Politica interna privind prelucrarea datelor cu caracter personal

in cadrul societatii Restto Rezerv SRL

 

  1. Introducere

Prezenta politica interna privind prelucrarea datelor cu caracter personal („Politica interna”) are ca scop stabilirea regulilor dupa care Societatea Restto Rezerv  („Societatea”) prelucreaza date cu caracter atunci cand Regulamentul UE 2016/679 si/sau orice alt act normativ subsecvent sunt incidente („Legislatia privind protectia datelor”).

Prezenta Politica Interna urmareste ca orice prelucrare a datelor cu caracter personal in cadrul Societatii sa se realizeze in conformitate cu prevederile Legislatiei privind protectia datelor, respectiv ca drepturile Persoanelor Vizate, astfel cum acestea sunt reglementate de Legislatia privind protectia datelor sa fie respectate.

In prezenta Politica Interna termenii folositi cu majuscule vor avea sensul definit conform Regulamentului UE 2016/679, cu exceptia situatie in care prin prezentul document partile au stabilit o alta definitie pentru acestia.

  1. Aplicabilitate

Prezenta Politica interna se aplica:

  • Cu privire la activitatile de Prelucrare a datelor cu caracter personal de catre Societate sau alte Persoane imputernicite de aceasta;
  • Tuturor angajatilor, colaboratorilor, sau persoanelor imputernicite de Societate care prelucreaza Date cu caracter personal dupa instructiunile acestuia.
  1. Asigurarea conformarii pentru angajati, colaboratori si Persoane Imputernicite

Societatea se va asigura ca:

  • Angajatii si colaboratorii care efectueaza operatiuni de Prelucrare a datelor cu caracter personal respecta prezenta Politica Interna precum si Legislatia privind protectia datelor;
  • Persoanele imputernicite de Societate vor prelucra datele numai dupa instructiunile acesteia, sens in care partile vor semna inainte inceperii activitatii de prelucrare a datelor un Acord privind prelucrarea datelor sau un alt document similar;
  1. Prelucrarea datelor cu caracter personal si respectarea drepturilor Persoanelor Vizate. Societatea se va asigura ca:

  • Solicita Persoanelor Vizate numai acele Date cu caracter personal necesare in raport de scopul si temeiul pentru care sunt colectate;
  • Datele cu caracter personal vor fi prelucrate numai in scopurile si pe perioadele determinate prin Notele de informare/Politicile de confidentialitate aferente;
  • Datele cu caracter personal vor fi prelucrate cu respectarea masurilor de securitate stabilite prin prezentul document si nu vor fi transferate tertilor, decat in conditiile specificate prin Notele de Informare/Politicile de Confidentialitate aferente;
  • Datele cu caracter personal vor fi actualizate anual;
  • Datele cu caracter personal vor fi sterse si/sau anonimizate in acord cu prevederile Notele de Informare/Politicile de Confidentialitate aferente.

Societatea va respecta drepturile conferite de Regulament persoanelor vizate, sens in care:

  • Va raspunde fiecarei cereri adresate de Persoanele Vizate, in termen de 30 de zile, cu exceptia situatie in care din cauza complexitatii cererii si/sau a numarului mare de cereri primite, termenul de raspuns va putea fi preljungit cu maxim 2 luni;
  • Va lua masuri in acord de cererile adresate de Persoanele Vizate, respectand prevederile incidente ale Regulamentului;
  • De regula, raspunsul la cererile adresate de Persoanele Vizate va fi formulat si transmis de catre administratorul Societatii, cu exceptia situatiei in care acesta mandateaza o alta persoana din cadrul Societatii, in acest sens.
  1. Masuri de securitate: Datele sunt prelucrare cu respectarea urmatoarelor masuri de securitate:

  • Datele cu caracter personal sunt stocate pe serverele Romarg si pot fi accesate exclusiv de catre angajatii sau colaboratorii care conform fisei postului sau sarcinilor trasate de Societate este necesar sa desfasoare activitati de prelucrare a acestor date;
  • Accesarea datelor se realizeaza cu username si parola, parola fiind modificata lunar;
  • Nu se permite accesarea Datelor cu caracter personal de pe dispozitive PC, telefoane, tablete, altele decat cele pentru care Societatea si-a dat acordul sa fie folosite pentru desfasurarea activitatii profesionale de catre angajati si colaboratori;
  • Nu se permite copierea datelor cu caracter personal pe dispozitive PC, telefoane, tablete altele decat cele pentru care Societatea si-a dat acordul sa fie folosite pentru desfasurarea activitatii profesionale de catre angajati si colaboratori sau imprimarea acestora pe hartie sau unitati optice;
  • Datele cu caracter personal pentru care deriva din documente pentru care exista obligatia pastrarii acestora in forma fizica (precum contracte, facturi) vor fi stocate in dulapuri incuiate la care vor avea acces exclusiv persoanele care au nevoie sa prelucreze aceste date;
  • Angajatii si colaboratorii au obligatia pastrarii confidentialitatii Datelor cu caracter personal pe care le prelucreaza;
  • Toate parolele care constituie Date cu caracter personal sunt stocate in mod criptat;
  • Se asigura back-up-ul datelor la un interval de: 10 zile
  • Pentru a asigura buna securitate a Prelucrarii Datelor cu caracter personal, masurile de securitate sunt revizuite anual, astfel incat acestea sa poata fi modificate dupa caz in raport de noile cerinte si evolutii tehnice si/sau in raport de datele prelucrate.
  1. Proceduri in caz de incidente de securitate: In cazul unor incidente de securitate:

  • Societatea va lua de indata toate masurile necesare pentru a remedia problema de securitate sau dupa caz pentru atenuarea sau minimizarea impactului negativ;
  • in acest sens, angajatii sau colaboratorii care descopera un incident de securitate au obligatia raportarii acestuia in cel mult 2 ore administratorul Societatii;
  • Administratorul Societatii va contacta departamentul IT al Societatii care va evalua situatia, va propune si implementa un plan prin care incidentul de securitate sa fie rezolvat, iar efectele negative produse de acesta sa fie atenuate sau eliminate, dupa caz; de asemenea Administratorul Societatii poate decide contactarea oricaror specialisti IT din afara Societatii care sa ajute la rezolvarea incidentului de securitate;
  • in masura in care Site-ul restto.ro, aplicatiile mobile sau bazele de date a acestora sunt afectate, Adiministratorul Societatii poate decide inclusiv suspendarea temporara a accesului la site si/sau aplicatie pentru utilizatori;
  • Societatea va informa Autoritatea de Supraveghere competenta in cel mult 72 de ore de la producerea incidentului de securitate, cu exceptia situatiei in care poate fi susceptibil un risc pentru drepturile si libertatile persoanelor fizice; notificarea se va efectua conform prevederilor Regulamentului;
  • Societatea va informa de indata persoanele vizate ale caror date au fost impactate de incidentul de securitate, daca incalcarea securitatii datelor este susceptibila sa genereze un risc ridicat pentru drepturile si libertatile persoanelor vizate; informarea se va realiza conform prevederilor Regulamentului.
  1. Alte clauze

Prezenta Politica Interna a fost realizata in acord cu dispozitiile Legislatiei privind protectia datelor si se completeaza cu aceasta. In caz de inadvertente intre prezentul document si legislatia incidenta, vor prevala dispozitiile legislatiei.

Prezentul document intra in vigoare la data de: 22.01.2018si se aplica activitatilor de prelucrare a datelor cu caracter personal efectuate incepand cu data de 04.02.2018 atat in ceea ce priveste datele colectate incepand cu aceasta data, cat si in ceea ce priveste datele colectate anterior.