Procedură privind redactarea, evidența, circuitul (manipularea) și transportul documentelor care conțin date cu caracter personal în cadrul SOLAR POWER MANGEMENT  SRL  

 

 

CONŢINUTUL PROCEDURII

 

SCOP: Această procedură stabileşte:

1. Un set unitar de reguli care reglementează redactarea, evidența, circuitul (manipularea) și transportul documentelor care conțin date cu caracter personal în cadrul SOLAR POWER MANGEMENT  SRL   în scopul asigurării măsurilor de securitate a datelor cu character personal, respectând în acelaşi timp obligaţiile ce revin SOLAR POWER MANGEMENT  SRL   şi măsurile de securitate adoptate pentru protecţia datelor cu caracter personal, protejarea vieţii private, a intereselor legitime şi garantarea drepturilor fundamentale ale persoanelor vizate;

2. Responsabilităţile privind redactarea, evidența, circuitul (manipularea) și transportul documentelor care conțin date cu caracter personal în cadrul SOLAR POWER MANGEMENT  SRL , precum şi cele privind întocmirea, avizarea şi aprobarea documentelor aferente acestor activităţi.

Procedura privind redactarea, evidența, circuitul (manipularea) și transportul documentelor care conțin date cu caracter personal, prezintă măsurile de protecţie luate de SOLAR POWER MANGEMENT  SRL  pentru a proteja datele cu caracter personal, viaţa privată şi alte drepturi fundamentale şi interese legitime ale persoanelor ale căror date au ajuns în posesia firmei SOLAR POWER MANGEMENT  SRL .

DOMENIUL: Procedura se aplică în cadrul activității de prelucrare protective, stocare și manipulare a datelor personale. Politica se aplică, corespunzător competenţelor, de către:

- personalul desemnat din cadrul Structurii de Tehnologia Informaţiei;

- structura responsabilă cu protecţia datelor personale;

- personalul extern care asigură mentenanţa infrastructurii IT din cadrul firmei;

- angajaţilor SOLAR POWER MANGEMENT  SRL .

 

 

TERMENI ŞI DEFINIŢII:

ANSPDCP = Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal;

Codul numeric personal (CNP) = un număr semnificativ care individualizează în mod unic o persoană fizică, constituind un instrument de verificare a stării civile a acesteia şi de identificare în anumite sisteme informatice de către persoanele autorizate;

Date cu caracter personal = orice informaţii referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale; 

Date cu caracter personal cu funcţie de identificare de aplicabilitate generală (date cu caracter special) = numere prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care au aplicabilitate generală, cum ar fi: codul numeric personal, seria şi numărul actului de identitate, numărul paşaportului, al permisului de conducere, numărul de asigurare socială sau de sănătate;

Date anonime - date care, datorită originii sau modalităţii specifice de prelucrare, nu pot fi asociate cu o persoană identificată sau identificabilă

Operator - orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal; dacă scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizică sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin acel act normativ sau în baza acelui act normativ; 

Operator - Persoana fizică sau juridică, autoritatea publică, agenția sau al organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern; 

Persoană împuternicită de către operator - o persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care prelucrează date cu caracter personal pe seama operatorului;

Responsabilul cu protecția datelor – persoana desemnată cu:

    • Informarea și consilierea operatorului precum și a angajaților cu privire la obligațiile care le revin referitoare la protecția datelor;
    • Monitorizarea respectării regulamentului GDPR și a politicilor operatorului în ceea ce privește protecția datelor cu caracter personal, inclusiv acțiunile de sensibilizare și de formare a personalului;
    • Furnizarea de consiliere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia;
    • Cooperarea cu autoritatea de supraveghere;
    • Asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare.

Utilizator - orice persoană care acţionează sub autoritatea operatorului, a persoanei împuternicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal;

Prelucrarea datelor cu caracter personal - orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea; 

Stocarea - păstrarea pe orice fel de suport a datelor cu caracter personal culese, respectând în același timp protecția datelor cu caracter personal „începând cu momentul conceperii și în mod implicit” (by design and by default);

Pseudonimizarea datelor - prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate;

Funcție hash (hash function) - reprezintă un algoritm matematic criptografic care generează un checksum (rezumat criptografic) unic pentru fiecare mesaj. Acest checksum se numește message diggest, diggest sau hash.

 

 

  1. CONDIŢII DE LEGITIMITATE

 

SOLAR POWER MANGEMENT  SRL  prelucrează datele cu caracter personal înregistrate în sistemele IT ale firmei, respectând prevederile legale în domeniu.

