Politica de prelucrare a datelor personale
Protectia datelor dumneavoastra cu caracter personal este foarte importanta pentru CIEL Romania S.R.L. (denumita in continuare “NextUp” sau “operatorul”), persoana juridica romana, cu sediul in Bd. Unirii, nr. 11, Bl. 2B, Parter şi etaj 1, Sector 4, Bucuresti, inregistrata la ONRC Bucuresti sub nr J40/15269/1991 si CUI RO1597803.
Ne dorim ca dumneavoastra sa fiti informat corespunzator cu privire la modul si scopurile in care NextUp prelucreaza datele dumneavoastra cu caracter personal.
Scopul acestei Politici de Securitate a Prelucrarii Datelor cu Caracter Personal (denumita in continuare „Politica de Securitate”) este de a stabili masurile tehnice si organizatorice adecvate si responsabilitatile angajatilor NextUp cu atributii de prelucrare a datelor cu caracter personal si/sau, dupa caz, ale persoanelor imputernicite de NextUp, pentru indeplinirea obligatiilor referitoare la garantarea si protejarea drepturilor si libertatilor fundamentale ale persoanelor fizice, in special a dreptului la viata intima, familiala si privata, cu privire la prelucrarea datelor cu caracter personal.
In cazul in care constatati orice erori intervenite in furnizarea datelor cu caracter personal care va privesc, va rugam sa ne informati in cel mai scurt timp posibil, folosind oricare dintre mijloacele indicate in sectiunea 7 din prezenta Politica de Securitate.
- Principiile prelucrarii datelor cu caracter personal
1.1. Datele cu caracter personal sunt prelucrate de NextUp cu buna-credinta si in conformitate cu dispozitiile legale in vigoare.
1.2. Datele cu caracter personal sunt colectate de NextUp in scopuri bine determinate, explicite si legitime, iar prelucrarea ulterioara nu va fi incompatibila cu aceste scopuri.
1.3. Datele cu caracter personal sunt adecvate, pertinente si neexcesive prin raportare la scopul in care sunt colectate si ulterior prelucrate.
1.4. Datele cu caracter personal nu se stocheaza de NextUp pentru o perioada mai lunga decat este necesar pentru realizarea scopurilor in care au fost colectate.
1.5. NextUp a luat masuri tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii, accesului neautorizat sau oricarei alte forme de prelucrare ilegala, precum si cu privire la stergerea sau rectificarea datelor inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate si pentru care vor fi ulterior prelucrate.
- Categoriile de date si scopul utilizarii datelor cu caracter personal
Datele cu caracter personal la care se face referire in prezenta Politica de Securitate includ elemente de identificare de tipul nume si prenume, numele si prenumele reprezentantilor legali, telefon/fax, adresa de domiciliu/resedinta, adresa de e-mail, loc de munca, profesie, formare profesionala – diplome – studii, date bancare sau altele asemenea, care servesc la identificarea dumneavoastra sau a persoanelor care va reprezinta ori pe care le reprezentati.
NextUp va colecta, utiliza, prelucra si furniza datele personale oferite de dumneavoastra in scopuri precum reclama, marketing si organizarea de cursuri, seminarii, alte evenimente in scop educational pentru organizarea programelor de formare profesionala, pentru emiterea oricaror documente financiar-contabile, incheierea de contracte ori alte acte necesare in activitatea NextUp.
Datele personale sunt destinate utilizarii de catre NextUp si sunt colectate prin persoane desemnate in acest sens. O parte din aceste date pot fi comunicate catre parteneri contractuali ai NextUp.
Colectarea si prelucrarea datelor cu caracter personal ale minorilor de catre NextUp se vor face doar cu acordul explicit al parintilor sau al altor reprezentanti legali.
- Reguli generale
3.1. Prezenta Politica de Securitate stabileste masuri tehnice si organizatorice implementate de NextUp, pentru indeplinirea obligatiilor referitoare la confidentialitatea si securitatea prelucrarilor efectuate in cadrul activitatii sale.
