POLITICA DE SECURITATE
A PRELUCRĂRII DATELOR CU CARACTER PERSONAL
A POLIȚIEI LOCALE IAȘI
Protecția datelor dumneavoastră cu caracter personal este foarte importantă pentru Poliția Locală Iași denumită în continuare “PLI ” sau “operatorul”), instituție publică de interes local cu personalitate juridică, cu sediul în Mun. Iași, Bld. Ștefan cel Mare și Sfînt, nr. 10A subsol, înregistrată la ANAF Iași cu Certificat de Înregistrare Fiscală (C.I.F.) nr. 18258941 și la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal ca operator de date cu caracter personal, cu numărul de notificare 8824.
Ne dorim ca dumneavoastră să fiţi informat corespunzător cu privire la modul şi scopurile în care PLI prelucrează datele dumneavoastră cu caracter personal.
Politica privind prelucrarea datelor cu caracter personal descrie măsurile de protecție luate de către Poliția Locală Iași (PLI) în calitate de operator pentru a proteja datele cu caracter personal, viața privată și alte drepturi fundamentale și interese legitime ale persoanelor vizate.
Scopul acestei Politici de Securitate a Prelucrării Datelor cu Caracter Personal (denumită în continuare „Politica de Securitate”) este de a stabili:
a) măsurile tehnice şi organizatorice adecvate și responsabilitățile angajaților PLI cu atribuții de prelucrare a datelor cu caracter personal și/sau, după caz, ale persoanelor împuternicite de PLI , pentru îndeplinirea obligaţiilor referitoare la garantarea şi protejarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special a dreptului la viaţa intimă, familială şi privată, cu privire la prelucrarea datelor cu caracter personal;
b) un set unitar de reguli care reglementează prelucrarea datelor cu caracter personal care pot face ulteriro obiectul unui sistem de evidență, automat sau neautomat, ori care sunt destinate să fie incluse într-un asemenea sistem, în mod distinct, pentru realizarea activităților de prevenire, cercetare și reprimare a infracțiunilor/contravențiilor, precum și de menținere și asigurare a ordinii publice, pentru scopuri administrative proprii ori pentru scopuri de administrație publică, după caz, conform specificului activității, respectând în același timp obligațiile ce revin Poliției Locale Iași în calitate de operator de date, conform legislației specifice și măsurile de securitate adoptate pentru protecția datelor cu caracter personal, protejarea vieții private, a intereselor legitime și garantarea drepturilor fundamentale ale persoanelor vizate.
În cazul în care constataţi orice erori intervenite în furnizarea datelor cu caracter personal care vă privesc, vă rugăm să ne informaţi în cel mai scurt timp posibil, folosind oricare dintre mijloacele indicate în secţiunea 7 din prezenta Politică de Securitate.
Domeniul:
Politica se aplică în cadrul:
– activităților de prelucrare a datelor cu caracter personal care pot face ulterior obiectul unui sistem de evidență, automat sau neautomat, ori care sunt destinate să fie incluse într-un asemenea sistem, în mod distinct, pentru realizarea activităților de prevenire, cercetare și reprimare a infracțiunilor/contravențiilor, precum și de menținere și asigurare a ordinii publice,
– activităților de gestiune economico-financiară și administrativă privind proprii angajați și membrii de familie ai acestora, în cadrul activităților de management resurse umane, asigurarea asistenței medicale sau pentru desfășurarea unor activități cultural-artistice, jurnalistice ori sportive,
– activităților de organizare a unor concursuri sau examene,
– pentru scopuri de administrație publică, după caz, conform specificului activității.
Politica se aplică, corespunzător competențelor, de către:
– conducerea PLI,
– personalul desemnat ca utilizator autorizat pentru prelucrarea datelor cu caracter personal,
– personalul desemnat cu administrarea sistemului informatic de comunicații din cadrul instituției,
– responsabilul cu protecția datelor cu caracter personal nominalizat de către conducerea instituției,
– structura de securitate din cadrul instituției.
