S. Uzina Mecanica Plopeni SA

Protectia datelor cu caracter personal

Politica de informare privind protectia datelor

 

  1. Introducere

Necesitatea de a păstra datele cu caracter personal variază foarte mult în functie de tipul de date. Unele date pot fi şterse imediat, iar altele trebuie păstrate pentru îndeplinirea scopurilor sau pe perioada impusă de lege.

Deoarece păstrarea datelor poate fi relativă, prezenta politică este necesară astfel încât liniile directoare privind retenţia datelor să fie menţinute în timp în cadrul societatii.

  • Scop

Scopul acestei politici este de a specifica liniile directoare ale societatii, pentru păstrarea diferitelor tipuri de date.

  • Domeniul de aplicare

Această Politică va acoperi toate datele cu caracter personal prelucrate de societate, indiferent de mediul de stocare. În unele cazuri, perioada de stocare este impusă de lege, cum este cazul documentelor contabile (care se păstrează 10 ani), contractelor de muncă (75 de ani) sau ştatelor de plată (50 de ani). Retenţia datelor se va realiza în conformitate cu dispoziţiile legale naţionale şi europene privind protecţia datelor cu caracter personal şi în special, în conformitate cu Regulamentul (UE) 679/2016 privind protecţia datelor cu caracter personal şi libera circulaţie a acestor date. Dacă dispoziţiile prezentei Politici intră în conflict cu reglementările în materie de protecţie a datelor, se vor aplica, cu prioritate, acestea din urmă.

  • Politica
  • Motive pentru a stoca datele

Societatea nu are o abordare “Păstrăm totul”. Acest lucru nu este nici practic, nici lipsit de costuri şi nici nu respectă principiul limitării legate de stocare, enunţat de Regulamentul (UE) 679/2016. Cu toate acestea, unele date cu caracter personal vor fi păstrate, printre altele, pentru că ne obligă legea sau pentru a ne proteja interesele comerciale. Printre motive, enumerăm:

  • Litigii;
  • Respectarea legii;
  • Protejarea proprietăţii intelectuale;
  • Protejarea secretelor comerciale;
  • Ancheta privind incidentele de securitate.
  • Copiile datelor

Această Politică se aplică oricăror copii ale documentelor care conţin date cu caracter personal.

  • Perioada de stocare
  • Datele cu caracter personal ale clientilor: 10 ani de la încetarea contractului sau ultima interacţiune cu societatea. Ulterior acestei perioade, datele vor şterse total sau anonimizate complet pentru a fi utilizate în scopuri istorice, statistice sau de cercetare.
  • Datele cu caracter personal ale candidaţilor la un loc de muncă: l an de la interviu. Ulterior acestei perioade, datele vor şterse total sau anonimizate complet pentru a fi utilizate în scopuri istorice, statistice sau de cercetare.
  • Datele cu caracter personal ale angajaţilor: 10 ani de la încetarea contractului de muncă, cu excepiia contractelor de muncă (75 de ani) şi a ştatelor de plată (50 de ani). Ulterior acestei perioade, datele vor şterse total sau anonimizate complet pentru a fi utilizate în scopuri istorice, statistice sau de cercetare.
  • Documentele contabile: 10 ani.Ulterior acestei perioade, datele vor şterse total sau anonimizate complet pentru a fi utilizate în scopuri istorice, statistice sau de cercetare.
  • Date ale partenerilor de afaceri sau colaboratorilor extemi: 1ani de la încetarea contractului sau ultima interacţiune cu societatea. Ulterior acestei perioade, datele vor şterse total sau anonimizate complet pentru a fi utilizate în scopuri istorice, statistice sau de cercetare.
  • Datele prelucrate pentru marketing direct: până la retragerea consimţământului.
  • Alte date cu caracter personal se vor păstra pe perioada impusă de lege, iar în lipsa acesteia pe o perioadă de 5 ani de la ultima interacţiune de orice fel cu persoana vizată.
  • Distrugerea datelor

La expirarea perioadei de stocare se vor distruge complet toate documentele (fizice sau electronice) care conţin date cu caracter personal prin utilizarea tehnologiei disponibile în viitor pentru documentele electronice sau prin metode fizice (distrugătoare, ardere) pentru documentele fizice. În aceeaşi măsură, datele pot fi anonimizate complet pentru a fi utilizate în scopuri istorice, statistice sau de cercetare.

  1. Consecinţe

Nerespectarea prezentei Politici de către angajaţii societatii sau alţi colaboratori externi poate conduce către sancţiuni disciplinare (inclusiv încetarea contractului de muncă), rezilierea contractelor şi, în funcţie de circumstanţe, acţionarea în instanţă pentru recuperarea integrală a prejudiciilor aduse companiei ca urmare a nerespectării prezentei Politici. Când există suspiciunea unor activităţi ilegale (cum ar fi, exemplificativ, sustragerea documentelor, copierea, distribuirea, transferul bazelor de date), societatea va denunţa activitatea infracţională organelor legii pentru tragerea la răspundere penală a făptuitorului.

Politica privind securitatea informaţiei

  1. Scop

Prezentul document are scopul de a conştientiza şi familiariza personalul Societăţii Uzina Mecanica Plopeni S.A. , cu privire la metodele de protecţie şi securitate pentru asigurarea confidenţialităţii, integrităţii şi disponibilităţii informaţiei. De asemenea, documentul conturează metodele acceptabile de utilizare a resurselor informatice. Resursele informaţionale vor fi utilizate într-o manieră aprobată, etică şi în conformitate cu prevederile legale pentru a evita pierderea sau deteriorarea operaţiunilor curente, a imaginii sau a activelor financiare. Angajaţii trebuie să se adreseze conducerii societatii înainte să se angajeze în orice activitate care nu este acoperită de prezenta politică.