3.2. NextUp a adoptat masuri tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal impotriva distrugerilor accidentale sau ilegale, pierderii, modificarii, dezvaluirii, accesului neautorizat sau oricarei alte forme de prelucrare ilegala. In acest sens, este desemnata, la nivelul NextUp, o persoana responsabila cu respectarea dispozitiilor Regulamentului 679/2016.
3.3. Pentru indeplinirea prevederilor legale aferente si in vederea satisfacerii cerintelor psstrarii in siguranta a datelor si informatiilor, NextUp a elaborat si implementat masuri organizatorice si tehnice orientate pe anumite directii de actiune:
- Identificarea si autentificarea utilizatorului;
- Tipul de acces;
- Colectarea datelor;
- Executia copiilor de siguranta;
- Computerele si terminalele de acces;
- Fisierele de acces;
- Instruirea personalului;
- Sistemele de telecomunicatii;
- Folosirea computerelor;
- Imprimarea datelor.
- Proceduri specifice
4.1. Identificarea si autentificarea utilizatorului
Prin utilizator se intelege orice persoana care actioneaza sub autoritatea NextUp sau a persoanei imputernicite de NextUp, cu drept recunoscut de acces la bazele de date cu caracter personal.
Pentru a dobandi acces la date cu caracter personal, utilizatorii trebuie sa se identifice.
In cazul prelucrarilor automatizate, identificarea se realizeaza prin autentificare in sistemele informatice ale NextUp. Autentificarea se face prin introducerea datelor de autentificare unice, constand in cont de utilizator (username) si parola.
Parolele sunt siruri de caractere, adecvate din punct de vedere al securitatii ca lungime si compozitie, conform politicii de securitate IT a NextUp. La introducerea parolelor caracterele tastate nu sunt afisate in clar pe monitor. Conform Politicii de securitate IT a NextUp, parolele trebuie schimbate periodic.
Operatorul a implementat un sistem informatic care refuza automat accesul unui utilizator dupa 5 introduceri gresite ale parolei.
Orice utilizator care primeste acces la baza de date cu caracter personal este informat ca trebuie sa pastreze confidentialitatea datelor de autentificare si sa raspunda in acest sens in fata operatorului.
NextUp a stabilit o procedura de administrare si gestionare a conturilor de utilizator, prevazuta de Politica de securitate IT a NextUp. In conformitate cu prevederile acesteia, sunt stabilite reguli clare de acordare, respectiv anulare a drepturilor si modalităților de acces la contul de utilizator.
Accesul utilizatorilor la bazele de date cu caracter personal gestionate in sistem manual se face numai pe baza unei liste aprobate de conducerea NextUp.
4.2. Tipul de acces
Utilizatorii pot accesa numai datele cu caracter personal necesare pentru indeplinirea atributiilor alocate de NextUp. Pentru aceasta sunt stabile tipurile de acces dupa functionalitate (administrare, introducere, prelucrare, salvare etc.) si dupa actiuni aplicate asupra datelor cu caracter personal (scriere, citire, stergere), precum si procedurile privind aceste tipuri de acces.
Compartimentul care asigura suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea incidentelor si a problemelor aparute in utilizarea sistemelor informatice.
Computerele si serverele care contin bazele de date cu informatii cu caracter personal se afla in incaperi cu acces controlat. Documentele care contin date cu caracter personal de tipul celor considerate categorii speciale de date sunt tinute in incaperi cu acces restrictionat.
Operatorul a stabilit modalitati stricte prin care se vor distruge datele cu caracter personal.
4.3. Colectarea datelor
NextUp desemneaza utilizatori autorizati pentru operatiile de colectare, introducere si prelucrare de date cu caracter personal intr-un sistem informatic sau in sistem manual.
Orice modificare a datelor cu caracter personal se poate face numai de catre utilizatori autorizati desemnati de operator.
Operatorul a luat masuri pentru ca sistemul informational sa inregistreze cine a facut modificarea, data si ora modificarii. Pentru o mai buna administrare, operatorul are implementate masuri ca sistemul informational sa mentina datele sterse sau modificate.
4.4. Executia copiilor de siguranta
Sistemul informatic efectueaza zilnic, in mod automat, un back-up al bazelor de date, pentru o eventuala recuperare a datelor, în cazul pierderii, distrugerii sau disfunctionalitatii sistemelor informatice.
