Politica de confidențialitate

Cerinte minime de securitate a prelucrarilor de date cu caracter personal
Număr Registrul General: 0009259

Cerinţele minime de securitate a prelucrărilor de date cu caracter personal al SC CHOCOLATE BROWN SRL, denumit în continuare operator, acoperă următoarele aspecte:

1. Identificarea şi autentificarea utilizatorului
Identificarea se face prin introducerea codului de identificare de la tastatură (un şir de caractere), cu propriul său cod de identificare.

Codurile de identificare (sau conturi de utilizator) nefolosite o perioadă mai îndelungată vor fi dezactivate şi distruse după un control prealabil intern al operatorului. Perioada după care codurile sunt dezactivate şi distruse este 30 de zile.

Contul de utilizator este însoţit de o modalitate de autentificare.

Autentificarea se face prin introducerea unei parole. Parolele sunt şiruri de caractere. Cu cât şirul de caractere este mai lung, cu atât parola este mai greu de aflat. La introducerea parolelor acestea nu sunt afişate în clar pe monitor. Parolele vor fi schimbate periodic. Schimbarea periodică a parolelor se face numai de către utilizatori autorizaţi de operator.

Operatorul a realizat un sistem informaţional, care refuză automat accesul unui utilizator după 5 introduceri greşite ale parolei.

Orice utilizator care primeşte un cod de identificare şi un mijloc de autentificare păstrează confidenţialitatea acestora şi răspunde în acest sens în faţa operatorului.

SC CHOCOLATE BROWN SRL a stabilit o procedură proprie de administrare şi gestionare a conturilor de utilizator.

Operatorul va revoca sau va suspenda un cod de identificare şi autentificare, dacă utilizatorul acestora şi-a dat demisia ori a fost concediat, şi-a încheiat contractul, a fost transferat la alt serviciu şi noile sarcini nu îi solicită accesul la date cu caracter personal, a abuzat de codurile primite sau dacă va absenta o perioadă îndelungată stabilită de entitate.

Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se va face pe baza unei liste aprobate de conducerea entităţii.

2. Tipul de acces

Utilizatorii accesează numai datele cu caracter personal necesare pentru îndeplinirea atribuţiilor lor de serviciu. Pentru aceasta operatorul a stabilit tipurile de acces după funcţionalitate (cum ar fi: administrare, introducere, prelucrare, salvare etc.) şi după acţiuni aplicate asupra datelor cu caracter personal (cum ar fi: scriere, citire, ştergere), precum şi procedurile privind aceste tipuri de acces.

Programatorii sistemelor de prelucrare a datelor cu caracter personal nu au acces la datele cu caracter personal. Operatorul permite accesul programatorilor la datele cu caracter personal după ce acestea au fost transformate în date anonime.

Compartimentul care asigură suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea unor cazuri excepţionale.

Pentru activitatea de pregătire a utilizatorilor sunt folosite date anonime.

Operatorul a stabilit modalităţile stricte prin care se vor distruge datele cu caracter personal. Autorizarea pentru această prelucrare de date cu caracter personal este limitată la un singur utilizator.

3. Colectarea datelor

Operatorul desemnează utilizatori autorizaţi pentru operaţiile de colectare şi introducere de date cu caracter personal într-un sistem informaţional.

Orice modificare a datelor cu caracter personal se poate face numai de către utilizatori autorizaţi desemnaţi de operator.

Operatorul a luat măsuri pentru ca sistemul informaţional să înregistreze cine a făcut modificarea, data şi ora modificării. Pentru o mai bună administrare operatorul a luat măsuri ca sistemul informaţional să menţină datele şterse sau modificate.

4. Execuţia copiilor de siguranţă

Operatorul va stabili intervalul de timp la care se vor executa copiile de siguranţă ale bazelor de date cu caracter personal, precum şi ale programelor folosite pentru prelucrările automatizate. Utilizatorii care execută aceste copii de siguranţă sunt numiţi de operator, într-un număr restrâns. Copiile de siguranţă se vor stoca în alte camere.

Operatorul ia măsuri ca accesul la copiile de siguranţă să fie monitorizat.

5. Computerele şi terminalele de acces

Computerele sunt instalate în încăperi cu acces restricţionat, în încăperi care se pot încuia.

