POLITICA DE PRELUCRARE A DATELOR CU CARACTER PERSONAL

PREAMBUL:

Prezenta politică generală de confidențialitate va guverna activitatea, procedurile și procesele privitoare la prelucrarea datelor cu caracter personal din cadrul magazinului de comert on-line al SC SENTOSA IMPEX SRL.

Magazinul de comert online www.sentosa.ro este proprietatea SC SENTOSA IMPEX SRL, persoana juridica romana, cu sediul in sat Hida nr. 286, comuna Hida, judet Salaj, cu numarul de ordine in Registrul Comertului Salaj J31/115/2000, cod unic de inregistrare fiscala RO13219631. In prezenta politica societatea SENTOSA IMPEX SRL are calitatea de operator de date cu caracter personal.

Responsabilul cu protectia datelor din cadrul societatii este CENAN COSMIN-CRISTIAN, e-mail:  protectiadatelor@sentosa.ro, care poate fi contactat pentru informatii suplimentare privind prelucrarea datelor cu caracter personal realizate in cadrul societatii, conform prezentei politici.

Prezenta procedura se va actualiza periodic conform prevederile legale in materie de prelucrare a datelor cu caracter personal si se va publica pe pagina de internet aferenta magazinului de comert online www.sentosa.ro.

 

1. DEFINIȚII

Datele cu caracter personal = orice informație referitoare la o persoană identificată sau identificabilă („persoana vizată”): nume, prenume, poreclă, pseudonim, data și locul nașterii, cod numeric personal, domiciliul (integral / parțial), seria și numărul de carte de identitate, seria și numărul de pașaport, seria și numărul card-ului de sănătate,   numărul card-ului bancar, seria și numărul permisului de conducere, adresa de e mail, nr. de telefon fix/mobil, nr. fax, un identificator online, unul sau mai multe elemente specifice proprii identității sale fizice (semne distinctive), fiziologice (boli, dizabilități, deficiențe), genetice (boli, cariotipuri, cariograme), psihice (dizabilități), economice, culturale sau sociale, precum și orice alte date care pot conduce la identificarea unei persoane 

Persoana vizată = o persoana care poate fi identificată direct sau indirect, prin referire una sau mai multe din datele cu caracter personale 

Prelucrarea datelor cu caracter personal = orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea (ultimele două reprezintă prelucrări finale).    

Restricționarea prelucrării datelor cu caracter personal = marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora (blocarea prelucrării viitoare)

Crearea de profiluri = orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia    

Pseudonimizare = prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să:

fie stocate separat  

să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile   

Operator = persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu alte persoane, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal   

Persoana împuternicită de operator = persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului     

Destinatar = persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță  

Parte terță = o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal   

Consimțământ = orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate   

Încălcarea securității datelor cu caracter personal = o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea 

Date genetice = datele cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice   

Date biometrice = date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice  

Date privind sănătatea = înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia   

 

2.INFORMAREA ȘI CONSIMȚĂMÂNTUL DE PRELUCRARE A DATELOR CU CARACTER PERSONAL. 

Prelucrarea datelor cu caracter personal se va realiza numai în baza consimțământului clar, neechivoc,  prealabil, în scris (prin sisteme electronice sau fizic)  exprimat de fiecare persoană fizică în parte. 

Pentru minori  consimțământul de prelucrare a datelor cu caracter personal se va exprima clar, neechivoc,  prealabil, în scris (prin sisteme electronice sau fizic) de reprezentanții legali (părinți sau tutori). 

Consimțământul se va exprima după informarea completă a persoanei fizice, cu precizarea destinatarilor sau categoriilor de destinatari cărora li se vor transmite datele cu caracter personal ale persoanei fizice.

 

Informarea persoanelor fizice va cuprinde:

Când datele sunt colectate direct de la persoana fizică vizată, la momentul la care datele personale sunt colectate, operatorul trebuie să furnizeze persoanei vizate următoarele: 