Condiții de legitimitate:
Poliția Locală Iași prelucrează date cu caracter personal respectând prevederile legale în domeniu, respectiv:
a) Regulamentul nr. 679 din 27.04.2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor – GDPR);
b) Legea nr. 677/2001 mod. Pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date (până la abrogarea acesteia);
c) Legea nr. 155/2010 – legea poliției locale;
d) Legea nr. 238 din 10.06.2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unitățile M.A.I. în activitatea de prevenire, cercetare și combatere a infracțiunilor și de menținere și asigurare a ordinii publice;
e) Ordinul nr. 52 din 18.04.2002 privind aprobarea Cerințelor minime de securitate a prelucrărilor de date cu caracter personal;
f) Instrucțiunile M.A.I. nr. 27/2010 privind măsurile de natură organizatorică și tehnică pentru asigurarea securității prelucrărilor de date cu caracter personal efectuate de către structurile/unitățile M.A.I.;
g) Decizia ANSPDCP nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video;
h) Deciziile ANSPDCP nr. 90 din 18.07.2006 și 100 din 23.11.2007 privind stabilirea cazurilor în care nu este necesară notificarea prelucrării unor date cu caracter personal;
i) Decizia ANSPDCP nr. 132 din 20.12.2011 privind condițiile prelucrării codului numeric personal și a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală;
j) Regulamentul de Organizare și Funcționare a Poliției Locale Iași aprobat prin Hotărâre a Consiliului Local Iași;
k) Fișele posturilor persoanelor care prelucrează date cu caracter personal.
Termeni și definiții:
ANSPDCP – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal;
Cod numeric personal (CNP) – un număr semnificativ care individualizează în mod unic o persoană fizică, constituind un instrument de verificare a stării civile a acestuia și de identificare în anumite sisteme informatice de către persoanele autorizate;
Date cu caracter personal înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
Prelucrare înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;
Pseudonimizare înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informaţii suplimentare, cu condiţia ca aceste informaţii suplimentare să fie stocate separat şi să facă obiectul unor măsuri de natură tehnică şi organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
Sistem de evidenţă a datelor înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice;
Operator înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
Persoană împuternicită de operator înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
Destinatar înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării;
Parte terţă înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
Consimţământ al persoanei vizate înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
Încălcarea securităţii datelor cu caracter personal înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
Date genetice înseamnă datele cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care oferă informaţii unice privind fiziologia sau sănătatea persoanei respective şi care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză;
Date biometrice înseamnă o date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;
Date privind sănătatea înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia;
1. Principiile prelucrării datelor cu caracter personal
Prelucrarea datelor cu caracter personal se realizează cu respectarea cerințelor legale și în condiții care să asigure securitatea, confidențialitatea și respectarea drepturilor persoanelor vizate.
Prelucrarea datelor cu caracter personal se face cu respectarea următoarelor principii:
1.1. Notificarea: PLI este înregistrată ca operator în Registrul general de evidență a prelucrărilor de date cu caracter personal, pentru colectarea, prelucrarea și stocarea datelor cu caracter personal.
1.2. Datele cu caracter personal sunt prelucrate de PLI cu bună-credință și în conformitate cu dispozițiile legale în vigoare.
1.3. Datele cu caracter personal sunt colectate de PLI în scopuri bine determinate, explicite și legitime, iar prelucrarea ulterioară nu va fi incompatibilă cu aceste scopuri.
1.4. Confidențialitatea: Persoanele care prelucrează date cu caracter personal, în numele PLI, au prevăzut în fișa postului o clauză de confidențialitate/spor de lucru cu informații clasificate.
1.5. Datele cu caracter personal sunt adecvate, pertinente și neexcesive prin raportare la scopul în care sunt colectate și ulterior prelucrate.
1.6. Consimțământul persoanei vizate: Orice prelucrare de date cu caracter personal, cu excepția prelucrărilor care vizează date din categoriile strict menționate de GDPR, poate fi efectuată numai dacă persoana vizată și-a dat consimțământul în mod expres și neechivoc pentru acea prelucrare.