NextUp stabileste intervalul de timp la care se vor executa copiile de siguranta ale bazelor de date cu caracter personal, precum si ale programelor folosite pentru prelucrarile automatizate. Utilizatorii care executa aceste copii de siguranta sunt numiti de operator, intr-un numar restrans. Copiile de siguranta se stocheaza intr-un safe box cu acces restrictionat, aflat intr-o alta incapere fata de cea in care se efectueaza copia de siguranta.
4.5. Computerele si terminalele de acces
Computerele si alte terminale de acces sunt instalate in incaperi cu acces controlat, care se pot incuia. Daca computerele sunt deschise si asupra lor nu se actioneaza o perioada data, stabilita de operator, sesiunea de lucru se inchide automat.
Utilizatorii sunt instruiti, astfel incat bazele de date cu informatiile cu caracter personal sa fie inchise, in cazurile cand acestea sunt deschise, daca prin preajma se afla persoane neautorizate.
Serverele care gazduiesc bazele de date pot fi accesate doar in mod controlat, pe baza de drepturi de acces.
4.6. Fisierele de acces
NextUp ia masuri ca orice accesare a bazei de date cu caracter personal sa fie inregistrata intr-un fisier de acces (numit log la prelucrarile automate) sau intr-un registru pentru prelucrarile manuale de date cu caracter personal, stabilit de operator.
Informatiile inregistrate in fisierul de acces sau in registru vor fi:
- codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale);
- numele fisierului accesat (fisei);
- numarul inregistrarilor efectuate;
- tipul de acces;
- codul operatiei executate sau programul folosit;
- data accesului (an, luna, zi);
- timpul (ora, minutul, secunda).
Pentru prelucrarile automate aceste informatii vor fi stocate intr-un fisier de acces general sau in fisiere separate pentru fiecare utilizator.
Operatorul este obligat sa pastreze fisierele de acces cel putin 2 ani, pentru a fi folosite ca probe in cazul unor investigatii. Daca investigatiile se prelungesc, aceste fisiere se vor pastra pana la finalizarea investigatiilor si a oricaror actiuni in legatura cu acestea.
Fisierele de acces trebuie sa faca posibila identificarea de catre operator sau de catre persoana imputernicita a persoanelor care au accesat date cu caracter personal fara un motiv anume, in vederea aplicarii unor sanctiuni sau a sesizarii organelor competente.
4.7. Sistemele de telecomunicatii
NextUp, prin utilizatorii autorizati, realizeaza periodic controlul autentificarilor si tipurilor de acces pentru detectarea unor disfunctionalitati in ceea ce priveste folosirea sistemelor de telecomunicatii. Prin sistemele de telecomunicatii se vor transmite numai datele cu caracter personal strict necesare.
4.8. Instruirea personalului
Utilizatorii care au acces la bazele de date cu caracter personal sunt instruiti cu privire la prevederile Regulamentul 679/2016 la cerintele minime de securitate a prelucrarilor de date cu caracter personal, cu privire la dispozitiile politicii de securitate IT a NextUp, precum si cu privire la importanta mentinerii confidentialitatii acestora si riscurile pe care le comporta prelucrarea datelor cu caracter personal.
Utilizatorii care au acces la date cu caracter personal vor fi avertizati prin mesaje care vor aparea pe monitoare in timpul activitatii. Utilizatorii sunt obligati sa isi inchida sesiunea de lucru atunci cand parasesc locul de munca.
4.9. Folosirea computerelor
Pentru mentinerea securitatii prelucrarii datelor cu caracter personal (in special impotriva virusilor informatici) NextUp a luat urmatoarele masuri:
- a interzis folosirea de catre utilizatori a programelor software care provin din surse nesigure;
- utilizatorii nu au drepturi de administrator pe computere, prin urmare nu pot instala programe software fara a anunta compartimentul care asigura suportul tehnic;
- se utilizeaza software cu licenta;
- utilizatorii au fost instruiti cu privire la Politica de securitate IT a NextUp si la celelalte politicile generale de operare IT, inclusiv pericolul reprezentat de virusii informatici;
- computerele sunt protejate cu programe antivirus;
- se monitorizeaza activitatea utilizatorului si este restrictionat accesul acestuia la imprimante
Cat timp vom pastra datele cu caracter personal?
