În conformitate cu prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, TRAVELSMARTINFO SRL prelucrează date cu caracter personal, cu respectarea principiilor menţionate în continuare, în scopuri legitime.
Prelucrarea datelor cu caracter personal se realizează prin mijloace mixte (manuale şi automate), cu respectarea cerinţelor legale şi în condiţii care să asigure securitatea, confidenţialitatea şi respectarea drepturilor persoanelor vizate.
PRINCIPII ALE PRELUCRĂRII DATELOR CU CARACTER PERSONAL
Notificarea: Operatorul de date cu caracter personal este notificat la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal fiind înregistrat in ………….;
Legalitatea: Prelucrarea datelor cu caracter personal sunt prelucrate cu bună-credinţă şi se face în temeiul şi în conformitate cu prevederile legale;
Scopul bine-determinat: Orice prelucrare de date cu caracter personal se face în scopuri bine determinate, explicite şi legitime, adecvate, pertinente şi neexcesive prin raportare la scopul în care sunt colectate şi ulterior prelucrate;
Confidenţialitatea: Persoanele care prelucrează, în numele unei instituţii, date cu caracter personal au prevăzut în contractul de munca şi în fisa postului o clauza de confidenţialitate;
Consimţământul persoanei vizate: Orice prelucrare de date cu caracter personal, cu excepţia prelucrărilor care vizează date din categoriile menţionate în Legea nr. 677/2001 şi alte date prevăzute de acte normative;
Informarea: Persoana este informată de către instituţia care prelucrează datele personale ale persoanei vizate;
Stocarea: Datele cu caracter personal nu se stochează pentru o perioadă mai lungă decât este necesar pentru realizarea scopurilor în care au fost colectate.
Protejarea persoanelor vizate: Persoanele vizate au dreptul de acces la datele care sunt prelucrate, de a interveni asupra acestora, de opoziţie şi de a nu fi supus unei decizii individuale, precum şi dreptul de a se adresa Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal sau instanţei de judecată pentru apărarea oricăror drepturi garantate de lege, care le-au fost încălcate;
Securitatea: Măsurile tehnice şi organizatorice de securitate a datelor cu caracter personal sunt stabilite pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat (accesul la bazele de date a utilizatorilor se face pe bază de nume utilizator şi parolă fiind reglementat prin roluri şi drepturi pe modulele SIUI şi ERP). Posibilitatea de alterare a datelor accesate este protejată prin firewall monitorizat de CNAS şi STS precum şi de soluţii antivirus actualizat permanent.
DREPTURILE PERSOANEI VIZATE
- dreptul de a obţine de la TRAVELSMARTINFO, la cerere şi în mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau nu prelucrate de TRAVELSMARTINFO;
- dreptul de a obţine de la TRAVELSMARTINFO SRL, la cerere şi în mod gratuit rectificarea sau actualizarea în special a datelor incomplete sau inexacte, pe baza actelor doveditoare;
- dreptul de a obţine de la TRAVELSMARTINFO SRL, la cerere şi în mod gratuit transformarea în date anonime a datelor a căror prelucrare nu este conformă cu Legea nr. 677/2001;
- dreptul de a obţine de la TRAVELSMARTINFO SRL, la cerere şi în mod gratuit notificarea către terţii cărora le-au fost dezvăluite datele oricărei operaţiuni efectuate conform pct. 2) sau 3), dacă aceasta notificare nu se dovedeşte imposibilă sau nu presupune un effort disproporţionat faţă de interesul legitim care ar putea fi lezat;
- dreptul de a se opune în orice moment, din motive întemeiate şi legitime, ca datele care o vizează să facă obiectul unei prelucrări, cu excepţia cazurilor în care există dispoziţii legale contrare; în caz de opoziţie justificată prelucrarea nu mai poate viza datele în cauză;
- dreptul de a vă adresa justiţiei pentru apărarea oricăror drepturi garantate de prezenta lege, care au fost încălcate.
De asemenea, pentru a reclama nerespectarea drepturilor garantate de Legea nr. 677/2001 persoana vizată se poate adresa Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal sau/şi instanţelor de judecată.
SECURITATEA DATELOR CU CARACTER PERSONAL
TRAVELSMARTINFO certifică faptul că îndeplineşte cerinţele minimede securitate a datelor cu caracter personal.
TRAVELSMARTINFO utilizează metode şi tehnologii de securitate, împreună cu politici aplicate salariaţilor şi proceduri de lucru, pentru a proteja datele cu caracter personal colectate conform prevederilor legale în vigoare.