  • Domeniul de aplicabilitate

Această Politică se aplică întregului personal, partenerilor şi colaboratorilor externi care au acces la sistemul informatic al Societăţii Uzina Mecanica Plopeni S.A.

  • Obiective
  1. dezvoltarea unei strategii privind securitatea sistemelor informatice;
  2. promovarea standardelor etice în domeniul securităţii sistemelor informatice;
  3. asigurarea confidenţialităţii, integrităţii şi disponibilităţii resurselor informatice ale organizaţiei;
  4. educarea personalului pentru a face faţă eficient ameninţărilor cibernetice;
  5. cunoaşterea riscurilor şi ameninţărilor venite din spaţiul cibernetic;
  6. oferirea soluţiilor pentru a preveni şi contracara ameninţările cibernetice;
  • Securitatea informaţiei
  1. Accesul la echipamentele IT ale societalii de către terţi se va face sub supraveghere. În contractele cu tertii se vor include clauze privind măsurile de protecţie a datelor şi, în special, a datelor cu caracter personal;
  • Informaţiile vor avea diferite grade de sensibilitate şi importanţă, informaţiile personale (datele cu caracter personal) necesitând un nivel suplimentar de protecţie;
  • Responsabilitatea angajaţilor privind securitatea va fi implementată încă din etapa recrutării şi inclusă în contractele de muncă sau fişă postului şi monitorizată permanent;
  • Parolele utilizate pentru autentificare sunt şiruri de caractere, adecvate din punct de vedere al securităţii ca lungime şi compoziţie, conţinând majuscule şi caractere speciale si sunt formate din cel puţin 8 caractere. Parolele nu sunt afişate pe monitor. Acestea sunt schimbate periodic, cel puţin o dată la două luni. Schimbarea periodică a parolelor se face numai de către utilizatori autorizaţi.
  • Angajaţii societatii sau alte terţe părţi care au acces la sistemele informatice ale societatii ar trebui să semneze un contract de confidenţialitate;
  • Angajaţii ar trebui să fie instruiţi cu privire la Securitatea lnformaţiilor;
  • Toate incidentele de Securitate vor fi raportate conducerii, pentru a decide dacă este cazul ca acestea să fie raportate Autorităţii de Supraveghere şi/sau persoanelor vizate. Se va implementa în acest sens o Politică privind managementul adecvat al incidentelor de Securitate;
  • Informaţiile de business critice sau sensibile, precum şi datele cu caracter personal trebuie să fie adăpostite în locuri sigure, protejate într-un perimetru de securitate adecvat, cu bariere de securitate corespunzătoare şi controale de acces. Acestea ar trebui să fie protejate fizic împotriva accesului neautorizat, deteriorare şi interferenţe. Protecţia oferită trebuie să fie proporţională cu riscurile identificate.
  • Sistemele IT vor fi protejate împotriva ameninţărilor de securitate şi se vor implementa măsuri de securitate pentru a preveni şi detecta accesul neautorizat in sistemele informatice si asupra datelor.
  1. Trebui să se introducă proceduri pentru efectuarea de back-up strategic, simularea periodică a restaurării de pe copiile realizate,  logarea  evenimentelor  şi a defectelor, acolo unde este posibil şi monitorizarea permanentă a echipamentelor critice.
  1. Utilizarea oricărui sistem IT va fi conformă legislaţiei în vigoare cât şi a normelor interne.
  1. Este strict interzisă distribuirea oricăror documente interne sau alte informaţii către persoane neautorizate;
  1. Este strict interzisă orice modificare neautorizată a echipamentelor utilizate;
  1. Este strict interzisă conectarea echipamentelor personale de orice fel (hard-diskuri interne sau externe, memory stick, laptop etc)    la orice echipament al societatii (PC, server, reţea internă). Nerespectarea acestei reguli aduce după sine posibilitatea desfacerii contractului de muncă sau alte măsuri disciplinare.
  1. Toate sursele externe (CD, ataşamente la e-mail, stick-uri,  hard-disk etc) vor fi verificate cu un program anti-virus.
  1. Este strict interzisă utilizarea sistemelor IT în alte scopuri decât îndeplinirea atribuţiilor de serviciu.
  1. Infrastructura IT (Servere, Echipamente reţea, website) vor fi scanate de vulnerabilităţi si raportul de risc va fi distribuit managementului companiei si departamentului IT in vederea remedierii riscurilor în cel mai scurt timp. Scanările vor trebui efectuate periodic cu o recurenţă cel puţin semestrială.
  1. Este interzisă orice intervenţie asupra echipamentelor IT de către personal neautorizat sau de alta persoana fizica fara acordul prealabil al conducerii societalii în mod scris.
  1. Se interzice folosirea oricărui echipament IT de către orice persoană care nu face parte din personalul societăţii fără acordul prealabil şi scris al conducerii societăţii.
  • Mijloacele de autentificare în sistem (username, parolă etc) sunt proprietatea fiecărui angajat şi el este singurul responsabil de a nu divulga aceste informaţii. Deasemenea se recomandă utilizarea de sisteme de autentificare cu dublu factor (SMS,Token,etc.)
  • Este strict interzisă utilizarea credenţialelor altui angajat.
  • Fiecare angajat va fi responsabil să menţină securitatea oricărei informaţii, şi în special informaţiilor personale (datelor cu caracter personal) şi să le protejeze de acces neautorizat (vizualizare, alterare, furt sau distrugere).
  • Pentru copierea fişierelor electronice, societatea îşi rezervă dreptul de a depune plângere penală împotriva angajatului şi de a-l acţiona pe acesta la instantele civile pentru acoperirea oricărui prejudiciu adus societatii.
  • Este strict interzisă încălcarea drepturilor de autor.
  • Este interzisă navigarea prin fişierele personale sau conturile altor angajaţi, cu excepţia cazului în care acest lucru a fost aprobat în prealabil.
  • Programatorii care vor dezvolta sisteme IT nu vor avea acces la date cu caracter personal decât dacă acestea au fost anonimizare complet.
  • Personalul care asigură suportul tehnic nu va avea acces la date cu caracter personal, decât în situaţii excepţionale şi, în toate cazurile, cu respectarea tuturor obligaţiilor impuse de Regulamentul (EU) 679/2016 persoanelor împuternicire şi, în special, existenţa unor clauze contractuale exprese privind protecţia datelor.
  • Notarea sau stocarea parolelor pe orice suport fizic este strict interzisă.
  • Sistemul trebuie blocat ori de câte ori angajatul părăseşte biroul sau nu utilizează calculatorul.
  • După terminarea programului, calculatorul va fi închis.
  • Este strict interzisă utilizarea „Print screen-ului” (prin folosirea tastei print screen sau a altor procedee) sau prin fotografierea monitorului cu telefonul pentru a salva/imprima datele cu caracter personal existente pe monitor.
  • Listarea documentelor ce conţin date cu caracter personal se va realiza doar de către utilizatorii autorizaţi sau cu aprobarea scrisă şi prealabilă a conducerii.
  •  Se va realiza back-up periodic la toate informaţiile stocate pe sistemele IT.
  • Angajatii nu vor uita documente pe birou care conţin date cu caracter personal după terminarea programului sau în pauză.
  • Angajaţii vor lua din imprimantă documentele proprii imediat după tipărire.