 

1.1 Referinţe normative:

a) Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare;

b) Ordinul nr. 52 din 18 aprilie 2002 privind aprobarea Cerinţelor minime de securitate a prelucrărilor de date cu caracter personal;

c) Decizia nr. 200 din 14 decembrie 2015 privind stabilirea cazurilor de prelucrare a datelor cu caracter personal pentru care nu este necesară notificarea, precum şi pentru modificarea şi abrogarea unor decizii;

d) Ordinul Avocatului Poporului nr. 52 din 18/04/2002 privind aprobarea Cerințelor minime de securitate a prelucrărilor de date cu caracter personal;

e) Decizia ANSPDCP nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video;

f) Decizia ANSPDCP nr. 132 din 20/12/2011 privind condițiile prelucrării codului numeric personal și a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală;

g) Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date.

 

1.2 Transparenţă

Procedura privind folosirea dispozitivelor personale în manipularea datelor cu caracter personal, inclusiv măsurile de siguranță impuse este disponibilă ca anexă a Regulamentului de Ordine Interioară SOLAR POWER MANGEMENT  SRL .

 

1.3 Revizuiri periodice

          O revizuire periodică va fi întreprinsă anual sau ori de câte ori apar modificări legislative, de către structurile responsabile cu asigurarea securităţii şi va reanaliza:

- îndeplinirea scopului declarant;

- posibile îmbunătățiri ale procedurii privind folosirea dispozitivelor personale în manipularea datelor cu caracter personal, inclusiv măsurile de siguranță impuse.

 

2.  Reguli Generale

 

Prin cerinţe minime de securitate este avut în vedere un complex de măsuri tehnice, informatice, organizatorice, logistice, proceduri şi politici de securitate prin care să se asigure nivelul minim de securitate prevăzut în art. 20 din Legea nr. 677/2001 și luând în considerare cerințele din legislația națională, deciziile ANSPDCP în acest domeniu și Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date.

SOLAR POWER MANGEMENT  SRL  a adoptat măsuri tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerilor accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat. În acest sens au fost desemnate, la nivelul SOLAR POWER MANGEMENT  SRL , persoane responsabile cu respectarea dispoziţiilor Legii nr.677/2001.

SOLAR POWER MANGEMENT  SRL  a luat măsuri de stocare în siguranţă a informaţiilor privind date cu caracter personal, astfel încât sa fie asigurat un nivel adecvat de protecţie şi securitate, în sensul Legii 677/2001 al deciziilor ANSPDCP în acest domeniu și Regulamentul (UE) 2016/679.

 

3. Reguli privind redactarea, evidența, circuitul (manipularea) și transportul documentelor care conțin date cu caracter personal în cadrul 

SOLAR POWER MANGEMENT  SRL  

 

3.1. PROCEDURI SPECIFICE

3.1.1 Procedura specifică de acces, prelucrare și protecție a datelor cu caracter personal este disponibilă ca anexă a Regulamentului de Ordine Interioară SOLAR POWER MANGEMENT  SRL , prin intermediul acesteia este reglementat accesul, prelucrarea și protecția datelor cu caracter personal în cadrul companiei și prezintă măsurile de protecţie luate de SOLAR POWER MANGEMENT  SRL   pentru a proteja datele cu caracter personal, viaţa privată şi alte drepturi fundamentale şi interese legitime ale persoanelor ale caror date au ajuns în posesia firmei SOLAR POWER MANGEMENT  SRL .

 

3.1.2 Procedura privind folosirea dispozitivelor personale în manipularea datelor cu caracter personal, inclusiv măsurile de siguranță impuse, este disponibilă ca anexă a Regulamentului de Ordine Interioară SOLAR POWER MANGEMENT  SRL  , prin intermediul acesteia este reglementată folosirea dispozitivelor personale în manipularea datelor cu caracter personal, inclusiv măsurile de siguranță impuse în cadrul companiei și prezinta măsurile de protecţie luate de SOLAR POWER MANGEMENT  SRL   pentru a proteja datele cu caracter personal, viaţa privată şi alte drepturi fundamentale şi interese legitime ale persoanelor ale caror date au ajuns în posesia firmei SOLAR POWER MANGEMENT  SRL .

 

3.1.3.  Reguli referitoare redactarea, evidența, circuitul (manipularea) și transportul documentelor care conțin date cu caracter personal în cadrul 

SOLAR POWER MANGEMENT  SRL  

Toate persoanele/utilizatorii din cadrul SOLAR POWER MANGEMENT  SRL  care au acces la date cu caracter personal, semnează un acord de confidențialitate.

