politica de prelucrare a datelor cu caracter personal si ... de confidentialiate datelor.pdf ·...
TRANSCRIPT
Politica de prelucrare a datelor cu caracter personal si
de securitate a informatiilor
Sanatoriul Balnear si de Recuperare Mangalia
2018
Pagina 2 din 23
Continut ART. 1. SCOP ...................................................................................................................................... 4
ART. 2. DOMENIUL DE APLICARE ....................................................................................................... 4
ART. 3. TERMENI SI DEFINITII ............................................................................................................. 4
ART. 4. DOCUMENTE DE REFERINTA ............................................................................................... 10
ART. 5. PRECIZARI : .......................................................................................................................... 10
5.1. REGULI GENERALE ................................................................................................................ 10
5.2. PROCEDURI SPECIFICE ........................................................................................................... 11
5.2.1 Identificarea si autentificarea utilizatorului .................................................................... 11
5.2.2. Tipul de acces .................................................................................................................. 12
5.2.3. Colectarea datelor .......................................................................................................... 12
5.2.4. Executia copiilor de siguranta......................................................................................... 13
5.2.5. Computerele si terminalele de acces ............................................................................. 13
5.2.6. Fisierele de acces ............................................................................................................ 14
5.2.7. Sistemele de telecomunicatii.......................................................................................... 14
5.2.8. Instruirea personalului.................................................................................................... 14
5.2.9. Folosirea computerelor .................................................................................................. 15
5.2.10. Imprimarea datelor....................................................................................................... 15
5.2.11. Prelucrarea manuala de date cu caracter personal ..................................................... 15
5.3. Principiile care stau la baza prelucrarii datelor cu caracter personal ................................... 15
5.4. Prelucrarea datelor cu caracter personal ............................................................................. 16
5.5. Prelucrarea datelor cu caracter personal prin utilizarea sistemelor de supraveghere video
...................................................................................................................................................... 17
5.6. Drepturile persoanelor ale caror date personale sunt colectate si/ sau prelucrate ............ 18
5.6.1. Dreptul de a fi informat .................................................................................................. 18
5.6.2. Dreptul de acces la date ................................................................................................. 19
5.6.3. Dreptul de interventie asupra datelor ............................................................................ 20
5.6.5. Dreptul de a nu fi supus unei decizii individuale ............................................................ 20
5.6.6. Dreptul de a se adresa justitiei ....................................................................................... 21
5.7. Comunicarea datelor cu caracter personal ........................................................................... 21
5.8. Masuri tehnice privind prelucrarea datelor cu caracter personal ........................................ 22
6. Date de contact organizatie si DPO ............................................................................................. 22
Pagina 3 din 23
6.1 Coordonate DPO..................................................................................................................... 22
7 AUTORITATEA DE SUPRAVEGHERE ............................................................................................... 23
7.1. Coordonate de contact ANSPDCP ......................................................................................... 23
Pagina 4 din 23
ART. 1. SCOP Scopul acestei politici este de a stabili masurile necesare si responsabilitatile angajatilor
Sanatoriului Balnear si de Recuperare Mangalia, pentru indeplinirea obligatiilor referitoare la
garantarea si protejarea drepturilor si libertatilor fundamentale ale persoanelor fizice, in special a
dreptului la viata intima, familiala si privata, cu privire la prelucrarea datelor cu caracter
personal.
ART. 2. DOMENIUL DE APLICARE Prezenta politica se aplica tuturor angajatilor Sanatoriului Balnear si de Recuperare Mangalia cu
atributii de prelucrare a datelor cu caracter personal si/sau dupa caz persoanelor imputernicite.
ART. 3. TERMENI SI DEFINITII ANSPDCP- Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal;
Codul numeric personal (CNP) - un numar semnificativ care individualizeazain mod unic o
persoana fizica, constituind un instrument de verificare a starii civile a acesteia si de identificare
in anumite sisteme informatice de catre persoanele autorizate;
Date cu caracter personal- orice informatii referitoare la o persoana fizica identificata sau
identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau
indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi
factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
Date cu caracter personal cu functie de identificare de aplicabilitate generala (date cu caracter
special) - numere prin care se identifica o persoana fizicain anumite sisteme de evidentasi care
au aplicabilitate generala, cum ar fi: codul numeric personal, seria si numarul actului de
identitate, numarulpasaportului, al permisului de conducere, numarul de asigurare sociala sau de
sanatate;
Date anonime - date care, datorita originii sau modalitatii specifice de prelucrare, nu pot fi
asociate cu o persoana identificata sau identificabila
DPO –Ofiterul sau Persoana responsabila de protectia datelor cu caracter personal – persoana
responsabila de functionareacorespunzatoare a sistemului complex de protectie a informatiei
care contine date cu caracter personal, precum si de elaborarea, implementarea si monitorizarea
respectarii prevederilor politicii de securitate a detinatorului de date cu caracter personal;
Operator/ cotrolor orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv
autoritatile publice, institutiilesi structurile teritoriale ale acestora, care stabileste scopul si
Pagina 5 din 23
mijloacele de prelucrare a datelor cu caracter personal; daca scopul si mijloacele de prelucrare a
datelor cu caracter personal sunt determinate printr-un act normativ sau in baza unui act
normativ, operator este persoana fizica sau juridica, de drept public ori de drept privat, care este
desemnata ca operator prin acel act normativ sau in baza acelui act normativ; Operatorul este o
persoana subordonata DPO-ului - vezi organigrama atasata;
Persoana imputernicita de catre operator / procesator / procesor / colector / prelucrator - o
persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice,
institutiilesi structurile teritoriale ale acestora, care prelucreaza date cu caracter personal pe
seama operatorului; Imputernicitul este o persoana subordonata Operatorului-ului - vezi
organigrama atasata;
Pagina 6 din 23
Prelucrarea datelor cu caracter personal - orice operatiune sau set de operatiuni care se
efectueaza asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar
fi colectarea, inregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea,
consultarea, utilizarea, dezvaluireacatreterti prin transmitere, diseminare sau in orice alt mod,
alaturarea ori combinarea, blocarea, stergerea sau distrugerea;
Responsabilul de implementarea, monitorizarea si mentinerea politicii de securitate a datelor
cu caracter personal este desemnat in cadrul companiei ca fiind o persoana diferita de DPO, cea
mai potrivita persoana fiind Operatorul/Imputernicitul
Responsabil de securitate informatica este o persoana desemnata din companie care
gestioneaza sistemul IT
(1) Ofiter responsabil cu Securitatea RIC (OSRIC)
(2) Administratorul Resurselor Informatice si de Comunicatii (ARIC)
(3) Proceduri de operare de securitate (SyOPs)
Stocarea - pastrarea pe orice fel de suport a datelor cu caracter personal culese;
Utilizator - orice persoana care actioneaza sub autoritatea operatorului, a persoanei
imputernicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter
personal.