           Politica privind stocarea si protejarea inregistrarilor

  1. Introducere

În operaţiunile sale zilnice Societatea Uzina Mecanica Plopeni S.A., colectează şi stochează înregistrări de mai multe tipuri şi într-o varietate de formate diferite. Fiecare tip de informaţie este sensibila şi importanta în felul ei, în funcţie de ierarhia oferită de către societate prin politicile sale interne.

Este important ca aceste înregistrări să fie protejate împotriva pierderii, distrugerii, falsificării, accesului neautorizat şi eliberării neautorizate, iar o serie de măsuri sunt utilizate pentru a asigura acest lucru, inclusiv copii de siguranţă, control acces şi criptare.

Societatea Uzina Mecanica Plopeni S.A., are, de asemenea, responsabilitatea de a se asigura că respectă toate cerinţele legale, de reglementare şi contractuale relevante privind colectarea, stocarea, recuperarea şi distrugerea înregistrărilor. De o importanţă deosebită este Regulamentul GDPR şi cerinţele acestuia privind stocarea şi prelucrarea datelor cu caracter personal.

Acest control se aplică tuturor sistemelor, persoanelor şi proceselor care constituie sistemele informatice ale societatii, inclusiv, director, angajaţii, furnizorii şi alte părţi terţe care au acces la sistemele societalii.

  • Politica privind păstrarea şi protecţia înregistrărilor

Politica are două componente principale:

  1. stabilirea principiilor fundamentale care trebuie adoptate atunci când se ia în considerare păstrarea;
  • modul în care se realizează protecţia înregistrărilor;

Ulterior vor fi analizate tipurile de înregistrări detinute de societate, şi cerinţele stabilite pentru fiecare tip de înregistrare în parte. De asemenea, vor fi abordate punctual protecţia, distrugerea şi gestionarea înregistrărilor.

  • Principii generale

Există o serie de principii generale care trebuie implementate atunci când se ia în considerare politica de păstrare şi protecţie a înregistrărilor. Acestea sunt:

  • Înregistrările trebuie să fie ţinute în conformitate cu toate cerinţele legale aplicabile;
  • Înregistrările nu trebuie păstrate mai mult decât este necesar (a se vedea de exemplu şi termenele legale in acest sens de exemplu pentru statele de muncă avem un termen special);
  • Protecţia înregistrărilor în ceea ce priveşte confidenţialitatea, integritatea şi disponibilitatea lor – acestea trebuie să fie în confonnitate cu cerinţele de securitate;
  • Înregistrările trebuie să poată fi recuperabile în orice moment, dacă se poate;
  • Dacă este cazul, înregistrările care conţin date cu caracter personal trebuie supuse, cât mai curând posibil, analizelor privind protecţia datelor cu caracter personal şi cerinţelor GDPR.
  • Tipuri de înregistrări

Pentru a implementa anumite îndrumări pentru păstrarea şi protecţia înregistrărilor, înregistrările deţinute de Societatea Uzina Mecanica Plopeni S.A., sunt grupate în categoriile enumerate în tabelul de pe pagina următoare. Pentru fiecare dintre aceste categorii este indicată şi o perioadă de păstrare recomadată, mediile de stocare admise, precum şi recomandări sau alte cerinţe.