Pentru a căpăta acces la date cu caracter personal, utilizatorii trebuie să se autentifice în sistemele informatice ale SOLAR POWER MANGEMENT  SRL . Autentificarea în cadrul sistemelor informatice ale SOLAR POWER MANGEMENT  SRL  se face prin introducerea credențialelor de autentificare unice și netransmisibile dobândite în urma procesului de înrolare și management al identității electronice, guvernat de politicile de securitate în vigoare. Fiecare utilizator are propriul său cod de identificare (nume de utilizator). Niciodată nu este alocat acelaşi cod de indentificare mai multor utilizatori și acesta nu poate fi partajat de către mai multe persoane.

Utilizatorii trebuie să acceseze numai datele cu caracter personal necesare pentru îndeplinirea atribuţiilor lor de serviciu.

La redactarea oricarui document care conține date cu caracter personal, se va porni în redactare de la un un document șablon aprobat de conducerea SOLAR POWER MANGEMENT  SRL .

Documentele care conțin date cu caracter personal, se redactează cu respectarea regulilor de ortografie şi de punctuaţie specifice limbii române, limbajul şi modul de adresare trebuie să reflecte concizie, claritate, exactitate, sobrietate, oficialitate, politeţe.

Documentele vor conţine o serie de elemente obligatorii şi, după caz, specifice, care diferă prin conţinut şi locul de așezare în pagină, după cum urmează:

- În partea de sus a paginii, se inserează antetul SOLAR POWER MANGEMENT  SRL . În partea stângă a paginii, sub antet se inserează: destinatarul (nume, prenume, funcţia, instituţia sau, după caz, organizaţia), referinţe (conţinutul pe scurt al documentului) şi trimiţătorul (nume, prenume, funcţia);

- Formula de introducere, urmată de precizarea documentului la care se face referinţă;

- Conţinutul propriu–zis al documentului (prezentarea problemei tratate) redactat clar, exact, sobru, oficial şi politicos;

- În partea stângă a paginii, la sfârşitul documentului se înserează semnătura (nume, prenume, funcţia ocupată în cadrul SOLAR POWER MANGEMENT  SRL , conform organigramei instituţiei de către persoana/ persoanele care au întocmit documentul, numărul de exemplare.

Toate documentele intrate, ieşite se înregistrează în Registrul de intrare/ieşire a corespondenţei cu respectarea rubricilor de completat. Înregistrarea se face cronologic în ordinea primirii sau emiterii documentelor. Nu se păstrează nici un rând liber iar în cazul în care există resturi de spaţii pe o pagină, acestea se barează vizibil. Filele registrului de intrare-ieşire a corespondenţei ordinare se numerotează iar pe coperta acestuia se notează următoarele: denumirea instituţiei, anul înregistrării, numerele extreme de înregistrare, data începerii şi data încheierii, numărul filelor şi termenul de păstrare.

Pentru documentele care conțin date cu caracter personal, create în sistemul informatic al SOLAR POWER MANGEMENT  SRL  sunt stabilite reguli și drepturi de acces după funcţionalitate (administrare, introducere, prelucrare, salvare, etc.) şi după acţiuni aplicate asupra datelor cu caracter personal (scriere, citire, ştergere), precum şi procedurile privind aceste tipuri de acces.

Scoaterea la imprimantă a datelor cu caracter personal se va realiza numai de utilizatori autorizaţi de către SOLAR POWER MANGEMENT  SRL  pentru această operaţiune.

Nu este permisă scoaterea din instituţie a mediilor de stocare mobile (CD/DVD, USB Stick, Portable HDD) care conțin date cu caracter personal, decât cu aprobare prealabilă din partea conducerii instituţiei.

SOLAR POWER MANGEMENT  SRL  ia măsuri ca orice accesare a bazei de date cu caracter personal să fie înregistrată.

În procesul de securizare și protecție a sistemelor informatice unde se stochează și se prelucrează date personale, criptarea datelor folosind un algoritm de criptare, alături de toate celelalte măsuri de ordin tehnic și organizatoric în cadrul SOLAR POWER MANGEMENT  SRL , protejează informațiile și datele cu caracter personal de accesul nedorit și de prelucrarea neautorizată și ilegală a datelor.

Păstrarea pe orice fel de suport hardware a datelor cu caracter personal culese în cadrul SOLAR POWER MANGEMENT  SRL , respectă protecția datelor cu caracter personal începând cu momentul conceperii și în mod implicit (by design and by default).