1.7. Informarea: Persoanele vizate iau cunoștință despre faptul că li se vor prelucra date cu caracter personal.
1.8. Datele cu caracter personal nu se stochează de PLI pentru o perioadă mai lungă decât este necesar pentru realizarea scopurilor în care au fost colectate.
1.9. PLI a luat măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii, accesului neautorizat sau oricărei alte forme de prelucrare ilegală, precum și cu privire la ștergerea sau rectificarea datelor inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate și pentru care vor fi ulterior prelucrate.
2. Categoriile de date și scopul utilizării datelor cu caracter personal
Datele cu caracter personal la care se face referire în prezenta Politică de Securitate includ elemente de identificare de tipul nume şi prenume, numele şi prenumele reprezentanţilor legali,, telefon/ fax, adresa de domiciliu/ reşedinţă, adresă de e-mail loc de muncă, profesie, formare profesională – diplome – studii, date bancare sau alte asemenea, care servesc la identificarea dumneavoastră sau a persoanelor care vă reprezintă ori pe care le reprezentaţi.
PLI va colecta, utiliza, prelucra și furniza datele personale oferite de dumneavoastră în scopurile stabilite de Legea nr. 155/2010 – legea poliției locale precum și reclamă, organizarea de cursuri, seminarii, alte evenimente în scop educațional pentru organizarea programelor de formare profesională, pentru emiterea oricăror documente financiar-contabile, încheierea de contracte ori alte acte necesare în activitatea PLI .
Datele personale sunt destinate utilizării de către PLI și sunt colectate prin persoane desemnate în acest sens. O parte din aceste date pot fi comunicate către parteneri contractuali ai PLI și instituțiile publice cu care cooperează în rezolvarea sarcinilor instituției. .
Colectarea și prelucrarea datelor cu caracter personal ale minorilor de către PLI se vor face doar cu acordul explicit al părinților sau al altor reprezentanți legali.
3. Reguli generale
3.1. Prezenta Politică de Securitate stabilește măsuri tehnice şi organizatorice implementate de PLI , pentru îndeplinirea obligaţiilor referitoare la confidențialitatea și securitatea prelucrărilor efectuate în cadrul activităţii sale.
3.2. PLI a adoptat măsuri tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerilor accidentale sau ilegale, pierderii, modificării, dezvăluirii, accesului neautorizat sau oricărei alte forme de prelucrare ilegală. În acest sens, este desemnată, la nivelul PLI , o persoană responsabilă cu respectarea dispoziţiilor Regulamentului 679/2016.
3.3. PLI a luat măsuri de stocare în siguranță a informațiilor privind date cu caracter personal, astfel încât să fie asigurat un nivel adecvat de protecție și securitate, în sensul legislației GDPR.
3.4. Pentru îndeplinirea prevederilor legale aferente şi în vederea satisfacerii cerinţelor păstrării în siguranţă a datelor şi informaţiilor, PLI a elaborat şi implementat măsuri organizatorice şi tehnice orientate pe anumite direcţii de acţiune:
• Identificarea şi autentificarea utilizatorului;
• Tipul de acces;
• Colectarea datelor;
• Execuţia copiilor de siguranţă;
• Computerele şi terminalele de acces;
• Fişierele de acces;
• Instruirea personalului;
• Sistemele de telecomunicații;
• Folosirea computerelor;
• Imprimarea datelor.
4. Proceduri specifice
4.1. Identificarea și autentificarea utilizatorului
Prin utilizator se înțelege orice persoană care acționează sub autoritatea PLI sau a persoanei împuternicite de PLI , cu drept recunoscut de acces la bazele de date cu caracter personal.
Pentru a dobândi acces la date cu caracter personal, utilizatorii trebuie să se identifice în sistemele informatice ale PLI.
În cazul prelucrărilor automatizate, identificarea se realizează prin autentificare în sistemele informatice ale PLI . Autentificarea se face prin introducerea datelor de autentificare unice, constând în cont de utilizator (username) și parolă.
Fiecare utilizator are propriul său cod de identificare unic și acesta nu poate fi partajat de către mai multe persoane.
