea unor date cu caracter personal separate iniţial, într-o formă nouă, pe baza unor criterii prestabilite, pentru scopuri anume determinate;
13. blocarea întreruperea prelucrării datelor cu caracter personal;
14. ştergerea eliminarea sau înlăturarea, în tot sau în parte, a datelor cu caracter personal din evidenţe sau înregistrări, prin împlinirea termenului de păstrare, la atingerea scopului pentru care au fost introduse, caducitatea, inexistenţa, inexactitatea;
15. transformarea operaţiunea efectuată asupra datelor cu caracter personal având ca scop psedonimizarea ori utilizarea acestora în scopuri exclusiv statistice;
16. distrugerea aducerea la stare de neîntrebuinţare, în condiţiile legii, definitivă şi irecuperabilă, prin mijloace mecanice sau termice, a suportului fizic pe care au fost prelucrate date cu caracter personal.

4. DESCRIEREA PROCEDURII

A.MASURI ORGANIZATORICE A.1.Aspecte generale
Operatorii şi împuterniciţii acestora utilizează sisteme de evidenţă şi/sau mijloace automate şi neautomate de prelucrare a datelor cu caracter personal cu aplicarea principiilor respectării drepturilor omului, legalităţii, necesităţii, confidenţialităţii şi proporţionalităţii şi numai dacă, prin utilizarea acestora, este asigurată protecţia datelor prelucrate. În cadrul activităţii de prelucrare a datelor cu caracter personal, operatorii şi împuterniciţii acestora se supun activităţilor de control prealabil sau de investigare efectuate de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal şi, la cerere, acordă acesteia sprijin deplin pentru exercitarea atribuţiilor sale. Au calitatea de operator, toate instituțiile publice sau persoanele fizice și juridice, dacă indeplinesc cel putin una din urmatoarele conditii: a) stabilesc scopul şi mijloacele de prelucrare a datelor cu caracter personal; b) scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt stabilite printr-un act normativ sau în baza unui act normativ; c) sunt desemnate ca operator printr-un/în baza unui act normativ. Au calitatea de împuterniciţi ai operatorului structurile care prelucrează date cu caracter personal pe seama operatorului. Are calitatea de utilizator al datelor cu caracter personal, denumit în continuare utilizator, personalul operatorului sau al împuternicitului acestuia ale cărui atribuţii de serviciu presupun operaţiuni de
prelucrare a datelor cu caracter personal.
A.2. Organizarea activităţii de prelucrare a datelor cu caracter personal de către SC SUPERMOB DE CASA SRL care are ca activitate principală efectuarea de activități de comerț. Intră în categoria persoanelor vizate : angajaţii proprii și clienții.
SC SUPERMOB DE CASA SRL în calitate de operator, are în principal următoarele obligaţii: a) să notifice Autoritatea naţională de supraveghere potrivit prevederilor Regulamentului, cu modificările şi completările ulterioare; b) să asigure informarea persoanelor vizate şi să respecte drepturile acestora;
c) să ia măsurile necesare pentru a asigura securitatea prelucrării datelor cu caracter personal;d) să elaboreze Proceduri proprii privind măsurile de protecţie a persoanelor cu privire la prelucrarea datelor cu caracter personal;
A.4. Administratorul SC SUPERMOB DE CASA SRL are în principiu, următoarele atribuţii principale:
a) stabileste scopul şi mijloacele de prelucrare a datelor cu caracter personal atunci când acestea sunt necesare pentru exercitarea unor competenţe legale,
b) asigură elaborarea procedurilor proprii şi, după avizarea acestora de către responsabilul cu protecţia datelor personale, le aprobă;
c) asigură implementarea şi veghează la respectarea normelor procedurale în materia prelucrării datelor cu caracter personal de către utilizatori;
d) asigură desfăşurarea pregătirii de specialitate şi instruirea utilizatorilor în acest domeniu; e) dispune măsuri de completare sau, după caz, de modificare a fişei posturilor utilizatorilor; f) analizează şi dispune în ceea ce priveşte suspendarea sau revocarea dreptului de acces al utilizatorilor la sisteme de evidenţă a datelor cu caracter personal, în condiţiile legii;
A.5. Utilizatorii au următoarele obligaţii specifice:
a)să cunoască şi să aplice prevederile actelor normative din domeniul prelucrării datelor cu caracter personal;
b) să informeze persoana vizată atunci când datele cu caracter personal sunt colectate direct de la aceasta, în condiţiile legii, cu privire la: identitatea operatorului, scopul în care se face prelucrarea datelor, destinatarii sau categoriile de destinatari ai datelor, obligativitatea furnizării tuturor datelor cerute şi consecinţele refuzului de a le pune la dispoziţie, drepturile prevăzute de lege, în special drepturile de acces, de intervenţie asupra datelor şi de opoziţie, condiţiile în care pot fi exercitate aceste drepturi, respectiv să ofere orice alte informaţii a căror furnizare este impusă prin dispoziţii ale Autorităţii naţionale de supraveghere si in confirmitate cu exercitarea dreptului de informare prevazut in Regulamentul 679/2016, ţinând seama de specificul prelucrării;
c) să prelucreze numai datele cu caracter personal necesare îndeplinirii atribuţiilor de serviciu şi să acorde sprijin responsabilului cu protecţia datelor cu caracter personal pentru realizarea
activităţilor specifice ale acestuia;
d) să păstreze confidenţialitatea datelor prelucrate, a contului de utilizator, a parolei/codului de acces la sistemele informatice/baze de date prin care sunt gestionate date cu caracter personal;
