securitatea și integritatea datelor cu caracter personal

Politica privind securitatea și integritatea datelor cu caracter personal supuse prelucrării în cadrul S.C. The Traveling Tulip S.R.L
1. Dispoziții generale

Prelucrarea de date cu caracter personal în cadrul S.C. THE TRAVELING TULIP S.R.L., cu sediul în Municipiul Ploiești, Aleea Cirezarilor, nr. 3, bloc 25A, scara A, apartament 7, județ Prahova, înregistrată la Oficiul Registrului Comerțului cu Nr. J29/2554/21.11.2018 și CUI 39561181, reprezentată de Iulia Alexandra Fălcuțescu, în calitate de Administrator (“Societatea” sau „Operatorul”) se va realiza prin respectarea cerințelor de securitate descrise mai jos.

Cerințele de securitate în cadrul Societății se stabilesc la nivelul cerințelor de securitate a prelucrărilor de date cu caracter personal indicate în Regulamentul nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date, avându-se totuși în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării precum și riscul redus pentru drepturile și libertățile persoanelor fizice.

Societatea pune în aplicare măsuri tehnice și organizatorice adecvate pentru ca prelucrarea să se efectueze cu respectarea prevederilor legale aplicabile.

Măsurile indicate mai jos se revizuiesc și se actualizează de către Societate, ori de câte ori va fi necesar. 

2. Securitatea prelucrarii

Societatea implementează măsuri tehnice și organizatorice adecvate conform legii, în vederea asigurării unui nivel de securitate corespunzător pentru datele cu caracter personal.

La evaluarea nivelului adecvat de securitate s-a ținut seama în special de riscurile prezentate de prelucrare, generate în special de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

3. Identificarea și autentificarea utilizatorilor cu drept de acces la bazele de date ale operatorului

Prin utilizator se înțelege orice persoană care acționează sub autoritatea operatorului, cu drept recunoscut de acces la bazele de date cu caracter personal.

Identificarea utilizatorului

Utilizatorii, pentru a dobândi acces la o bază de date cu caracter personal, trebuie să se identifice. Identificarea se va face prin introducerea codului de identificare de la tastatură (un șir de caractere).

Fiecare utilizator are propriul său cod de identificare. Niciodată mai mulți utilizatori nu au același cod de identificare.

Codurile de identificare (sau conturi de utilizator) nefolosite o perioadă mai îndelungată (de exemplu, în cazul în care contractul individual de muncă al utilizatorului respectiv a încetat) vor fi dezactivate și distruse.

Autentificarea utilizatorului

Orice cont de utilizator este insoțit de o modalitate de autentificare. Autentificarea se va realiza prin introducerea unei parole complexe, de minim 5 caractere. Parola trebuie să conțină 2 din următoarele 3 caracteristici: să conțină mimin o literă majuscula, să conțină minim o cifră, să conțină minim un caracter special și nu poate conține numele sau prenumele utilizatorului.

Parola alocată fiecărui utilizator va fi schimbată automat o dată la 6 luni prin dezactivarea credențialelor anterioare.

Operatorul deține un sistem informațional care să refuze automat accesul unui utilizator după 5 introduceri greșite ale parolei. La introducerea parolelor, acestea nu trebuie să fie afișate în clar pe monitor.

Confidențialitate cont și parola utilizator

Orice utilizator care primește un cod de identificare și un mijloc de autentificare trebuie să păstreze confidențialitatea acestora și să răspundă în acest sens în fața operatorului.

Salariații au obligația de a schimba parolele imediat ce apare bănuiala cunoașterii lor de către persoane neautorizate sau dacă din alte motive secretul lor a trebuit dezvăluit către o altă persoană.

4. Tipul de acces

Utilizatorii trebuie să acceseze numai datele cu caracter personal necesare pentru îndeplinirea atribuțiilor lor de serviciu și cu respectarea drepturilor de acces care li se acordă prin intermediul departamentului IT, cu respectarea dispozițiilor date de conducerea Operatorului.

5. Prelucrarea datelor

Operatorul va desemna operatori autorizați pentru operațiile de colectare, introducere, modificare date cu caracter personal.

Departamentul IT va adopta măsurile care se impun pentru ca sistemul informațional să înregistreze și să poată determina modificările în legătură cu fișierele care conțin date cu caracter personal.

6. Execuția copiilor de siguranță

Copiile de siguranță ale fișierelor care conțin date cu caracter personal vor fi efectuate de către departamentul IT și vor fi executate periodic.

7. Fișierele de acces

Departamentul IT al operatorului va adopta măsurile care se impun pentru a putea verifica accesarea fișierelor care conțin date cu caracter personal.

8. Computerele și terminalele de acces

Computerele și terminalele de acces vor fi instalate în încăperi care se pot încuia sau se vor lua măsuri ca accesul la computere să se facă cu ajutorul unor chei sau cartele magnetice.

Accesarea computerelor și a terminalelor de acces se va face pe bază de parolă, iar salariații vor respecta întocmai recomandările departamentului IT pentru modul de stabilire și schimbare a parolelor.