Cu exceptia cazului in care va opuneti prelucrarii datelor cu caracter personal de catre noi si / sau solicitati stergerea datelor dvs personale, se aplica următoarele perioade de retentie, in conformitate cu politica noastra privind retentia de date, pentru urmatoarele categorii de date cu caracter personal:
- Nu va stocam datele cu caracter personal mai mult decat este necesar pentru scopul pentru care le-am retinut sau pentru a respecta o lege sau cerinta statutara
- Pentru activitatile fiscale (operare facturi) vom pastra datele pentru o perioada de 10 ani,
- Pentru activitatile de prelucrare in scopuri de promovare a serviciilor si produsele companiei, stocam datele pe o perioada limitata de 12 luni.
Drepturile dvs. legale
Ca persoana vizata aveti drepturi legale specifice cu privire la datele cu caracter personal pe care le colectam de la dvs. CIEL Romania SRL va va respecta drepturile individuale si se va ocupa de interesele dumneavoastra in mod corespunzator.
- Dreptul de retragere a consimtamantului: Va puteti retrage consimtamantul pentru prelucrarea datelor cu caracter personal, in orice moment.
- Dreptul la rectificare: Puteti obtine de la noi rectificarea datelor cu caracter personal care va privesc. Facem eforturi rezonabile pentru a pastra datele cu caracter personal – care sunt utilizate continuu si care sunt in posesia sau controlul nostru – exacte, complete, actuale si relevante, pe baza celor mai recente informatii disponibile pentru noi.
- Dreptul la restrictie: Puteti obtine de la noi restrictia de prelucrare a datelor cu caracter personal, daca:
- contestati corectitudinea datelor cu caracter personal pentru perioada in care noi trebuie sa verificam exactitatea,
- prelucrarea este ilegală și solicitaţi restricționarea prelucrării mai degrabă decât ștergerea datelor cu caracter personal,
- nu mai avem nevoie de datele dvs cu caracter personal, dar dvs le solicitati pentru constatarea, exercitarea sau apararea unui drept, sau
- va opuneti prelucrarii in perioada in care verificam daca motivele noastre legitime au intaietate fata de ale dvs.
- Dreptul de acces: Ne puteti cere informatii cu privire la datele cu caracter personal pe care le detinem despre dumneavoastra, inclusiv informatii cu privire la ce categorii de date cu caracter personal avem in posesie sau control, pentru ce sunt folosite, de unde le-am colectat, daca nu sunt colectate direct de la dvs si cui i-au fost dezvaluite, daca este cazul. Puteti obtine un exemplar de la noi, gratuit, continand datele cu caracter personal pe care le detinem despre dvs. Ne rezervam dreptul de a percepe o taxa rezonabila pentru fiecare exemplar suplimentar pe care l-ati putea solicita.
- Dreptul la portabilitate: La cerere, vom transfera datele cu caracter personal catre un alt operator, acolo unde este posibil dpdv tehnic, cu conditia ca prelucrarea sa se bazeze pe consimtamantul dvs sau sa fie necesara pentru executarea unui contract. Mai degraba decat sa primiti un exemplar cu datele dvs. cu caracter personal, puteti solicita sa va transferam datele direct catre alt operator, specificat de dvs.
- Dreptul la stergere: puteti obtine de la noi stergerea datelor cu caracter personal, in cazul in care:
- datele dvs personale nu ne mai sunt necesare în raport cu scopurile pentru care au fost colectate sau sunt prelucrate în alt mod;
- aveți dreptul de a vă opune prelucrarii ulterioare a datelor cu caracter personal (a se vedea mai jos) si sa va executati acest drept de obiectie la prelucrare;
- datele cu caracter personal au fost prelucrate in mod ilegal;
Cu exceptia cazului in care prelucrarea este necesara:
- in vederea indeplinirii unei obligatii legale care necesita prelucrarea de catre noi;
- in special pentru cerintele legale de pastrare a datelor;
- pentru constatarea, exercitarea sau apararea unui drept.