Restrictionarea prelucrarii inseamna marcarea datelor cu caracter personal stocate in scopul
limitarii prelucrarii acestora in viitor;
Pagina 7 din 23
Profilare inseamna orice forma de prelucrare automata a datelor cu caracter personal care
constain utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale
referitoare la o persoana fizica, in special pentru a analiza sau prezice aspecte privind
performanta persoanei fizice la locul de munca, preferintele personale, interesele, fiabilitatea,
comportamentul, locatia sau miscarile;
Ppseudonimie inseamna prelucrarea datelor cu caracter personal astfel incat datele cu caracter
personal nu mai pot fi atribuite unui anumit subiect de date fara utilizarea unor informatii
suplimentare, cu conditia ca aceste informatii suplimentare sa fie pastrate separat si safaca
obiectul masurilor tehnice si organizatorice sa se asigure ca datele cu caracter personal nu sunt
atribuite unei persoane fizice identificate sau identificabile;
Sistem de evidentainseamna orice set structurat de date cu caracter personal care sunt
accesibile in functie de criterii specifice, centralizate, descentralizate sau dispersate pe o
bazafunctionala sau geografica;
Destinatar inseamna o persoana fizica sau juridica, o autoritate publica, o agentie sau un alt
organism, caruia i se dezvaluie datele cu caracter personal, indiferent daca este vorba despre un
tert sau nu. Cu toate acestea, autoritatile publice care pot primi date cu caracter personal in
cadrul unei anchete anume in conformitate cu legislatia Uniunii sau a statelor membre nu sunt
considerate destinatari; prelucrarea acestor date de catreautoritatile publice respective trebuie
sa respecte normele aplicabile privind protectia datelor in conformitate cu scopurile prelucrarii;
Terta parteinseamna o persoana fizica sau juridica, o autoritate publica, o agentie sau un
organism, altul decat persoana vizata, controlor, procesator si persoanele care, sub directa
autoritate a operatorului sau a prelucratorului, sunt autorizate sa proceseze date cu caracter
personal;
Consimtamantul persoanei vizate inseamna orice indicatie libera, specifica, informatasi lipsita de
ambiguitate a dorintelor persoanei vizate prin care aceasta, printr-o declaratie sau printr-o
actiune clara afirmativa, exprima acordul cu privire la prelucrarea datelor cu caracter personal
care o privesc sau ea;
Incalcarea datelor cu caracter personalinseamna o incalcare a securitatii care duce la
distrugerea, pierderea, modificarea, dezvaluirea neautorizata sau accesul la datele cu caracter
personal transmise, stocate sau prelucrate in alt mod;
Date geneticeinseamna date cu caracter personal referitoare la caracteristicile genetice
mostenite sau dobandite ale unei persoane fizice care oferainformatii unice despre fiziologia sau
sanatatea acelei persoane fizice si care rezulta, in special, dintr-o analiza a unui esantion biologic
din natura persoana in cauza;
Date biometriceinseamna date cu caracter personal care rezulta din prelucrarea tehnica specifica
referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice, care
Pagina 8 din 23
permit sau confirma identificarea unica a acelei persoane fizice, cum ar fi imaginile faciale sau
datele dactiloscopice;
Date privind sanatateainseamna date personale referitoare la sanatatea fizica sau psihica a unei
persoane fizice, inclusiv furnizarea de servicii de sanatate, care dezvaluieinformatii despre starea
sa de sanatate;
Sediu principal inseamna:
(1) in ceea ce priveste un operator care detineunitati din mai multe state membre, locul
administratiei sale centrale in Uniune, cu exceptia cazului in care deciziile privind scopurile
si mijloacele de prelucrare a datelor cu caracter personal sunt luate intr-o alta unitate a
operatorului din Uniune si aceastainstitutie are puterea de a pune in aplicare astfel de
decizii, caz in care institutia care a luat astfel de decizii trebuie considerata a fi principala
unitate;
(2) in ceea ce priveste un procesator cu unitati din mai multe state membre, locul
administratiei sale centrale in Uniune sau, in cazul in care operatorul nu are o
administratie centralain Uniune, stabilirea procesatorului in Uniune in care se desfasoara
principalele activitati de prelucrare in contextul activitatilor unei unitati a prelucratorului
are loc in masurain care prelucratorul face obiectul unor obligatii specifice in temeiul
prezentului regulament;
Reprezentantinseamna o persoana fizica sau juridica stabilitain Uniune care, desemnata de catre
operator sau de catreprelucratorin scris in conformitate cu articolul 27, reprezinta operatorul sau
prelucratorulin ceea ce privesteobligatiile care le revin in temeiul prezentului regulament;
Intreprindereinseamna o persoana fizica sau juridica angajataintr-o activitate economica,
indiferent de forma sa juridica, inclusiv parteneriatele sau asociatiile care desfasoarain mod
regulat o activitate economica;
Grup de intreprinderiinseamna o intreprinderecontrolantasi intreprinderile sale controlate;
Reguli corporative obligatoriiinseamna politicile de protectie a datelor cu caracter personal care
sunt respectate de un operator sau de un operator care este stabilit pe teritoriul unui stat