e)să respecte măsurile de securitate, precum şi celelalte reguli stabilite de operator, inclusiv cele stabilite prin proceduri proprii;
f) să informeze de îndată conducerea operatorului despre împrejurări de natură a conduce la o diseminare neautorizată de date cu caracter personal sau despre o situaţie în care au fost accesate/prelucrate date cu caracter personal prin încălcarea normelor legale, despre care a luat la cunoştinţă.Pentru fiecare utilizator, fişa postului se completează în mod corespunzător cu atribuţiile de mai sus, inscriindu-se bazele de date la care au acces si prelucrarile pe care sunt autorizati să le efectueze.
B. REGULI PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL
Înainte de începerea activităţilor de prelucrare a datelor cu caracter personal, utilizatorul trebuie să semneze o declaraţie pe propria răspundere privind respectarea normelor de protecţie a acestor date.
Utilizatorul poate prelucra date cu caracter personal doar pe perioada în care ocupă funcţia respectivă.
SC SUPERMOB DE CASA SRL în calitate de operator, poate permite, în condiţiile legii, prelucrarea datelor cu caracter personal de către funcţionarii unui alt operator, pe perioada necesară îndeplinirii unor atribuţii de serviciu.
În acest sens, este obligatorie încheierea unui protocol de cooperare care să prevadă că prelucrarea datelor cu caracter personal se face cu respectarea drepturilor persoanelor vizate, respectiv condiţiile de securitate stabilite de către operatorul care gestionează sau administrează sistemul de evidenţă a datelor cu caracter personal.
Cazuri de suspendare a dreptului de acces al utilizatorului la sistemul de evidenţă a datelor cu caracter personal:
a) urmează un curs sau o specializare cu scoatere din program;
b) se află în concediu fără plată, concediu medical, concediu pentru creşterea sau îngrijirea copilului minor;
c) se află în concediu de maternitate sau concediu pentru incapacitate temporară de muncă;d) pe perioada cercetării, în situaţia în care faţă de utilizator se efectuează cercetări referitoare la prelucrarea datelor cu caracter personal cu încălcarea dispoziţiilor legale;
e) alte cazuri prevăzute de lege.
Registrul de evidenţă a sistemelor de evidenţă a datelor cu caracter personal
La nivelul SC SUPERMOB DE CASA SRL în calitate de operator, se constituie Registrul de evidenţă a sistemelor de evidenţă a datelor cu caracter personal, in conformitate cu prevederile
Regulamentului 679/2016.
Registrul se constituie şi în format electronic.
Planurile de pregătire la nivelul operatorului conţin teme privind cunoaşterea legislaţiei naţionale şi a acquis-lui comunitar în materia prelucrării datelor cu caracter personal, precum şi teme specifice privind riscurile pe care le comportă prelucrarea datelor şi măsurile minime de securitate, în funcţie de specificul activităţii fiecărui operator.Periodic se realizează instructaje cu utilizatorii pentru cunoaşterea procedurilor specifice de lucru instituite la nivelul fiecărui operator.
Instructajele se efectuează în mod obligatoriu la modificarea cadrului legal în materie, iar prelucrarea incidentelor se va realiza cu întregul personal al operatorului.
Utilizatorii trebuie să fie instruiţi periodic cu privire la riscurile generate de vulnerabilităţi şi ameninţări informatice.
Prelucrarea datelor cu caracter personal
Prelucrarea datelor cu caracter personal se poate realiza prin mijloace automate sau
neautomate în cadrul unor operaţiuni ori seturi de operaţiuni, fără a fi limitate la acestea, după cum
urmează:colectarea
-înregistrarea, organizarea, stocarea, adaptarea, modificarea, extragerea, consultarea, utilizarea, dezvăluirea, alăturarea, combinarea, blocarea, ştergerea, transformarea, distrugerea.
Colectarea datelor cu caracter personal se poate face direct de la persoana vizată sau prin surse specifice, care pot fi, dar fără a se limita la: activitatea proprie a operatorului sau a împuterniciţilor acestuia, consultarea directă a unor sisteme de evidenţă a datelor cu caracter personal constituite de alţi operatori ori schimbul de date şi informaţii cu alţi operatori, naţionali sau internaţionali, cu respectarea drepturilor persoanelor vizate şi instituirea unor măsuri adecvate de securitate a prelucrărilor.
Informarea persoanei vizate se realizează în condiţiile şi cu excepţiile prevăzute de lege, cu privire la cel puţin următoarele informaţii:
a) identitatea operatorului, a împuternicitului acestuia şi, dacă este cazul, numărul atribuit de Autoritatea naţională de supraveghere,
b) scopul în care se face prelucrarea datelor cu caracter personal;
c) destinatarii sau categoriile de destinatari ai datelor;
d) dacă furnizarea tuturor datelor cerute este obligatorie şi consecinţele refuzului de a le furniza;
e) existenţa drepturilor persoanei vizate, în special a drepturilor de acces, de stergere, restrictionare, rectificare, portabilitate asupra datelor şi de opoziţie, precum şi condiţiile de exercitare a acestor drepturi;
f) orice alte informaţii a căror furnizare este impusă prin decizii/instrucţiuni ale Autorităţii naţionale de supraveghere si prin Regullamentul 679/2016, ţinând seama de specificul prelucrării.
Stocarea datelor cu caracter personal se realizează în condiţiile stabilite prin actul normativ care reglementează scopul prelucrării şi potrivit regulilor generale de arhivare a documentelor.