Codurile de identificare nefolosite o perioadă mai îndelungată sunt dezactivate și distruse după un control prealabil. Perioada după care codurile trebuie dezactivate și distruse este stabilită prin politicile de securitate implementate de către PLI.
Orice cont de utilizator este însoțit de o modalitate de autentificare, prin introducerea unei parole, un certificat digital sau un răspuns generat de un token.
Parolele sunt șiruri de caractere, adecvate din punct de vedere al securității ca lungime şi compoziție, conform politicii de securitate IT a PLI . La introducerea parolelor caracterele tastate nu sunt afișate în clar pe monitor. Conform Politicii de securitate IT a PLI , parolele trebuie schimbate periodic.
Operatorul a implementat un sistem informatic care refuză automat accesul unui utilizator după 5 introduceri greșite ale parolei.
Orice utilizator care primește acces la baza de date cu caracter personal este informat că trebuie să păstreze confidențialitatea datelor de autentificare şi să răspundă în acest sens în fața operatorului (aspecte trecute și în fișa postului).
PLI a stabilit o procedură de administrare şi gestionare a conturilor de utilizator, prevăzută de Politica de securitate IT a PLI . În conformitate cu prevederile acesteia, sunt stabilite reguli clare de acordare, respectiv anulare a drepturilor și modalităților de acces la contul de utilizator (dacă utilizatorul acestora și-a dat demisia ori a fost concediat, și-a încheiat contractul, a fost transferat la alt serviciu public și noile sarcini nu îi solicită accesul la date cu caracter personal, a abuzat de codurile primite sau dacă va absenta o perioadă îndelungată stabilită de PLI).
Accesul utilizatorilor la bazele de date cu caracter personal gestionate în sistem manual se face numai pe baza unei liste aprobate de conducerea PLI.
4.2. Tipul de acces
Utilizatorii pot accesa numai datele cu caracter personal necesare pentru îndeplinirea atribuțiilor alocate de PLI . Pentru aceasta sunt stabile tipurile de acces după funcționalitate (administrare, introducere, prelucrare, salvare etc.) şi după acţiuni aplicate asupra datelor cu caracter personal (scriere, citire, ștergere), precum şi procedurile privind aceste tipuri de acces.
Compartimentul care asigură suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea incidentelor și a problemelor apărute în utilizarea sistemelor informatice.
Computerele și serverele care conțin bazele de date cu informații cu caracter personal se află în încăperi cu acces controlat.
În spațiul aferent intrării în cadrul instituției și în curtea interioară sunt instalate sisteme de supraveghere video.
Monitorizarea și intervenția în caz de alarmă este asigurată de personal specializat propriu.
Documentele care conţin date cu caracter personal de tipul celor considerate categorii speciale de date sunt ţinute în încăperi cu acces restricționat.
Operatorul a stabilit modalități stricte prin care se vor distruge datele cu caracter personal.
4.3. Colectarea datelor
PLI desemnează utilizatori autorizați pentru operațiile de colectare, introducere și prelucrare de date cu caracter personal într-un sistem informatic sau în sistem manual.
Orice modificare a datelor cu caracter personal se poate face numai de către utilizatori autorizați desemnați de operator.
Operatorul a luat măsuri pentru ca sistemul informațional să înregistreze cine a făcut modificarea, data şi ora modificării.
Pentru o mai bună administrare, operatorul are implementate măsuri ca sistemul informațional să mențină datele șterse sau modificate.
4.4. Execuția copiilor de siguranță
Sistemul informatic efectuează zilnic, în mod automat, un back-up al bazelor de date, pentru o eventuală recuperare a datelor, în cazul pierderii, distrugerii sau disfuncționalității sistemelor informatice.
PLI stabilește intervalul de timp la care se vor executa copiile de siguranță ale bazelor de date cu caracter personal, precum și ale programelor folosite pentru prelucrările automatizate.