membru pentru transferuri sau un set de transferuri de date cu caracter personal catre un
operator sau un prelucrator din una sau mai multe tari terte, grupul de intreprinderi sau un grup
de intreprinderi care desfasoara o activitate economica comuna;
Autoritate de supraveghere inseamna o autoritate publica independenta stabilita de un stat
membru in conformitate cu articolul 51 ;
Autoritatea de supraveghere in cauzainseamna o autoritate de supraveghere care se ocupa de
prelucrarea datelor cu caracter personal, deoarece:
Pagina 9 din 23
(1) operatorul sau prelucratorul este stabilit pe teritoriul statului membru al respectivei
autoritati de supraveghere;
(2) persoanele vizate rezidente in statul membru al respectivei autoritati de supraveghere
sunt afectate in mod substantial sau pot fi afectate in mod substantial de prelucrare; sau
(3) a fost depusa o plangere la aceasta autoritate de supraveghere;
Prelucrare transfrontaliera inseamna fie:
(1) prelucrarea datelor cu caracter personal care are loc in contextul activitatilorunitatilor din
mai multe state membre ale unui operator de prelucrare sau al unui operator care
prelucreazain Uniune, in cazul in care operatorul sau prelucratorul este stabilit in mai
multe state membre; sau
(2) prelucrarea datelor cu caracter personal care are loc in contextul activitatilor unei singure
unitati ale operatorului sau ale prelucratoruluiin Uniune, dar care afecteazain mod
substantial sau este susceptibila sa afecteze in mod substantial persoanele vizate din mai
multe state membre.
Obiectie relevantasi motivatainseamna o obiectie la un proiect de decizie in ceea ce priveste
existenta unei incalcari a prezentului regulament sau dacaactiunea preconizatain legatura cu
operatorul sau operatorul este conforma cu prezentul regulament, ceea ce demonstreazain mod
clar importanta riscurilor prezentate de proiectul de decizie cu privire la drepturile si libertatile
fundamentale ale persoanelor vizate si, dupa caz, la libera circulatie a datelor cu caracter
personal in cadrul Uniunii;
Serviciu al societatiiinformationaleinseamna un serviciu, astfel cum este definit la articolul 1
alineatul (1) litera (b) din Directiva (UE) 2015/1535 a Parlamentului European si a Consiliului (1);
Organizatieinternationalainseamna o organizatiesi organismele sale subordonate reglementate
de dreptul international public sau orice alt organism constituit din sau in baza unui acord
incheiatintre doua sau mai multe tari.
Abrevieri
a) DPO – Data Protection Officer / Ofiter responsabil cu Protectia Datelor;
b) DPA – Data Processing Agreement / Acord de prelucrare a datelor cu character personal
c) GDPR – Regulamentul (EU) 2016/679 emis de Parlamentul European si de Consiliul
Europei cu privire la protectia persoanelor fizice in ceea ce priveste procesarea datelor
personale si libera circulatie a acestora, precum si bunele practici in acest sens;
d) EEA / SEE – Spatiul Economic European;
e) EU / UE – UniuneaEuropeana;
Pagina 10 din 23
ART. 4. DOCUMENTE DE REFERINTA a) Regulamentul UE 2016/679 (Regulamentul (UE) 2016/679 al Parlamentului European si al
Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste
prelucrarea datelor cu caracter personal si libera circulatie a acestor date si de abrogare a
Directivei 95/46 / CE);
b) Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter
personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare;
c) Ordinul Avocatului Poporului nr. 52 din 18/04/2002 privind aprobarea Cerintelor minime de
securitate a prelucrarilor de date cu caracter personal
d) Decizia ANSPDCP nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea
mijloacelor de supraveghere video
e) Decizia ANSPDCP nr. 90 din 18/07/2006 privind stabilirea cazurilor in care nu este necesara
notificarea prelucrarii unor date cu caracter personal
f) Decizia ANSPDCP nr. 100 din 23/11/2007 privind stabilirea cazurilor in care nu este necesara
notificarea prelucrarii unor date cu caracter personal
g) Decizia ANSPDCP nr. 132 din 20/12/2011 privind conditiileprelucrarii codului numeric
personal si a altor date cu caracter personal avand o functie de identificare de aplicabilitate
generala
ART. 5. PRECIZARI :
5.1. REGULI GENERALE
Prin cerinte minime de securitate este avut in vedere un complex de masuri tehnice,
informatice, organizatorice, logistice, proceduri si politici de securitate prin care sa se asigure
nivelul minim de securitate prevazut in art. 20 din Legea nr. 677/2001, in conformitate cu
cerintele minime de securitate a prelucrarilor de date cu caracter personal, aprobate prin Ordinul
52 din 18 aprilie 2002 ale Avocatului Poporului.
Sanatoriul Balnear si de Recuperare Mangalia a adoptat masuri tehnice si organizatorice
adecvate pentru protejarea datelor cu caracter personal impotriva distrugerilor accidentale sau
ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat. In acest sens au fost
desemnate, la nivelul Sanatoriului Balnear si de Recuperare Mangalia, persoane responsabile cu
respectarea dispozitiilor Legii nr.677/2001.
Pagina 11 din 23
Sanatoriul Balnear si de Recuperare Mangalia a luat masuri de stocare in siguranta a
informatiilor privind date cu caracter personal, astfel incat sa fie asigurat un nivel adecvat de
protectie si securitate, in sensul Legii 677/2001.
