Skip to main content
Protecția datelor cu caracter personal

Politică de confidențialitate

-Scopul prelucrarii datelor cu caracter personal-

  1. PRECIZARI GENERALE
    Primaria Comunei Stănişeşti este Operator de date cu caracter personal si isi exercita aceasta calitate in conformitate cu legea 677/2001 si cu Regulamentul (UE) 679/2016 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (GDPR).
    Aceasta declaratie de confidentialitate explica modalitatea in care primaria proceseaza datele cu caracter personal ale cetateanului, cum o efectueaza si in ce scopuri.
    Primaria Comunei Stănişeşti se angajeaza sa respecte confidentialitatea datelor dvs. cu caracter personal. Vom trata toate datele personale furnizate de dvs. ca fiind confidentiale si vom prelucra numai informatiile permise de legislatia aplicabila. Aceasta nota de confidentialitate descrie politicile si practicile institutiei privind colectarea si utilizarea datelor dvs. personale si va stabileste drepturile de confidentialitate.
    Confidentialitatea informatiilor este o responsabilitate permanenta si, prin urmare, vom actualiza aceasta notificare de confidentialitate de indata si pe masura ce vom intreprinde noi practici privind datele cu caracter personal sau vom adopta noi politici de confidentialitate. In ceea ce priveste prelucrarea datelor bazate pe consimtamant (dupa cum este descris mai jos), va vom notifica orice modificare si vom solicita consimtamantul dvs. suplimentar.
  2. CONTEXTUL LEGISLATIV
    Conform cerintelor Regulamentului (UE) 679/2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (in continuare denumit „Regulamentul GDPR”) aplicabil din data de 25 mai 2018, avem obligatia de a administra in conditii de siguranta si numai pentru scopurile specificate, datele personale pe care ni le furnizati prin utilizarea site-ului nostru in acord cu prevederile Regulamentului GDPR.
    Pentru mai multe detalii privind continutul acestei norme juridice, va rugam sa accesati urmatorul link:
    https://eur-lex.europa.eu/legal-content/RO/TXT/?uri=CELEX%3A32016R0679
  3. RESPONSABILUL CU PROTECTIA DATELOR CU CARACTER PERSONAL
    A fost desemnat un responsabil cu protectia datelor (DPO) la nivelul Primaria Comunei Stănişeşti, care va duce la indeplinire obligatiile stabilite de legislatia aplicabila in domeniul protectiei datelor cu caracter personal, iar dvs. puteti contacta responsabilul cu protectia datelor cu privire la toate chestiunile legate de prelucrarea datelor dvs. si la exercitarea drepturilor dvs. potrivit dispozitiilor legale aplicabile, in special daca aveti intrebari sau nelamuriri cu privire la modul in care noi prelucram datele dvs. cu caracter personal.
  4. CUM COLECTAM SI FOLOSIM (PROCESAM) INFORMATIILE DVS. PERSONALE
    4.1. Informatii personale pe care ni le oferiti:
    Putem colecta, stoca si utiliza urmatoarele tipuri de date personale:
    − informatii despre computerul dvs. si despre vizitele si utilizarea acestui site web (inclusiv adresa dvs. IP, locatia geografica, tipul si versiunea browserului, sistemul de operare, sursa de recomandare, durata vizitei, vizualizarile de pagina si caile de navigare ale site-ului);
    − informatiile continute in sau legate de orice comunicare pe care ne-o trimiteti in format tiparit sau prin intermediul paginii web (inclusiv corespondenta cu noi, continutul comunicarii si datele asociate cu comunicarea);
    − orice alte date personale pe care ati ales sa ni le trimiteti sau datele personale completate in cereri, formulare, etc.
    4.3. Scopurile utilizarii datelor dvs. cu caracter personal
    Datele personale pe care le-am colectat de la dvs. sau de la terti sau din surse publice vor fi utilizate in scopurile specificate in aceasta Politica de confidentialitate. In functie de relatiile pe care le avem sau dorim sa le avem cu dvs., putem folosi datele dvs. personale in scopul executarii unei sarcini care serveşte unui interes public local, privind:
    • Educaţia;
    • Serviciile sociale pentru protecţia copilului, a persoanelor cu handicap, a persoanelor vârstnice, a familiei şi a altor persoane sau grupuri aflate în nevoie socială;
    • Sănătatea;
    • Cultura;
    • Tineretul;
    • Sportul;
    • Ordinea publică;
    • Situaţiile de urgenţă;
    • Protecţia şi refacerea mediului;
    • Conservarea, restaurarea şi punerea în valoare a monumentelor istorice şi de arhitectură, a parcurilor, grădinilor publice şi rezervaţiilor naturale;
    • Dezvoltarea urbană;
    • Evidenţa persoanelor;
    • Podurile şi drumurile publice;
    • Serviciile comunitare de utilitate publică: alimentare cu apă, gaz natural, canalizare, salubrizare, energie termică, iluminat public şi transport public local, după caz;
    • Serviciile de urgenţă de tip salvamont, salvamar şi de prim ajutor;
    • Activităţile de administraţie social-comunitară;
    • Locuinţele sociale şi celelalte unităţi locative aflate în proprietatea unităţii administrativ-teritoriale sau în administrarea sa;
    • Punerea în valoare, în interesul comunităţii locale, a resurselor naturale de pe raza unităţii administrativ-teritoriale;
    • Alte servicii publice stabilite prin lege:
    • impozitele și taxele locale, amenzi contravenționale, muncă în folosul comunității,
    • colectare debite/ recuperare creanțe,
    • emitere autorizații/ licențe,
    • resurse umane;
    • fond funciar;
    • gestiunea economico-financiară și administrativă;
    • darea în administrare, concesionarea sau închirierea bunurilor proprietate publică a unității administrativ teritoriale;
    • vânzarea, concesionarea sau închirierea bunurilor proprietate privată a unității administrativ teritoriale;
    • stare civilă,
    • urbanism și amenajarea teritoriului;
    • registrul electoral- evidență electorală,
    • arhiva;
    • registratura, relații publice, secretariat.
  5. LEGALITATEA PRELUCRĂRII DATELOR CU CARACTER PERSONAL
    Prelucrarea este legală, conform prevederilor art. 6 din Regulamentul nr. 679/2016, numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii:
    • persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
    • prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
    • prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;
    • prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
    • prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul
  6. DEZVALUIREA SI TRANSFERUL DATELOR CU CARACTER PERSONAL
    Primaria Comunei Stănişeşti se straduieste sa aplice garantii adecvate pentru a proteja confidentialitatea si securitatea datelor dvs. personale si pentru a le utiliza numai in conformitate cu relatia dvs. cu institutia noastra si cu practicile descrise in aceasta Politica de Confidentialitate.
    In masura permisa de legile aplicabile in materie de protectie a datelor, putem divulga datele dvs. personale unor parteneri, auditori, agentii, autoritati de supraveghere sau alti furnizori de servicii externe pentru a ne indeplini obligatiile contractuale. Vom indica in mod clar pentru dvs. fiecare destinatar de date daca este bine cunoscut in momentul initierii procesarii.
    Putem, de asemenea, dezvalui datele dvs. personale:
    • in masura in care suntem obligati sa facem acest lucru prin lege;
    • in legatura cu orice procedura judiciara in desfasurare sau potentiala;
    • pentru a stabili, exercita sau apara drepturile legale (inclusiv furnizarea de informatii altor persoane in scopul prevenirii fraudei).
  7. DREPTURILE DUMNEAVOASTRA
    In legatura cu prelucrarea datelor cu caracter personal si in baza prevederilor Regulamentului nr. 679/2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date va puteti exercita oricare dintre urmatoarele drepturi:
    • Dreptul la informare – poti solicita informatii privind activitatile de prelucrare a datelor tale personale;
    • Dreptul la rectificare – poti rectifica datele personale inexacte sau le poti completa;
    • Dreptul la stergerea datelor (“dreptul de a fi uitat”) – poti obtine stergerea datelor, in cazul in care
    prelucrarea acestora nu a fost legala sau in alte cazuri prevazute de lege; • Dreptul la restrictionarea prelucrarii – poti solicita restrictionarea prelucrarii in cazul in care contesti exactitatea datelor, precum si in alte cazuri prevazute de lege;
    • Dreptul la portabilitatea datelor – poti primi, in anumite conditii, datele personale pe care ni le-ai furnizat, intr-un format care poate fi citit automat sau poti solicita ca respectivele date sa fie transmise altui operator;
    • Dreptul de a depune plângere – poti depune plângere fata de modalitatea de prelucrare a datelor personale la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal;
    Pentru exercitarea acestor drepturi, va puteti adresa cu o cerere scrisa, datata si semnata responsabilului cu protectia datelor cu caracter personal. Modelul de cerere pentru fiecare drept enumerat mai sus il gasiti la Registratura primariei sau il puteti descărca de pe site-ul institutiei https://primariastanisesti.ro/ – sectiunea “GDPR”. Cererea se poate depune la Compartimentul Registratura din cadrul Primaria Comunei Stănişeşti, poate fi transmisa la adresa de e-mail comunastanisesti@yahoo.com sau poate fi trimisa prin posta la sediul institutiei.
    De asemenea, va este recunoscut dreptul de a depune plangere la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (A.N.S.P.D.C.P.) precum și dreptul la o cale de atac eficienta. Adresa de contact A.N.S.P.D.C.P.:
    Bucuresti, b-dul G-ral. Gheorghe Magheru nr. 28-30, sector 1, cod postal 010336
    Pagina de internet: http://www.dataprotection.ro
    Adresa de e-mail: anspdcp@dataprotection.ro
    Telefon:+40.318.059.211; +40.318.059.212
    Fax: +40.318.059.602
    AVERTIZARE! Va rugam sa va exersati cu intelepciune drepturile si sa retineti ca orice abuz va poate atrage raspunderea.
  8. PASTRAREA DATELOR CU CARACTER PERSONAL
    Datele dvs. personale sunt stocate de catre Primaria Comunei Stănişeşti pe echipamentele proprii.
    Datele cu caracter personal pe care le prelucram, bazate pe consimtamantul dvs. vor fi pastrate pentru perioada nelimitata de timp (sau pana cand consimtamantul este revocat), cu exceptia cazului in care cerintele legale aplicabile prevad altfel iar acest lucru este necesar pentru scopul prelucrarii.
    Daca nu ne-ati furnizat acordul dvs. pentru prelucrarea datelor sau ati revocat acordul, vom stoca numai date minime despre dvs. (numele complet, datele de contact, referinte si note) pentru statistica si necesitatile de raportare sau in masura justificata pe baza unui alt temei juridic, cum ar fi interesul nostru legitim.
    Fara a aduce atingere celorlalte prevederi ale acestei sectiuni, vom pastra informatii si documente (inclusiv documente electronice) care contin date cu caracter personal:
    • in masura in care suntem obligati sa facem acest lucru prin lege;
    • in cazul in care informatiile / documentele sunt relevante pentru orice procedura judiciara in curs sau potentiala;
    • pentru a stabili, exercita sau apara drepturile noaste legale (inclusiv furnizarea de informatii altor persoane in scopul prevenirii fraudei).
  9. SECURITATEA DATELOR PERSONALE
    Pentru a va proteja confidentialitatea datelor si a informatiilor personale pe care le transmiteti, vom mentine garantii fizice, tehnice si administrative.
    Actualizam si testam tehnologia noastra de securitate in mod continuu. Restrictionam accesul la datele
    dvs. personale doar acelor angajati care trebuie sa stie acele informatii pentru a va oferi beneficii sau servicii. In plus, instruim angajatii nostri cu privire la importanta confidentialitatii si mentinerea confidentialitatii si securitatii informatiilor dvs.
    Daca apare o scurgere de date cu caracter personal, vom face totul pentru a o elimina si pentru a evalua un nivel de risc legat de scurgere in conformitate cu politica noastra privind incalcarea datelor cu caracter personal. In cazul in care se constata ca scurgerea poate duce la vatamari fizice, materiale sau nemateriale pentru dvs. (de exemplu, discriminare, furt de identitate, frauda sau pierdere financiara), va vom contacta fara intarzieri nejustificate, cu exceptia cazului in care legea prevede altfel. Toate demersurile noastre vor fi luate in deplina cooperare cu autoritatea competenta de supraveghere.
  10. MODIFICARI ALE POLITICII PRIVIND CONFIDENTIALITATEA
    Este posibil sa actualizam din cand in cand acest document de informare prin publicarea unei noi versiuni pe pagina web a institutiei.
    Avand in vedere ca legile privind protectia datelor cu caracter personal, interpretarile organelor de stat, recomandarile autoritatilor de supraveghere se schimba si se imbunatatesc din cand in cand, se asteapta ca aceasta notificare privind confidentialitatea si conditiile de utilizare sa se schimbe si ea. Ne rezervam dreptul de a modifica in orice moment, din orice motiv si fara notificare acest document de informare. Orice modificare a politicii noastre de confidentialitate va fi afisata pe pagina web a institutiei, astfel incat sa fiti constienti de politicile noastre. Dispozitiile continute in prezentul document inlocuiesc toate anunturile sau declaratiile anterioare privind practicile noastre de confidentialitate.
  11. SITE-URILE TERTE PARTI
    Pagina web a institutiei poate include hyperlinkuri si detalii despre site-urile web ale unor terte parti. Nu avem niciun control si nu suntem responsabili pentru politicile si practicile de confidentialitate ale unor terte parti.
  12. COLECTAREA SI STOCAREA ANUMITOR INFORMATII PE SITE
    Asa cum este valabil pentru cele mai multe dintre paginile web, pagina web a institutiei colecteaza automat anumite informatii si le stocheaza in fisierele jurnal. Acestea includ adresele Protocolului Internet (IP), locatia geografica a computerului sau a dispozitivului, tipul de browser, sistemul de operare si alte informatii despre vizitarea paginii web, de exemplu, paginile vizualizate. Aceste informatii sunt utilizate pentru a imbunatati pagina web a institutiei si, datorita acestei imbunatatiri constante, pentru a servi mai bine utilizatorilor nostri. Adresa dvs. IP poate fi, de asemenea, utilizata pentru a diagnostica problemele cu serverul nostru, pentru a administra pagina web a institutiei, pentru a analiza tendintele, pentru a urmari navigarea unui utilizator pe site si pentru a colecta informatii demografice, pentru a ne ajuta sa intelegem preferintele vizitatorilor si nevoile acestora.
  13. SECURITATEA SITE-ULUI
    Nu putem garanta ca transmisiile de date pe Internet pot fi 100% sigure. In consecinta, nu putem asigura sau garanta securitatea informatiilor pe care le transmiteti si intelegeti ca orice informatie pe care o transferati catre institutia noastra se face pe propriul dvs. risc. Cu toate acestea, Primaria Comunei Stănişeşti foloseste masuri de securitate a site-ului in conformitate cu cele mai bune practici pentru a proteja site-ul web, e-mailurile si listele de corespondenta. Aceste masuri includ masuri tehnice, procedurale, de monitorizare si de urmarire destinate sa protejeze datele de folosirea incorecta, accesul neautorizat sau dezvaluirea, pierderea, modificarea
    sau distrugerea datelor.
    Suntem constienti ca pot aparea incidente de utilizare gresita sau incursiuni neautorizate de program, aceasta fiindca aproape fiecare site web, serviciu sau utilizator se intercaleaza. In aceste situatii, obiectivele noastre sunt sa ne miscam repede pentru a izola problema, pentru a asigura sau restabili functionalitatea corespunzatoare si pentru a minimiza neplacerile utilizatorilor nostri. Daca este necesar Primaria Comunei Stănişeşti va notifica autoritatile competente despre aceste incidente de utilizare incorecta sau incursiune neautorizata in site-ul institutiei.
  14. INTREBARI, NELAMURIRI, RECLAMATII
    Daca aveti intrebari sau aveti nelamuriri cu privire la confidentialitatea datelor si a informatiilor personale sau daca doriti sa va executati drepturile sau sa faceti o sesizare cu privire la o posibila incalcare a normelor privind confidențialitatea, va rugam sa ne contactati prin trimiterea unui e-mail catre responsabilul pentru protectia datelor.