Tranpostul documentelor care conțin date personale în cadrul SOLAR POWER MANGEMENT  SRL  se realizeaza în plicuri opace, sigilate și rezistente la transport.

Corespondența între departamentele și / sau sucursalele SOLAR POWER MANGEMENT  SRL  care implică documente ce conțin date personale și care datorită volumului nu poate fi introdusă în plicuri se expediază în colete. Greutatea unui colet nu va depăși 5 kg, cu excepția cazurilor în care conținutul nu poate fi divizat. Coletele trebuie sa fie sigilate și să fie manufacturate din materiale rezistente la transport. Corespondența sub formă de broșuri, se împachetează pe un singur rând, pentru prevenirea deteriorării ambalajului pe timpul transportului și manipulării.

Pe plic/colet este obligatorie înscrierea următoarelor date: clasa/nivelul de secretizare, denumirea și adresa complete ale expeditorului și destinatarului, numărul de înregistrare și, mențiunea "Date cu caracter personal" urmată de rangul, funcția, numele și prenumele persoanei respective.

 Plicul/coletul se transportă la destinație într-un ambalaj exterior, securizat, care poate fi: o servietă, geantă, mapă ori un alt asemenea dispozitiv, ce nu va depăși greutatea rezonabilă de maxim 10 kg și dimensiunile recomandate dar nu neapărat obligatorii, de 350 mm înălțime, 600 mm lungime și 350 mm lățime.

În situația în care un ambalaj exterior, de tipul celor menționate mai sus în care sunt introduse plicuri/colete adresate aceluiași destinatar, constituie o singură trimitere, pe acesta se înscriu toate datele necesare operațiunilor de predare-primire.

 

3.1.4 Colectarea datelor

SOLAR POWER MANGEMENT  SRL  desemnează utilizatori autorizaţi pentru operaţiile de colectare, redactare, manipulare şi introducere de date cu caracter personal în sistemele informaţionale.

Orice modificare a datelor cu caracter personal trebuie să se poate face numai de către utilizatori autorizaţi desemnaţi și să se înregistreze cine a făcut modificarea datelor cu caracter personal, precum și data şi ora modificării

Orice modificare a datelor cu caracter personal și orice manipulare a acestora trebuie facută folosind doar dispozitive tehnice din cadrul SOLAR POWER MANGEMENT  SRL .

 

4. Reguli de lucru în registrul de intrare – ieşire a documentelor in cadrul SOLAR POWER MANGEMENT  SRL

 

Registrele de intrare – ieşire a corespondenţei ordinare sunt instrumente de probă în instanţă. Orice înscriere neconformă cu realitatea este considerată infracţiune şi se pedepseşte penal în cadrul infracţiunilor de fals.

 

INTRARE

- Numărul curent al corespondenței – în ordinea numerelor alocate la începutul anului;

- Data intrării – luna, ziua intrării în evidenţă;

- Numărul corespondenţei intrate – numărul emitentului şi numărul ultimului expeditor (în cazul mai multor înregistrări);

- De la cine vine corespondenţa – denumirea emitentului;

- Conţinutul – transcrierea pe scurt a documentului, cu menţionarea unor cuvinte cheie;

- Cine a semnat de primire / cui i s-a repartizat lucrarea spre executare (serviciul, compartimentul, biroul) şi eventual numele şi prenumele persoanei căreia i-a fost remis documentul pentru soluţionare.

 IEŞIRE

- Data ieşirii – luna, ziua ieşirii din evidenţă;

- Rezolvarea – rezoluţia şefului ierarhic sau modul de soluţionare a documentului;

- Către cine s-a trimis corespondenţa – denumirea destinatarilor;

- Unde s-a clasat lucrarea (serviciul, compartimentul, biroul) – în dosare pe probleme şi termene de păstrare conform nomenclatorului arhivistic; (Ex. dosar nr…serviciul/compartimentul……….fila………..)

Registrele de evidență a documentelor pot fi păstrate fizic, în format electronic sau prin intermediul unor programe informatice special dedicate acestui scop.

 

5. GARANTAREA DREPTURILOR PERSOANEI VIZATE

SOLAR POWER MANGEMENT  SRL  garantează că asigură respectarea drepturilor ce revin persoanelor vizate, conform legii. Toate persoanele implicate în activitatea de colectare a datelor personale şi cele responsabile de administrarea imaginilor filmate, vor respecta Procedura specifică de acces, prelucrare și protecție a datelor cu caracter personal - disponibilă ca anexă a Regulamentului de Ordine Interioară.