In Anexa 1 sunt prezentate regulile generale si specifice privind protectia datelor.
Puteţi obţine mai multe detalii şi informaţii de la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu sediul în B-dul Magheru 28-30, Sector 1, Bucuresti. Telefon: +40.318.059.211, adresa web: www.dataprotection.ro, e-mail: anspdcp@dataprotection.ro.
Notă
Prezenta politică de securitate este publică şi se afişează pe pagina noastra web: www.travelsmartinfo.ro
Politica de securitate poate fi modificată fără preaviz.
ANEXA 1: REGULI SI PRECIZARI PRIVIND PROTECTIA DATELOR
A. Reguli generale
TRAVELSMARTINFO SRL a adoptat măsuri tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerilor accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat. În acest sens au fost desemnate, la nivelul TRAVELSMARTINFO SRL, persoane responsabile cu respectarea dispoziţiilor Legii nr.677/2001.
TRAVELSMARTINFO SRL a luat măsuri de stocare în siguranţă a informaţiilor privind date cu caracter personal, astfel încât sa fie asigurat un nivel adecvat de protecţie şi securitate, în sensul Legii 677/2001.
Pentru îndeplinirea prevederilor legale aferente şi în vederea satisfacerii cerinţelor păstrării în siguranţă a datelor şi informaţiilor, instituţia a elaborat şi implementat măsuri organizatorice şi tehnice orientate pe anumite direcţii de acţiune:
Identificarea şi autentificarea utilizatorului
- Tipul de acces
- Colectarea datelor
- Computerele şi terminalele de acces
- Fişierele de acces
- Instruirea personalului
B. Proceduri specifice
- Identificarea si autentificarea utilizatorului
Pentru a căpăta acces la date cu caracter personal, utilizatorii trebuie să se autentifice in sistemele informatice ale TRAVELSMARTINFO SRL. Autentificarea în cadrul sistemelor informatice ale TRAVELSMARTINFO SRL se face prin introducerea credentialelor de autentificare unice si netransmisibile dobandite in urma procesului de inrolare si management al identitatii electronice, guvernat de politicile de securitate in vigoare.
Fiecare utilizator are propriul său cod de identificare (nume de utilizator). Niciodată nu este alocat acelaşi cod de identificare mai multor utilizatori si acesta nu poate fi partajat de catre mai multe persoane.
Codurile de identificare (sau conturi de utilizator) nefolosite o perioadă mai îndelungată sunt dezactivate şi distruse după un control prealabil. Perioada după care codurile trebuie dezactivate şi distruse este stabilită prin politica TRAVELSMARTINFO SRL.
Orice cont de utilizator este însoţit de o modalitate de autentificare, prin introducerea unei chei de autentificare precum o parola.
Parolele sunt şiruri de caractere, adecvate din punct de vedere al securităţii ca lungime şi compoziţie. La introducerea parolelor acestea nu sunt afişate în clar pe monitor. Parolele sunt schimbate periodic conform politicilor de securitatea TRAVELSMARTINFO SRL. Schimbarea periodică a parolelor se face numai de către utilizatori autorizaţi.
Sistemul informaţional blocheaza automat accesul unui utilizator după un numar fix de introduceri greşite ale cheii de autentificare.
Orice utilizator care primeşte un cod de identificare şi un mijloc de autentificare este obligat prin fişa postului să păstreze confidenţialitatea acestora şi să răspundă în acest sens în faţa operatorului.
Este stabilită o procedură proprie de administrare şi gestionare a conturilor de utilizator. Sunt autorizati anumiţi utilizatori pentru a revoca sau a suspenda un cod de identificare şi autentificare, dacă utilizatorul acestora şi-a dat demisia ori a fost concediat, şi-a încheiat contractul, a fost transferat la alt serviciu şi noile sarcini nu îi solicită accesul la date cu caracter personal, a abuzat de codurile primite sau dacă va absenta o perioadă îndelungată stabilită de entitate.
- Tipul de acces
Utilizatorii trebuie sa acceseze numai datele cu caracter personal necesare pentru îndeplinirea atribuţiilor lor de serviciu. Pentru aceasta trebuie sa fie stabilite tipurile de acces după funcţionalitate (administrare, introducere, prelucrare, salvare etc.) şi după acţiuni aplicate asupra datelor cu caracter personal (scriere, citire, ştergere), precum şi procedurile privind aceste tipuri de acces.
Compartimentul care asigură suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea incidentelor si a problemelor aparute in utilizarea sistemelor informatice.
