SC TEOSIN SRL
CUI RO4089621 RC: J29/1437/1993
Strada Drum Cota 1400 nr 2D, Sinaia, Romania
Politica privind securitatea informațiilor cu caracter personal
Politica privind securitatea informaţiilor are ca scop conștientizarea și responsabilizarea personalului angajat sau colaborator, cu privire la metodele de protecție și securitate pentru asigurarea confidențialității, integrității și disponibilității informațiilor privind datele cu caracter personal prelucrate în cadrul organizației. Resursele informaționale vor fi utilizate cu respectarea eticii profesionale și în conformitate cu prevederile legale pentru a evita incidentele de securitate prin care s-ar pierde sau distruge informații cu caracter personal.
Această Politică se aplică întregului personal, partenerilor și colaboratorilor externi care au acces la sistemul informaţional al organizației.
Obiectivele prezentei politici sunt:
- Promovarea standardelor etice în domeniul securității sistemelor informaţionale;
- Asigurarea confidențialității, integrității și disponibilității resurselor informaţionale ale organizației;
- Formarea personalului pentru a face față eficient amenințărilor cibernetice;
- Cunoașterea riscurilor și amenințărilor venite din spațiul cibernetic;
- Oferirea soluțiilor pentru a preveni și contracara amenințările cibernetice;
Activitati informaţionale desfășurate în cadrul organizației sunt:
Utilizarea internetului
Angajații pot utiliza conexiunea la Internet a organizației pentru următoarele scopuri: îndeplinirea sarcinilor de serviciu și utilizarea informațiilor pentru îmbunătățirea activității de serviciu.
Organizația nu restricționează accesul angajaților la site-urile web, regula fiind ca angajații să folosească internetul în scopul îndeplinirii atribuțiilor de serviciu și nu în scopuri personale..
Utilizarea e-mail-ului organizației
Sistemul de e-mail este proprietatea organizației. Acesta a fost generat pentru buna desfășurare a activității în cadrul organizației și pentru îndeplinirea sarcinilor de serviciu. Toate comunicările și informațiile transmise, primite sau stocate în acest sistem sunt înregistrări ale organizației și proprietatea acesteia. E-mailul va fi utilizat numai în scopul îndeplinirii atribuțiilor de serviciu. Este interzisă utilizarea sistemului de e-mail în scopuri personale. Organizația, ca proprietar al sistemului de e-mail, își rezervă și își poate exercita dreptul de a monitoriza, accesa, prelua și șterge orice conținut stocat, creat, primit sau trimis prin sistemul de e-mail, din orice motiv și fără permisiunea unui angajat.
Parolele folosite de angajați trebuie să fie cunoscute către o persoană din conducerea organizaţiei sau de către responsabilul unui departament specializat, deoarece este posibil ca fișierele de e-mail să fie accesate de organizație în lipsa unui angajat, ori să existe implementat un sistem de parole-administrator gestionat de către conducere sau departamentul specializat
Angajații nu sunt autorizați să preia sau să citească mesajele de e-mail care nu le sunt destinate. Orice excepție de la această politică trebuie să primească aprobarea prealabilă a conducerii organizației.
Spamming-ul
Spamming – mesaje electronice ca de exemplu mesajele publicitare nesolicitate, mesaje care urmăresc realizarea unor fraude prin obţinerea de date confidențiale trimise către un număr mare de destinatari fără acordul acestora în scopuri publicitare sau nelegale.
Organizația se angajează să nu realizeze comunicări comerciale nesolicitate. Toate comunicările comerciale vor avea la bază consimțământul persoanei, cu excepția situației în care legea prevede altfel. Se vor implementa măsuri tehnice astfel încât consimțământul să poată fi retras la fel de simplu, precum a fost acordat. Retragerea consimțământului își va produce efectele în cel mult 48 de ore. Daca va exista, orice newsletter va avea o opțiune de dezabonare, iar orice SMS va avea o modalitate de retragere a consimțământului (link, apel telefonic, SMS, solicitare scrisa la sediul operatorului, fax, etc).
