Protecția datelor dumneavoastră cu caracter personal este foarte importantă pentru S.C. Aquaproiect S.A (denumită în continuare „Aquaproiect” sau „operatorul”), persoană juridică română, cu sediul in București, Splaiul Independentei 294, sector 6, cod de înregistrare fiscală RO 448510, înregistrată la Registrul Comerțului Municipiului București cu nr. J40/2518/1991. Ne dorim ca dumneavoastră să fiți informat corespunzător cu privire la modul şi scopurile în care Aquaproiect prelucrează datele dumneavoastră cu caracter personal.
- Scop
Scopul acestei Politici de Securitate a Prelucrării Datelor cu Caracter Personal (denumită în continuare „Politica de Securitate”) este de a stabili măsurile necesare și responsabilitățile angajaților Aquaproiect cu atribuții de prelucrare a datelor cu caracter personal și/sau, după caz, ale persoanelor împuternicite de Aquaproiect, pentru îndeplinirea obligațiilor referitoare la garantarea şi protejarea drepturilor şi libertăților fundamentale ale persoanelor fizice, în special a dreptului la viața intimă, familială şi privată, cu privire la prelucrarea datelor cu caracter personal.
- Domeniu de aplicare
Prezenta politică se aplică tuturor angajaților Aquaproiect cu atribuții de prelucrare a datelor cu caracter personal și/sau, după caz, persoanelor împuternicite.
- Termeni și definiții
Conform Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date
„date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
„prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
„operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
„persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
„destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării;
„parte terță” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
„consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.
- Principiile prelucrării datelor cu caracter personal
- Datele cu caracter personal sunt prelucrate de Aquaproiect cu bună-credință și în conformitate cu dispozițiile legale în vigoare.
- Datele cu caracter personal sunt colectate de Aquaproiect în scopuri bine determinate, explicite și legitime, iar prelucrarea ulterioară nu va fi incompatibilă cu aceste scopuri.
- Datele cu caracter personal sunt adecvate, pertinente și neexcesive prin raportare la scopul în care sunt colectate și ulterior prelucrate.
- Datele cu caracter personal nu se stochează de Aquaproiect pentru o perioadă mai lungă decât este necesar pentru realizarea scopurilor în care au fost colectate.
- Aquaproiect a luat măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii, accesului neautorizat sau oricărei alte forme de prelucrare ilegală, precum și cu privire la ștergerea sau rectificarea datelor inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate și pentru care vor fi ulterior prelucrate.
- Categoriile de date și scopul utilizării datelor cu caracter personal
Datele cu caracter personal la care se face referire în prezenta Politică de Securitate includ elemente de identificare de tipul nume şi prenume, numele şi prenumele reprezentanţilor legali, telefon/ fax, adresa de domiciliu/ reşedinţă, adresă de e-mail, cod numeric personal, seria şi numărul actului de identitate/ paşaportului, loc de muncă, profesie, formare profesională – diplome – studii, date bancare sau alte asemenea, care servesc la identificarea dumneavoastră sau a persoanelor care vă reprezintă ori pe care le reprezentaţi.
Aquaproiect colectează, utilizează, prelucrează și furnizează datele personale oferite de dumneavoastră în scopul executării sau încheierii unor contracte și a îndeplinirii unor obligații legale.
Datele personale sunt destinate utilizării de către Aquaproiect și sunt colectate prin persoane desemnate în acest sens. O parte din aceste date (numai cele necesare) pot fi comunicate către parteneri contractuali ai Aquaproiect.
- Reguli generale
- Prezenta Politică de Securitate stabilește măsuri tehnice şi organizatorice implementate de Aquaproiect, pentru îndeplinirea obligaţiilor referitoare la confidențialitatea și securitatea prelucrărilor efectuate în cadrul activităţii sale. Prin cerinţe minime de securitate este avut în vedere un complex de măsuri tehnice, informatice, organizatorice, logistice şi proceduri prin care se asigură un nivel minim de securitate al prelucrărilor, conform art. 20 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date („Legea nr. 677/2001”) şi în conformitate cu cerinţele minime de securitate a prelucrărilor de date cu caracter personal, aprobate prin Ordinul nr. 52/2002 emis de Avocatul Poporului („Ordinul nr. 52/2002”).