Politica privind accesul la date

PRIMARIA COMUNEI STĂNIŞEŞTI

  1. Politica privind accesul la date
    1.1. Scopul
    Scopul acestei politici este de a menține un nivel de adecvat de securitate pentru a proteja datele cu caracter personal ale instituției și sistemele de informații de acces neautorizat. Această politică definește regulile necesare pentru a asigura această protecție și pentru a asigura o funcționare sigură și fiabilă a sistemelor informatice a intituției.
    1.2. Politica
    Numai utilizatorii autorizați au acces la sistemele informatice, iar utilizatorii sunt limitați la aplicații specifice, documentate și aprobate, cu diferite niveluri de acces. Accesul la sistemul informatic se realizează pe baza unui ID unic pentru fiecare utilizator.
    1.2.1 Cui se aplică politica?
    Această politică se aplică tuturor angajaților instituției, precum și tuturor contractanților, consultanților și angajaților temporari.
    Angajații care încalcă în mod deliberat această politică vor fi supuși acțiunilor disciplinare prevăzute de Codul Muncii.
    1.2.2 Sistemele afectate
    Această politică se aplică tuturor calculatoarelor, dispozitivelor și sistemelor informatice deținute sau operate de instituție.
    În mod similar, această politică se aplică tuturor platformelor (sistemelor de operare) și tuturor sistemelor de aplicații.
    1.2.3 Autentificarea:
    Orice utilizator (de la distanță sau intern), care trebuie să acceseze rețelele și sistemele Informatice ale instituției, trebuie să treacă prin procesul de autentificare.
    Nivelul de autentificare trebuie să fie ridicat.
    Autentificarea va include, dar nu se va limita la:
    • Deconectarea automată;
    • Un identificator unic pentru fiecare utilizator
    Cel puțin una dintre următoarele: (1) Verificare în doi factori (pași); (2) Token;
    2
    Parolele utilizate sunt şiruri de caractere, adecvate din punct de vedere al securității ca lungime şi compoziţie, conținând majuscule și caractere speciale. Parolele nu sunt afișate pe monitor. Acestea sunt schimbate periodic, cel puțin o dată la două luni. Schimbarea periodică a parolelor se face numai de către utilizatori autorizați.
    1.2.4 Notificare
    O notificare preliminară care atrage atenția că sistemul este o rețea privată și că acei utilizatori neautorizați trebuie să se deconecteze imediat va fi afișată imediat înainte de logarea la sistem.
    1.2.5 Aprobarea accesului
    Accesul la sistem nu va fi acordat niciunui utilizator fără aprobarea corespunzătoare. Accesul utilizatorilor trebuie imediat revocat în cazul în care relația de muncă sau de colaborare cu persoana a încetat. Dacă persoana este transferată către alt sector, privilegiile trebuie modificate în mod corespunzător.
    1.2.6 Accesul la informații
     Mijloacele de autentificare în sistem (username, parolă etc) sunt proprietatea fiecărui angajat și el este singurul responsabil de a nu divulga aceste informații.
     Este strict interzisă utilizarea credențialelor altui angajat.
     Fiecare angajat va fi responsabil să mențină securitatea oricărei informații, și în special informațiilor personale (datelor cu caracter personal) și să le protejeze de acces neautorizat (vizualizare, alterare, furt sau distrugere).
     Trebuie obținută aprobarea din partea proprietarului informației înainte de crearea, modificarea sau ștergerea unei autorizații de acces.
     Este strict interzisă copierea de fișiere electronice, iar angajatul care încalcă această regulă va fi supus sancțiunilor disciplinare, inclusiv desfacerea contractului de muncă.
     Pentru copierea fișierelor electronice, Instituția își rezervă dreptul de a depune plângere penală împotriva angajatului și de a-l acționa pe acesta la instanțele civile pentru acoperirea oricărui prejudiciu adus instituției.
     Este interzisă navigarea prin fișierele personale sau conturile altor angajați, cu excepția cazului în care acest lucru a fost aprobat în prealabil.
     Programatorii care vor dezvolta sisteme IT nu vor avea acces la date cu caracter personal, decât dacă acestea au fost anonimizate complet.
     Personalul care asigură suportul tehnic nu va avea acces la date cu caracter personal, decât în situații excepționale și, în toate cazurile, cu respectarea tuturor obligațiilor impuse de Regulamentul (EU) 679/2016 persoanelor împuternicite și, în special, existența unor clauze contractuale exprese privind protecția datelor.
    3
    1.2.7 Accesul la sistem
     Notarea sau stocarea parolelor pe orice suport fizic este strict interzisă.
     Sistemul trebuie blocat ori de câte ori angajatul părăsește biroul sau nu utilizează calculatorul.
     După terminarea programului, calculatorul va fi închis. De asemenea, se va verifica faptul că închiderea s-a finalizat cu succes și fără erori.
     Este strict interzisă utilizarea „Print screen-ului” (prin folosirea tastei print screen sau a altor procedee) sau prin fotografierea monitorului cu telefonul pentru a salva/imprima datele cu caracter personal existente pe monitor.
     Listarea documentelor ce conțin date cu caracter personal se va realiza doar de către utilizatorii autorizați sau cu aprobarea scrisă și prealabilă a conducerii.
  2. Consecințe
    Nerespectarea prezentei Politici de către angajații instituției sau alți colaboratori externi poate conduce către sancțiuni disciplinare (inclusiv încetarea contractului de muncă), rezilierea contractelor și, în funcție de circumstanțe, acționarea în instanță pentru recuperarea integrală a prejudiciilor aduse Instituției ca urmare a nerespectării prezentei Politici. Când există suspiciunea unor activități ilegale (cum ar fi, exemplificativ, sustragerea documentelor, copierea, distribuirea, transferul bazelor de date), Instituția va denunța activitatea infracțională organelor legii pentru tragerea la răspundere penală a făptuitorului.
    Prezenta Politică va fi adusă de către conducerea Instituției la cunoștința tuturor angajaților, colaboratorilor sau a altor terți.