- Colectarea datelor
TRAVELSMARTINFO SRL desemnează utilizatori autorizaţi pentru operaţiile de colectare şi introducere de date cu caracter personal în sistemele informaţionale .
Orice modificare a datelor cu caracter personal trebuie sa se poate face numai de către utilizatori autorizaţi desemnaţi.
TRAVELSMARTINFO SRL va lua măsuri pentru ca sistemele informaţionale să înregistreze cine a făcut modificarea datelor cu caracter personal, data şi ora modificării. Pentru o mai bună administrare, vor fi implementate măsuri pentru ca sistemele informaţionale să menţină datele şterse sau modificate.
- Computerele si terminalele de acces
Computerele şi alte terminale de acces la date cu caracter personal aflate in sediul TRAVELSMARTINFO SRL vor fi instalate în încăperi cu acces restricţionat.
Unde nu pot fi asigurate aceste condiţii, computerele vor fi instalate în încăperi care se pot încuia. Dacă pe ecran apar date cu caracter personal asupra cărora nu se acţionează o perioadă dată, stabilta de catre TRAVELSMARTINFO SRL, sesiunea de lucru se va închide automat. Mărimea acestei perioade se determină în funcţie de operaţiile care trebuie executate.
Serverele care găzduiesc date cu caracter personal pot fi accesate doar în mod controlat, pe baza de drepturi de acces.
Nu este permisă scoaterea din instituţie a mediilor de stocare mobile (CD/DVD, USB Stick, Portable HDD) care contin date cu caracter personal, decât cu aprobare prealabilă din partea conducerii societăţii.
- Fisierele de acces
TRAVELSMARTINFO SRL ia măsuri ca orice accesare a bazei de date cu caracter personal să fie înregistrată. Pentru prelucrările automate, aceste informaţii sunt stocate într-un fişier de acces general sau în fişiere separate pentru fiecare utilizator. Orice încercare de acces neautorizat va fi, de asemenea, înregistrată.
TRAVELSMARTINFO SRL păstreaza fişierele de acces cel puţin 2 ani, pentru a fi folosite ca probe în cazul unor investigaţii. Dacă investigaţiile se prelungesc, aceste fişiere se vor păstra atât timp cât se va considera necesar.
Fişierele de acces fac posibilă identificarea de către TRAVELSMARTINFO SRL sau de către persoana împuternicită, a persoanelor care au accesat date cu caracter personal fără un motiv anume, în vederea aplicării unor sancţiuni sau a sesizării organelor competente.
- Instruirea personalului
Personalul TRAVELSMARTINFO SRL este informat cu privire la prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, la cerinţele minime de securitate a prelucrărilor de date cu caracter personal, precum şi cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal.
Utilizatorii care au acces la date cu caracter personal vor fi instruiţi asupra confidenţialităţii acestora şi vor fi avertizaţi prin mesaje care vor apărea pe monitoare în timpul activităţii.
Utilizatorii sunt obligaţi să îşi închidă sesiunea de lucru atunci când părăsesc locul de muncă.
- Folosirea computerelor
Pentru menţinerea securităţii prelucrării datelor cu caracter personal (în special împotriva viruşilor informatici) trebuie luate măsuri privind:
- interzicerea folosirii de către utilizatori a programelor software care provin din surse neverificate;
- informarea utilizatorilor în privinţa pericolului privind viruşii informatici;
- implementarea unor sisteme automate de tip antivirus si protective malware şi de securitate a sistemelor informaţice;
- dezactivarea posibilitatii de copiere sau imprimare a datelor cu caracter personal afisate pe ecran in afara fluxurilor normale de afaceri.
- Imprimarea datelor
Scoaterea la imprimantă a datelor cu caracter personal se va realiza numai de utilizatori autorizaţi de către TRAVELSMARTINFO SRL pentru această operaţiune.
- Prelucrarea manuala de date cu caracter personal
Documentele care conţin date cu caracter personal vor fi ţinute în fişete sau dulapuri închise cu cheie sau cu un alt mecanism de securizare. Documentele care conţin date cu caracter personal, folosite pentru realizarea anumitor operaţiuni se vor preda persoanelor abilitate sau se vor închide imediat după terminarea acestora.
