Societatea se va asigura că sistemele informatice sunt protejate de acces neautorizat. Toți utilizatorii vor primi parole puternice care sunt schimbate periodic. Datele cu caracter personal vor fi criptate și, în măsura în care este fezabil din punct de vedere tehnic, vor fi pseudonimizate. Numele de utilizator și parolele nu vor fi niciodată împărtășite. Datele cu caracter personal pot fi accesate numai pe sisteme informatice care au parole securizate. Sistemul se va bloca automat dacă nu este utilizat timp de 5 minute.

Toate mediile de stocare a datelor cu caracter personal vor fi ținute în condiții adecvate și sigure pentru a evita furtul, pierderea sau degradarea electronică.

Atunci când datele sunt stocate pe dispozitive portabile (laptop, telefon, stick, hard-disk etc), dispozitivul va fi protejat printr-o parolă puternică, iar odată ce perioada de stocare s-a terminat, datele vor fi șterse definitiv.

Datele cu caracter personal vor fi transmise către terți (de exemplu autorități ale statutului, persoane juridice – colaboratori externi) numai atunci când este lucru este conform cu legea și, în toate cazurile, cu respectarea drepturilor persoanei vizate.

Nerespectarea prezentei Politici de către angajații companiei sau alți colaboratori externi poate conduce către sancțiuni disciplinare (inclusiv încetarea contractului de muncă), rezilierea contractelor și, în funcție de circumstanțe, acționarea în instanță pentru recuperarea integrală a prejudiciilor aduse Societății ca urmare a nerespectării prezentei Politici. Când există suspiciunea unor activități ilegale (cum ar fi, exemplificativ, sustragerea documentelor, copierea, distribuirea, transferul bazelor de date), Societatea va denunța activitatea infracțională organelor legii pentru tragerea la răspundere penală a făptuitorului.

Prezenta Politică va fi adusă de către conducerea Societății la cunoștința tuturor angajaților, colaboratorilor, partenerilor de afaceri sau a altor terți.

Necesitatea de a păstra datele cu caracter personal variază foarte mult în funcție de tipul de date. Unele date pot fi șterse imediat, iar altele trebuie păstrate pentru îndeplinirea scopurilor sau pe perioada impusă de lege.

Deoarece păstrarea datelor poate fi relativă, prezenta politică este necesară astfel încât liniile directoare privind retenția datelor să fie menținute în timp în cadrul Societății.

Scopul acestei politici este de a specifica liniile directoare ale Societății pentru păstrarea diferitelor tipuri de date.

Această Politică va acoperi toate datele cu caracter personal prelucrate de Societate, indiferent de mediul de stocare. În unele cazuri, perioada de stocare este impusă de lege, cum este cazul documentelor contabile (care se păstrează 10 ani), contractelor de muncă (75 de ani) sau ștatelor de plată (50 de ani). Retenția datelor se va realiza în conformitate cu dispozițiile legale naționale și europene privind protecția datelor cu caracter personal și, în special, în conformitate cu Regulamentul (UE) 679/2016 privind protecția datelor cu caracter personal și libera circulație a acestor date. Dacă dispozițiile prezentei Politici intră în conflict cu reglementările în materie de protecție a datelor, se vor aplica, cu prioritate, acestea din urmă.

Nerespectarea prezentei Politici de către angajații companiei sau alți colaboratori externi poate conduce către sancțiuni disciplinare (inclusiv încetarea contractului de muncă), rezilierea contractelor și, în funcție de circumstanțe, acționarea în instanță pentru recuperarea integrală a prejudiciilor aduse Societății ca urmare a nerespectării prezentei Politici. Când există suspiciunea unor activități ilegale (cum ar fi, exemplificativ, sustragerea documentelor, copierea, distribuirea, transferul bazelor de date), Societatea va denunța activitatea infracțională organelor legii pentru tragerea la răspundere penală a făptuitorului.

Prezenta Politică va fi adusă de către conducerea Societății la cunoștința tuturor angajaților, colaboratorilor, partenerilor de afaceri sau a altor terți.