Pentru indeplinirea prevederilor legale aferente si in vederea satisfacerii
cerintelorpastrarii in siguranta a datelor si informatiilor, institutia a elaborat si implementat
masuri organizatorice si tehnice orientate pe anumite directii de actiune:
a. Identificarea si autentificarea utilizatorului
b. Tipul de acces
c. Colectarea datelor
d. Executia copiilor de siguranta
e. Computerele si terminalele de acces
f. Fisierele de acces
g. Instruirea personalului
5.2. PROCEDURI SPECIFICE
5.2.1 Identificarea si autentificarea utilizatorului
Pentru a capata acces la date cu caracter personal, utilizatorii trebuie sa se autentifice in
sistemele informatice ale Sanatoriului Balnear si de Recuperare Mangalia. Autentificarea in
cadrul sistemelor informatice ale Sanatoriului Balnear si de Recuperare Mangalia se face prin
introducerea credentialelor de autentificare unice si netransmisibile dobandite in urma
procesului de inrolare si management al identitatii electronice, guvernat de politicile de
securitate in vigoare.
Fiecare utilizator are propriul sau cod de identificare (nume de utilizator). Niciodata nu
este alocat acelasi cod de indentificare mai multor utilizatori si acesta nu poate fi partajat de
catre mai multe persoane.
Codurile de identificare (sau conturi de utilizator) nefolosite o perioada mai indelungata
sunt dezactivate si distruse dupa un control prealabil. Perioada dupa care codurile trebuie
dezactivate si distruse este stabilita prin politicile Sanatoriului Balnear si de Recuperare Mangalia.
Orice cont de utilizator este insotit de o modalitate de autentificare, prin introducerea
unei chei de autentificare precum o parola, un certificate digital sau un raspuns generat de un
token.
Parolele sunt siruri de caractere, adecvate din punct de vedere al securitatii ca lungime si
compozitie. La introducerea parolelor acestea nu sunt afisate in clar pe monitor. Parolele sunt
schimbate periodic conform politicilor de Securitate Sanatoriului Balnear si de Recuperare
Pagina 12 din 23
Mangalia (Politica de Securitate a Informatiei – Securitate Logica). Schimbarea periodica a
parolelor se face numai de catre utilizatori autorizati.
Sistemul informationalblocheaza automat accesul unui utilizator dupa un numar fix de
introduceri gresite ale cheii de autentificare.
Orice utilizator care primeste un cod de identificare si un mijloc de autentificare este
obligat prin fisa postului sa pastrezeconfidentialitatea acestora si sa raspunda in acest sens in
fata operatorului.
Este stabilita o procedura proprie de administrare si gestionare a conturilor de utilizator.
Sunt autorizatianumiti utilizatori pentru a revoca sau a suspenda un cod de identificare si
autentificare, daca utilizatorul acestora si-a dat demisia ori a fost concediat, si-a incheiat
contractul, a fost transferat la alt serviciu si noile sarcini nu ii solicita accesul la date cu caracter
personal, a abuzat de codurile primite sau daca va absenta o perioada indelungata stabilita de
entitate.
5.2.2. Tipul de acces
Utilizatorii trebuie sa acceseze numai datele cu caracter personal necesare pentru
indeplinireaatributiilor lor de serviciu. Pentru aceasta trebuie sa fie stabilite tipurile de acces
dupafunctionalitate (administrare, introducere, prelucrare, salvare etc.) si dupaactiuni aplicate
asupra datelor cu caracter personal (scriere, citire, stergere), precum si procedurile privind
aceste tipuri de acces.
Compartimentul care asigura suportul tehnic poate avea acces la datele cu caracter
personal pentru rezolvarea incidentelor si a problemelor aparute in utilizarea sistemelor
informatice.
Alte masuri specifice implementate pentru controlul accesului, sunt:
a. in spatiile destinate desfasurariiactivitatiiinstitutiei sunt instalate sisteme de
alarma antiefractie;
b. in spatiul aferent intrarii in cadrul institutiei si in holurile de acces la etajele
superioare sunt instalate sisteme de supraveghere video;
c. monitorizarea si interventia in caz de alarma este asigurata de o firma de protectie
si paza.
5.2.3. Colectarea datelor
Sanatoriul Balnear si de Recuperare Mangalia desemneaza utilizatori autorizati pentru
operatiile de colectare si introducere de date cu caracter personal in sistemele informationale.
Orice modificare a datelor cu caracter personal trebuie sa se poate face numai de catre
utilizatori autorizatidesemnati.
Pagina 13 din 23
Sanatoriul Balnear si de Recuperare Mangalia va lua masuri pentru ca sistemele
informationale sa inregistreze cine a facut modificarea datelor cu caracter personal, data si ora
modificarii. Pentru o mai buna administrare, vor fi implementate masuri pentru ca sistemele
informationale sa mentina datele sterse sau modificate.
5.2.4. Executia copiilor de siguranta
Sanatoriul Balnear si de Recuperare Mangalia a stabilit intervalul de timp la care se vor
executa copiile de siguranta ale bazelor de date ce contin date cu caracter personal, precum si
ale programelor folosite pentru prelucrarile automatizate.
Utilizatorii care executa aceste copii de siguranta sunt numiti de Sanatoriul Balnear si de
Recuperare Mangalia, intr-un numarrestrans.
Copiile de siguranta se stocheazaintr-un safe box cu acesrestrictionat la personal IT, aflat
intr-o alta locatie fata de cea in care se efectueaza copia de siguranta.
Accesul la copiile de siguranta trebuie sa fie monitorizat.
Sistemele care gestioneaza date cu caracter personal trebuie sa fie protejate prin procesul
de backup periodic impotriva pierderii, sau distrugerii datelor sau a sistemului informatic.