Acestea sunt doar orientări şi pot exista circumstanţe specifice în care înregistrările trebuie să fie păstrate pentru o perioadă mai lungă sau mai scurtă de timp. Aceasta ar trebui decisă de la caz la caz ca parte a proiectării elementelor de securitate a în cadrul societatii sau prin raportare la cerinţele legale.

Categorie inregistrari Descriere Perioada de stocare Motivul perioadei de stocare Suporturi de stocare admise
Contabilitate Facturi,ordine de cumparare,conturi de client,si alte inregistrari financiare istorice. 10 ani Obligatia de conformitate Gdpr-obligatii legale Electronice/hartie –inregistrarile de hartie trebuie sa fie scanate
Buget   si         prognoză financiară Planuri financiare şi estimări I0ani Obligaţia de conformitate a companiei/dovezi istorice Suport electronic/Hârtie
Înregistrări ale tranzactiilor Jurnale   de   baze   de   date şi  alte jurnale  utilizate pentru recuperarea bazei de date 4 săptămâni Bazat   pe  strategia  copiilor  de siguranţă şi recuperare Suport electronic/bandă
lnregistrări audit Jurnale de Securitate, informaţii financiare,  raport  de audit efectuat extern de companie   1 luna Perioada         maxima detimp posibilă conform legii Suport electronic/Hârtie
Client Datele  personale, inclusiv numele, adresele de         livrare  &facturare, istoricul comenzilor, cartea de credit şi detaliile băncii   3  ani după ultima achiziţie Cerinţe privind protecţia datelor Suport electronic/Hârtie
Furnizor Numele         furnizori lor,adrese le, detaliile companiei 3 ani după încheierea livrării Perioada  maximă  în care poate apărea disputa cu furnizorul Suport electronic/Hârtie/Fişăde Furnizor    
Resurse umane Numele angajaţilor, CNP, adresele, cont IBAN, istoricul angajărilor, istoric medical 50     ani după terminarea contractului de muncă   Protecţia datelor cu caracter personal, Codul muncii si legislatia conexa Suport electronic/Hârtie
Departamentul contracte Contracte juridice ,termini si condiţii . 10     ani dupa  încheierea contractului Perioada maximă în care poate apărea disputa Suport electronic/Hârtie
  • Utilizarea criptografiei

Dacă este cazul, pentru clasificarea informaţiilor şi a mediului de stocare, trebuie utilizate tehnici criptografice pentru a asigura confidenţialitatea şi integritatea înregistrărilor.

Trebuie să se ţină seama de faptul că respectivele chei de criptare utilizate pentru criptarea înregistrărilor vor fi stocate în siguranţă pentru durata de viaţă a înregistrărilor relevante şi respectă politica societatii în domeniul criptografiei.

  • Selectarea mediilor de stocare

Alegerea mediilor de stocare pe termen lung trebuie să ţină seama de caracteristicile fizice ale mediului de stocare, durata de utilizare a acestuia, precum şi de datele ce urmează să fie stocate.

În cazul în care înregistrările sunt obligatorii din punct de vedere legal să fie stocate pe hârtie, trebuie luate măsuri de precauţie adecvate pentru a se asigura că condiţiile de mediu rămân adecvate tipului de hârtie utilizat (spre exemplu mediu la o anumită umiditate, dulapuri de metal securizate, care sa reziste la foc etc.). Atunci când este posibil, copiile de rezervă ale acestor înregistrări ar trebui să fie făcute prin scanare. De asemenea, trebuie să se efectueze controale regulate pentru a evalua rata de deteriorare a documentului şi acţiunile întreprinse pentru păstrarea înregistrărilor, dacă este necesar.

Pentru înregistrările stocate pe suporturi electronice, cum ar fi banda, hard-drive etc. trebuie luate măsuri de precauţie similare pentru a asigura longevitatea materialelor din care sunt făcute acese suporturi, inclusiv o solutie de back-up la ele (cum ar fi de exemplu sa avem hard-driveurile in sistem de back-up de tip mirror raid, ce inseamnă  o copie de back-up de 1:1). Abilitatea de a citi conţinutul unui anumit format de bandă (sau alt suport similar) trebuie menţinută prin păstrarea unui dispozitiv capabil să îl proceseze. Dacă acest lucru nu este posibil, o terţă parte externă poate fi angajată pentru a transforma mediul de stocare într­un format alternativ.

  • Recuperarea inregistrărilor

Este foarte important ca înregistrările să poată fi recuperate, în special în cazurile în care avem obligaţii legale sau comerciale. Trebuie alese soluţii de o asemenea manieră încât să permită accesarea înregistrărilor într-o perioadă de timp acceptabilă, totodată prin raportare la costul stocării şi viteza de recuperare.

  • Distrugerea înregistrărilor

Odată ce înregistrările au ajuns la sfărşitul vieţii lor în conformitate cu politica internă definită, acestea trebuie să fie distruse în siguranţă într-o manieră care să asigure că nu mai pot fi folosite. Procedura de distrugere trebuie să pennită înregistrarea corectă a detaliilor de distrugere care ar trebui păstrate ca probă.