Accesul la date informatice
Orice utilizator intern care trebuie să acceseze sistemele informatice ale organizației trebuie să treacă printr-un proces de autentificare. Autentificarea va include un identificator unic pentru fiecare utilizator și parolă și/sau sistem Token.
Accesul utilizatorilor în rețeaua informatică trebuie imediat revocat în cazul în care relația de muncă sau de colaborare cu persoana a încetat. Dacă persoana este transferată către alt compartiment, privilegiile de acces în retea și programe informatice trebuie modificate în mod corespunzător. Daca o persoană constată că are acces la informații care nu fac parte din aria ei de competență este obligată ca de îndată să aducă la cunoștința conducerii organizației/departamentul specializat despre acest aspect.
Reguli de utilizare:
– angajatul este să păstreze confidențialitatea privind mijloacele de autentificare în sistem (nume utilizator, parolă, adrese IP, nume si parole acces retea, etc);
– este strict interzisă utilizarea credențialelor altui angajat/colaborator;
– fiecare angajat este obligat să mențină securitatea oricărei informații, și în special informațiilor personale (datelor cu caracter personal) și să le protejeze de acces neautorizat (vizualizare, modificare, furt, etc);
– pentru copierea și distribuirea neautorizată a fișierelor electronice, organizația își rezervă dreptul de a depune plângere penală împotriva angajatului și de a-l acționa acesta la instanțele civile pentru acoperirea oricărui prejudiciu adus firmei;
– este interzisă accesarea fișierelor electronice sau conturile altor angajați, cu excepția cazului în care acest lucru a fost aprobat în prealabil de către conducerea organizației;
– colaboratorii externi care vor dezvolta sisteme IT în folosul organizației nu vor avea acces la date cu caracter personal decât dacă acestea au fost anonimizate complet;
– personalul/colaboratorii externi care asigură suportul tehnic nu vor avea acces la date cu caracter personal, decât în situații excepționale, cu respectarea tuturor obligațiilor impuse de Regulamentul (EU) 679/2016 , în special, existența unor clauze contractuale exprese privind protecția datelor;
– este strict interzisă notarea/păstrarea parolelor pe orice suport fizic;
– sistemul informatic trebuie blocat (blocare automata a desktop-ului și deblocare cu parolă) ori de câte ori angajatul părăsește biroul sau nu utilizează calculatorul;
– după terminarea programului, calculatorul va fi închis;
– este strict interzisă utilizarea „Print screen-ului” sau fotografierea monitorului pentru a salva/imprima datele cu caracter personal existente pe monitor;
– listarea documentelor ce conțin date cu caracter personal se va realiza doar de către utilizatorii autorizați sau cu aprobarea prealabilă a conducerii.
Accesul la datele pe suport de hârtie – prelucrarea pe suport hârtie: documentele care conțin date cu caracter personal ale asiguraților, sunt prelucrate şi arhivate, cu respectarea condițiilor și termenelor de păstrare, a prevederilor în vigoare ale Legii arhivelor naționale.
Toate documentele care conţin date cu caracter personal sunt prelucrate de personalul desemnat cu aceste activităţi cu respectarea unor norme de securitate:
- documentele se păstrează pe birou doar atâta timp cât se impune prelucrarea lor. La plecarea de la birou a persoanei desemnate cu prelucrarea, acestea sunt depozitate în dulapuri securizate cu cheie;
- este interzisă multiplicarea, distribuirea, fotografierea acestor documemente fără o justificare legală.
Nerespectarea prezentei Politici de către angajații organizației sau alți colaboratori externi poate conduce către sancțiuni disciplinare (inclusiv încetarea raporturilor de muncă), rezilierea contractelor și, în funcție de circumstanțe, acționarea în instanță pentru recuperarea integrală a prejudiciilor aduse organizației ca urmare a nerespectării prezentei Politici. Când există suspiciunea desfășurării unor activități ilegale (cum ar fi, exemplificativ, sustragerea documentelor, copierea, distribuirea, transferul bazelor de date, etc), organizația va denunța activitatea infracțională organelor legii pentru tragerea la răspundere penală a făptuitorului.
Prezenta Politică va fi adusă de către conducerea organizației la cunoștința tuturor angajaților, colaboratorilor, partenerilor de afaceri sau a altor terți.