Politica privind facilitarea exercitării drepturilor persoanelor vizate

PRIMARIA COMUNEI STĂNIŞEŞTI

  1. Introducere
    Această procedură este destinată utilizării de către Instituție atunci când o persoană vizată exercită unul sau mai multe drepturi în temeiul Regulamentului (UE) 679/2016 (Regulamentul GDPR).
    Fiecare dintre drepturile implicate are propriile sale aspecte și provocări specifice.
    Cu toate acestea, drepturile nu sunt absolute și există excepții. În toate cazurile, Instituția va decide dacă o cerere este întemeiată prin studierea Regulamentului GDPR. În unele cazuri, pentru a stabili dacă o cerere este întemeiată sau nu, se vor consulta departamentul juridic al instituției sau consultanții juridici externi.
    Răspunsul la cererea persoanei vizate se va face în termen de o lună. Dacă cererea este întemeiată, se va facilita exercitarea drepturilor. Dacă cererea nu este întemeiată, se va comunica motivul refuzului persoanei vizate și i se va comunica dreptul de a depune o plângere la ANSPDCP și dreptul de a se adresa justiției.
    1.1. Dreptul de retragere a consimțământului
    Persoana vizată are dreptul de a retrage consimțământul în cazul în care baza pentru prelucrarea datelor sale cu caracter personal este cea a consimțământului (adică prelucrarea nu se bazează pe alt temei legal, precum contractul, obligația legală, interesul legitim, interesele vitale sau interesul public).
    Înainte de a exclude prelucrarea datelor cu caracter personal ale persoanei vizate, trebuie să se confirme că consimțământul este într-adevăr baza prelucrării. În caz contrar, dacă prelucrarea nu se bazează pe alt temei legal, precum contractul, obligația legală, interesul legitim, interesele vitale sau interesul public, chiar împreună cu temeiul consimțământului, cererea va fi respinsă. În caz contrar, se va da curs cererii.
    În multe cazuri, acordarea și retragerea consimțământului vor fi disponibile pe cale electronică, adică on-line.
    În cazul în care consimțământul implică un copil (definit de GDPR ca persoana sub 16 ani) acordarea sau retragerea trebuie să fie autorizată de titularul răspunderii părintești asupra copilului.
    2
    1.2. Dreptul la informare
    În momentul în care datele cu caracter personal sunt colectate de la persoana vizată sau obținute dintr-o altă sursă, există o cerință de a informa persoana vizată cu privire la utilizarea acestor date și a drepturilor asupra acestora. Respectarea acestui drept este abordată într-o acțiune separată, Acțiunea 2 din prezenta documentație. Prin urmare, se va utiliza și adapta template-ul „Politicii de confidențialitate” cu privire la orice persoană vizată ale cărei date sunt prelucrate.
    1.3. Dreptul de acces
    Persoana vizată are dreptul să solicite organizației o confirmare că datele personale sunt prelucrate, iar în caz afirmativ, are dreptul de a obține o copie a acestor date, precum și următoarele informații:
  2. Scopurile prelucrării;
  3. Categoriile datelor cu caracter personal în cauză;
  4. Destinatarii sau categoriile de destinatari ai datelor, dacă există, în special orice țări terțe sau organizații internaționale;
  5. Durata de stocare a datelor cu caracter personal (sau criteriile utilizate pentru stabilirea acestei perioade);
  6. Drepturile persoanei vizate la rectificarea sau ștergerea datelor sale cu caracter personal și restricționarea sau opoziția față de prelucrare;
  7. Dreptul persoanei vizate de a depune o plângere la o autoritate de supraveghere;
  8. Informații privind sursa datelor, dacă nu provin direct de la persoana vizată;
  9. Dacă datele personale vor face obiectul unor decizii automate, inclusiv crearea de profiluri și, dacă da, logica acestei decizii sau profilări și eventualele consecințe implicate;
  10. În cazul în care datele sunt transferate unei țări terțe sau unei organizații internaționale, informații privind garanțiile care se aplică;
    În cele mai multe cazuri, va trebui să dam acces persoanei la date, cu excepția situației când cererea este vădit nefondată sau excesivă.
    1.4. Dreptul la rectificare
    În cazul în care datele cu caracter personal sunt inexacte, persoana vizată are dreptul să solicite corectarea și completarea datelor personale incomplete pe baza informațiilor pe care le furnizează.
    Dacă este necesar, Instituția va lua măsuri suplimentare pentru a verifica dacă informațiile furnizate de persoană sunt corecte înainte de a opera modificarea.
  11. Dreptul la ștergere („dreptul de a fi uitat”)
    Persoana vizată are dreptul să solicite Instituției să șteargă fără întârziere datele cu caracter personal care o privesc în următoarele cazuri:
    3
    • datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
    • persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea și nu există niciun alt temei juridic pentru prelucrare;
    • persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea
    • datele cu caracter personal au fost prelucrate ilegal;
    • datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află operatorul;
    • datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale instituției informaționale copiilor.
    Instituția va trebui să ia o decizie cu privire la o astfel de solicitare. Ștergerea datelor nu se va realiza dacă:
    • datele sunt necesare pentru exercitarea dreptului la liberă exprimare și informare;
    • datele sunt necesare pentru îndeplinirea unei obligații legale;
    • din motive de interes public în domeniul sănătății publice;
    • în scopuri de arhivare în interes public;
    • pentru constatarea, exercitarea sau apărarea unui drept în instanță.
    2.1. Dreptul la restricționarea prelucării
    Persoana vizată își poate exercita dreptul la restricționarea prelucrării în următoarele situații:
    • persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
    • prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;
    • operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță; sau
    • persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul (1) din Regulamentul GDPR, pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.
    Instituția, în situația în care primește o cerere de restricționare, va trebui să verifice dacă cererea de încadrează într-unul din cazurile de mai sus. Pentru a se lua o decizie potrivită, este recomandat să se apeleze la Responsabilul cu protecția datelor.
    În cazul în care se vor restricționa datele, acestea vor rămâne stocate, dar nu pot fi prelucrate fără consimțământul persoanei. Ele vor putea fi prelucrate pentru constatarea, exercitarea sau apărarea unui drept în instanță sau pentru protecția drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.
    4
    În toate cazurile, persoana vizată care a obținut restricționarea prelucrării este informată de către operator înainte de ridicarea restricției de prelucrare.
    2.2. Dreptul la portabilitatea datelor
    Persoana vizată are dreptul să solicite ca datele personale să fie furnizate într-un format “structurat, utilizat în mod obișnuit și care poate fi citit de mașină” (articolul 20 din Regulamentul GDPR) și să transfere datele respective unei alte părți, de exemplu alt furnizor de servicii. Aceasta se aplică datelor cu caracter personal pentru care prelucrarea se bazează pe consimțământul persoanei vizate, pe temeiul legal al contractului sau în situația în care prelucrarea este efectuată prin mijloace automate.
    Acolo unde este posibil din punct de vedere tehnic, persoana vizată poate, de asemenea, solicita ca datele personale să fie transferate direct de la un operator la altul.
    2.3. Dreptul la opoziție
    Persoana vizată are dreptul de a se opune prelucrării care se bazează pe interesul legitim al operatorului sau al unei terțe părți sau interesul public.
    Odată ce obiecția a fost făcută, Instituția trebuie să justifice motivele pe care se bazează prelucrarea și să suspende prelucrarea până când decizia a fost luată. Instituția nu mai prelucrează datele cu caracter personal, cu excepția cazului în care demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.
    În cazul în care datele cu caracter personal sunt utilizate pentru marketingul direct, Instituția va înceta prelucrarea.
  12. Drepturi în legătură cu deciziile automate, inclusiv crearea profilurilor
    Persoana vizată are dreptul să nu facă obiectul unei decizii automate, inclusiv crearea de profiluri în cazul în care decizia are un efect semnificativ sau juridic asupra acesteia. Persoana vizată are, de asemenea, dreptul de a-și exprima punctul de vedere, de a solicita intervenție umană și de a contesta decizia.
    Există excepții de la acest drept, care sunt în cazul în care decizia:
  13. Este necesară pentru încheierea sau executarea contractului;
  14. Este autorizată prin lege națională sau europeană;
  15. Se bazează pe consimțământul explicit al persoanei vizate;
    În situațiile de la punctele (1) și (2) de mai sus, Instituția va pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei
    5
    vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a-și exprima punctul de vedere și de a contesta decizia
    Pentru a evalua temeinicia unei astfel de cereri, Instituția va trebui să decidă dacă excepțiile de mai sus se vor aplica situației. Pentru a se lua o decizie potrivită, este recomandat să se apeleze la Responsabilul cu protecția datelor.
  16. Consecințe
    Nerespectarea prezentei Politici de către angajații instituției sau alți colaboratori externi poate conduce către sancțiuni disciplinare (inclusiv încetarea contractului de muncă), rezilierea contractelor și, în funcție de circumstanțe, acționarea în instanță pentru recuperarea integrală a prejudiciilor aduse Instituției ca urmare a nerespectării prezentei Politici.
    Prezenta Politică va fi adusă de către conducerea Instituției la cunoștința tuturor angajaților, colaboratorilor sau a altor terți.