  1. identitatea și datele de contact ale operatorului sau ale reprezentantului acestuia
  2. datele de contact ale responsabilului cu protecția datelor, 
  3. scopurile în care sunt prelucrate datele cu caracter personal, temeiul juridic al prelucrării (temei contractual/legal); categoriile de date cu caracter personal vizate 
  4. destinatarii sau categoriile de destinatari ai datelor cu caracter personal, cu precizarea că datele personale ale clienților vor fi transferate către agenți economici  din țări sau din afara UE sau SEE 
  5. perioada de stocare 
  6. drepturile persoanei fizice vizate de a solicita operatorului accesul la datele cu caracter personal proprii sau ale minorilor reprezentanți, rectificarea sau ștergerea datelor cu caracter personal proprii sau ale minorilor reprezentați,  dreptul de a restricționa sau de a se opune la prelucrarea datelor cu caracter personal, precum și dreptul la portabilitatea datelor cu caracter personal
  7. dreptul persoanei fizic vizate de a-și retrage consimțământul în orice moment  (fără ca prelucrarea realizată anterior retragerii consimțământului să fie afectată) 
  8. dreptul de a depunere plângere la autoritatea de supraveghere
  9. dacă datele sunt necesare pentru încheierea sau executarea unui contract, obligația de a furniza datele și consecințele nefurnizării o existența unor decizii automate, 
  10. crearea de profiluri, logica din spatele acestor procese de profilare și consecințele pentru persoana vizată 

 

Când datele nu sunt obținute direct de la persoana vizată ci din altă sursă (de la revânzători/intermediari): 

  1. aceleași informații ca la punctul anterior o suplimentar plus  categoriile de date și  sursa de unde provin aceste date cu caracter personal
  2. Când datele nu sunt obținute direct de la persoana vizată ci din altă sursă (de la revânzători/intermediari) operatorul are obligația de a furniza persoanelor fizice informațiile de mai sus:
  3. într-un termen rezonabil, dar nu mai mare de o lună, calculat de la data primirii datelor de la revânzător/intermediar 
  4. dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; sau 
  5. dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară 

 

3. PRINCIPII

La nivelul operatorului (agentului economic inclusiv a afiliatelor/subsidiarelor), politica generală de confidențialitate cu privire la prelucrarea datelor cu caracter personal va fi coordonată de următoarele principii generale:

1.1. Principiul legalității

Orice prelucrare a datelor cu caracter personal se va realiza numai cu respectarea normelor legale în vigoare și numai pentru scopul legal stabilit.  

Orice prelucrare a datelor cu caracter personal se va realiza în limitele obiectului de activitate al operatorului și pentru executarea obligațiilor contractuale sau legale.

Orice prelucrare a datelor cu caracter personal se va realiza numai de către angajații sau colaboratorii operatorului, numai în limitele necesare executării contractelor și numai la cererea, din dispoziția operatorului (a conducerii operatorului).

1.2. Principiul echității 

Principiul echității presupune ca orice operațiune de prelucrare a datelor cu caracter personal, privită individual, precum și  toate operațiunile de prelucrare a datelor cu caracter personal, privite cumulativ, să asigure un echilibru între drepturile și obligațiile persoanei vizate și drepturile și obligațiile operatorului.

1.3. Principiul transparenței 

Principiul transparenței reprezintă o garanție pentru persoanele fizice vizate cu privire la modul în care datele cu caracter personal sunt  colectate, utilizate, consultate sau prelucrate.

Acest principiu se referă în special la informarea persoanelor vizate privind identitatea operatorului și scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica datele cu caracter personal care le privesc care sunt prelucrate.

Principiul transparenței prevede că orice informații și comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar. 

1.4. Principiile colectării și prelucrării datelor cu caracter personal

Colectarea datelor cu caracter personal se va realiza pentru scopuri specifice activității operatorului, determinate, explicite și legitime. 

Colectarea datelor trebuie să asigure persoanele fizice vizate că acestea nu vor fi prelucrate ulterior într-un mod incompatibil cu aceste scopuri determinate, explicite și legitime.

Prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile specifice activității operatorului. 

Datele cu caracter personal care sunt prelucrate trebuie să fie: adecvate (pertinente pentru realizarea unei prelucrări necesare pentru îndeplinirea activității legale a operatorului/pentru executarea obligațiilor contractuale), relevante (utile pentru realizarea unei prelucrări necesare pentru îndeplinirea activității legale a operatorului/pentru executarea obligațiilor contractuale),limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate, exacte și unde e cazul, actualizate. 

Trebuie luate măsuri rezonabile ca datele care nu sunt exacte să fie șterse și / sau rectificate fără întârziere.  

Limitări legate de stocare 

Regula: datele nu trebuie păstrate mai mult decât este necesar pentru îndeplinirea scopurilor. Excepția: datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în următoarele scopuri: 

arhivare în interes public 

cercetare științifică sau istorică 

statistice  

 

4. INTERDICȚII:

Operatorul, în baza regulamentului, interzice prelucrarea următoarelor date cu caracter personal: datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniilor politice, confesiunilor religioase, convingerilor filozofice, apartenențelor la sindicate, datelor genetice, datelor biometrice, datelor privind sănătatea, datelor privind viața sexuală sau orientarea sexuală, datelor privind condamnările penale 

 

5. INTEGRITATE ȘI CONFIDENȚIALITATE 

  • datele cu caracter personal sunt prelucrate în cadrul operatorului într-o manieră care asigură măsuri adecvate de securitate
  • măsurile de securitate asigură  protecții împotriva: 
  • accesul neautorizat sau prelucrarea nelegală; 
  • pierdere sau furt; 
  • distrugere sau vătămarea integrității.   