5.2.5. Computerele si terminalele de acces
Computerele si alte terminale de acces la date cu caracter personal aflate in sediul
Sanatoriul Balnear si de Recuperare Mangalia vor fi instalate in incaperi cu acces restrictionat.
Unde nu pot fi asigurate aceste conditii, computerele vor fi instalate in incaperi care se
pot incuia. Daca pe ecran apar date cu caracter personal asupra carora nu se actioneaza o
perioada data, stabilta de catre Sanatoriul Balnear si de Recuperare Mangalia, sesiunea de lucru
se va inchide automat. Marimea acestei perioade se determina in functie de operatiile care
trebuie executate.
Terminalele de acces folosite in relatia cu publicul, pe care apar date cu caracter personal,
vor fi pozitionate astfel incat sa nu poata fi vazute de public si dupa o perioada scurta, stabilita de
Sanatoriul Balnear si de Recuperare Mangalia, in care nu se actioneaza asupra lor, acestea vor fi
ascunse sau sesiunea de lucru va fi inchisa.
Serverele care gazduiesc date cu caracter personal pot fi accesate doar in mod controlat,
pe baza de drepturi de acces, conform politicilor de securitate ale grupului si adoptate de
Sanatoriul Balnear si de Recuperare Mangalia;
Pagina 14 din 23
Nu este permisa scoaterea din institutie a mediilor de stocare mobile (CD/DVD, USB Stick,
Portable HDD) care contin date cu caracter personal, decat cu aprobare prealabila din partea
conducerii institutiei.
5.2.6. Fisierele de acces
Sanatoriul Balnear si de Recuperare Mangalia ia masuri ca orice accesare a bazei de date
cu caracter personal sa fie inregistrata.
Pentru prelucrarile automate, aceste informatii sunt stocate intr-un fisier de acces general
sau in fisiere separate pentru fiecare utilizator. Orice incercare de acces neautorizat va fi, de
asemenea, inregistrata.
Sanatoriul Balnear si de Recuperare Mangalia pastreaza fisierele de acces cel putin 2 ani,
pentru a fi folosite ca probe in cazul unor investigatii. Daca investigatiile se prelungesc, aceste
fisiere se vor pastraatat timp cat se va considera necesar.
Fisierele de acces fac posibila identificarea de catre Sanatoriul Balnear si de Recuperare
Mangalia sau de catre persoana imputernicita, a persoanelor care au accesat date cu caracter
personal fara un motiv anume, in vederea aplicarii unor sanctiuni sau a sesizarii organelor
competente.
5.2.7. Sistemele de telecomunicatii
Sanatoriul Balnear si de Recuperare Mangalia face periodic reviziuirea conturilor de
utilizatori si a privilegiilor acordate pentru detectarea unor disfunctionalizati in ceea ce priveste
sistemelor informationale.
Sistelemeinformationale vor fi concepute astfel incat datele cu caracter personal sa nu
poate fi interceptate sau transmise de oriunde.
Prin sistemele de telecomunicatii datele cu caracter personal vor fi transmise printr-un
canal sigur. Datele cu character personal transferate in zonele de securitate externa sau nesigura
vor fi criptate. Toate prevederile documentului Politica de Securitate a Informatiei- Retea si
Firewall sunt aplicabile.
5.2.8. Instruirea personalului
Personalul Sanatoriul Balnear si de Recuperare Mangalia este informat cu privire la
prevederile Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu
caracter personal si libera circulatie a acestor date, la cerintele minime de securitate a
prelucrarilor de date cu caracter personal, precum si cu privire la riscurile pe care le comporta
prelucrarea datelor cu caracter personal.
Pagina 15 din 23
Utilizatorii care au acces la date cu caracter personal vor fi instruiti asupra
confidentialitatii acestora si vor fi avertizati prin mesaje care vor aparea pe monitoare in timpul
activitatii.
Utilizatorii sunt obligati sa isi inchida sesiunea de lucru atunci cand parasesc locul de
munca.
5.2.9. Folosirea computerelor
Pentru mentinereasecuritatiiprelucrarii datelor cu caracter personal (in special impotrivavirusilor
informatici) trebuie luate masuri privind:
a. interzicerea folosirii de catre utilizatori a programelor software care provin din
surse neverificate;
b. informarea utilizatorilor in privinta pericolului privind virusii informatici;
c. implementarea unor sisteme automate de tip antivirus si protective malware si de
securitate a sistemelor informatice;
d. dezactivarea posibilitatii de copiere sau imprimare a datelor cu caracter personal
afisate pe ecran in afara fluxurilor normale de afaceri.
5.2.10. Imprimarea datelor
Scoaterea la imprimanta a datelor cu caracter personal se va realiza numai de utilizatori
autorizati de catre Sanatoriul Balnear si de Recuperare Mangalia pentru aceasta operatiune.
5.2.11. Prelucrarea manuala de date cu caracter personal
Documentele care contin date cu caracter personal vor fi tinute in fisete sau dulapuri
inchise cu cheie sau cu un alt mecanism de securizare. Documentele care contin date cu caracter
personal, folosite pentru realizarea anumitor operatiuni se vor preda persoanelor abilitate sau se
vor inchide imediat dupa terminarea acestora.
5.3. Principiile care stau la baza prelucrarii datelor cu caracter personal
Prelucrarea datelor cu caracter personal se realizeaza cu respectarea cerintelor legale si in
conditii care sa asigure securitatea, confidentialitatea si respectarea drepturilor persoanelor
vizate.