Politica privind gestionarea datelor cu caracter personal

PRIMARIA COMUNEI STĂNIŞEŞTI

  1. Introducere
    Instituția va depune toate eforturile pentru a asigura securitatea și gestionarea corectă a datelor cu caracter personal pe care le prelucrează, indiferent de mediul de stocare.
    Este responsabilitatea atât a conducerii Instituției, cât și a oricărui angajat sau colaborator extern să se asigure că datele sunt prelucrate în condiții de siguranță potrivit Politicii de Securitate și să se asigure că nicio persoană neautorizată nu are acces la datele cu caracter personal.
    Orice breșă de securitate asupra datelor cu caracter personal poate avea consecințe nefaste asupra drepturilor persoanelor, precum și prejudicii majore de imagine a instituției.
    Oricine are acces la datele cu caracter personal ale instituției trebuie să știe, să înțeleagă și să adere la principiile și regulile enunțate prin prezenta Politică.
  2. Principiile prelucrării datelor cu caracter personal
    Datele cu caracter personal trebuie:
  3. Să fie prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”);
  4. Să fie colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri („limitări legate de scop”);
  5. Să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”);
  6. Să fie exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”);
  7. Să nu fie păstrate mai mult timp decât este necesar („limitări legate de stocare”);
  8. Să fie prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”);
  9. Să fie prelucrate în concordanță cu drepturile persoanelor vizate;
  10. Să nu fie transferate în afara Spațiului Economic European, decât în cazul în care teritoriul/țara unde urmează a fi transferate asigură un nivel adecvat de protecție a datelor cu caracter personal sau există un an temei legal pentru transfer sau vreo derogare specifică.
    2
  11. Stocarea și accesul la datele cu caracter personal
    Instituția se va asigura că sistemele informatice sunt protejate de acces neautorizat. Toți utilizatorii vor primi parole puternice care sunt schimbate periodic. Datele cu caracter personal vor fi criptate și, în măsura în care este fezabil din punct de vedere tehnic, vor fi pseudonimizate. Numele de utilizator și parolele nu vor fi niciodată împărtășite. Datele cu caracter personal pot fi accesate numai pe sisteme informatice care au parole securizate. Sistemul se va bloca automat dacă nu este utilizat timp de 5 minute.
    Toate mediile de stocare a datelor cu caracter personal vor fi ținute în condiții adecvate și sigure pentru a evita furtul, pierderea sau degradarea electronică.
    Atunci când datele sunt stocate pe dispozitive portabile (laptop, telefon, stick, hard-disk etc), dispozitivul va fi protejat printr-o parolă puternică, iar odată ce perioada de stocare s-a terminat, datele vor fi șterse definitiv.
    Datele cu caracter personal vor fi transmise către terți (de exemplu autorități ale statutului, persoane juridice – colaboratori externi) numai atunci când este lucru este conform cu legea și, în toate cazurile, cu respectarea drepturilor persoanei vizate.
  12. Consecințe
    Nerespectarea prezentei Politici de către angajații instituției sau alți colaboratori externi poate conduce către sancțiuni disciplinare (inclusiv încetarea contractului de muncă), rezilierea contractelor și, în funcție de circumstanțe, acționarea în instanță pentru recuperarea integrală a prejudiciilor aduse Instituției ca urmare a nerespectării prezentei Politici. Când există suspiciunea unor activități ilegale (cum ar fi, exemplificativ, sustragerea documentelor, copierea, distribuirea, transferul bazelor de date), Instituția va denunța activitatea infracțională organelor legii pentru tragerea la răspundere penală a făptuitorului.
    Prezenta Politică va fi adusă de către conducerea Instituției la cunoștința tuturor angajaților, colaboratorilor sau a altor terți.

Politica privind managementul incidentelor de securitate

PRIMARIA COMUNEI STĂNIŞEŞTI

  1. Introducere
    Această politică este destinată a fi utilizată atunci când a avut loc un incident de securitate care a avut ca rezultat sau există bănuieli că a dus la pierderea datelor personale pe care organizația le prelucrează.
    O cerință a Regulamentului (UE) 679/2016 (Regulamentul GDPR) este ca incidentele de securitate cu privire datele cu caracter personal care pot avea un risc pentru drepturile și libertățile persoanelor vizate trebuie raportate Autorității de Supraveghere (ANSPDCP) fără întârzieri nejustificate, în termen de 72 de ore de la conștientizarea acestora. În cazul în care notificarea nu poate fi făcută în 72 ore trebuie să se motiveze întârzierea. Acest document se folosește împreună cu șablonul pentru notificarea către ANSPDCP.
    În cazul în care un incident afectează datele cu caracter personal, trebuie luată o decizie dacă incidentul poate conduce la un risc asupra drepturilor și libertăților persoanei fizice vizate. Regulamentul GDPR impune ca notificarea să aibă loc „fără întârzieri nejustificate” dacă încălcarea este susceptibilă să genereze „un risc ridicat pentru drepturile și libertățile persoanelor fizice”.
    Acțiunile stabilite în acest document ar trebui utilizate numai ca îndrumare atunci când se va răspunde la un incident. Natura exactă a unui incident și impactul acestuia nu pot fi prezise cu niciun grad de certitudine și, prin urmare, este important să se utilizeze o atenție deosebită atunci când se decide ce acțiuni vor fi întreprinse. Cu toate acestea, etapele prezentate sunt utile pentru ca instituția să se asigure că obligațiile cu privire la incidentele de Securitate din cadrul Regulamentului GDPR sunt îndeplinite.
  2. Procedura de notificare a incidentelor de securitate
    Odată ce s-a hotărât că a avut loc un incident de securitate asupra datelor cu caracter personal, există două entități cu privire la care trebuie luată decizia dacă vor fi notificate sau nu. Acestea sunt:
  3. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP);
  4. Persoanele vizate afectate.
    Nu întotdeauna un incident de securitate trebuie notificat, ci doar în situația în care incidentul prezintă un risc pentru „drepturile și libertățile persoanelor fizice” (articolul 33 din Regulamentul GDPR).
    2
    Următoarele secțiuni descriu modul în care trebuie luată această decizie și ce trebuie făcut în cazul în care este necesară notificarea.
    2.2. Decidem dacă vom notifica ANSPDCP sau nu
    Regulamentul GDPR prevede că o încălcare a securității datelor cu caracter personal va fi notificată Autorității de Supraveghere „cu excepția cazului în care este puțin probabil ca încălcarea securității datelor cu caracter personal să ducă la un risc pentru drepturile și libertățile persoanelor fizice” (articolul 33 din Regulamentul GDPR). Acest lucru presupune ca organizația să evalueze nivelul riscului înainte de a decide dacă trebuie sau nu să notifice.
    Factorii care trebuie luați în considerare ca parte a acestei evaluări a riscurilor ar trebui să includă:
    • Datele personale au fost criptate;
    • Dacă au fost criptate, cât de înalt a fost nivelul de criptare;
    • În ce măsură datele au fost pseudonimizate (adică dacă persoanele pot fi, în mod rezonabil, identificate din date);
    • Categoriile de date afectate (de exemplu nume, adresă, detalii bancare, date biometrice) și dacă au fost afectate categorii speciale de date;
    • Volumul de date afectate;
    • Numărul persoanelor vizate afectate;
    • Natura incidentului (furt, pierderea unui laptop, distrugerea accidentală);
    • Orice alți factori care sunt considerați relevanți.
    Persoanele implicate în această evaluare a riscurilor ar trebui să includă persoane din următoarele departamente: Conducere, IT, Juridic, Responsabilul cu Protecția Datelor (DPO).
    Metoda de evaluare a riscurilor, raționamentul și concluziile sale ar trebui să fie pe deplin documentate și semnate de conducere. Rezultatul evaluării riscurilor ar trebui să includă una dintre următoarele concluzii:
  5. Încălcarea datelor cu caracter personal nu necesită notificare;
  6. Încălcarea datelor cu caracter personal necesită doar notificarea către Autoritatea de Supraveghere (ANSPDCP);
  7. Încălcarea datelor cu caracter personal necesită notificarea atât Autorității de Supraveghere (ANSPDCP), cât și persoanelor vizate.
    Aceste concluzii pot fi supuse schimbării bazate pe feedbackul Autorității de Supraveghere (ANSPDCP) sau ulterior, ca urmare a descoperirii a altor informații suplimentare din care rezultă că impactul este grav și incidentul prezintă un risc asupra persoanelor fizice.
    2.3. Cum notificăm Autoritatea de Supraveghere
    În cazul în care se decide să se realizeze notificarea către Autoritatea de Supraveghere, o cerință a Regulamentului GDPR este ca incidentele de securitate cu privire datele cu
    3
    caracter personal care pot avea un risc pentru drepturile și libertățile persoanelor vizate trebuie raportate Autorității de Supraveghere (ANSPDCP) fără întârzieri nejustificate, în termen de 72 de ore de la conștientizarea acestora. În cazul în care notificarea nu poate fi făcută în 72 ore trebuie să se motiveze întârzierea.
    Notificarea se va realiza la adresa de e-mail breșe@dataprotection.ro, cu excepția cazului în care ANSPDCP va indica o altă modalitate pentru transmiterea notificării.
    Notificarea va cuprinde, cel puțin, următoarele:
    (a) caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
    (b) numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;
    (c) consecințele probabile ale încălcării securității datelor cu caracter personal;
    (d) măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
    Se va utiliza formularul de notificare furnizat sau, în situația în care ANSPDCP va furniza un model de formular, acesta din urmă. De asemenea, există un formular de notificare online, disponibil la adresa http://www.dataprotection.ro/servlet/ViewDocument?id=1100, însă el nu este adaptat la cerințele Regulamentului GDPR.
    2.4. Decidem dacă vom notifica persoanele vizate sau nu
    Regulamentul GDPR afirmă „în cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.”
    Prin urmare, notificarea ANSPDCP se va face atunci când incidentul de securitate prezintă un risc, iar notificarea persoanelor vizate se va realiza atunci când incidentul prezintă un risc ridicat.
    Factorii care trebuie luați în considerare ca parte a acestei evaluări a riscurilor ar trebui să includă:
    • Datele personale au fost criptate;
    • Dacă au fost criptate, cât de înalt a fost nivelul de criptare;
    • În ce măsură datele au fost pseudonimizate (adică dacă persoanele pot fi, în mod rezonabil, identificate din date);
    • Categoriile de date afectate (de exemplu nume, adresă, detalii bancare, date biometrice) și dacă au fost afectate categorii speciale de date;
    • Volumul de date afectate;
    4
    • Numărul persoanelor vizate afectate;
    • Natura incidentului (furt, pierderea unui laptop, distrugerea accidentală);
    • Orice alți factori care sunt considerați relevanți.
    Persoanele implicate în această evaluare a riscurilor ar trebui să includă persoane din următoarele departamente: Conducere, IT, Juridic, Responsabilul cu Protecția Datelor (DPO).
    Aceste concluzii pot fi supuse schimbării bazate pe feedbackul Autorității de Supraveghere (ANSPDCP) sau ulterior, ca urmare a descoperirii a altor informații suplimentare din care rezultă că impactul este grav și incidentul prezintă un risc ridicat asupra persoanelor fizice.
    Notificarea persoanelor vizate nu este obligatorie în situația în care ar necesita „eforturi disproporționate” din partea operatorului.
    2.5. Cum notificăm persoanele vizate
    Odată ce s-a decis că trebuie notificate persoanele vizate Regulamentul GDPR cere ca acest lucru să se facă fără întârzieri nejustificate.
    Comunicarea către persoanele vizate afectate va descrie în limbaj simplu și clar natura încălcării securității datelor cu caracter personal (articolul 34 din Regulamentul GDPR) și trebuie să cuprindă și:
    (a) numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;
    (b) consecințele probabile ale încălcării securității datelor cu caracter personal;
    (c) măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
    În plus față de punctele solicitate de Regulamentul GDPR, ar putea fi oportun să se ofere ajutor persoanei vizate cu privire la acțiunile pe care acestea le pot lua pentru a reduce riscurile asociate cu încălcarea securității datelor cu caracter personal.
    În majoritatea cazurilor, este oportună notificarea persoanelor vizate afectate prin poștă, e-mail sau ambele, pentru a se asigura că mesajul a fost primit și că au posibilitatea de a lua orice acțiune necesară.
  8. Consecințe
    Nerespectarea prezentei Politici de către angajații instituției sau alți colaboratori externi poate conduce către sancțiuni disciplinare (inclusiv încetarea contractului de muncă), rezilierea contractelor și, în funcție de circumstanțe, acționarea în instanță pentru recuperarea integrală a prejudiciilor aduse Instituției ca urmare a nerespectării prezentei Politici. Când există suspiciunea unor activități ilegale (cum ar fi, exemplificativ, sustragerea documentelor, copierea, distribuirea, transferul bazelor de date), Instituția va denunța activitatea infracțională organelor legii pentru tragerea la răspundere penală a făptuitorului.
    5
    Prezenta Politică va fi adusă de către conducerea Instituției la cunoștința tuturor angajaților, colaboratorilor sau a altor terți.