Utilizatorii care execută aceste copii de siguranță sunt numiți de operator, într-un număr restrâns. Copiile de siguranță se stochează într-un safe box cu acces restricționat, aflat într-o altă încăpere față de cea în care se efectuează copia de siguranță.
4.5. Computerele și terminalele de acces
Computerele și alte terminale de acces sunt instalate în încăperi cu acces controlat, care se pot încuia.
Dacă computerele sunt deschise și asupra lor nu se acționează o perioadă dată, stabilită de operator, sesiunea de lucru se închide automat.
Terminalele de acces folosite în relația cu publicul, pe care apar date cu caracter personal, sunt poziționate astfel încât să nu poată fi văzute de public și după o perioadă scurtă, stabilită în politicile de securitate, în care nu se acționează asupra lor, acestea vor fi ascunse sau sesiunea de lucru va fi închisă.
Utilizatorii sunt instruiți, astfel încât bazele de date cu informațiile cu caracter personal să fie închise, în cazurile când acestea sunt deschise, dacă prin preajmă se află persoane neautorizate.
Serverele care găzduiesc bazele de date pot fi accesate doar în mod controlat, pe baza de drepturi de acces.
Nu este permisă scoaterea din instituție a mediilor de stocare mobile (CD/DVD, USB, Stick, Portable HDD) care conțin date cu carcater personal, decât cu aprobarea prealabilă din partea conducerii instituției.
4.6. Fișierele de acces
PLI ia măsuri ca orice accesare a bazei de date cu caracter personal să fie înregistrată într-un fişier de acces (numit log la prelucrările automate) sau într-un registru pentru prelucrările manuale de date cu caracter personal, stabilit de operator.
Informaţiile înregistrate în fişierul de acces sau în registru vor fi:
• codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale);
• numele fişierului accesat (fişei);
• numărul înregistrărilor efectuate;
• tipul de acces;
• codul operaţiei executate sau programul folosit;
• data accesului (an, lună, zi);
• timpul (ora, minutul, secunda).
Pentru prelucrările automate aceste informaţii vor fi stocate într-un fişier de acces general sau în fişiere separate pentru fiecare utilizator.
Operatorul este obligat să păstreze fişierele de acces cel puţin 2 ani, pentru a fi folosite ca probe în cazul unor investigaţii.
Dacă investigaţiile se prelungesc, aceste fişiere se vor păstra până la finalizarea investigațiilor și a oricăror acțiuni în legătură cu acestea.
Fişierele de acces trebuie să facă posibilă identificarea de către operator sau de către persoana împuternicită a persoanelor care au accesat date cu caracter personal fără un motiv anume, în vederea aplicării unor sancţiuni sau a sesizării organelor competente.
4.7. Sistemele de telecomunicații
PLI face periodic revizuirea conturilor de utilizatori și a privilegiilor acordate pentru detectarea unor disfuncționalități în ceea ce privește sistemele informatice.
Sistemele informatice vor fi concepute astfel încât datele cu caracter personal să nu poate fi interceptate sau transmise de oriunde.
PLI , prin utilizatorii autorizați, realizează periodic controlul autentificărilor şi tipurilor de acces pentru detectarea unor disfuncţionalităţi în ceea ce priveşte folosirea sistemelor de telecomunicații.
Prin sistemele de telecomunicaţii se vor transmite numai datele cu caracter personal strict necesare.
Datele cu caracter personal transferate în zonele de securitate externă sau nesigură vor fi criptate.
4.8. Instruirea personalului
Utilizatorii care au acces la bazele de date cu caracter personal sunt instruiți cu privire la prevederile Regulamentul 679/2016 la cerinţele minime de securitate a prelucrărilor de date cu caracter personal, cu privire la dispoziţiile politicii de securitate IT a PLI , precum şi cu privire la importanța menținerii confidențialității acestora și riscurile pe care le comportă prelucrarea datelor cu caracter personal.
Utilizatorii care au acces la date cu caracter personal vor fi avertizați prin mesaje care vor apărea pe monitoare în timpul activităţii.
Utilizatorii sunt obligaţi să îşi închidă sesiunea de lucru atunci când părăsesc locul de muncă.