Prelucrarea datelor cu caracter personal se face cu respectarea urmatoarelor principii:
Legalitatea: Prelucrarea datelor cu caracter personal se face in temeiul si in conformitate
cu prevederile legale;
Pagina 16 din 23
Scopul bine-determinat: Orice prelucrare de date cu caracter personal se face in scopuri
bine determinate, explicite si legitime, adecvate, pertinente si neexcesive prin raportare la scopul
in care sunt colectate si ulterior prelucrate;
Confidentialitatea: Persoanele care prelucreaza, in numele Sanatoriului Balnear si de
Recuperare Mangalia, date cu caracter personal au prevazut in fisa postului, anexa la contractul
individual de munca, o clauza de confidentialitate;
Consimtamantul persoanei vizate: Orice prelucrare de date cu caracter personal, cu
exceptiaprelucrarilor care vizeaza date din categoriile strict mentionate in Legea 677/2001, poate
fi efectuata numai daca persoana vizata si-a dat consimtamantul in mod expres si neechivoc
pentru acea prelucrare;
Informarea: Persoanele vizate iau cunostinta despre faptul ca li se vor prelucra date cu
caracter personal;
Protejarea persoanelor vizate: Drepturile persoanelor vizate sunt prezentate la punctul
5.6.
Securitatea: Masurile de securitate a datelor cu caracter personal sunt stabilite astfel incat
sa asigure un nivel adecvat de securitate a datelor cu caracter personal procesate.
5.4. Prelucrarea datelor cu caracter personal
Prelucrarea datelor cu caracter personal avand o functie de identificare de aplicabilitate
generala, inclusiv dezvaluirea acestora catreterti, se face numai in urmatoareleconditii:
a) persoana vizata si-a dat in mod expres consimtamantul; sau
b) prelucrarea este prevazuta in mod expres de o dispozitie legala; sau
c) in alte cazuri, cu avizul AutoritatiiNationale de Supraveghere a Prelucrarii Datelor
cu Caracter Personal si numai cu conditia instituirii unor garantii adecvate pentru
respectarea drepturilor persoanelor vizate.
Sanatoriul Balnear si de Recuperare Mangalia respecta principiul caracterului adecvat,
pertinent si neexcesiv, precum si masurile de confidentialitate si de securitate a prelucrarilor. In
cazul prevazut la punctul c) de mai sus, se au in vedere urmatoarele aspecte:
(1) scopul prelucrarii sa fie determinat, explicit si legitim;
(2) stabilirea si aplicarea unor masuri prin care sa se asigure exercitarea drepturilor
persoanelor vizate;
(3) durata de stocare a datelor sa fie pe perioada strict necesara indeplinirii scopului, dupa
care datele vor fi sterse sau distruse, dupa caz;
Pagina 17 din 23
(4) stabilirea modalitatilor de acces la sistemele de evidenta in vederea colectarii datelor, in
functie de care se vor stabili si respecta masuri tehnice si organizatorice adecvate pentru
protejarea datelor;
(5) utilizarea datelor numai in limitele scopului stabilit;
(6) dezvaluireacatrealti destinatari este interzisa, cu exceptiasituatiei in care exista
consimtamantul persoanei vizate sau o prevedere legala expresa;
(7) desemnarea, in scris, a persoanei/persoanelor care va/vor prelucra datele si care trebuie
sa isi asume raspundereapastrariiconfidentialitatii acestora, lista continand evidenta
acestor persoane fiind actualizata ori de cate ori se impune;
(8) numirea, in scris, a unei persoane specializate in securitatea informatiei care sa vegheze la
prelucrarea datelor, inclusiv la buna functionare a sistemelor informatice utilizate in
aceasta activitate;
(9) stabilirea unui plan de securitate a informatiilor care sa cuprinda, in principal, securitatea
tehnica pe plan informatic si securitatea spatiilor in care se prelucreaza datele, tinand
cont de cerintele minime de securitate;
(10) stabilirea, in scris, a drepturilor si obligatiilor operatorului care transmite datele si
ale operatorului care le primeste.
Colectarea si prelucrarea datelor cu caracter personal avand o functie de identificare de
aplicabilitate generala, inclusiv dezvaluirea acestora, prin efectuarea si retinerea de copii de pe
cartea de identitate sau de pe documente care le contin, sunt interzise, cu
exceptiasituatiilorprevazute la punctele a), b) si c) de mai sus.
5.5. Prelucrarea datelor cu caracter personal prin utilizarea sistemelor de supraveghere video
Prelucrarea datelor cu caracter personal prin utilizarea sistemelor de supraveghere video
se efectueaza cu respectarea regulilor generale prevazute de art. 4 din Legea nr. 677/2001, cu
modificarile si completarile ulterioare.
Camerele de supraveghere video sunt montate in locuri vizibile.
Prelucrarea datelor cu caracter personal prin mijloace de supraveghere video se face
pentru realizarea unor interese legitime, fara a se prejudicia drepturile si libertatile fundamentale
sau interesul persoanelor vizate. Nu este permisa prelucrarea datelor cu caracter personal ale
angajatilor prin mijloace de supraveghere video in interiorul spatiilor/birourilor unde
acestiaisidesfasoara activitatea la locul de munca, cu exceptiasituatiilorprevazute expres de lege
sau a avizului ANSPDCP.
Pagina 18 din 23
Sanatoriul Balnear si de Recuperare Mangalia, in calitate de operator care prelucreaza date
cu caracter personal prin mijloace de supraveghere video este obligat sa furnizeze
informatiileprevazute la art. 12 alin. (1) din Legea nr. 677/2001, cu modificarile si completarile
ulterioare, inclusiv cu privire la:
a) existenta sistemului de supraveghere video si scopul prelucrarii datelor prin astfel de
mijloace;
b) identitatea operatorului;
c) existenta inregistrarii imaginilor si categoriile de destinatari ai acestora;
d) drepturile persoanelor vizate si modul de exercitare a acestora.
Informatiilementionate mai sus trebuie aduse la cunostinta persoanelor vizate, in mod clar si
permanent.