- Dreptul de opozitie: Ati putea obiecta – in orice moment – la prelucrarea datelor cu caracter personal datorita situatiei dvs. speciale, cu conditia ca prelucrarea sa nu se bazeze pe consimtamantul dumneavoastra, ci pe interesele noastre legitime sau cele ale unei terte parti. In acest caz, nu vom mai procesa datele cu caracter personal, daca nu putem demonstra motive intemeiate, legitime si un interes major pentru prelucrarea sau pentru constatarea, exercitarea sau apararea unui drept. Daca va opuneti prelucrarii, va rugam sa specificati daca doriti stergerea datelor cu caracter personal sau restrictia prelucrarii acestora de catre noi.
- Dreptul de a depune o plangere: In cazul unei pretinse incalcari a legislatiei in vigoare privind confidentialitatea, puteti depune o plangere la autoritatea de supraveghere pentru protectia datelor in tara in care locuiti sau unde a avut loc presupusa incalcare.
Va rugam sa retineti:
- Perioada de timp: Vom incerca sa indeplinim cererea in termen de 30 de zile. Cu toate acestea, perioada poate fi prelungita din motive specifice referitoare la dreptul legal specific sau complexitatea solicitarii.
- Restrictionarea accesului: In anumite situatii, este posibil sa nu putem sa va acordam acces la toate sau parte din datele cu caracter personal, din cauza prevederilor legale. Daca vom refuza solicitarea dvs. de acces, va vom informa cu privire la motivul refuzului.
- Imposibilitatea identificarii: In unele cazuri, este posibil sa nu putem sa va cautam datele cu caracter personal, din cauza elementelor de identificare furnizate in cererea dumneavoastra.
In astfel de cazuri, in care nu va putem identifica precum persoana vizata, nu suntem in masura sa dam curs solicitarii dvs. de a exercita drepturile legale asa cum sunt descrise in aceasta sectiune, daca nu furnizati informatii suplimentare care sa permita identificarea dumneavoastra.
- Exercitarea drepturilor dvs legale: Pentru a va exercita drepturile legale, va rugam sa contactati Responsabilul nostru cu Protectia Datelor personale, in scris sau sub forma de text, scriind un email la dpo.ciel@ciel.ro la nr. de telefon 021.201.53.00 sau o scrisoare la adresa indicata mai jos Bucuresti, Bd. Unirii, nr. 11, bl. 2B, Parter si etaj 1, sector 4.
- Dezvaluirea datelor cu caracter personal catre terti
Datele colectate sunt dezvaluite catre terti numai in cazul in care NextUp este tinuta de o obligatie legala in acest sens. Orice dezvaluire catre terti in alte conditii a datelor cu caracter personal va fi facuta numai cu acordul dumneavoastra expres, exprimat in prealabil.
- Organismele publice
Vom dezvalui datele dvs cu caracter personal doar organismelor publice, daca acest lucru este cerut de lege. De exemplu, Compania va raspunde solicitarilor din partea instantelor judecatoresti, organelor de aplicare a legii, agentiilor de reglementare si altor autoritati publice si oficiale, care pot include astfel de autoritati si din afara tarii de resedinta.
- Contact
Pentru solicitari sau intrebari cu privire la prezenta Politica de Securitate, va rugam sa va adresati NextUp, dupa cum urmeaza:
Mail: dpo.ciel@ciel.ro
Telefonic: 021.201.53.12
Adresa postala: Bucuresti, Bd. Unirii, nr. 11, bl. 2B, Parter si etaj 1, Sector 4
Cod:040102
- Dispozitii finale
Acest document se completeaza cu intreg setul de proceduri de securitate cu privire la prelucrarea datelor cu caracter personal aprobat de conducerea NextUp, inclusiv Politica de securitate IT a NextUp.
Prezenta Politica de Securitate a Prelucrarii Datelor cu Caracter Personal a fost adoptata astazi,
21.05.2018, in Bucuresti.