4.9. Folosirea computerelor
Pentru menţinerea securităţii prelucrării datelor cu caracter personal (în special împotriva viruşilor informatici) PLI a luat următoarele măsuri:
• a interzis folosirea de către utilizatori a programelor software care provin din surse nesigure;
• utilizatorii nu au drepturi de administrator pe computere, prin urmare nu pot instala programe software fără a anunța compartimentul care asigură suportul tehnic;
• se utilizează software cu licență;
• utilizatorii au fost instruiți cu privire la Politica de securitate IT a PLI şi la celelalte politicile generale de operare IT, inclusiv pericolul reprezentat de virușii informatici;
• computerele sunt protejate cu programe antivirus;
• se monitorizează activitatea utilizatorului și este restricționat accesul acestuia la imprimante;
• dezactivarea posibilității de copiere sau imprimare a datelor cu caracter personal afișate pe ecran în afara fluxurilor normale.
4.10. Cât timp vom păstra datele cu caracter personal?
Cu excepţia cazului în care vă opuneţi prelucrării datelor cu caracter personal de către noi și / sau olicitaţi ștergerea datelor dvs personale, se aplică următoarele perioade de retenție, în conformitate cu politica noastra privind retenţia de date, pentru următoarele categorii de date cu caracter personal:
● Nu vă stocăm datele cu caracter personal mai mult decât este necesar pentru scopul pentru care le-am reținut sau pentru a respecta o lege sau cerință statutară
● Pentru activitatile fiscale ( operare facturi) vom pastra datele pentru o perioada de 10 ani,
● Pentru activitătile de prelucrare în scopuri de promovare a serviciilor instituției, stocăm datele pe o perioadă limitată de 12 luni.
4.11. Imprimarea datelor:
Scoaterea la imprimantă a datelor cu caracter personal se realizează numai de utilizatorii autorizați de Polița Localaă Iași pentru această operațiune.
4.12. Prelucrarea manuală de date cu caracter personal:
Documentele care conțin date cu caracter personal sunt ținute în fișiere sau dulapuri închise cu cheie sau cu un alt mecanism de securizare.
Documentele care conțin date cu caracter personal, folosite pentru realizarea anumitor operațiuni, se vor preda persoanelor abilitate sau se vor închide imediat după terminarea acestora.
5. Prelucrarea datelor cu caracter personal prin utilizarea sistemelor de supraveghere video:
Prelucrarea datelor cu caracter personal prin utilizarea sistemelor de supraveghere video se efectuează cu respectarea regulilor generale prevăzute de art. 4 din Legea nr. 677/2001 mod. și GDPR și reguli specifice stabilite prin Decizia ANSPDCP nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video.
Camerele de supraveghere video sunt montate în locuri vizibile.
Prelucrarea datelor cu caracter personal prin mijloace de supraveghere video se face pentru realizarea unor interese legitime, fără a se prejudicia drepturile și libertățile fundamantale sau interesul persoanelor vizate.
Nu este permisă prelucrarea datelor cu caracter personal ale angajaților prin mijloace de supraveghere video în interiorul spațiilor/birourilor unde aceștia își desfășoară activitatea la locul de muncă, cu excepția situațiilor prevăzute expres de lege sau a avizului ANSPDCP.
PLI, în calitate de operator care prelucrează date cu caracter personal prin mijloace de supraveghere video este obligat să furnizeze informațiile prevăzute în legislația specifică, inclusiv cu privire la:
a) existența sistemului de supraveghere video și scopul prelucrării datelor prin astfel de mijloace;
b) identitatea operatorului;
c) existența înregistrării imaginilor și categoriile de destinatari ai acestora;
d) drepturile persoanelor vizate și modul de exercitare a acestora.
Informațiile menționate mai sus trebuie aduse la cunoștința persoanelor vizate, în mod clar și permanent.
Existența sistemului de supraveghere video este semnalată prin intermediul unei pictograme care conține o imagine reprezentativă cu vizibilitate suficientă și poziționată la o distanță rezonabilă de locurile unde sunt amplasate echipamentele de supraveghre video.