- Aquaproiect a adoptat măsuri tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerilor accidentale sau ilegale, pierderii, modificării, dezvăluirii, accesului neautorizat sau oricărei alte forme de prelucrare ilegală.
- Pentru îndeplinirea prevederilor legale aferente şi în vederea satisfacerii cerinţelor păstrării în siguranţă a datelor şi informaţiilor, Aquaproiect a elaborat şi implementat măsuri organizatorice şi tehnice orientate pe anumite direcţii de acţiune:
- identificarea şi autentificarea utilizatorului;
- tipul de acces;
- colectarea datelor;
- execuţia copiilor de siguranţă;
- computerele şi terminalele de acces;
- fişierele de acces;
- instruirea personalului;
- sistemele de telecomunicații;
- folosirea computerelor;
- imprimarea datelor.
- Proceduri specifice
- Identificarea și autentificarea utilizatorului
Prin utilizator se înțelege orice persoană care acționează sub autoritatea Aquaproiect sau a persoanei împuternicite de Aquaproiect, cu drept recunoscut de acces la bazele de date cu caracter personal.
Pentru a dobândi acces la date cu caracter personal, utilizatorii trebuie să se identifice. Autentificarea se face prin introducerea datelor de autentificare unice, constând în cont de utilizator (username) și parolă în conformitate cu documentele Sistemului de Management al Securității Informațiilor al Aquaproiect.
Orice utilizator care primește acces la baza de date cu caracter personal este informat că trebuie să păstreze confidențialitatea datelor de autentificare şi să răspundă în acest sens în fața operatorului.
Aquaproiect a stabilit o procedură de administrare şi gestionare a conturilor de utilizator, prevăzută în documentele Sistemului de Management al Securității Informațiilor a Aquaproiect. În conformitate cu prevederile acesteia, sunt stabilite reguli clare de acordare, respectiv anulare a drepturilor și modalităților de acces la contul de utilizator.
Accesul utilizatorilor la bazele de date cu caracter personal gestionate în sistem manual se face numai pe baza unei liste a operatorilor, aprobată de conducerea Aquaproiect.
- Tipul de acces
Utilizatorii pot accesa numai datele cu caracter personal necesare pentru îndeplinirea atribuțiilor alocate de Aquaproiect. Pentru aceasta sunt stabile tipurile de acces după funcționalitate (administrare, introducere, prelucrare, salvare etc.) şi după acţiuni aplicate asupra datelor cu caracter personal (scriere, citire, ștergere), precum şi procedurile privind aceste tipuri de acces.
Personalul care asigură suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea incidentelor și a problemelor apărute în utilizarea sistemelor informatice.
Computerele și serverele care conțin bazele de date cu informații cu caracter personal se află în încăperi cu acces controlat.
Operatorul a stabilit modalități stricte prin care se vor distruge datele cu caracter personal.
- Colectarea datelor
Aquaproiect desemnează operatori împuterniciți (utilizatori autorizați) pentru operațiile de colectare, introducere și prelucrare de date cu caracter personal într-un sistem informatic sau în sistem manual.
Orice modificare a datelor cu caracter personal se poate face numai de către utilizatori autorizați desemnați de operator.
Operatorul a luat măsuri pentru ca sistemul informațional să înregistreze cine a făcut modificarea, data şi ora modificării. Pentru o mai bună administrare, operatorul are implementate măsuri ca sistemul informațional să mențină datele șterse sau modificate.
- Execuția copiilor de siguranță
Sistemul informatic efectuează, în mod automat, un back-up al datelor, pentru o eventuală recuperare a acestora, în cazul pierderii, distrugerii sau disfuncționalității sistemelor informatice.
Aquaproiect stabilește intervalul de timp la care se execută copiile de siguranță ale bazelor de date cu caracter personal. Utilizatorii care execută aceste copii de siguranță sunt numiți de operator, într-un număr restrâns. Copiile de siguranță se stochează într-un loc cu acces restricționat.