  • Revizuirea inregistrărilor

Reţinerea şi stocarea înregistrărilor trebuie să facă obiectul unui proces de revizuire periodic efectuat sub îndrumarea conducerii, pentru a se asigura că:

  • Politica privind păstrarea şi protecţia înregistrărilor rămâne valabilă;
  • Înregistrările sunt păstrate conform politicii;
  • Înregistrările sunt eliminate în siguranţă atunci când nu mai sunt necesare;
  • Sunt îndeplinite cerintele legale;
  • Procesele de recuperare a înregistrărilor îndeplinesc cerinţele societatii;

Rezultatele acestor evaluări trebuie înregistrate separat şi păstrate ca dovadă.

Politica privind utilizarea dispozitivelor mobile

  1. Introducere

Dispozitivele mobile reprezintă o componentă tot mai mare a vieţii de zi cu zi, deoarece dispozitivele devin mai mici şi mai puternice, iar numărul de sarcini care pot fi îndeplinite cu ajutorul lor şi departe de birou creşte. Cu toate acestea, pe măsură ce capabilităţile cresc, în mod evident, cresc şi riscurile. Comenzile de securitate care protejează mediul desktop static nu sunt la fel de sigure atunci când se utilizează un dispozitiv mobil în afara limitelor unei clădiri de birouri.

Ca exemple de dispozitive mobile, putem enumera:

  • Laptopuri.
  • Notebookuri.
  • Tablete.
  • Smartphone-uri.
  • Ceasuri inteligente.

Scopul acestei politici este de a stabili măsurile care trebuie să fie utilizate atunci când se utilizează dispozitive mobile. Se intentionează să se reducă următoarele riscuri:

  • Pierderea sau furtul de dispozitive mobile, inclusiv datele pe care acestea le conţin.
  • Compromiterea informaţiilor clasificate prin acces neautorizat.
  • Introducerea în reţea a viruşilor sau a programelor malware.
  • Pierderea reputaţiei.

Este important ca măsurile stabilite în această politică să fie respectate în orice moment în utilizarea şi transportul dispozitivelor mobile.

Această politică se aplică tuturor sistemelor, persoanelor şi proceselor care constituie sistemele informatice ale organizaţiei, inclusiv membrii consiliului, directorii, angajaţii, furnizorii şi alte părţi terţe care au acces la sistemele societalii.

  • Politica privind dispozitivele mobile
  • Dispozitive furnizate de  Societate

În lipsa unei aprobări prealabile a conducerii, numai dispozitivele mobile furnizate de societate trebuie folosite pentru a ţine sau a procesa  informaţii în  numele societatii.

Dacă se solicită utilizarea echipamentelor mobile se va oferi un dispozitiv corespunzător care va fi configurat să respecte politicile organizatiei. Sprijinul va fi oferit de către Structura de Securitate, care poate avea uneori nevoie de acces la dispozitiv pentru rezolvarea problemelor şi pentru mentenanţă.

Trebuie să se asigure că dispozitivul este transportat şi depozitat în medii sigure şi nu este expus unor situaţii în care acesta se poate deteriora. Nu se va lăsa aparatul nesupravegheat la vederea publicului, cum ar fi în spatele unei maşini, într-o sală de şedinţe sau în hol.

Nu se va elimina niciun semn de identificare de pe dispozitiv, cum ar fi o etichetă a companiei sau o serie. Se vor lua măsuri ca dispozitivul să fie blocat şi protejat de o parolă puternică.

Nu se va adăuga echipament hardware periferic fără aprobarea sefului Structurii de Securitate. Seful Structurii de Securitate trebuie să fie consultat înainte ca aparatul să fie scos din ţară.

Nu se vor stoca informaţii confidenţiale pe dispozitiv (cum ar fi date cu caracter personal) decât dacă acest lucru a fost autorizat şi dacă măsurile adecvate (de exemplu criptarea) au fost introduse. Nu se va păstra dispozitivul parolele de acces, numerele de identificare personale sau alte elemente de securitate la vedere sau uşor accesibile.

Asiguraţi-vă că ecranul dispozitivului se blochează după o scurtă perioadă de neutilizare şi necesită un cod de acces sau o parolă pentru a-l debloca. Parolele utilizate trebuie să fie puternice şi greu de ghicit. Nu se pot seta pe dispozitiv niciun fel de conectări neasigurate (adică cele care nu necesită o parolă).

Dispozitivul furnizat de societate este destinat exclusiv destinaţiei indicate: nu trebuie să fie împărtăşită cu familia sau prietenii sau folosit pentru activităţi personale. Este posibil să vi se solicite să returnaţi dispozitivul la Structura de Securitate în orice moment pentru inspecţie şi audit. Nu trebuie să instalaţi niciun software neautorizat sau să schimbaţi configuraţia sau setarea dispozitivului fără a consulta mai întâi Structura de Securitate.

Acolo unde este posibil, dispozitivul va fi securizat astfel încât toate datele de pe acesta să fie criptate şi să fie accesibil doar dacă parola este cunoscută. Dacă dispozitivul este livrat cu criptare, nu dezactivaţi criptarea.

Este posibil ca modificările aduse fişierelor deţinute pe dispozitiv să nu fie însoţite în mod regulat dacă nu sunt conectate la reţeaua corporativă pentru o perioadă de timp. Încercaţi să programaţi ceva timp pentru a realiza acest lucru în mod regulat. Nu ţineţi propriile backup­uri necriptate de informaţii.

Dacă este cazul, protecţia împotriva viruşilor va fi instalată pe dispozitiv de către societate. Asiguraţi-vă că dispozitivul este conectat periodic la reţeaua societatii pentru a permite actualizarea anti-virusului. Nu dezactivaţi protecţia antivirus.