Politica privind păstrarea datelor cu caracter personal

PRIMARIA COMUNEI STĂNIŞEŞTI

  1. Introducere
    Necesitatea de a păstra datele cu caracter personal variază foarte mult în funcție de tipul de date. Unele date pot fi șterse imediat, iar altele trebuie păstrate pentru îndeplinirea scopurilor sau pe perioada impusă de lege.
    Deoarece păstrarea datelor poate fi relativă, prezenta politică este necesară astfel încât liniile directoare privind retenția datelor să fie menținute în timp în cadrul instituției.
  2. Scop
    Scopul acestei politici este de a specifica liniile directoare ale instituției pentru păstrarea diferitelor tipuri de date.
  3. Domeniul de aplicare
    Această Politică va acoperi toate datele cu caracter personal prelucrate de instituție, indiferent de mediul de stocare. În unele cazuri, perioada de stocare este impusă de lege, cum este cazul documentelor contabile (care se păstrează 10 ani), contractelor de muncă (75 de ani) sau ștatelor de plată (50 de ani). Retenția datelor se va realiza în conformitate cu dispozițiile legale naționale și europene privind protecția datelor cu caracter personal și, în special, în conformitate cu Regulamentul (UE) 679/2016 privind protecția datelor cu caracter personal și libera circulație a acestor date. Dacă dispozițiile prezentei Politici intră în conflict cu reglementările în materie de protecție a datelor, se vor aplica, cu prioritate, acestea din urmă.
  4. Politica
    4.1. Motive pentru a stoca datele
    Instituția nu are o abordare „Păstrăm totul”. Acest lucru nu este nici practic, nici lipsit de costuri și nici nu respectă principiul limitării legate de stocare, enunțat de Regulamentul (UE) 679/2016. Cu toate acestea, unele date cu caracter personal vor fi păstrate, printre altele, pentru că ne obligă legea sau pentru a ne proteja interesele comerciale. Printre motive, enumerăm:
  • Litigii;
  • Respectarea legii;
  • Protejarea proprietății intelectuale;
  • Ancheta privind incidentele de securitate.
    2
    4.2. Copiile datelor
    Această Politică se aplică oricăror copii ale documentelor care conțin date cu caracter personal.
    4.3. Perioada de stocare
    • Datele cu caracter personal ale furnizorilor: 10 ani de la încetarea contractului sau ultima interacțiune cu instituția. Ulterior acestei perioade, datele vor șterse total sau anonimizate complet pentru a fi utilizate în scopuri istorice, statistice sau de cercetare.
    • Datele cu caracter personal ale candidaților la un loc de muncă: 1 an de la interviu. Ulterior acestei perioade, datele vor șterse total sau anonimizate complet pentru a fi utilizate în scopuri istorice, statistice sau de cercetare.
    • Datele cu caracter personal ale angajaților: 10 ani de la încetarea contractului de muncă, cu excepția contractelor de muncă (75 de ani) și a ștatelor de plată (50 de ani). Ulterior acestei perioade, datele vor șterse total sau anonimizate complet pentru a fi utilizate în scopuri istorice, statistice sau de cercetare.
    • Documentele contabile: 10 ani. Ulterior acestei perioade, datele vor șterse total sau anonimizate complet pentru a fi utilizate în scopuri istorice, statistice sau de cercetare.
    • Alte date cu caracter personal se vor păstra pe perioada impusă de lege, iar în lipsa acesteia pe o perioadă de 5 ani de la ultima interacțiune de orice fel cu persoana vizată.
    4.4. Distrugerea datelor
    La expirarea perioadei de stocare se vor distruge complet toate documentele (fizice sau electronice) care conțin date cu caracter personal prin utilizarea tehnologiei disponibile în viitor pentru documentele electronice sau prin metode fizice (distrugătoare, ardere) pentru documentele fizice. În aceeași măsură, datele pot fi anonimizate complet pentru a fi utilizate în scopuri istorice, statistice sau de cercetare.
  1. Consecințe
    Nerespectarea prezentei Politici de către angajații instituției sau alți colaboratori externi poate conduce către sancțiuni disciplinare (inclusiv încetarea contractului de muncă), rezilierea contractelor și, în funcție de circumstanțe, acționarea în instanță pentru recuperarea integrală a prejudiciilor aduse instituției ca urmare a nerespectării prezentei Politici. Când există suspiciunea unor activități ilegale (cum ar fi, exemplificativ, sustragerea documentelor, copierea, distribuirea, transferul bazelor de date), instituția va denunța activitatea infracțională organelor legii pentru tragerea la răspundere penală a făptuitorului.
    Prezenta Politică va fi adusă de către conducerea instituției la cunoștința tuturor angajaților, colaboratorilor sau a altor terți.