Această procedură este destinată a fi utilizată atunci când a avut loc un incident de securitate care a avut ca rezultat sau există bănuieli că a dus la pierderea datelor personale pe care organizația le prelucrează.

O cerință a Regulamentului (UE) 679/2016 (Regulamentul GDPR) este ca incidentele de securitate cu privire datele cu caracter personal care pot avea un risc pentru drepturile și libertățile persoanelor vizate trebuie raportate Autorității de Supraveghere (ANSPDCP) fără întârzieri nejustificate, în termen de 72 de ore de la conștientizarea acestora. În cazul în care notificarea nu poate fi făcută în 72 ore trebuie să se motiveze întârzierea. Acest document se folosește împreună cu șablonul pentru notificarea către ANSPDCP.

În cazul în care un incident afectează datele cu caracter personal, trebuie luată o decizie dacă incidentul poate conduce la un risc asupra drepturilor și libertăților persoanei fizice vizate. Regulamentul GDPR impune ca notificarea să aibă loc „fără întârzieri nejustificate" dacă încălcarea este susceptibilă să genereze „un risc ridicat pentru drepturile și libertățile persoanelor fizice".

Acțiunile stabilite în acest document ar trebui utilizate numai ca îndrumare atunci când se va răspunde la un incident. Natura exactă a unui incident și impactul acestuia nu pot fi prezise cu niciun grad de certitudine și, prin urmare, este important să se utilizeze o atenție deosebită atunci când se decide ce acțiuni vor fi întreprinse. Cu toate acestea, etapele prezentate sunt utile pentru ca Societatea să se asigure că obligațiile cu privire la incidentele de Securitate din cadrul Regulamentului GDPR sunt îndeplinite.

Odată ce s-a hotărât că a avut loc un incident de securitate asupra datelor cu caracter personal, există două entități cu privire la care trebuie luată decizia dacă vor fi notificate sau nu. Acestea sunt:

1. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP);
2. Persoanele vizate afectate.

Nu întotdeauna un incident de securitate trebuie notificat, ci doar în situația în care incidentul prezintă un risc pentru „drepturile și libertățile persoanelor fizice" (articolul 33 din Regulamentul GDPR).

Regulamentul GDPR prevede că o încălcare a securității datelor cu caracter personal va fi notificată Autorității de Supraveghere „cu excepția cazului în care este puțin probabil ca încălcarea securității datelor cu caracter personal să ducă la un risc pentru drepturile și libertățile persoanelor fizice" (articolul 33 din Regulamentul GDPR). Acest lucru presupune ca organizația să evalueze nivelul riscului înainte de a decide dacă trebuie sau nu să notifice.

Factorii care trebuie luați în considerare ca parte a acestei evaluări a riscurilor ar trebui să includă:

• Datele personale au fost criptate;
• Dacă au fost criptate, cât de înalt a fost nivelul de criptare;
• În ce măsură datele au fost pseudonimizate (adică dacă persoanele pot fi, în mod rezonabil, identificate din date);
• Categoriile de date afectate (de exemplu nume, adresă, detalii bancare, date biometrice) și dacă au fost afectate categorii speciale de date;
• Volumul de date afectate;
• Numărul persoanelor vizate afectate;
• Natura incidentului (furt, pierderea unui laptop, distrugerea accidentală);
• Orice alți factori care sunt considerați relevanți.

Persoanele implicate în această evaluare a riscurilor ar trebui să includă persoane din următoarele departamente: Management, IT, Juridic.

Metoda de evaluare a riscurilor, raționamentul și concluziile sale ar trebui să fie pe deplin documentate și semnate de conducere. Rezultatul evaluării riscurilor ar trebui să includă una dintre următoarele concluzii:

1. Încălcarea datelor cu caracter personal nu necesită notificare;
2. Încălcarea datelor cu caracter personal necesită doar notificarea către Autoritatea de Supraveghere (ANSPDCP);
3. Încălcarea datelor cu caracter personal necesită notificarea atât Autorității de Supraveghere (ANSPDCP), cât și persoanelor vizate.