Pentru menținerea securității prelucrării datelor cu caracter personal (în special împotriva virușilor informatici) departamentul IT a luat măsuri pentru:

  • a) interzicerea folosirii de către utilizatori a programelor software care provin din surse externe sau suspecte;
  • b) apărare corespunzătoare împotriva virușilor informatici (soft licențiat antivirus).

Salariații vor evita să salveze documente care conțin date cu caracter personal pe stația de lucru și vor lucra, în schimb, pe serverul Societății. Cu toate acestea, în cazurile excepționale în care asemenea masură se impune, salariatul va informa departamentul IT, iar documentele vor fi parolate și protejate în mod corespunzător.

Salariații nu vor utiliza adresele de email personale pentru corespondența profesională.

Salariații sunt obligați să închidă sesiunea de lucru atunci când părăsesc locul de muncă. Sesiunea de lucru se va închide automat după 15 minute de inactivitate.

Anumiți utilizatori ai Societății au acces din afara Societății la resursele informatice ale acesteia, în funcție de necesitățile de lucru dintr-o anumită perioadă. Într-un astfel de caz, accesul la sistemul informatic al Societății se va face doar în mod securitizat și doar prin VPN.

9. Imprimarea datelor

Scoaterea la imprimantă a datelor cu caracter personal se va realiza numai pentru îndeplinirea atribuțiilor de serviciu.

10. Instruirea personalului

Operatorul va face informarea salariaților cu privire la prevederile Regulamentului GDPR aducând totodată la cunoștința acestora politicile în materie de date cu caracter personal.

11. Alte măsuri suplimentare de securitate

Datele cu caracter personal în format electronic se vor salva în fișiere speciale, protejate în mod corespunzător și care se vor stoca în principal pe serverul Societății, care îndeplinește condițiile de securitate adecvate.

Operatorul a implementat sisteme tip firewall și proxy pentru siguranța navigării pe Internet.

În situația de lipsă a energiei electrice, se va asigura prezența la sediul Operatorului a unui grup electrogen care intervine în mod automat și imediat.

În măsura în care există documente ce conțin date cu caracter personal păstrate în format fizic, acestea se vor păstra în seifuri sau în locuri protejate prin sisteme speciale (de exemplu, încuietori sau cartele de acces).

12. Notificarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal în cazul încălcării securității datelor cu caracter personal

În cazul în care are loc o încălcare a securității datelor cu caracter personal, Societatea va notifica acest lucru Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.

Responsabilul cu protecția datelor va înștiința Societatea fără întârzieri nejustificate după ce ia cunoștință de o încălcare a securității datelor cu caracter personal.

Indiferent de notificarea transmisă Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, Societatea va lua toate măsurile necesare astfel încât să remedieze, cât de repede cu putință, problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative. Societatea va păstra documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse.

Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal

În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, Societatea informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare, în măsura în care acest lucru este prevăzut de prevederile legale aplicabile.

Evaluarea impactului asupra protecției datelor

În cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, Societatea va efectua, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. La realizarea unei evaluări a impactului asupra protecției datelor, Societatea solicită avizul responsabilului cu

protecția datelor. protecția datelor. La realizarea unei evaluări a impactului asupra protecției datelor, Societatea solicită avizul responsabilului cu protecția datelor.

Evaluarea impactului asupra protecției datelor se impune mai ales în cazul:

  • (i) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
  • (ii) prelucrării pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni;
  • (iii) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.

Evaluarea va conține cel puțin:

  • (i) o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de Societate;
  • (ii) o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;
  • (iii) o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate; și
  • (iv) măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale altor persoane interesate.

Acolo unde este necesar, Societatea efectuează o analiză pentru a evalua dacă prelucrarea are loc în conformitate cu evaluarea impactului asupra protecției datelor, cel puțin atunci când are loc o modificare a riscului reprezentat de operațiunile de prelucrare.

Consultarea prealabilă

Societatea va consulta Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal înainte de prelucrarea datelor cu caracter personal atunci când evaluarea impactului asupra protecției datelor de la punctul precedent indică faptul că prelucrarea ar genera un risc ridicat în absența unor măsuri luate de operator pentru atenuarea riscului.

Prezenta politică se completează cu celelalte standarde și politici din acest domeniu, astfel cum vor fi adoptate de Societate din când în când.

Site, user & company policies

| My Account
| Terms and conditions
| Cookies policy
| Privacy policy
| General provisions concerning personal data processing
| Security and integrity of personal data
| Contract

Useful info

| About us
| FAQ
| Reviews
| Tourism license no. 1900/2020
| Insurance policy
| Information on ordering and return
| National Authority for Consumer Protection
| SAL / SOL Platform – European Union

Contact us
  • +40 722 463 622
  • office@thetravelingtulip.ro
Facebook Instagram
Secure payments

The Traveling Tulip SRL | 39561181 | J/29/2554/2018
Registration address: Ploiești, 3, Aleea Cirezarilor, Prahova County
Correspondence address: Bucharest, 45 Viscolului Street, district 6