Politica privind securitatea informației

PRIMARIA COMUNEI STĂNIŞEŞTI

  1. Scop
    Prezentul document are scopul de a conștientiza și familiariza personalul Instituției cu privire la metodele de protecție și securitate pentru asigurarea confidențialității, integrității și disponibilității informației. De asemenea, documentul conturează metodele acceptabile de utilizare a resurselor informatice. Resursele informaționale vor fi utilizate într-o manieră aprobată, etică și în conformitate cu prevederile legale pentru a evita pierderea sau deteriorarea operațiunilor curente, a imaginii sau a activelor financiare. Angajații trebuie să se adreseze conducerii instituției înainte să se angajeze în orice activitate care nu este acoperită de prezenta politică.
  2. Domeniul de aplicabilitate
    Această Politică se aplică întregului personal, partenerilor și afaceri și colaboratorilor externi care au acces la sistemul informatic al Instituției.
  3. Obiective
    a) Dezvoltarea unei strategii privind securitatea sistemelor informatice;
    b) Promovarea standardelor etice în domeniul securității sistemelor informatice;
    c) Asigurarea confidențialității, integrității și disponibilității resurselor informatice ale organizației;
    d) Educarea personalului pentru a face față eficient amenințărilor cibernetice;
    e) Cunoașterea riscurilor și amenințărilor venite din spațiul cibernetic;
    f) Oferirea soluțiilor pentru a preveni și contracara amenințările cibernetice;
  4. Securitatea informației
  5. Accesul la echipamentele IT ale organizației de către terți se va face sub supraveghere. În contractele cu terții se vor include clauze privind măsurile de protecție a datelor și, în special, a datelor cu caracter personal;
  6. Informațiile vor avea diferite grade de sensibilitate și importanță, informațiile personale (datele cu caracter personal) necesitând un nivel suplimentar de protecție;
  7. Responsabilitatea angajaților privind securitatea va fi implementată încă din etapa recrutării și inclusă în contractele de muncă sau fișă postului și monitorizată permanent;
  8. Parolele utilizate pentru autentificare sunt şiruri de caractere, adecvate din punct de vedere al securităţii ca lungime şi compoziţie, conținând majuscule și caractere speciale si sunt formate din cel puțin 8 caractere. Parolele nu sunt
    2
    afișate pe monitor. Acestea sunt schimbate periodic, cel puțin o dată la două luni. Schimbarea periodică a parolelor se face numai de către utilizatori autorizați. 5. Angajații instituției sau alte terțe părți care au acces la sistemele informatice ale organizației ar trebui să semneze un contract de confidențialitate;
  9. Angajații ar trebui să fie instruiți cu privire la Securitatea Informațiilor;
  10. Toate incidentele de Securitate vor fi raportate conducerii, pentru a decide dacă este cazul ca acestea să fie raportate Autorității de Supraveghere și/sau persoanelor vizate. Se va implementa în acest sens o Politică privind managementul adecvat al incidentelor de Securitate;
  11. Informațiile de business critice sau sensibile, precum și datele cu caracter personal trebuie să fie adăpostite în locuri sigure, protejate într-un perimetru de securitate adecvat, cu bariere de securitate corespunzătoare și controale de acces. Acestea ar trebui să fie protejate fizic împotriva accesului neautorizat, deteriorare şi interferenţe. Protecţia oferită trebuie să fie proporțională cu riscurile identificate.
  12. Sistemele IT vor fi protejate împotriva amenințărilor de Securitate și se vor implementa măsuri de securitate pentru a preveni și detecta accesul neautorizat in sistemele informatice si asupra datelor.
  13. Trebui să se introducă proceduri pentru efectuarea de back-up strategic, simularea periodică a restaurării de pe copiile realizate, logarea evenimentelor și a defectelor, acolo unde este posibil și monitorizarea permanentă a echipamentelor critice.
  14. Utilizarea oricărui sistem IT va fi conformă legislației în vigoare cât și a normelor interne.
  15. Este strict interzisă distribuirea oricăror documente interne sau alte informații către persoane neautorizate;
  16. Este strict interzisă orice modificare neautorizată a echipamentelor utilizate;
  17. Este strict interzisă conectarea echipamentelor personale de orice fel (hard-diskuri interne sau externe, memory stick, laptop etc) la orice echipament al organizației (PC, server, rețea internă). Nerespectarea acestei reguli aduce după sine posibilitatea desfacerii contractului de muncă sau alte măsuri disciplinare.
  18. Toate sursele externe (CD, atașamente la e-mail, stick-uri, hard-disk etc) vor fi verificate cu un program anti-virus.
  19. Este strict interzisă utilizarea sistemelor IT în alte scopuri decât îndeplinirea atribuțiilor de serviciu.
  20. .Infrastructura IT (Servere, Echipamente rețea, website) vor fi scanate de vulnerabilități si raportul de risc va fi distribuit conducerea instituției si departamentului IT in vederea remedierii riscurilor in cel mai scurt timp. Scanările vor trebui efectuate periodic cu o recurență cel puțin semestrială.
  21. Este interzisă orice intervenție asupra echipamentelor IT de către personal neautorizat de către instituție în mod scris.
  22. Se interzice folosirea oricărui echipament IT de către orice persoană care nu face parte din personalul Instituției fără acordul prealabil și scris al conducerii Instituției.
  23. Mijloacele de autentificare în sistem (username, parolă etc) sunt proprietatea fiecărui angajat și el este singurul responsabil de a nu divulga aceste informații.
    3
    De asemenea se recomandă utilizarea de sisteme de autentificare cu dublu factor (SMS,Token,etc.) 21. Este strict interzisă utilizarea credențialelor altui angajat.
  24. Fiecare angajat va fi responsabil să mențină securitatea oricărei informații, și în special informațiilor personale (datelor cu caracter personal) și să le protejeze de acces neautorizat (vizualizare, alterare, furt sau distrugere).
  25. Pentru copierea fișierelor electronice, instituția își rezervă dreptul de a depune plângere penală împotriva angajatului și de a-l acționa pe acesta la instanțele civile pentru acoperirea oricărui prejudiciu adus instituției.
  26. Este strict interzisă încălcarea drepturilor de autor.
  27. Este interzisă navigarea prin fișierele personale sau conturile altor angajați, cu excepția cazului în care acest lucru a fost aprobat în prealabil.
  28. Programatorii care vor dezvolta sisteme IT nu vor avea acces la date cu caracter personal, decât dacă acestea au fost anonimizare complet.
  29. Personalul care asigură suportul tehnic nu va avea acces la date cu caracter personal, decât în situații excepționale și, în toate cazurile, cu respectarea tuturor obligațiilor impuse de Regulamentul (EU) 679/2016 persoanelor împuternicire și, în special, existența unor clauze contractuale exprese privind protecția datelor.
  30. Notarea sau stocarea parolelor pe orice suport fizic este strict interzisă.
  31. Sistemul trebuie blocat ori de câte ori angajatul părăsește biroul sau nu utilizează calculatorul.
  32. După terminarea programului, calculatorul va fi închis.
  33. Este strict interzisă utilizarea „Print screen-ului” (prin folosirea tastei print screen sau a altor procedee) sau prin fotografierea monitorului cu telefonul pentru a salva/imprima datele cu caracter personal existente pe monitor.
  34. Listarea documentelor ce conțin date cu caracter personal se va realiza doar de către utilizatorii autorizați sau cu aprobarea scrisă și prealabilă a conducerii.
  35. Se va realiza back-up periodic la toate informațiile stocate pe sistemele IT.
  36. Angajații nu vor uita documente pe birou care conțin date cu caracter personal după terminarea programului sau în pauză.
  37. Angajații vor lua din imprimantă documentele proprii imediat după tipărire.
  38. Consecințe
    Nerespectarea prezentei Politici de către angajații instituției sau alți colaboratori externi poate conduce către sancțiuni disciplinare (inclusiv încetarea contractului de muncă), rezilierea contractelor și, în funcție de circumstanțe, acționarea în instanță pentru recuperarea integrală a prejudiciilor aduse Instituției ca urmare a nerespectării prezentei Politici. Când există suspiciunea unor activități ilegale (cum ar fi, exemplificativ, sustragerea documentelor, copierea, distribuirea, transferul bazelor de date), instituția va denunța activitatea infracțională organelor legii pentru tragerea la răspundere penală a făptuitorului.
    Prezenta Politică va fi adusă de către conducerea Instituției la cunoștința tuturor angajaților, colaboratorilor sau a altor terți.

Politica privind utilizarea dispozitivelor de supraveghere si inregistrare video

PRIMARIA COMUNEI STĂNIŞEŞTI

  1. Introducere
    Dispozitivele de supraveghere si inregistrare video reprezintă o componentă tot mai des intalnita in viata de zi cu zi a unei localitati. Pe măsură ce capabilitățile de supraveghere si de stocare a imaginilor cresc, în mod evident, cresc și riscurile.
    Ca exemple de locuri in care aceste dispozitive sunt amplasate, putem enumera:
    • Primarie.
    • Institutii de invatamant.
    • Strazi.
    • Parcuri si locuri de joaca
    • Cimitire.
    • Alte institutii publice aflate in subordinea primariei (biblioteci, politie locala, cluburi sportive etc).
    Scopul acestei politici este de a stabili măsurile care trebuie să fie utilizate atunci când se utilizează dispozitivele de supraveghere si inregistrare video. Se intenționează să se reducă următoarele riscuri:
    • Pierderea sau furtul dispozitivelor de supraveghere si inregistrare video, inclusiv datele pe care acestea le conțin.
    • Compromiterea informațiilor clasificate prin acces neautorizat.
    • Introducerea în rețea a virușilor sau a programelor malware.
    • Pierderea reputației.
    Este important ca măsurile stabilite în această politică să fie respectate în orice moment în utilizarea și functionarea dispozitivelor de supraveghere si inregistrare video.
    Această politică se aplică tuturor departamentelor, persoanelor și proceselor care constituie sistemele dispozitivelor de supraveghere si inregistrare video, precum si sistemelor informatice ale organizației, inclusiv membrii consiliului, directorii, angajații, furnizorii și alte părți terțe care au acces la sistemele si dispozitivel instituției.
  2. Politica privind securitatea informației colectata si stocata cu ajutorul dispozitivelor de supraveghere si inregistrare video
  3. Accesul la echipamentele organizației de către terți se va face sub supraveghere. În contractele cu terții se vor include clauze privind măsurile de protecție a datelor și, în special, a datelor cu caracter personal;
  4. Informațiile vor avea diferite grade de sensibilitate și importanță, informațiile personale (datele cu caracter personal) necesitând un nivel suplimentar de protecție (fisiere video);
  5. Responsabilitatea angajaților privind securitatea va fi implementată încă din etapa recrutării și inclusă în contractele de muncă sau fișă a postului și monitorizată permanent;
  6. Parolele utilizate pentru autentificare sunt şiruri de caractere, adecvate din punct de vedere al securităţii ca lungime şi compoziţie, conținând majuscule și caractere speciale si sunt formate din cel puțin 8 caractere. Acestea sunt schimbate periodic, cel puțin o dată la două luni. Schimbarea periodică a parolelor se face numai de către utilizatori autorizați.
  7. Angajații instituției sau alte terțe părți care au acces la dispozitivele institutiei ar trebui să semneze un contract de confidențialitate;
  8. Angajații ar trebui să fie instruiți cu privire la Securitatea Informațiilor;
  9. Toate incidentele de Securitate vor fi raportate conducerii, pentru a decide dacă este cazul ca acestea să fie raportate Autorității de Supraveghere și/sau persoanelor vizate. Se va implementa în acest sens o Politică privind managementul adecvat al incidentelor de Securitate;
  10. Dispozitivele de supraveghere si inregistrare video vor fi protejate împotriva amenințărilor de Securitate și se vor implementa măsuri de securitate pentru a preveni și detecta accesul neautorizat la acestea si asupra datelor colectate.
  11. Trebui să se introducă proceduri pentru efectuarea de back-up strategic, simularea periodică a restaurării de pe copiile realizate, logarea evenimentelor și a defectelor, acolo unde este posibil și monitorizarea permanentă a echipamentelor critice.
  12. Utilizarea oricărui dispozitiv de supraveghere si inregistrare video va fi conformă legislației în vigoare cât și a normelor interne.
  13. Este strict interzisă orice modificare neautorizată a echipamentelor utilizate;
  14. Este strict interzisă conectarea echipamentelor personale de orice fel (hard-diskuri interne sau externe, memory stick, laptop etc) la orice dispozitiv de supraveghere si inregistrare video al organizației. (Nerespectarea acestei reguli aduce după sine posibilitatea desfacerii contractului de muncă sau alte măsuri disciplinare.
  15. Este strict interzisă utilizarea dispozitivelor de supraveghere si inregistrare video în alte scopuri decât îndeplinirea atribuțiilor de serviciu.
  16. Este interzisă orice intervenție asupra dispozitivelor de supraveghere si inregistrare video de către personal neautorizat de către instituție în mod scris.
  17. Fiecare angajat va fi responsabil să mențină securitatea oricărei informații, și în special informațiilor personale (datelor cu caracter personal) și să le protejeze de acces neautorizat (vizualizare, alterare, furt sau distrugere).
  18. Pentru copierea fișierelor electronice, instituția își rezervă dreptul de a depune plângere penală împotriva angajatului și de a-l acționa pe acesta la instanțele civile pentru acoperirea oricărui prejudiciu adus instituției.
  19. Personalul care asigură suportul tehnic nu va avea acces la date cu caracter personal, decât în situații excepționale și, în toate cazurile, cu respectarea tuturor obligațiilor impuse de Regulamentul (EU) 679/2016 persoanelor împuternicire și, în special, existența unor clauze contractuale exprese privind protecția datelor.
  20. Nu se va elimina niciun semn de identificare de pe dispozitiv, cum ar fi o etichetă a instituției sau o serie. Se vor lua măsuri ca dispozitivul să fie inaccesibil publicului larg și protejat
  21. Dispozitivele nu trebuie să fie conectate la rețele publice, cum ar fi wireless sau Internet, cu excepția cazului în care este utilizată o rețea VPN (Virtual Private Network/Rețea Virtuală Privată).
  22. Aceste aspecte trebuie luate în considerare atunci când se evaluează caracterul adecvat al oricărui dispozitiv de a stoca datele confidențiale ale organizației.
  23. Este politica instituției să evalueze fiecare cerere de acces la datele colectate prin dispozitivele de supraveghere si inregistrare video în mod individual, pentru a stabili:
    • identitatea persoanei care face cererea
    • motivul cererii
    • datele care vor fi păstrate sau procesate
    • dispozitivul specific care va fi utilizat
  24. Pentru a asigura că datele sale sunt protejate în mod adecvat, este important ca instituția să poată monitoriza și să verifice nivelul de conformitate cu această politică. Nivelul de monitorizare și de audit va fi adecvat clasificării informațiilor deținute pe dispozitiv.
  25. În cazul în care dispozitivul este deterorat sau furat, personalul raspunzator trebuie să informeze conducerea cât mai curând posibil, oferind detalii despre circumstanțele pierderii și sensibilitatea informațiilor stocate pe acesta.
    3.Consecințe
    Nerespectarea prezentei Politici de către angajații instituției sau alți colaboratori externi poate conduce către sancțiuni disciplinare (inclusiv încetarea contractului de muncă), rezilierea contractelor și, în funcție de circumstanțe, acționarea în instanță pentru recuperarea integrală a prejudiciilor aduse instituției ca urmare a nerespectării prezentei Politici. Când există suspiciunea unor activități ilegale (cum ar fi, exemplificativ, sustragerea documentelor, copierea, distribuirea, transferul bazelor de date), instituția va denunța activitatea infracțională organelor legii pentru tragerea la răspundere penală a făptuitorului.
    Prezenta Politică va fi adusă de către conducerea instituției la cunoștința tuturor angajaților, colaboratorilor sau a altor terți.