Aceste concluzii pot fi supuse schimbării bazate pe feedbackul Autorității de Supraveghere (ANSPDCP) sau ulterior, ca urmare a descoperirii a altor informații suplimentare din care rezultă că impactul este grav și incidentul prezintă un risc asupra persoanelor fizice.

În cazul în care se decide să se realizeze notificarea către Autoritatea de Supraveghere, o cerință a Regulamentului GDPR este ca incidentele de securitate cu privire datele cu caracter personal care pot avea un risc pentru drepturile și libertățile persoanelor vizate trebuie raportate Autorității de Supraveghere (ANSPDCP) fără întârzieri nejustificate, în termen de 72 de ore de la conștientizarea acestora. În cazul în care notificarea nu poate fi făcută în 72 ore trebuie să se motiveze întârzierea.

Notificarea se va realiza la adresa de e-mail brese@dataprotection.ro, cu excepția cazului în care ANSPDCP va indica o altă modalitate pentru transmiterea notificării.

Notificarea va cuprinde, cel puțin, următoarele:

• (a) caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
• (b) numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;
• (c) consecințele probabile ale încălcării securității datelor cu caracter personal;
• (d) măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

Se va utiliza formularul de notificare furnizat sau, în situația în care ANSPDCP va furniza un model de formular, acesta din urmă. De asemenea, există un formular de notificare online, disponibil la adresa www.dataprotection.ro.

Regulamentul GDPR afirmă „în cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare."

Prin urmare, notificarea ANSPDCP se va face atunci când incidentul de securitate prezintă un risc, iar notificarea persoanelor vizate se va realiza atunci când incidentul prezintă un risc ridicat.

Factorii care trebuie luați în considerare ca parte a acestei evaluări a riscurilor ar trebui să includă:

• Datele personale au fost criptate;
• Dacă au fost criptate, cât de înalt a fost nivelul de criptare;
• În ce măsură datele au fost pseudonimizate (adică dacă persoanele pot fi, în mod rezonabil, identificate din date);
• Categoriile de date afectate (de exemplu nume, adresă, detalii bancare, date biometrice) și dacă au fost afectate categorii speciale de date;
• Volumul de date afectate;
• Numărul persoanelor vizate afectate;
• Natura incidentului (furt, pierderea unui laptop, distrugerea accidentală);
• Orice alți factori care sunt considerați relevanți.

Persoanele implicate în această evaluare a riscurilor ar trebui să includă persoane din următoarele departamente: Management, IT, Juridic.

Aceste concluzii pot fi supuse schimbării bazate pe feedbackul Autorității de Supraveghere (ANSPDCP) sau ulterior, ca urmare a descoperirii a altor informații suplimentare din care rezultă că impactul este grav și incidentul prezintă un risc ridicat asupra persoanelor fizice.

Notificarea persoanelor vizate nu este obligatorie în situația în care ar necesita „eforturi disproporționate" din partea operatorului.

Odată ce s-a decis că trebuie notificate persoanele vizate Regulamentul GDPR cere ca acest lucru să se facă fără întârzieri nejustificate.

Comunicarea către persoanele vizate afectate va descrie în limbaj simplu și clar natura încălcării securității datelor cu caracter personal (articolul 34 din Regulamentul GDPR) și trebuie să cuprindă și:

• (a) numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;
• (b) consecințele probabile ale încălcării securității datelor cu caracter personal;
• (c) măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

În plus față de punctele solicitate de Regulamentul GDPR, ar putea fi oportun să se ofere ajutor persoanei vizate cu privire la acțiunile pe care acestea le pot lua pentru a reduce riscurile asociate cu încălcarea securității datelor cu caracter personal.

În majoritatea cazurilor, este oportună notificarea persoanelor vizate afectate prin poștă, e-mail sau ambele, pentru a se asigura că mesajul a fost primit și că au posibilitatea de a lua orice acțiune necesară.