Prelucrarea datelor cu caracter personal prin mijloace de supraveghere video se poate realiza doar de persoanele autorizate de către PLI (personal propriu sau persoane împuternicite de către operator), instruite cu privire la legislația referitoare la protecția datelor cu caracter personal și obligate să se supună acesteia.
Durata de stocare a datelor obținute prin intermediul sistemului de supraveghere video este proporțional cu scopul pentru care se prelucrează datele, dar nu mai mare de 7 zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.
La expirarea termenului stabilit, înregistrările se distrug sau șterg, după caz, în funcție de suportul pe care s-au stocat.
6. Drepturile dvs. legale
Ca persoană vizată aveți drepturi legale specifice cu privire la datele cu caracter personal pe care le colectăm de la dvs. PLI vă va respecta drepturile individuale și se va ocupa de interesele dumneavoastră în mod corespunzător.
● Dreptul de retragere a consimțământului: Vă puteți retrage consimțământul pentru prelucrarea datelor cu caracter personal, în orice moment.
● Dreptul la rectificare: Puteți obține de la noi rectificarea datelor cu caracter personal care vă privesc. Facem eforturi rezonabile pentru a păstra datele cu caracter personal -care sunt utilizate continuu şi care sunt în posesia sau controlul nostru- exacte, complete, actuale și relevante, pe baza celor mai recente informații disponibile pentru noi.
● Dreptul la restricție: Puteți obține de la noi restricția de prelucrare a datelor cu caracter personal, dacă:
– contestaţi corectitudinea datelor cu caracter personal pentru perioada în care noi trebuie să verificăm exactitatea,
– prelucrarea este ilegală și solicitaţi restricționarea prelucrării mai degrabă decât ștergerea datelor cu caracter personal,
– nu mai avem nevoie de datele dvs cu caracter personal, dar dvs le solicitaţi pentru constatarea, exercitarea sau apărarea unui drept, sau
– vă opuneţi prelucrării în perioada în care verificăm dacă motivele noastre legitime au întâietate faţă de ale dvs.
● Dreptul de acces: Ne puteți cere informații cu privire la datele cu caracter personal pe care le deținem despre dumneavoastră, inclusiv informații cu privire la ce categorii de date cu caracter personal avem în posesie sau control, pentru ce sunt folosite, de unde le-am colectat, dacă nu sunt colectate direct de la dvs și cui i-au fost dezvăluite, dacă este cazul. Puteți obține un exemplar de la noi, gratuit, conţinând datele cu caracter personal pe care le deținem despre dvs. Ne rezervam dreptul de a percepe o taxă rezonabilă pentru fiecare exemplar suplimentar pe care l-aţi putea solicita.
● Dreptul la portabilitate: La cerere, vom transfera datele cu caracter personal către un alt operator, acolo unde este posibil dpdv tehnic, cu condiția ca prelucrarea să se bazeze pe consimțământul dvs sau să fie necesară pentru executarea unui contract. Mai degrabă decât să primiţi un exemplar cu datele dvs. cu caracter personal, puteţi solicita să vă transferăm datele direct către alt operator, specificat de dvs.
● Dreptul la ștergere: puteți obține de la noi ștergerea datelor cu caracter personal, în cazul în care:
– datele dvs personale nu ne mai sunt necesare în raport cu scopurile pentru care au fost colectate sau sunt prelucrate în alt mod;
– aveți dreptul de a vă opune prelucrării ulterioare a datelor cu caracter personal (a se vedea mai jos) și să vă executaţi acest drept de obiecţie la prelucrare;
– datele cu caracter personal au fost prelucrate în mod ilegal;
Cu excepția cazului în care prelucrarea este necesară
– în vederea îndeplinirii unei obligații legale care necesită prelucrarea de către noi;
– în special pentru cerințele legale de păstrare a datelor;
– pentru constatarea, exercitarea sau apărarea unui drept.