Politica privind utilizarea dispozitivelor mobile

PRIMARIA COMUNEI STĂNIŞEŞTI

  1. Introducere
    Dispozitivele mobile reprezintă o componentă tot mai mare a vieții de zi cu zi, deoarece dispozitivele devin mai mici și mai puternice, iar numărul de sarcini care pot fi îndeplinite cu ajutorul lor și departe de birou crește. Cu toate acestea, pe măsură ce capabilitățile cresc, în mod evident, cresc și riscurile. Comenzile de securitate care protejează mediul desktop static nu sunt la fel de sigure atunci când se utilizează un dispozitiv mobil în afara limitelor unei clădiri de birouri.
    Ca exemple de dispozitive mobile, putem enumera:
    • Laptopuri.
    • Notebookuri.
    • Tablete.
    • Smartphone-uri.
    • Ceasuri inteligente.
    Scopul acestei politici este de a stabili măsurile care trebuie să fie utilizate atunci când se utilizează dispozitive mobile. Se intenționează să se reducă următoarele riscuri:
    • Pierderea sau furtul de dispozitive mobile, inclusiv datele pe care acestea le conțin.
    • Compromiterea informațiilor clasificate prin acces neautorizat.
    • Introducerea în rețea a virușilor sau a programelor malware.
    • Pierderea reputației.
    Este important ca măsurile stabilite în această politică să fie respectate în orice moment în utilizarea și transportul dispozitivelor mobile.
    Această politică se aplică tuturor sistemelor, persoanelor și proceselor care constituie sistemele informatice ale organizației, inclusiv membrii consiliului, directorii, angajații, furnizorii și alte părți terțe care au acces la sistemele instituției.
  2. Politica privind dispozitivele mobile
    2.1. Dispozitive furnizate de instituție
    În lipsa unei aprobări prealabile a conducerii, numai dispozitivele mobile furnizate de instituție trebuie folosite pentru a ține sau a procesa informații clasificate în numele organizației.
    Dacă se solicită utilizarea echipamentele mobile se va oferi un dispozitiv corespunzător care va fi configurat să respecte politicile organizației.
    Trebuie să se asigure că dispozitivul este transportat și depozitat în medii sigure și nu este expus unor situații în care acesta se poate deteriora. Nu se va lăsa aparatul nesupravegheat la vederea publicului, cum ar fi în spatele unei mașini, într-o sală de ședințe sau în hol.
    Nu se va elimina niciun semn de identificare de pe dispozitiv, cum ar fi o etichetă a instituției sau o serie. Se vor lua măsuri ca dispozitivul să fie blocat și protejat e o parolă puternică.
    Nu se vor stoca informații confidențiale pe dispozitiv (cum ar fi date cu caracter personal) decât dacă acest lucru a fost autorizat și dacă măsurile adecvate (de exemplu criptarea) au fost introduse. Nu se va păstra dispozitivul parolele de acces, numerele de identificare personale sau alte elemente de securitate la vedere sau ușor accesibile.
    Asigurați-vă că ecranul dispozitivului se blochează după o scurtă perioadă de neutilizare și necesită un cod de acces sau o parolă pentru a-l debloca. Parolele utilizate trebuie să fie puternice și greu de ghicit. Nu se pot seta pe dispozitiv niciun fel de conectări neasigurate (adică cele care nu necesită o parolă).
    Dispozitivul furnizat de organizație este destinat exclusiv destinației indicate: nu trebuie să fie împărtășită cu familia sau prietenii sau folosit pentru activități personale. Este posibil să vi se solicite să returnați dispozitivul în orice moment pentru inspecție și audit. Nu trebuie să instalați niciun software neautorizat sau să schimbați configurația sau setarea dispozitivului.
    Acolo unde este posibil, dispozitivul va fi securizat astfel încât toate datele de pe acesta să fie criptate și să fie accesibil doar dacă parola este cunoscută. Dacă dispozitivul este livrat cu criptare, nu dezactivați criptarea.
    Este posibil ca modificările aduse fișierelor deținute pe dispozitiv să nu fie însoțite în mod regulat dacă nu sunt conectate la rețeaua corporativă pentru o perioadă de timp. Încercați să programați ceva timp pentru a realiza acest lucru în mod regulat. Nu țineți propriile backup-uri necriptate de informații clasificate.
    Dacă este cazul, protecția împotriva virușilor va fi instalată pe dispozitiv de către organizație. Asigurați-vă că dispozitivul este conectat periodic la rețeaua instituției pentru a permite actualizarea anti-virusului. Nu dezactivați protecția antivirus.
    Dispozitivul nu trebuie să fie conectat la rețele non-corporative, cum ar fi wireless sau Internet, cu excepția cazului în care este utilizată o rețea VPN (Virtual Private Network/Rețea Virtuală Privată). Când vă aflați în locuri publice, asigurați-vă că ați amplasat dispozitivul astfel încât utilizatorii neautorizați să nu poată vizualiza ecranul sau să facă fotografii sau videoclipuri ecranului.
    2.2. Utilizarea dispozitivelor mobile personale
    Costul redus și disponibilitatea generală a unor astfel de dispozitive au alimentat dorința angajaților și a altor părți interesate de a-și folosi propriile dispozitive pentru a le folosi în
    interes de serviciu. Aceasta este denumită în mod obișnuit ,,Îți aduci propriul dispozitiv” (BYOD). În unele cazuri, acest lucru poate oferi o flexibilitate sporită și poate elimina necesitatea ca angajatul să transporte mai multe dispozitive în mod regulat.
    Cu toate acestea, conceptul de a permite unui angajat să utilizeze propriul dispozitiv (dispozitive) în scopuri de serviciu poate avea ca rezultat necesitatea ca astfel de dispozitive să fie supuse unor controale suplimentare în plus față de cele care există în mod obișnuit pentru un dispozitiv de consum.
    Problemele comune și problemele de securitate cu BYOD pot include:
    • utilizarea aparatului de către alți membri ai familiei
    • stocarea implicită a datelor în facilitățile copiilor de rezervă în cloud
    • expunerea crescută la pierderi potențiale în situații sociale, de ex. pe plajă, într-un bar
    • acces potențial la site-uri care nu respectă politica de utilizare acceptabilă a organizațiilor
    • conectarea la rețele nesigure, de exemplu rețele wireless nesecurizate
    • inexistența unui anti-virus
    • instalarea de aplicații potențial dăunătoare pe dispozitiv (de multe ori fără ca utilizatorul să fie conștient de faptul că este malware)
    Aceste aspecte trebuie luate în considerare atunci când se evaluează caracterul adecvat al oricărui dispozitiv de a stoca datele confidențiale ale organizației.
    Proprietarul dispozitivului și organizația vor decide dacă un anumit dispozitiv va fi utilizat în scopuri comerciale. Această utilizare nu este obligatorie, iar angajatul are dreptul de a decide dacă controalele suplimentare introduse pe dispozitiv de către organizație sunt acceptabile și, prin urmare, dacă aceștia aleg să utilizeze dispozitivul în scopuri comerciale.
    Este important ca măsurile stabilite în această politică să fie respectate în orice moment în utilizarea și transportul dispozitivelor mobile BYOD. Persoanele fizice nu trebuie să utilizeze propriile dispozitive pentru a ține și prelucra informații despre instituție decât dacă au depus o cerere în acest sens și această solicitare a fost aprobată oficial. Este politica instituției să evalueze fiecare cerere BYOD în mod individual, pentru a stabili:
    • identitatea persoanei care face cererea
    • motivul cererii
    • datele care vor fi păstrate sau procesate pe dispozitiv
    • dispozitivul specific care va fi utilizat
    Principiul general al acestei politici este că gradul de control exercitat de organizație asupra dispozitivului BYOD va fi proporțional cu gradul sensibilității datelor deținute de acesta.
    Pentru a asigura că datele sale sunt protejate în mod adecvat, este important ca instituția să poată monitoriza și să verifice nivelul de conformitate cu această politică. Nivelul de monitorizare și de audit va fi adecvat clasificării informațiilor deținute pe dispozitiv.
    Metodele și calendarul monitorizării și auditului vor fi astfel încât intimitatea proprietarului dispozitivului să nu fie afectată și, în toate cazurile, cu respectarea legislației în materia protecției datelor cu caracter personal. În general, monitorizarea utilizării în afara programului de lucru va fi evitată.
    În cazul în care dispozitivul este pierdut sau furat, proprietarul trebuie să informeze conducerea cât mai curând posibil, oferind detalii despre circumstanțele pierderii și sensibilitatea informațiilor stocate pe acesta. Instituția își rezervă dreptul de a șterge de la distanță dispozitivul, dacă este posibil, ca măsură de precauție. Aceasta poate implica ștergerea datelor personale ale proprietarului dispozitivului.
    La părăsirea organizației, proprietarul dispozitivului trebuie să permită ca dispozitivul să fie auditat și să fie eliminate toate datele și aplicațiile instituției.
  3. Consecințe
    Nerespectarea prezentei Politici de către angajații instituției sau alți colaboratori externi poate conduce către sancțiuni disciplinare (inclusiv încetarea contractului de muncă), rezilierea contractelor și, în funcție de circumstanțe, acționarea în instanță pentru recuperarea integrală a prejudiciilor aduse instituției ca urmare a nerespectării prezentei Politici. Când există suspiciunea unor activități ilegale (cum ar fi, exemplificativ, sustragerea documentelor, copierea, distribuirea, transferul bazelor de date), instituția va denunța activitatea infracțională organelor legii pentru tragerea la răspundere penală a făptuitorului.
    Prezenta Politică va fi adusă de către conducerea instituției la cunoștința tuturor angajaților, colaboratorilor sau a altor terți.