C. SCOPURI DE PRELUCRARE A DATELOR CU CARACTER PERSONAL

SC SUPERMOB DE CASA SRL şi împuterniciţii sai prelucrează date cu caracter personal în scopuri de organizare, gestiune economico-financiară şi administrativă privind proprii angajaţi şi locatari, situatie în care se stabilesc condiţiile concrete de asigurare a securităţii prelucrărilor, precum şi de informare a persoanelor vizate privind drepturile acestora.Datele cu caracter personal astfel

prelucrate se şterg sau se distrug după realizarea scopului în care au fost prelucrate, cu respectarea legislaţiei pe linie de arhivistică.

Stocarea acestor date pentru o perioadă mai mare decât cea necesară realizării scopului se

poate efectua numai pentru interes statistic, după ce au fost transformate în date anonime.

Scopurile prelucrarii datelor cu caracter personal de catre SC SUPERMOB DE CASA SRL sunt:

  • –  efectuare acte de comerț cu obiecte de mobilier,
  • –  îndeplinirii clauzelor contractului de muncă,
  • –  descărcarea de obligațiile stabilite prin lege sau prin acorduri colective,
  • –  gestionarea, planificarea și organizarea muncii,
  • –  egalitatea și diversitatea la locul de muncă,
  • –  asigurarea sănătății și securității la locul de muncă,
  • –  protejarea proprietății,
  • –  exercitarea și beneficierea, în mod individual sau colectiv, de drepturile și beneficiile legate de ocuparea unui loc de muncă,
  • –  încetarea raporturilor de muncă, pana la finalizarea perioadei prevazuta de lege.

Consimtamantul de prelucrare a datelor cu caracter personal se iau in conditiile prevazute de Regulamentul UE nr. 679/2016.