● Dreptul de opoziție: Ați putea obiecta – în orice moment – la prelucrarea datelor cu caracter personal datorită situației dvs. speciale, cu condiția ca prelucrarea să nu se bazeze pe consimțământul dumneavoastră, ci pe interesele noastre legitime sau cele ale unei terțe părți. În acest caz, nu vom mai procesa datele cu caracter personal, dacă nu putem demonstra motive întemeiate, legitime și un interes major pentru prelucrarea sau pentru constatarea, exercitarea sau apărarea unui drept.
Dacă vă opuneţi prelucrării, vă rugăm să specificați dacă doriți ștergerea datelor cu caracter personal sau restricţia prelucrării acestora de către noi.
● Dreptul de a depune o plângere: În cazul unei pretinse încălcări a legislației în vigoare privind confidențialitatea, puteți depune o plângere la autoritatea de supraveghere pentru protecția datelor în țara în care locuiți sau unde a avut loc presupusa încălcare.
Vă rugăm să rețineți:
● Perioada de timp: Vom încerca să îndeplinim cererea în termen de 30 de zile. Cu toate acestea, perioada poate fi prelungită din motive specifice referitoare la dreptul legal specific sau complexitatea solicitării.
● Restricționarea accesului: În anumite situații, este posibil să nu putem să vă acordăm acces la toate sau parte din datele cu caracter personal, din cauza prevederilor legale. Dacă vom refuza solicitarea dvs. de acces, vă vom informa cu privire la motivul refuzului.
● Imposibilitatea identificării: În unele cazuri, este posibil să nu putem să vă căutăm datele cu caracter personal, din cauza elementelor de identificare furnizate în cererea dumneavoastră.
În astfel de cazuri, în care nu vă putem identifica precum persoana vizată, nu suntem în măsură să dăm curs solicitării dvs. de a exercita drepturile legale așa cum sunt descrise în această secțiune, dacă nu furnizați informații suplimentare care să permită identificarea dumneavoastră.
● Exercitarea drepturilor dvs legale: Pentru a vă exercita drepturile legale, vă rugăm să contactați Responsabilul nostru cu Protecția Datelor personale, în scris sau sub formă de text, scriind un email la poliția localăis.@yahoo.com, de telefon 0232.231608, fax 0232.231617 sau o scrisoare la adresa indicată mai jos Mun. Iași, Str. Bucium, nr. 30.
7. Dezvăluirea datelor cu caracter personal către terți
Datele colectate sunt dezvăluite către terți numai în cazul în care PLI este ținuță de o obligație legală în acest sens.
Orice dezvăluire către terți în alte condiții a datelor cu caracter personal va fi făcută numai cu acordul dumneavoastră expres, exprimat în prealabil.
• Organismele publice
Vom dezvălui datele dvs cu caracter personal doar organismelor publice, dacă acest lucru este cerut de lege.
De exemplu, PLI va răspunde solicitărilor din partea instanțelor judecătorești, organelor de aplicare a legii, agențiilor de reglementare și altor autorități publice și oficiale, care pot include astfel de autorități şi din afara țării de reședință.
8. Contact
Pentru solicitări sau întrebări cu privire la prezenta Politică de Securitate, vă rugăm să vă adresați PLI , după cum urmează:
Mail: polițialocalais@yahoo.com : Telefon: 0232.231608, Fax 0232.231617,
Adresă poştală: Municipiul Iași, Str. Bucium, nr.30.
9. Măsuri tehnice privind prelucrarea datelor cu caracter personal:
Toate documentele care conțin date cu caracter personal se înregistrează și urmează regulile de păstrare, procesare, multiplicare, transport, transmitere, distrugere și arhivare stabilite prin Legea Arhivelor Naționale și prin proceduri interne aprobate.
10. Dispoziții finale
Acest document se completează cu întreg setul de proceduri de securitate cu privire la prelucrarea datelor cu caracter personal aprobat de conducerea PLI , inclusiv Politica de securitate IT a PLI .
Prezenta Politică de Securitate a Prelucrării Datelor cu Caracter Personal a fost adoptată astăzi, 13.06.2018, în cadrul instituției.