Nerespectarea prezentei Politici de către angajații companiei sau alți colaboratori externi poate conduce către sancțiuni disciplinare (inclusiv încetarea contractului de muncă), rezilierea contractelor și, în funcție de circumstanțe, acționarea în instanță pentru recuperarea integrală a prejudiciilor aduse Societății ca urmare a nerespectării prezentei Politici. Când există suspiciunea unor activități ilegale (cum ar fi, exemplificativ, sustragerea documentelor, copierea, distribuirea, transferul bazelor de date), Societatea va denunța activitatea infracțională organelor legii pentru tragerea la răspundere penală a făptuitorului.

Prezenta Politică va fi adusă de către conducerea Societății la cunoștința tuturor angajaților, colaboratorilor, partenerilor de afaceri sau a altor terți.

Această procedură trebuie să fie folosită atunci când un incident de orice natură a avut loc și a avut drept rezultat sau e posibil să fi avut drept rezultat o pierdere a datelor personale pentru care organizația este operator.

Este o cerință a Regulamentului GDPR ca incidentele care afectează datele personale și sunt susceptibile să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice să fie raportate către autoritatea de supraveghere fără întârziere și, acolo unde este posibil, în termen de cel mult 72 ore de la momentul luării la cunoștință. În cazul în care termenul de 72 ore nu este îndeplinit, trebuie furnizate motivele pentru această întârziere.

Atunci când un incident afectează datele personale, o decizie trebuie să fie luată cu privire la impactul, momentul și conținutul comunicării cu persoanele vizate. Regulamentul GDPR cere ca comunicarea să aibă loc "fără întârziere" dacă încălcarea este susceptibilă "să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice".

Acțiunile descrise în acest document ar trebui să fie folosite drept îndrumări atunci când răspundem unui incident. Natura exactă a incidentului și impactul acestuia nu pot fi prevăzute cu vreun grad de certitudine și de aceea este important să se facă apel la bunul simț când decidem ce să facem. Cu toate acestea, pașii descriși aici se vor dovediti folositori pentru a ne asigura că obligațiile noastre în contextual Regulamentului GDPR sunt îndeplinite.

Odată ce s-a decis că a avut loc o încălcare a datelor cu caracter personal, există două părți care putea fi necesar să fie informate, conform Regulamentului GDPR. Acestea sunt:

1. Autoritatea de supraveghere
2. Persoanele vizate afectate

Nu este o concluzie de sine stătătoare că încălcare trebuie notificată; asta depinde de o analiză a riscului că încălcarea reprezintă "risc ridicat pentru drepturile și libertățile persoanelor fizice" (articolul 33 din Regulamentul GDPR). Următoarele secțiuni descriu cum trebuie luată această decizie și ce trebuie făcut dacă notificarea este necesară.

Autoritatea de supraveghere pentru scopurile GDPR pentru DATACOR SRL este:

Regulamentul GDPR menționează că încălcarea datelor personale va fi notificată către autoritatea de supraveghere "cu excepția cazului în care NU este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice" (articolul 33 din Regulamentul GDPR). Acest lucru obligă organizația să analizeze nivelul de risc anterior să decidă dacă sau nu notifică autoritatea.

• Dacă datele personale au fost criptate;
• Dacă au fost criptate, puterea criptării;
• Cât de mult au fost datele pseudonimizate (ie. dacă persoanele fizice pot fi identificate în mod rezonabil din datele existente);
• Datele personale incluse, ie. nume, adresă, date personale, date biometrice;
• Volumul datelor implicate;
• Numărul persoanelor vizate afectate;
• Natura încălcării, ie. furt, accident etc.
• Orice alți factori ar putea fi relevanți

Părțile implicate în această procedură de risc pot include reprezentanți din următoarele arii, în funcție de natura și circumstanțele încălcării datelor personale:

• Tehnologie
• Securitatea informației
• Juridic

Metoda de analiză, deciziile care stau la baza ei, precum și concluziile trebuie să fie documentate și (contra)semnate de managementul executiv. Rezultatul acestei analize de risc ar trebui să includă una din următoarele concluzii:

1. Încălcarea nu necesită notificare;
2. Încălcarea trebuie notificată doar către autoritatea de supraveghere;
3. Încălcarea trebuie notificată atât către autoritatea de supraveghere, cât și față de persoanele vizate afectate;

Aceste concluzii se pot schimba pe baza feedback-ului primit de la autoritatea de supraveghere sau alte informații care sunt descoperite ca parte a investigației privind încălcarea datelor personale.