Politica privind utilizarea internetului și a e-mail-ului

PRIMARIA COMUNEI STĂNIŞEŞTI

  1. Politica
    Fiecare angajat al instituției este responsabil pentru utilizarea corectă a internetului și a sistemului de poștă electronică (e-mail) și în conformitate cu această politică. Orice întrebări despre această politică ar trebui să fie adresate conducerii.
    Sistemul de e-mail este proprietatea instituției. Acesta a fost furnizat instituției pentru utilizarea în desfășurarea activității în cadrul instituției și pentru îndeplinirea sarcinilor de serviciu. Toate comunicările și informațiile transmise de, primite de la sau stocate în acest sistem sunt înregistrări ale instituției și proprietatea acesteia. E-mailul va fi utilizat numai în scopul îndeplinirii atribuțiilor de serviciu. Utilizarea sistemului de e-mail în scopuri personale este interzisă.
    Angajații înțeleg faptul că nu au nici un drept de confidențialitate personală în orice chestiune stocată, creată, primită sau trimisă prin sistemul de e-mail al instituției.
    Instituția, la discreția sa ca proprietar al sistemului de e-mail, își rezervă și își poate exercita dreptul de a monitoriza, accesa, prelua și șterge orice conținut stocat în, creat, primit sau trimis prin sistemul de e-mail, din orice motiv și fără permisiunea unui angajat.
    Chiar dacă angajații folosesc o parolă pentru a accesa sistemul de e-mail, confidențialitatea oricărui mesaj stocat în, creat, primit sau trimis de la sistemul de e-mail nu poate fi asigurat. Utilizarea parolelor sau a altor măsuri de securitate nu diminuează în nici un fel drepturile instituției de a accesa materialele din sistemul său sau de a crea drepturi de confidențialitate ale angajaților în mesajele și fișierele din sistem. Orice parolă folosită de angajați trebuie să fie dezvăluită către o persoană din conducerea instituției sau unui departament organizațional, deoarece este posibil ca fișierele de e-mail să fie accesate de instituție în lipsa unui angajat.
    Angajații trebuie să fie conștienți de faptul că ștergerea tuturor mesajelor sau fișierelor de e-mail nu va elimina cu adevărat mesajele din sistem. Toate mesajele de e-mail sunt stocate într-un sistem central de back-up în cursul normal al gestionării datelor.
    Chiar dacă instituția are dreptul de a accesa și de a citi orice mesaje de poștă electronică, acele mesaje ar trebui să fie totuși tratate ca confidențiale de către alți angajați și accesate numai de destinatarul final. Angajații nu sunt autorizați să preia sau să citească mesajele de e-mail care nu le sunt destinate. Orice excepție de la această politică trebuie să primească aprobarea prealabilă a conducerii instituției.
    2
    Angajații pot utiliza conexiunea la internet a instituției pentru următoarele scopuri:
    • Îndeplinirea sarcinilor de serviciu;
    • Utilizarea informațiilor pentru îmbunătățirea activității
    Instituția nu restricționează accesul angajaților la site-urile web, dar se așteaptă ca angajații să folosească internetul în scopul îndeplinirii atribuțiilor, iar nu în scopuri personale și să rămână productivi la locul de muncă în timpul utilizării internetului.
    Orice utilizare a internetului trebuie să respecte următoarele Politici ale Instituției:
    • Politica generală privind protecția datelor cu caracter personal;
    • Politica Anti-Spam;
    • Politica privind accesul la date;
    • Politica privind gestionarea datelor cu caracter personal;
    • Politica privind securitatea informației;
  2. Consecințe
    Nerespectarea prezentei Politici de către angajații instituției sau alți colaboratori externi poate conduce către sancțiuni disciplinare (inclusiv încetarea contractului de muncă), rezilierea contractelor și, în funcție de circumstanțe, acționarea în instanță pentru recuperarea integrală a prejudiciilor aduse instituției ca urmare a nerespectării prezentei Politici. Când există suspiciunea unor activități ilegale (cum ar fi, exemplificativ, sustragerea documentelor, copierea, distribuirea, transferul bazelor de date), instituția va denunța activitatea infracțională organelor legii pentru tragerea la răspundere penală a făptuitorului.
    Prezenta Politică va fi adusă de către conducerea instituției la cunoștința tuturor angajaților, colaboratorilor sau a altor terți.

Politica Site GDPR

Primaria comunei Stănişeşti, colectează și procesează datele personale, în conformitate cu prevederile Regulamentului nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).
Rolul prezentei notificări este de a explica modul în care datele dumneavoastră personale sunt utilizate și scopul în care acestea sunt folosite. Vă rugăm să citiți această notificare cu atenție. Conform prevederilor Legii nr. 215 din 23 aprilie 2001, privind administraţia publică locală, republicată, cu modificările şi completările ulterioare ”Administrația publică în unitatea administrativ teritorială se organizează și funcționează în temeiul principiului autonomiei locale.

  1. Prin autonomie locală se înţelege dreptul şi capacitatea efectivă a autorităţilor administraţiei publice locale de a soluţiona şi de a gestiona, în numele şi în interesul colectivităţilor locale pe care le reprezintă, treburile publice, în condiţiile legii.
  2. Acest drept se exercită de consiliile locale şi primari, precum şi de consiliile judeţene, autorităţi ale administraţiei publice locale alese prin vot universal, egal, direct, secret şi liber exprimat.
    Utilizarea datelor personale în scopul prestării serviciilor publice de interes local, privind:
  3. educaţia;
  4. serviciile sociale pentru protecţia copilului, a persoanelor cu handicap, a persoanelor vârstnice, a familiei şi a altor persoane sau grupuri aflate în nevoie socială;
  5. sănătatea;
  6. cultura;
  7. tineretul;
  8. sportul;
  9. ordinea publică;
  10. situaţiile de urgenţă;
  11. protecţia şi refacerea mediului;
  12. conservarea, restaurarea şi punerea în valoare a monumentelor istorice şi de arhitectură, a parcurilor, grădinilor publice şi rezervaţiilor naturale;
  13. dezvoltarea urbană;
  14. evidenţa persoanelor;
  15. podurile şi drumurile publice;
  16. serviciile comunitare de utilitate publică: alimentare cu apă, gaz natural, canalizare, salubrizare, energie termică, iluminat public şi transport public local, după caz;
  17. serviciile de urgenţă de tip salvamont, salvamar şi de prim ajutor;
  18. activităţile de administraţie social-comunitară;
  19. locuinţele sociale şi celelalte unităţi locative aflate în proprietatea unităţii administrativ-teritoriale sau în administrarea sa;
  20. punerea în valoare, în interesul comunităţii locale, a resurselor naturale de pe raza unităţii administrativ-teritoriale;
  21. alte servicii publice stabilite prin lege;
    o Impozitele și taxele locale, amenzi contravenționale, muncă în folosul comunității,
    o Colectare debite/ recuperare creanțe,
    o Emitere autorizații/ licențe,
    o Resurse umane;
    o Fond funciar;
    o Gestiunea economico-financiară și administrativă;
    o Darea în administrare, concesionarea sau închirierea bunurilor proprietate publică a Primaria comunei Stănişeşti
    o Vânzarea, concesionarea sau închirierea bunurilor proprietate privată a Primaria comunei Stănişeşti;
    o Stare civilă,
    o Urbanism și amenajarea teritoriului;
    o Registrul electoral- evidență electorală,
    o Arhiva;
    o Registratura, Relații publice, Secretariat.
    Legalitatea prelucrării (conform prevederilor art.6 din Regulamentul nr. 679/2016) Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii:
    a. persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
    b. prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
    c. prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;
    d. prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
    e. prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul
    Categoriile de destinatari către care se pot divulga datele cu caracter personal : 1. Autoritățile statului, inclusiv autorități fiscale;
    Păstrarea datelor cu caracter personal : Datele cu caracter personal vor fi păstrate atâta timp cât este necesar pentru scopurile menționate mai sus.
    Drepturile pe care le aveți în ceea ce privește datele dumneavoastră personale: În legătură cu prelucrarea datelor cu caracter personal și în baza prevederilor Regulamentului nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) , vă puteți exercita oricare dintre următoarele drepturi:
    • Dreptul de acces al persoanei vizate (art.15);
    • Dreptul de a solicita rectificarea atunci când datele sunt inexacte (art.16)
    • Dreptul la ştergerea datelor (“dreptul de a fi uitat”) (art.17)
    • Dreptul la restricţionarea prelucrării (art.18)
    • Dreptul la portabilitatea datelor (art.20)
    • Dreptul la opoziţie (art.21)
    Pentru exercitarea acestor drepturi, vă puteți adresa cu o cerere scrisă, datată și semnată responsabilului cu protecția datelor cu caracter personal. Modelul de cerere pentru fiecare drept enumerat mai sus îl găsiți la Registratura Primăriei sau îl puteți descărca de pe site-ul instituței www.primariastanisesti.ro – secțiunea Protecția Datelor. Cererea se poate depune la Compartimentul Registratură din cadrul Primaria comunei Stănişeşti, poate fi transmisă la adresa de e-mail contact@comunastanisesti.ro, sau poate fi trimisă prin poștă la sediul instituției, Str. Principala, Com. Stanisesti, Bacau, Stănișești 607585. De asemenea, vă este recunoscut dreptul de a depune plângere la Autoritatea Naţională de Supraveghere a
    Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.) precum și dreptul la o cale de atac eficientă. Adresa de contact A.N.S.P.D.C.P. – B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, cod poștal 010336, București, România, fax: +40.318.059.602, e-mail: anspdcp@dataprotection.ro Primaria comunei Stănişeşti vă informează că evaluează și îmbunătățește în mod constant măsurile de securitate implementate în vederea asigurării unei prelucrări a datelor cu caracter personal în condiții de siguranță și securitate. Detalii suplimentare precum și eventuale actualizări ale acestei notificări privind prelucrarea datelor cu caracter personal puteți găsi și pe site-ul instituţiei, www.primariastanisesti.ro – secțiunea Protecția Datelor.
    SECRETARUL COMUNEI STĂNIŞEŞTI