Execuția copiilor de siguranță se face conform documentelor Sistemului de Management al Securității Informațiilor al Aquaproiect.
- Computerele și terminalele de acces
Computerele sunt amplasate în încăperi cu acces controlat, care se pot încuia. Dacă computerele sunt deschise și asupra lor nu se acționează o perioadă dată, stabilită de operator, calculatorul se blochează și poate fi deblocat numai de utilizator introducând parola de acces.
Utilizatorii sunt instruiți, astfel încât bazele de date cu informațiile cu caracter personal să fie închise, în cazurile când acestea sunt deschise, dacă prin preajmă se află persoane neautorizate.
Serverele care găzduiesc bazele de date pot fi accesate doar în mod controlat, pe baza de drepturi de acces.
- Fișierele de acces
Aquaproiect ia măsuri ca orice accesare a bazei de date cu caracter personal să fie înregistrată într-un fişier de acces (numit log la prelucrările automate) sau într-un registru pentru prelucrările manuale de date cu caracter personal, stabilit de operator.
Informaţiile înregistrate în fişierul de acces sau în registru vor fi:
- codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale);
- numele fişierului accesat (fişei);
- numărul înregistrărilor efectuate;
- tipul de acces;
- codul operaţiei executate sau programul folosit;
- data accesului (an, lună, zi);
- timpul (ora, minutul, secunda).
Pentru prelucrările automate aceste informaţii vor fi stocate într-un fişier de acces general sau în fişiere separate pentru fiecare utilizator.
Operatorul este obligat să păstreze fişierele de acces cel puţin 2 ani, pentru a fi folosite ca probe în cazul unor investigaţii. Dacă investigaţiile se prelungesc, aceste fişiere se vor păstra până la finalizarea investigațiilor și a oricăror acțiuni în legătură cu acestea.
Fişierele de acces trebuie să facă posibilă identificarea de către operator sau de către persoana împuternicită a persoanelor care au accesat date cu caracter personal fără un motiv anume, în vederea aplicării unor sancţiuni sau a sesizării organelor competente.
- Sistemele de telecomunicații
Aquaproiect, prin utilizatorii autorizați, realizează periodic controlul autentificărilor şi tipurilor de acces pentru detectarea unor disfuncţionalităţi în ceea ce priveşte folosirea sistemelor de telecomunicații. Prin sistemele de telecomunicaţii se vor transmite numai datele cu caracter personal strict necesare.
- Instruirea personalului
Utilizatorii care au acces la bazele de date cu caracter personal sunt instruiți cu privire la prevederile Legii nr. 677/2001, la cerinţele minime de securitate a prelucrărilor de date cu caracter personal prevăzute de Ordinul nr. 52/2002, cu privire la dispoziţiile Politicii Sistemului de Management al Securității Informațiilor al Aquaproiect, precum şi cu privire la importanța menținerii confidențialității acestora și riscurile pe care le comportă prelucrarea datelor cu caracter personal.
Utilizatorii care au acces la date cu caracter personal vor fi avertizați prin mesaje care vor apărea pe monitoare la pornirea calculatorului. Dupa neutilizarea calculatorului timp de 15 minute este nevoie sa se relogheze. Utilizatorii sunt obligaţi să îşi închidă sesiunea de lucru atunci când părăsesc locul de muncă.
- Folosirea computerelor
Pentru menţinerea securităţii prelucrării datelor cu caracter personal (în special împotriva viruşilor informatici) Aquaproiect a luat următoarele măsuri:
- a interzis folosirea de către utilizatori a programelor software care provin din surse nesigure;
- utilizatorii nu au drepturi de administrator pe computere, prin urmare nu pot instala programe software fără a anunța compartimentul care asigură suportul tehnic;
- se utilizează software cu licență;
- utilizatorii au fost instruiți cu privire la Politica Sistemului de Management al Securității Informațiilor al Aquaproiect şi la celelalte documente de reglementare privind utilizarea tehnicii de calcul, inclusiv pericolul reprezentat de virușii informatici;
- computerele sunt protejate cu programe antivirus.