C. Drepturile persoanelor ale caror date personale sunt colectate si/sau prelucrate
- Dreptul de a fi informat
În cazul în care datele cu caracter personal sunt obţinute direct de la persoana vizată, TRAVELSMARTINFO SRL este obligat să furnizeze persoanei vizate cel puţin următoarele informaţii, cu excepţia cazului în care această persoană posedă deja informaţiile respective:
- scopul în care se face prelucrarea datelor;
- existenţa drepturilor prevăzute de lege pentru persoana vizată, în special a dreptului de acces, de intervenţie asupra datelor şi de opoziţie, precum şi condiţiile în care pot fi exercitate;
- orice alte informaţii a căror furnizare este impusă prin dispoziţie a autorităţii de supraveghere, ţinând seama de specificul prelucrării.
Pe pagina de internet a TRAVELSMARTINFO SRL (www.travelsmartinfo.ro) este postată Politica de confidentialitate;
Inainte de completarea datelor cu caracter personal se solicita consimtamantul persoanelor vizate, pentru prelucrarea acestora;
Numărul de înregistrare a notificării comunicat de Autoritatea Naţională de supraveghere se menţionează în orice document prin care se colectează, stochează sau dezvăluie date cu caracter personal;
Clădirile care sunt supravegheate video vor avea, la intrare, afişat în loc vizibil, informarea privind preluarea şi stocarea de imagini.
- Dreptul de acces la date
Orice persoană vizată are dreptul de a obţine de la TRAVELSMARTINFO SRL (în calitate de operator), la cerere şi în mod gratuit pentru o solicitare pe an, confirmarea faptului că datele care o privesc sunt sau nu sunt prelucrate de acesta.
- Dreptul de intervenţie asupra datelor
Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit, după caz:
- rectificarea, actualizarea, blocarea sau ştergerea datelor a căror prelucrare nu este conformă legii, în special a datelor incomplete sau inexacte;
- transformarea în date anonime a datelor a căror prelucrare nu este conformă legii.
- Dreptul de opoziţie
Persoana vizată are dreptul de a se opune în orice moment, din motive întemeiate şi legitime legate de situaţia sa particulară, ca date care o vizează să facă obiectul unei prelucrări, cu excepţia cazurilor în care există dispoziţii legale contrare. În caz de opoziţie justificată prelucrarea nu mai poate viza datele în cauză.
- Dreptul de a se adresa justiţiei
Fără a se aduce atingere posibilităţii de a se adresa cu plângere autorităţii de supraveghere, persoanele vizate au dreptul de a se adresa justiţiei pentru apărarea oricăror drepturi garantate de lege, care le-au fost încălcate.
Orice persoană care a suferit un prejudiciu în urma unei prelucrări de date cu caracter personal, efectuată ilegal, se poate adresa instanţei competente pentru repararea acestuia.
D. Comunicarea datelor cu caracter personal
Datele cu caracter personal se pot comunica între TRAVELSMARTINFO SRL şi împuterniciţii acestuia sau între TRAVELSMARTINFO SRL sau împuterniciţi ai acestuia şi alte instituţii ori organisme publice sau entităţi de drept public sau privat în una dintre următoarele situaţii:
- dacă persoana vizată şi-a dat consimţământul expres şi neechivoc pentru comunicarea datelor sale;
- fără consimţământul persoanei vizate în cazurile prevăzute de lege.
Comunicarea datelor cu caracter personal se poate face şi on-line, cu respectarea dispoziţiilor alin. (1) şi asigurarea securităţii sistemelor de comunicaţii a datelor cu caracter personal.
Datele cu caracter personal asupra cărora persoanele vizate au exercitat şi li s-a recunoscut dreptul de opoziţie nu pot face obiectul prelucrării.
Cererile pentru comunicarea datelor cu caracter personal adresate TRAVELSMARTINFO SRL trebuie să conţină datele de identificare a solicitantului, precum şi motivarea şi scopul cererii, conform prevederilor legale.
Cererile care nu conţin aceste elementele se restituie pentru completare, iar cele care nu se încadrează în condiţiile prevăzute de lege se resping, menţionându-se motivele pentru care comunicarea datelor cu caracter personal nu este posibilă.
Înainte de comunicarea datelor cu caracter personal, TRAVELSMARTINFO SRL verifică dacă acestea sunt exacte şi, dacă este cazul, actualizate.
În situaţia în care se constată că au fost transmise date incorecte sau neactualizate, TRAVELSMARTINFO SRL are obligaţia de a informa destinatarii respectivelor date asupra neconformităţii acestora, cu menţionarea datelor care au fost modificate.
La comunicarea datelor cu caracter personal TRAVELSMARTINFO SRL atenţionează destinatarii asupra interdicţiei de a prelucra datele pentru alte scopuri decât cele specificate în cererea de comunicare.