În cazul în care se ia decizia de a notifica autoritatea de supraveghere, Regulamentul GDPR cere ca aceasta să fie făcută "fără întârziere nejustificată și, dacă este posibil, în cel mult 72 de ore după ce a luat la cunoștință de existența acesteia" (articolul 33 din Regulamentul GDPR). Dacă există motive legitime pentru nenotificare în timp cerut, trebuie oferite justificări ca parte a notificării.

Notificarea ar trebui furnizată prin mijloace adecvate de securitate către persoanele din Tabelul 1, folosind Formarul privind Notificarea Încălcării Securității Datelor Personale drept template.

Următoarele informații ar trebuie incluse în notificare:

1. Natura încălcării securității datelor personale incluzând, acolo unde este posibil:
   • Categoriile și numărul aproximativ de persoane vizate implicate;
   • Categoriile și numărul aproximativ de înregistrări ale datelor personale implicate;
2. O descriere a consecințelor posibile ale încălcării securității datelor personale;
3. O descriere a măsurilor luate sau propuse pentru a fi luate în legătură cu încălcarea securității datelor personale, incluzând, acolo unde este fezabil, măsurile luate pentru diminuarea efectelor;
4. Dacă notificarea depășește termenul de 72 ore, motivul pentru care nu a fost notificată anterior.

Este recomandat să obțineți o notificare scrisă de la autoritatea de supraveghere că notificarea a fost primită, inclusiv cu data și ora la care a fost primită. Acolo unde este necesar, Regulamentul GDPR permite ca informațiile să fie furnizate în etape, dar fără întârziere.

Documentația în cazul încălcării datelor cu caracter personal, inclusive efectele și remedii luate, vor face parte din Procedura de Răspuns la Incidentul de Securitate.

2.2.1. Notificăm sau nu persoanele vizate

Regulamentul GDPR prevede că o încălcare a securității datelor personale va fi notificată către persoanele vizate atunci când "este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice" (articolul 34). A se vedea adăugarea cuvântului "ridicat" pe lângă definiția dată de articolul 33.

Analiza de risc efectuată mai devreme în această procedură (secțiunea 2.1.1) va determina dacă riscul vis-à-vis de drepturile și libertățile persoanelor vizate afectat este suficient de ridicat încât să justifice notificarea acestora.

Cu toate acestea, dacă ulterior au fost luate măsuri pentru a diminua riscul ridicat față de persoanele vizate, ca incidental să nu se mai repete, notificarea către persoanele vizate nu mai este cerută de Regulamentul GDPR.

De asemenea, notificarea către persoanele vizate nu mai este cerută de GDPR atunci când "ar implica un efort disproporționat" (articolul 34). Totuși, o procedură de comunicare publică ar trebui folosită în cazul asta.

Țineți minte că această procedură se poate schimba ca urmare a feedback-ului primit din partea autorității de supraveghere și pe măsură ce sunt descoperite alte informații ca parte a investigației asupra incidentului.

Odată ce s-a decis că încălcarea justifică notificarea persoanelor vizate afectate, Regulamentul GDPR cere ca aceasta să fie făcută fără întârziere. Notificarea "va descrie într-un limbaj clar și simplu a caracterului încălcării securității datelor cu caracter personal" (articolul 34) și trebuie de asemenea să includă:

1. numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;
2. o descriere a consecințelor probabile ale încălcării securității datelor cu caracter personal;
3. o descriere a măsurilor luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

Pe lângă condițiile cerute de Regulamentul GDPR, ar putea fi necesar să oferiți sfaturi persoanelor vizate vis-à-vis de acțiunile pe care acestea le pot lua pentru a reduce riscul asociat cu încălcarea securității datelor personale.

În majoritatea cazurilor, cel mai bine va fi să notificați persoanele vizate afectate prin e-mail, scrisoare sau ambele pentru a vă asigura că mesajul a fost recepționat și că au o posibilitatea de a lua orice acțiune necesară.