Dispozitivul nu trebuie să fie conectat la reţele non-corporative, cum ar fi wireless sau Internet, cu excepţia cazului în care este utilizată o reţea VPN (Virtual Private Network/Reţea Virtuală Privată). Când vă aflaţi în locuri publice, asiguraţi-vă că aţi amplasat dispozitivul astfel încât utilizatorii neautorizaţi să nu poată vizualiza ecranul sau să facă fotografii sau videoclipuri ecranului.

  • Utilizarea dispozitivelor mobile personale

Costul redus şi disponibilitatea generală a unor astfel de dispozitive au alimentat dorinţa angajaţilor şi a altor părţi interesate de a-şi folosi propriile dispozitive pentru a le folosi în scopuri comerciale. Aceasta este denumită în mod obişnuit “Îţi aduci propriul dispozitiv” (BYOD). În unele cazuri, acest lucru poate oferi o flexibilitate sporită şi poate elimina necesitatea ca angajatul să transporte mai multe dispozitive în mod regulat.

Cu toate acestea, conceptul de a permite unui angajat să utilizeze propriul dispozitiv (dispozitive) în scopuri de afaceri poate avea ca rezultat necesitatea ca astfel de dispozitive să fie supuse unor controale suplimentare în plus faţă de cele care există în mod obişnuit pentru un dispozitiv de consum.

Problemele comune şi problemele de securitate cu BYOD pot include:

  • utilizarea aparatului de către alţi membri ai familiei
  • stocarea implicită a datelor în facilităţile copiilor de rezervă în cloud
  • expunerea crescută la pierderi potenţiale în situaţii sociale, de ex. pe plajă, într-un bar
  • acces potenţial la site-uri care nu respectă politica de utilizare acceptabilă a organizaţiilor
  • conectarea la reţele nesigure, de exemplu reţele wireless nesecurizate
  • inexistenţa unui anti-virus
  • instalarea de aplicaţii potenţial dăunătoare pe dispozitiv (de multe ori fără ca utilizatorul să fie conştient de faptul că este malware)

Aceste aspecte trebuie luate în considerare atunci când se evaluează caracterul adecvat al oricărui dispozitiv de a stoca datele confidenţialeale societatii.

Proprietarul dispozitivului şi societatea vor decide dacă un anumit dispozitiv va fi utilizat in activitatea desfasurata de angajat. Această utilizare nu este obligatorie, iar angajatul are dreptul de a decide dacă controalele suplimentare introduse pe dispozitiv de către organizaţie sunt acceptabile şi, prin urmare, dacă aceştia aleg să utilizeze dispozitivul în scopul propus.

Este important ca măsurile stabilite în această politică să fie respectate în orice moment în utilizarea şi transportul dispozitivelor mobile BYOD. Persoanele fizice nu trebuie să utilizeze propriile dispozitive pentru a ţine şi prelucra informaţii despre societate decât dacă au depus o cerere în acest sens şi această solicitare a fost aprobată oficial. Este politica societatii să evalueze fiecare cerere BYOD în mod individual, pentru a stabili:

  • identitatea persoanei care face cererea;
  • motivul cererii;
  • datele care vor fi păstrate sau procesate pe dispozitiv;
  • dispozitivul specific care va fi utilizat;

Solicitările trebuie trimise la Structura de Securitate.

Principiul general al acestei politici este că gradul de control exercitat de societate asupra dispozitivului BYOD va fi proporţional cu gradul sensibilităţii datelor deţinute de acesta.

Pentru a asigura că datele sale sunt protejate în mod adecvat, este important ca societatea să poată monitoriza şi să verifice nivelul de conformitate cu această politică. Nivelul de monitorizare şi de audit va fi adecvat clasificării informaţiilor deţinute pe dispozitiv.

Metodele şi calendarul monitorizării şi auditului vor fi astfel încât intimitatea proprietarului dispozitivului să nu fie afectată şi, în toate cazurile, cu respectarea legislaţiei în materia protecţiei datelor cu caracter personal. În general, monitorizarea utilizării în afara programului de lucru va fi evitată.

În cazul în care dispozitivul este pierdut sau furat, proprietarul trebuie să informeze Structura de Securitate cât mai curând posibil, oferind detalii despre circumstanţele pierderii şi sensibilitatea informaţiilor de afaceri stocate pe acesta. Societatea îşi rezervă dreptul de a şterge de la distanţă dispozitivul, dacă este posibil, ca măsură de precauţie. Aceasta poate implica ştergerea datelor personale ale proprietarului dispozitivului.

La părăsirea societatii, proprietarul dispozitivului trebuie să permita ca dispozitivul să fie auditat şi să fie eliminate toate datele şi aplicaţiile companiei.