 

6. MĂSURILE DE SECURITATE:

Măsuri tehnice de securitate a datelor cu caracter personal din sistemele informatice 

  1. Reguli cu privire la protecția fizică (hardware) a dispozitivelor:

Angajații, persoanele împuternicite ale operatorului (utilizatorii autorizați) se vor putea conecta la  sistemele informatice ale operatorului doar pe baza unor credențiale;

Angajații, persoanele împuternicite ale operatorului (utilizatorii) au obligația de a schimba parola de acces la sistemele informatice  cel puțin o dată la 3 luni, fără posibilitatea a o repeta.

Fiecare terminal existent în dotarea operatorului de pe care o persoană s-ar putea conecta la sistemele informatice va fi închis sau blocat (windows lock) pe perioada când nu este folosit de către utilizatorii autorizați;

Credențialele și parolele sunt strict confidențiale, nu se comunică nici colegilor și nici superiorilor. Pentru control și pentru rezolvarea unor situații de urgență este permis accesul la un cont deținut de un angajat persoană împuternicită a operatorului (utilizator autorizat) prin intermediul unui cont de supervizare (master account sau system admin account) pentru a se putea urmări cu exactitate toată liniaritatea acțiunilor efectuate în sistem (când și de către cine s-a accesat sistemul).

Credențialele și parolele nu se păstrează în format fizic, pe suport de hârtie sau pe suport electronic, pentru a evita posibilitatea ca datele cu caracter personal  să fie accesate de persoane neautorizate, prelucrate nelegal,  pierdute sau furate, distruse sau vătămate în integritatea lor.   

Toate terminalele sau  componentele sistemului hardware sunt securizate fizic pentru a nu putea fi penetrate fizic din exterior. Terminalele sunt închise în spații de lucru, serverele sunt închise,  accesul fiind posibil  doar pe baza de cheie sau cartelă, dispozitivele sau terminalele mobile (telefoane, tablete, laptopuri) nu vor fi lăsate nesupravegheate de către utilizatorii autorizați sau sunt securizate în spații închise.

Toate parolele de pe componentele de furnizare de servicii internet și alte asemenea sunt schimbate, (nu au rămas cele presetate). Toate parolele de pe componentele de furnizare de servicii internet și alte asemenea sunt  schimbate periodic.

Fiecare componentă a sistemelor de lucru este accesibilă doar personalului autorizat, spre exemplu personalul format din asociații de proces nu  au acces la routere, la switchuri sau alte asemenea componente.

Pentru componentele din sistem care se află în posesia operatorului responsabilitatea securității îi aparține acesteia, iar în cazul în care există componente ale sistemului care sunt în posesia unor furnizori externi responsabilitatea securității fizice le aparține acestora (în baza clauzei de securitate și de confidențialitate din contractele de colaborare sau în cel de furnizare de servicii).

Sistemele sunt dotate cu funcții de restabilire a disponibilitatea și accesului la datele cu caracter personal în caz de incident fizic sau tehnic.

  1. Măsuri cu privire la protecția programelor (software) de lucru utilizate:

Fiecare terminal conectat la internet sau la mediul virtual extern operatorului este dotat cu sisteme de protecție precum antivirus și firewall.

Fiecare site prin intermediul căruia firma își desfășoară activitatea este securizat (din HTTP devine HTTPS).

Programele de lucru au implementate funcția  de ștergere a clienților care solicită în mod expres acest lucru, prin această procedură se asigură dreptul ”de fi uitat” al persoanelor fizice, cu excepția datelor ce se păstrează obligatoriu pe anumite perioade timp în baza dispozițiilor legale. 

Se recomandă criptarea datelor prelucrate pentru a spori nivelul de securizare în cazul unor scurgeri sau sustrageri de baze de date. 

Reactualizarea contractelor de colaborare, de parteneriat și furnizare de servicii cu toate firmele cu care se lucrează, adăugând clauzele de confidențialitate;

Sistemul de rezervare are implementată funcția și procedura online prin intermediul căreia clienții pot contacta direct operatorul și pot depune plângeri (plângerile nu vor fi publice, doar datele de contact pentru înregistrarea acestora).