SC SUPERMOB DE CASA SRL nu efectueaza transfer de date cu caracter personal si

prelucreaza date cu caracter special doar în scopuri prevazute de legislatia administrării de condominii, a muncii, a sanatatii si sigurantei muncii.
La nivelul operatorului drepturile persoanelor vizate se exercita în conformitate cu Ghidul elaborat in acest scop.

D.MĂSURI TEHNICE LUATE DE SC SUPERMOB DE CASA SRL ÎN CALITATE DE OPERATOR PENTRU PROTECȚIA DATELOR CU CARACTER PERSONAL Cu ocazia proiectării, întreţinerii, actualizării aplicaţiilor de gestiune a bazelor de date, se interzice accesul programatorilor/personalului de întreţinere a sistemelor informatice la orice fel de date cu caracter personal deţinute/create/accesate de personalul din structura/unitatea
respectivă. În aceste situaţii, se pun la dispoziţia programatorilor/personalului de întreţinere numai date anonime.
În această situaţie, răspunderea pentru păstrarea confidenţialităţii datelor aparţine persoanelor în cauză, sens în care trebuie să se incheie document de desemnare ca persoana imputernicita a operatorului si sa se semneze angajamente de confidenţialitate aferente. Bazele de date cu caracter personal deţinute/create şi programele folosite sunt salvate, prin copii de siguranţă, la un interval de 2 luni. SC SUPERMOB DE CASA SRL ţine evidenţa copiilor de siguranţă. Copiile de siguranţă sunt stocate și păstrate în siguranță. În exercitarea atribuţiilor legale, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal are acces la copiile de siguranţă. Accesul în încăperile în care se află echipamente care prelucrează date cu caracter personal este strict limitat de conducătorul operatorului şi numai pentru îndeplinirea atribuţiilor de serviciu. În cazul în care nu se poate restricţiona accesul în aceste încăperi, echipamentele se securizează cu chei sau parole de acces. Terminalele de acces folosite în relaţia cu publicul se poziţionează astfel încât datele afişate să fie vizualizate doar de catre utilizatori. Pentru prelucrările efectuate în sistemele de evidenţă automate,
aplicaţia trebuie să înregistreze orice accesare într-un fişier de acces.
împrejurările producerii acesteia, luând măsurile ce se impun. Pentru ţinerea evidenţei operaţiunilor de consultare a datelor cu caracter personal conţinute în sisteme de evidenţă neautomate-manuale, se instituie Registrul de evidenţă a prelucrarii datelor cu caracter personal. SC SUPERMOB DE CASA SRL dispune luarea măsurilor tehnice adecvate pentru identificarea eventualelor disfuncţionalităţi în ceea ce priveşte funcţionarea sistemelor de comunicaţii. – dispune măsurile necesare de securitate a sistemului de comunicaţii pentru înlăturarea posibilităţii de diseminare neautorizată sau interceptare a transmisiilor de date. În acest scop se poate folosi inclusiv transmisia criptată a datelor cu caracter personal.– dispune măsurile necesare în vederea instituirii şi menţinerii unui nivel suficient de securitate a prelucrării datelor cu caracter personal, care vor consta cel puţin în:
a) interzicerea instalării de către personalul operatorului a altor programe software în afara celor configurate de personalul autorizat, pentru îndeplinirea atribuţiilor de serviciu;
b) configurarea porturilor de acces la mediile de stocare pentru fiecare staţie de lucru şi a comenzilor care permit salvarea sau listarea documentelor, în mod adecvat, pentru categoriile de
operaţiuni efectuate de fiecare utilizator, în strictă legătură cu îndeplinirea atribuţiilor de serviciu ale acestuia;
c) implementarea unor aplicaţii automate de contracarare a vulnerabilităţilor şi ameninţărilor informatice şi de securitate a sistemelor informatice.
Toate documentele care conţin date cu caracter personal se înregistrează şi urmează regulile de păstrare, procesare, multiplicare, transport, transmitere, distrugere şi arhivare stabilite prin dispoziții ale operatorului.
Prezenta procedură va fi completată prin anexe ori de câte ori va fi necesar, în funcție de măsurile tehnice și organizatorice adoptate în cadrul organelor decizionale.

Ghid pentru exercitarea drepturilor de către persoanele ale căror date cu caracter personal sunt prelucrate de catre operatorul