Nivel de protectie Categorii de informatii Cine poate avea access Tipuri de dispozitive Controale necesare Comentarii
Nivelul 0-1 Public Cataloage de produse, informaţii despre preţuri, adrese de locaţie ale Institutiei şi numere de contact Oricine         Oricare Nici unul Aceste infonnaţii sunt în general accesibile publicului şi accesate prin mijloace accesibile publicului, de exemplu un site web.
Nivelul l-1 Protejat Proceduri interne,detaliiI despre produs, comunicaţii interne ale companiei,  e,- mail necondiţionat sau confidenţial. Angajaţi şi alte parti interesate autorizate Laptopuri, tablete, dispositive smartphone Protectie prin parola pe dispozitiv Blocare inactive Stergere de la distanta Protectie prin parola pentru aplicatie Audituri periodice Aceasta zona este cea mai folosita utilizare a BYOD din adrul societatii
Nivelul 2 – Restricţionat Resurse umane, informaţii bancare, date cu caracter personal protejate de legislaţia privind protecţia datelor Grupuri restrânse de angajaţi Doar laptopuri Criptare completa pe disc. Retea VPN. Colare automatizată Antivirus Sistem Firewall   Audituri periodice. Aceste informaţii   trebuie accesate numai prin dispozitive cu controale stricte   de securitate. Acest lucru poate impiedica practic utilizarea unui  dispozitiv  BYOD  în  funcţie de circumstanţe.
Nivelul “Confidenţial” Planuri de resurse ale companiei, propuneri comerciale, informaţii financiare nepublicate, alte secrete comerciale Nimeni Niciunul Nu se aplică Aceste   informaţii trebuie accesate numai prin intermediul         unor dispozitive furnizate de organizaţie, cu controale stricte de securitate.

 

INFORMARE

PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL PRIN MIJLOACE VIDEO

        Scopul prelucrarii prin mijloace video

        Societatea Uzina Mecanică Plopeni SA prelucrează date cu caracter personal , respectiv imaginea prin intermediul sistemelor video în scopul monitorizării accesului persoanelor în instituție, al asigurării securității spațiilor și bunurilor instituției,  precum și al siguranței persoanelor aflate în sediul instituției.

       Uzina Mecanică Plopeni SA utilizează subsistemul de supraveghere video pentru asigurarea siguranței și securității instituției. Acest subsistem vine în completarea subsistemelor de detecție și alarmare la tentativa de efracție, de control acces, de detecție, semnalizare și alarmare la incendiu, formând astfel un sistem integrat la securitatea fizică. Astfel subsistemele de televiziune în circuit închis funcționează în relația de colaborare cu celelate subsisteme enumerate mai sus, asigurând elementul de monitorizare în timp real și posibilitatea de vizualizare post – eveniment precum și înregistarare, afișarea și transmisia video către diverse persoane desemnate ca utilizatori ai subsistemului de supraveghere.

         Întrucât prelucrarea datelor cu caracter personal (imaginea) prin intermediul mijloacelor de supraveghere video are un caracter obligatoriu, refuzul persoanei de a furniza datele respective determina anularea accesului acesteia în sediul societății Uzina Mecanică Plopeni SA.

        Condiții de legimitate

        Prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video , instalarea, utilizarea sub aspect tehnic a echipamentelor si elementelor componente ale sistemului de supraveghere video se realizează în conformitate cu prevederile legale in domeniu:

   –  Regulamentul nr. 679/2016 privind protețtia persoanelor în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor – RGPD).

  –    Legea nr. 190 din 18 iulie 2018 prvind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

  –  Decizia nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video, emisă de Președintele Autorității Naționale de Supraveghere a Prelucrarii Datelor cu Caracter Personal;

  –  Legea nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, republicată, cu modificările ulterioare;

  –  Normele metodologice de aplicare a Legii nr. 333/2003, apobate prin HG nr. 301/2012, cu modificările și completările ulterioare;

  –  Ordinul nr. 52/2002 privind aprobarea Cerințelor minime de securitate a prelucrărilor de date cu caracter personal, emis de avocatul poporului;

  – Conform dispozițiilor art. 13 alin.(2) din Decizia nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video, prelucrarea datelor cu caracter personal prin mijloace de supraveghere video se face numai de către persoanele autorizate de către operator (angajați ai operatorului).

       Zonele monitorizate

Amplasarea camerelor de supraveghere a fost realizată în conformitate cu legislația în vigoare. Se supraveghează prin mijloace video:

 –  Pavilionul Administrativ;

 –  Fabrica I Uzinaj;

 –  Șantier II Pirotehnie;

  – Depozitul RM Gavanel – (poarta principală).

        Transparență și informare

       Uzina Mecanică Plopeni S.A. furnizează persoanelor care intră în zona supravegheată video informațiile prevăzute de art. 13 din Regulamentul general privind protecția datelor și de art. 11 din Decizia nr. 52/2012, emisă de președintele ANSPDCP.

        În acest sens, informațiile prevăzute la art.13 din RGPD, având alăturată pictograma aferentă , sunt aduse la cunoștință persoanelor vizate în mod clar și permanent, prin intermediul

unui afiș “ Notă de informare ” postat în locurile monitorizate, poziționat la o distanță rezonabilă de locul unde sunt amplasate echipamentele de supraveghere, astfel încât să poată fi văzut de orice persoană.

      Protejarea vieții private și securitatea informațiilor

       Pentru a proteja securitatea sistemului video ăi pentru a spori gradul de protecție  a vieții , au fost introduse urmatoarele măsuri organizatorice:

–    limitarea timpului de stocare a meterialului filmat,  în conformitate cu cerințele de securitate;

–  mediile de stocare (înregistrare video digitală) se află în spțtii securizate, protejate de măsuri de securitate fizică;

– dreptul de acces se acordă utilizatorilor doar pentru acele resurse care sunt strict necesare pentru indeplinirea atribuțiilor de serviciu;

– persoana care are dreptul de a acorda, modifica sau anula dreptul de acces al utilizatorilor , conform procedurii de acces la baza de date, este administratorul de sistem, desemnat în acest sens de operator;

– responsabilul cu protecția datelor personale va fi consultat înainte de instalarea oricărui nou sistem video;

     Totodată, s-a avut în vedere prevenirea unei prelucrări de date cu caracter personal sau accesul neautorizat la datele respective.