Când pe ecran apar date cu caracter personal asupra cărora nu se acţionează o perioadă dată, stabilită de operator, sesiunea de lucru se închide automat. Mărimea acestei perioade se determină în funcţie de operaţiile care trebuie executate.

6. Fişierele de acces

Operatorul a luat măsuri ca orice accesare a bazei de date cu caracter personal să fie înregistrată într-un fişier de acces (numit log la prelucrările automate) sau într-un registru pentru prelucrările manuale de date cu caracter personal, stabilit de operator.

Informaţiile înregistrate în fişierul de acces sau în registru sunt:

codul de identificare (numele utilizatorului pentru bazele de date cu character personal manuale);
numele fişierului accesat (fişei);
numărul înregistrărilor efectuate;
tipul de acces;
codul operaţiei executate sau programul folosit;
data accesului (an, lună, zi);
timpul (ora, minutul, secunda).
Pentru prelucrările automate aceste informaţii vor fi stocate într-un fişier de acces general sau în fişiere separate pentru fiecare utilizator. Orice încercare de acces neautorizat va fi, de asemenea, înregistrată.

Operatorul este obligat să păstreze fişierele de acces cel puţin 2 ani, pentru a fi folosite ca probe în cazul unor investigaţii. Dacă investigaţiile se prelungesc, aceste fişiere se vor păstra atât timp cât se va considera necesar.

Fişierele de acces trebuie să facă posibilă identificarea de către operator sau de către persoana împuternicită a persoanelor care au accesat date cu caracter personal fără un motiv anume, în vederea aplicării unor sancţiuni sau a sesizării organelor competente.

7. Sistemele de telecomunicaţii

Operatorul este obligat să facă periodic controlul autentificărilor şi tipurilor de acces pentru detectarea unor disfuncţionalităţi în ceea ce priveşte folosirea sistemelor de telecomunicaţii.

Operatorul se obligă să conceapă sistemul de telecomunicaţii astfel încât datele cu caracter personal să nu poată fi interceptate sau transmise de oriunde.

Dacă sistemul de telecomunicaţii nu poate fi astfel securizat, operatorul se obligă să impună folosirea metodei de criptare pentru transmisia datelor cu caracter personal.

Prin sistemele de telecomunicaţii se vor transmite numai datele cu caracter personal strict necesare.

8. Instruirea personalului

În cadrul cursurilor de pregătire a utilizatorilor operatorul se obligă să facă informarea acestora cu privire la prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, la cerinţele minime de securitate a prelucrărilor de date cu caracter personal, precum şi cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal, în funcţie de specificul activităţii utilizatorului.

Utilizatorii care au acces la date cu caracter personal vor fi instruiţi de către operator asupra confidenţialităţii acestora şi vor fi avertizaţi prin mesaje care vor apărea pe monitoare în timpul activităţii. Utilizatorii sunt obligaţi să îşi închidă sesiunea de lucru atunci când părăsesc locul de muncă.

9. Folosirea computerelor

Pentru menţinerea securităţii prelucrării datelor cu caracter personal (în special împotriva viruşilor informatici) operatorul a luat măsuri care constau în:

interzicerea folosirii de către utilizatori a programelor software care provin din surse externe sau dubioase;
informarea utilizatorilor în privinţa pericolului privind viruşii informatici;
implementarea unor sisteme automate de devirusare şi de securitate a sistemelor informatice;
dezactivarea a tastei „Print screen”, atunci când sunt afişate pe monitor date cu caracter personal, interzicându-se astfel scoaterea la imprimantă a acestora.

10. Imprimarea datelor

Scoaterea la imprimantă a datelor cu caracter personal se va realiza numai de utilizatori autorizaţi pentru această operaţiune de către operator. Operatorii sunt obligaţi să aprobe proceduri interne specifice privind folosirea şi distrugerea acestor materiale.

SC CHOCOLATE BROWN SRL îşi aprobă propriul sistem de securitate, ţinând seama de aceste cerinţe minime de securitate a prelucrărilor de date cu caracter personal, iar în funcţie de importanţa datelor cu caracter personal prelucrate, îşi impune măsuri de securitate suplimentare.