Operatorul are obligația  de a răspunde la plângeri sau solicitări în termen de 5 zile de la data primirii acestora, fiind desemnat un responsabil care să rezolve aceste plângeri.

Periodic (trimestrial) se va realiza testarea și evaluarea măsurilor de protecție a datelor cu caracter personal (audit de protecție a datelor cu caracter personal).

 

7. INCIDENTE DE SECURITATE

Incidentul de securitate este definit ca fiind o încălcare a măsurilor de securitate implementate în cadrul operatorului care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal  sau la accesul neautorizat la acestea.  

Notificarea autorității de supraveghere

Autoritatea de supraveghere,  în cazul unui incident de securitate, va fi notificată:

  • fără întârzieri nejustificate, în termen de cel mult 72 de ore de la data la care a luat cunoștință (dacă este posibil)
  • în cazul în care notificarea nu are loc în termen de 72 de ore aceasta este însoțită de o explicație motivată 

Notificarea va: 

descrie caracterul încălcării securității datelor cu caracter personal

dacă e posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză 

dacă e posibil, categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză 

comunica numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații 

descrie consecințele probabile ale încălcării securității datelor cu caracter personal 

descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal 

Atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.

Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse (registru de incidente de securitate). 

Notificarea persoanei vizate în cazul unui incident de securitate

Dacă este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la incident,  într-un limbaj clar și simplu, asupra caracterului incidentului.

Notificarea  conține cel puțin următoare: 

datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații; 

consecințele probabile ale încălcării securității datelor cu caracter personal  măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal  

Evaluarea impactului asupra protecției datelor (DPIA) 

În cadrul operatorului s-a realizat o evaluare care cuprinde: 

  1. o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de operator 
  2. o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri 
  3. o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate 
  4. măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale altor persoane interesate.  

DPIA este necesară mai ales când avem următoarele situații: 

  • prelucrare automată, inclusiv crearea de profiluri, cu efect semnificativ asupra drepturilor persoanei 
  • prelucrare pe scară largă a unor categorii speciale de date, sau a unor date cu caracter personal privind condamnări penale și infracțiuni 
  • monitorizare sistematică pe scară largă a unei zone accesibile publicului  

Operatorul se va consulta cu responsabilul cu protecția datelor atunci când efectuează DPIA.  

În urma evaluării a fost determinat un risc scăzut asupra datelor cu caracter personal. Chiar și în aceste condiții la nivelul operatorului au fost implementate toate măsurile rezonabile pentru asigurarea corespunzătoare a datelor cu caracter personal, nefiind necesară consultarea prealabilă a  autorității de supraveghere.

 

8. RESPONSABILUL CU PROTECȚIA DATELOR (DPO)  

Desi, având în vedere faptul că activitățile principale ale operatorului SC. SENTOSA IMPEX  SRL constau în operațiuni de prelucrare a datelor cu caracter personal care, prin natura, domeniul de aplicare și scopurile lor, nu necesită o monitorizare periodică și sistematică a persoanelor fizice nu este obligatorie numirea unei persoană responsabilă cu prelucrarea datelor cu caracter personal, societatea a considerat necesara o astfel de numire, respectiv numindu-l ca DPO pe Cenan Cosmin-Cristian, telefon 0757/037872, e-mail: protectiadatelor@sentosa.ro

 

  1. TRANSFERUL DE DATE CĂTRE STATE DIN AFARA UE/SEE SAU CĂTRE ORGANIZAȚII INTERNAȚIONALE

Transferurile internaționale sunt permise în următoarele situații: 

  • transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecție 
  • transferuri în baza unor garanții adecvate 
  • reguli corporative obligatorii 
  • derogări pentru situații specifice  

 

În absența unei decizii privind caracterul adecvat al nivelului de protecție în conformitate cu articolul 45 alineatul (3) sau a unor garanții adecvate în conformitate cu articolul 46, inclusiv a regulilor corporatiste obligatorii, operatorul realizează  un transfer sau un set de transferuri de date cu caracter personal către o țară terță sau o organizație internațională numai în una dintre condițiile următoare

  • persoana vizată și-a exprimat în mod explicit acordul cu privire la transferul propus, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecție și a unor garanții adecvate 
  • transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate 
  • transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică 

 

10. Prezenta politică generală de prelucrare a datelor cu caracter confidențial intră în vigoare la data de 25 mai 2018 și este implementată prin procedurile specifice 

 

SENTOSA IMPEX   SRL

ADMINISTRATOR

BOCA MIHAELA