       Accesul  la datele  cu caracter personal colectate prin intermediul sistemului de supraveghere video.

       Accesul la imaginile video înregistrate și transmise în direct sunt limitate la un număr redus de persoane (angajați ai instituției) care pot fi identificate în mod clar și este determinat prin atribuțiile specifice în fișa postului ( în ce scop și ce tip de acces ).

  Accesul la materialul filmat a sistemului video este limitat la un număr redus de persoane care pot fi  identificate în mod clar și este determinat prin atribuțiile specifice în fișa postului ( în ce scop și ce tip de acces ).

       Sistemul de supraveghere video nu este utilizat pentru verificarea prezentei la program sau evaluarea performanței la locul de muncă.

       În cazuri excepționale, dar cu respectarea garanțiilor descrise anterior, se poate acorda acces Comisiei de Cercetare disciplinara desemnata de Directorul General al UM Plopeni S.A., în cadrul unei anchete disciplinare, cu condiția ca informațiile să ajute la investigarea unei infracțiuni sau a unei abateri disciplinare de natura să prejudicieze drepturile și libertațile unei persoane.

Dezvăluirea datelor cu caracter personal colectate prin intermediul sistemului de supraveghere video

       Informațiile înregistrate prin sistemele de supraveghere video sunt destinate utilizării de către UM Plopeni S.A. în scopul  monitorizării accesului persoanelor în instituție, al asigurării securității spațiilor și bunurilor, precum și al siguranței persoanelor aflate în sediul societății și sunt puse la dispoziția organelor judiciare și a altor instituții abilitate de lege să solicite aceste informații, la cererea expresă a acestora.

       Orice activitate de transfer și dezvaluire a datelor personale către terți va fi documentată și supusă unei evaluari riguroase privind necesitatea comunicării și compatibilitatea dintre scopul în care se face comunicarea și scopul în care aceste date au fost colectate inițial pentru prelucrare (de securitate și control acces). În aceste cazuri va fi consultat și Responsabilul cu protecția datelor personale, desemnat la nivelul operatorului de date.

        Imaginile înregistrate prin intermediul sistemului de supraveghere video instalat în incinta sediului UM Plopeni S.A.  – Pavilionului Administrativ, Fabrica I Uzinaj, Șantier II Pirotehnie și Depozitul RM Gavanel, pot fi puse la dispoziția organelor judiciare, la cererea expresă a acestora.

        Durata de stocare

        Durata de stocare a datelor obținute prin intermediul sistemului de supraveghere video este proportionala cu scopul pentru care se prelucreaza datele, astfel ca imaginile sunt stocate pentru o perioada care nu depaseste 30 de zile , cu exceptia situatiilor expres reglementate de lege sau a cazurilor temeinic justificate.

        La expirarea perioadei de stocare datele se sterg prin procedura automata in ordinea in care au fot inregistrate;

       In cazul procedurii unui incident de securitate , precum si in cazuri temeinic justificate , durata de pastrare a materialului filmat relevant poate depasi limitele normale in functie de timpul necesar investigarii suplimentare a incidentului de securitate.

        Drepturile persoanei vizate

        Societatea Uzina Mecanica Plopeni SA garanteaza ca asigura respectarea drepturilor ce revin persoanelor vizate , conform Regulamentului nr. 679/2016 privind protectia persoanelor  fizice  in ceea ce priveste prelucrarea datelor cu caracter personal privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE.

       Informarea persoanelo vizate se realizeaza in mod clar si permanent prin intermediul unui semn adecvat , cu vizibilitate suficienta si localizat in zona supravegheata , astfel incat sa semnaleze existenta camerelor de supraveghere si pentru a comunica informatiile esentiale privind prelucrarea datelor cu caracter personal.

       Responsabilul cu protectia datelor va asigura actualizarea informarilor corespunzator realitatilor existente in cadrul activitatilor desfasurate de  Uzina Mecanica Plopeni SA.

       In conformitate cu dispozitiile Regulamentului nr. 679/2016 persoana vizata are urmatoarele drepturi:

– dreptul de acces;

– dreptul de rectificare;

– dreptul la stergerea datelor(“dreptul de a fi uitat”);

– dreptul la restrictionarea prelucrarii;

– dreptul la portabiliatatea datelor;

Nota: Prezenta Politică va fi adusă  la cunostinta de către sefii de departament tuturor angajaţilor din subordine.

Consecinţe

Nerespectarea prezentei Politici de către angajaţii societatii sau alţi colaboratori externi poate conduce către sancţiuni disciplinare (inclusiv încetarea contractului de muncă), rezilierea contractelor şi, în funcţie de circumstanţe, acţionarea în instanţă pentru recuperarea integrală a prejudiciilor aduse companiei ca urmare a nerespectării prezentei Politici. Când există suspiciunea unor activităţi ilegale (cum ar fi, exemplificativ, sustragerea documentelor, copierea, distribuirea, transferul bazelor de date), societatea va denunţa activitatea infracţională organelor legii pentru tragerea la răspundere penală a făptuitorului.

 

Director General                                                         Departamentul  Juridic

                                                                                           Responsabil GDPR