Existenta sistemului de supraveghere video este semnalata prin intermediul unei pictograme
care contine o imagine reprezentativa cu vizibilitate suficienta si pozitionata la o distanta
rezonabila de locurile unde sunt amplasate echipamentele de supraveghere video.
Prelucrarea datelor cu caracter personal prin mijloace de supraveghere video se poate realiza
decat de persoanele autorizate de catre Sanatoriul Balnear si de Recuperare Mangalia (personal
propriu sau persoane imputernicite de catre operator), instruite cu privire la legislatia referitoare
la protectia datelor cu caracter personal si obligate sa se supuna acesteia.
Durata de stocare a datelor obtinute prin intermediul sistemului de supraveghere video este
proportionala cu scopul pentru care se prelucreaza datele, dar nu mai mare de 30 de zile, cu
exceptiasituatiilor expres reglementate de lege sau a cazurilor temeinic justificate.
La expirarea termenului stabilit, inregistrarile se distrug sau sterg, dupa caz, in functie de
suportul pe care s-au stocat.
5.6. Drepturile persoanelor ale caror date personale sunt colectate si/ sau prelucrate
5.6.1. Dreptul de a fi informat
In cazul in care datele cu caracter personal sunt obtinute direct de la persoana vizata,
Sanatoriul Balnear si de Recuperare Mangalia este obligat sa furnizeze persoanei vizate cel
putinurmatoareleinformatii, cu exceptia cazului in care aceasta persoana poseda deja
informatiile respective:
a) scopul in care se face prelucrarea datelor;
b) informatii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor;
daca furnizarea tuturor datelor cerute este obligatorie si consecintele refuzului de a le
furniza;
Pagina 19 din 23
c) existenta drepturilor prevazute de lege pentru persoana vizata, in special a dreptului de
acces, de interventie asupra datelor si de opozitie, precum si conditiile in care pot fi
exercitate;
d) orice alte informatii a caror furnizare este impusa prin dispozitie a autoritatii de
supraveghere, tinand seama de specificul prelucrarii.
Inainte de completarea datelor cu caracter personal se solicita consimtamantul persoanelor
vizate, pentru prelucrarea acestora;
Numarul de inregistrare a notificarii comunicat de Autoritatea Nationala de supraveghere se
mentioneazain orice document prin care se colecteaza, stocheaza sau dezvaluie date cu caracter
personal;
Cladirile care sunt supravegheate video vor avea, la intrare, afisat in loc vizibil, informarea
privind preluarea si stocarea de imagini.
5.6.2. Dreptul de acces la date
Orice persoana vizata are dreptul de a obtine de la Sanatoriul Balnear si de Recuperare
Mangalia (in calitate de operator), la cerere si in mod gratuit pentru o solicitare pe an,
confirmarea faptului ca datele care o privesc sunt sau nu sunt prelucrate de acesta.
Sanatoriul Balnear si de Recuperare Mangalia este obligat, in situatia in care prelucreaza date
cu caracter personal care privesc solicitantul, sa comunice acestuia, impreuna cu confirmarea, cel
putinurmatoarele:
a) informatii referitoare la scopurile prelucrarii, categoriile de date avute in vedere si
destinatarii sau categoriile de destinatari carora le sunt dezvaluite datele;
b) comunicarea intr-o forma inteligibila a datelor care fac obiectul prelucrarii, precum si a
oricareiinformatii disponibile cu privire la originea datelor;
c) informatii asupra principiilor de functionare a mecanismului prin care se efectueaza orice
prelucrare automata a datelor care vizeaza persoana respectiva;
d) informatii privind existenta dreptului de interventie asupra datelor si a dreptului de
opozitie, precum si conditiile in care pot fi exercitate;
e) informatii asupra posibilitatii de a inaintaplangerecatre autoritatea de supraveghere,
precum si de a se adresa instantei pentru atacarea deciziilor operatorului, in conformitate
cu dispozitiile legii.
Pagina 20 din 23
Nota:
Persoana vizata poate solicita de la Sanatoriul Balnear si de Recuperare Mangalia
informatiileprevazute de lege, printr-o cerere intocmita in forma scrisa, semnata si inregistrata la
registratura companiei. In cerere solicitantul poate arata daca doreste ca informatiile sa ii fie
comunicate la o anumita adresa, care poate fi si de posta electronica, sau printr-un serviciu de
corespondenta care sa asigure ca predarea i se va face numai personal.
Sanatoriul Balnear si de Recuperare Mangalia este obligat sa comunice informatiile
solicitate, in termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a
solicitantului.
5.6.3. Dreptul de interventie asupra datelor
Orice persoana vizata are dreptul de a obtine de la operator, la cerere si in mod gratuit:
a) dupa caz, rectificarea, actualizarea, blocarea sau stergerea datelor a caror prelucrare nu
este conforma legii, in special a datelor incomplete sau inexacte;
b) dupa caz, transformarea in date anonime a datelor a caror prelucrare nu este conforma
legii.
5.6.4. Dreptul de opozitie
Persoana vizata are dreptul de a se opune in orice moment, din motive intemeiate si
legitime legate de situatia sa particulara, ca date care o vizeaza sa faca obiectul unei prelucrari,
cu exceptia cazurilor in care exista dispozitii legale contrare. In caz de opozitie justificata
prelucrarea nu mai poate viza datele in cauza.
5.6.5. Dreptul de a nu fi supus unei decizii individuale
Orice persoana are dreptul de a cere si de a obtine retragerea/ anularea/ reevaluarea
oricarei decizii care produce efecte juridice in privinta sa, adoptata exclusiv pe baza unei
prelucrari de date cu caracter personal, efectuata prin mijloace automate, destinata sa evalueze
unele aspecte ale personalitatii sale, precum competenta profesionala, credibilitatea,
comportamentul sau ori alte asemenea aspecte.