- Imprimarea datelor
Imprimarea datelor cu caracter personal se va realiza numai de către utilizatorii desemnați și numai în scopul precizat în prezentele reguli.
- Drepturile persoanelor a căror date personale sunt colectate și/sau prelucrate
Conform Legii nr. 677/2001, beneficiaţi de următoarele drepturi cu privire la prelucrarea datelor cu caracter personal care vă privesc:
- Dreptul de informare
Aveţi dreptul de a obţine de la Aquaproiect, conform art. 12 al Legii nr. 677/2001 cel puțin următoarele informații, cu excepția cazului în care sunteţi deja în posesia informațiilor respective:
- a) identitatea operatorului și a reprezentantului acestuia, daca este cazul;
- b) scopul in care se face prelucrarea datelor;
- c) informații suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacă furnizarea tuturor datelor cerute este obligatorie și consecințele refuzului de a le furniza; existența drepturilor prevăzute de prezenta lege pentru persoana vizata, în special a dreptului de acces, de intervenție asupra datelor și de opoziție, precum și condițiile în care pot fi exercitate;
- d) orice alte informații a căror furnizare este impusă prin dispoziție a autorității de supraveghere, ținând seama de specificul prelucrării.
- Dreptul de acces la date
Aveţi, dreptul de a obține de la Aquaproiect, conform art. 13 al Legii nr. 677/2001, la cerere și in mod gratuit, pentru o solicitare pe an, confirmarea faptului ca datele care vă privesc sunt sau nu sunt prelucrate de Aquaproiect.
- Dreptul de intervenție asupra datelor
Aveți dreptul de a obține de la operator, conform art. 14 al Legii nr. 677/2001, la cerere şi în mod gratuit, rectificarea, actualizarea, blocarea sau ștergerea datelor a căror prelucrare nu este conformă legii, în special a datelor incomplete sau inexacte.
- Dreptul de opoziție
Aveți dreptul de a se opune în orice moment prelucrării datelor cu caracter personal care vă privesc de către Aquaproiect, conform art. 15 al Legii nr. 677/2001.
- Dreptul de a nu fi supus unei decizii individuale
Aveți dreptul, conform art. 17 al Legii nr. 677/2001, de a cere şi de a obţine retragerea/ anularea/ reevaluarea oricărei decizii care produce efecte juridice în privinţa dumneavoastră, adoptată exclusiv pe baza unei prelucrări de date cu caracter personal, efectuată prin mijloace automate, destinată să evalueze unele aspecte ale personalităţii dumneavoastră, precum competenţa profesională, credibilitatea, comportamentul ori alte asemenea aspecte.
- Dreptul de a vă adresa justiției
Conform art. 18 al Legii nr. 677/2001 aveți dreptul de a vă adresa justiției pentru apărarea oricăror drepturi garantate de lege, care v-au fost încălcate.
Pentru exercitarea acestor drepturi, vă puteți adresa cu o cerere scrisă, datată si semnată, transmisă prin utilizarea datelor de contact indicate la secțiunea 7 din prezenta Politică de Securitate.
- Dezvăluirea datelor cu caracter personal către terți
Datele colectate sunt dezvăluite către terți numai în cazul în care Aquaproiect se supune unei obligații legale în acest sens. Orice dezvăluire către terți în alte condiții a datelor cu caracter personal va fi făcută numai la solicitarea conducerii.
- Contact
Pentru solicitări sau întrebări cu privire la prezenta Politică de Securitate, vă rugăm să vă adresați Aquaproiect, folosind următoarele date de contact:
Adresa poștala: Splaiul independenței nr. 294, sector 6, București, cod 060031
Tel.: +40 021 316 00 40
Fax: + 40 021 316 00 42
E-mail: office@aquaproiect.ro
- Dispoziții finale
Acest document se completează cu întreg setul de proceduri de securitate cu privire la prelucrarea datelor cu caracter personal aprobat de conducerea Aquaproiect, inclusiv documentele Sistemului de Management al Securității Informațiilor al Aquaproiect