Respectandu-se celelalte garantiiprevazute de lege, o persoana poate fi supusa unei decizii de
natura celei vizate la al. (1), numai in urmatoarelesituatii:
a) decizia este luata in cadrul incheierii sau executarii unui contract, cu conditia ca cererea
de incheiere sau de executare a contractului, introdusa de persoana vizata, sa fi fost
satisfacuta sau ca unele masuri adecvate, precum posibilitatea de a-si sustine punctul de
vedere, sa garanteze apararea propriului interes legitim;
Pagina 21 din 23
b) decizia este autorizata de o lege care precizeaza masurile ce garanteazaapararea
interesului legitim al persoanei vizate.
5.6.6. Dreptul de a se adresa justitiei
Fara a se aduce atingere posibilitatii de a se adresa cu plangereautoritatii de
supraveghere, persoanele vizate au dreptul de a se adresa justitiei pentru aparareaoricaror
drepturi garantate de lege, care le-au fost incalcate.
Orice persoana care a suferit un prejudiciu in urma unei prelucrari de date cu caracter
personal, efectuata ilegal, se poate adresa instantei competente pentru repararea acestuia.
5.7. Comunicarea datelor cu caracter personal
Datele cu caracter personal se pot comunica intre Sanatoriul Balnear si de Recuperare
Mangalia si imputernicitii acestuia sau intre Sanatoriul Balnear si de Recuperare Mangalia sau
imputerniciti ai acestuia si alte institutii ori organisme publice sau entitati de drept public sau
privat in una dintre urmatoarelesituatii:
a) daca persoana vizata si-a dat consimtamantul expres si neechivoc pentru comunicarea
datelor sale;
b) faraconsimtamantul persoanei vizate in cazurile prevazute de lege.
Comunicarea datelor cu caracter personal in situatiileprevazute la alin. (1) se poate face daca
este indeplinita una dintre urmatoareleconditii:
a) comunicarea se efectueaza pe baza unui contract sau, dupa caz, a unui document de
cooperare care trebuie sa cuprinda cel putin: numarul de inregistrare a notificarii, temeiul
legal al prelucrarii si scopul acesteia, termenul maxim de prelucrare, drepturile si
obligatiilepartilor, modalitatile de asigurare a securitatiiprelucrarilor si de respectare a
drepturilor persoanei vizate, precum si mentiunea ca datele pot fi utilizate doar de
structura beneficiara si numai in scopul pentru care au fost solicitate;
b) comunicarea se efectueaza in baza unei solicitari scrise, care trebuie sa cuprinda temeiul
legal, scopul prelucrarii si datele solicitate, precum si, daca este cazul, numarul atribuit
beneficiarului de Autoritatea nationala de supraveghere.
Comunicarea datelor cu caracter personal se poate face si on-line, cu respectarea dispozitiilor
alin. (1) si (2) si asigurarea securitatii sistemelor de comunicatii a datelor cu caracter personal.
Pagina 22 din 23
Datele cu caracter personal asupra carora persoanele vizate au exercitat si li s-a recunoscut
dreptul de opozitie nu pot face obiectul prelucrarii.
Cererile pentru comunicarea datelor cu caracter personal adresate Sanatoriul Balnear si de
Recuperare Mangalia trebuie sa contina datele de identificare a solicitantului, precum si
motivarea si scopul cererii, conform prevederilor legale.
Cererile care nu contin aceste elementele se restituie pentru completare, iar cele care nu se
incadreaza in conditiileprevazute de lege se resping, mentionandu-se motivele pentru care
comunicarea datelor cu caracter personal nu este posibila.
Inainte de comunicarea datelor cu caracter personal, Sanatoriul Balnear si de Recuperare
Mangalia verifica daca acestea sunt exacte si, daca este cazul, actualizate.
In situatia in care se constata ca au fost transmise date incorecte sau neactualizate, Sanatoriul
Balnear si de Recuperare Mangalia are obligatia de a informa destinatarii respectivelor date
asupra neconformitatii acestora, cu mentionarea datelor care au fost modificate.
La comunicarea datelor cu caracter personal Sanatoriul Balnear si de Recuperare Mangalia
atentioneaza destinatarii asupra interdictiei de a prelucra datele pentru alte scopuri decat cele
specificate in cererea de comunicare.
5.8. Masuri tehnice privind prelucrarea datelor cu caracter personal
Toate documentele care contin date cu caracter personal se inregistreaza si urmeaza
regulile de pastrare, procesare, multiplicare, transport, transmitere, distrugere si arhivare
stabilite prin Legea Arhivelor nationale si prin proceduri interne.
6. Date de contact organizatie si DPO Sanatoriul Balnear si de Recuperare Mangalia, are sediul in Str. Mircea cel Batran, Nr. 2,
Mun. Mangalia, Judet Constanta, identificata cu CUI 4515565, e-mail [email protected], telefon
0241751215.
6.1 Coordonate DPO
Persoana desemnata pe pozitia de DPO – Responsabil cu protectia datelor cu caracter
personal in cadrul institutiei noastre este S.C. Cuba Beach S.R.L., reprezentata prin DPO Calin
Andreas-Alexandru, putand fi contactat telefonic la TELDPO 0753983452 sau prin e-mail
Pagina 23 din 23
7AUTORITATEA DE SUPRAVEGHERE Autoritatea de supraveghere este un organism care isi desfasoara activitatea in mod
independent si impartial, iar in Romania acesta este ANSPDCP - Autoritatea Nationala de
Supraveghere a Prelucrarii Datelor cu Caracter Personal.
7.1. Coordonate de contact ANSPDCP
Sediul AutoritatiiNationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal
este in
G-ral. Gheorghe Magheru 28-30, sector 1, municipiul Bucuresti, cod postal 010336.
Telefon: 0318.059.211 E-mail: [email protected]
Fax: 0318.059.212 Internet: www.dataprotection.ro