- OPERATORUL
A se completa cu toate datele de contact ale operatorului
2. PRINCIPII GENERALE
Exista o serie de principii generale cheie care trebuie adoptate atunci cand se ia in considerare procedura de copiere si stergere a documentelor. Acestea sunt:
- documentele trebuie sa fie stocate in conformitate cu toate cerintele legale si contractuale aplicabile si in conformitate cu celelalte proceduri interne ale operatorului;
- documentele nu trebuie stocate in afara existentei unui temei de prelucrare.
Protectia documentelor in ceea ce priveste confidentialitatea, integritatea si disponibilitatea acestora trebuie sa fie in conformitate cu clasificarea lor din punctul de vedere al securitatii.
Documentele trebuie sa ramana recuperabile in conformitate cu cerintele de afaceri in orice moment. Daca este cazul, documentele care contin date cu caracter personal trebuie supuse cat mai curand posibil metodelor care impiedica identificarea persoanelor.
3. SCOPUL SI DOMENIUL DE APLICABILITATE
3.1. Scopul
Scopul prezentei proceduri de copiere si stocare a datelor este de a asigura protectia si stocarea adecvata a datelor copiate si a documentelor necesare operatorului, iar datele care nu mai sunt necesare pentru operator sau care nu vor fi sterse, vor fi stocate in conformitate cu prezenta procedura. Aceasta procedura de copiere si stocare a datelor are, de asemenea, scopul de a indruma angajatii operatorului sa respecte obligatiile care le revin cu privire la copierea documentelor electronice incluzand, dar a nu se limita la: documente transmise via e-mail, inclusiv e-mail-uri ce contin date cu caracter personal, fisiere Web, fisiere-text, inregistrari audio-video sau audio, documente in format PDF, precum si documentele rezultate din utilizarea aplicatiilor Microsoft Office sau alte fisiere formatate.
De asemenea, prezenta procedura de copiere si stocare a datelor cu caracter personal contine regulile operatorului privind copierea si stocarea datelor si descrie activitatile desfasurate cu privire la operatiunile de copiere si de stergere a datelor cu caracter personal, respectiv stabileste cazurile in care datele personale trebuie copiate sau stocate.
Prin prezenta procedura se urmareste asigurarea unui cadru legal si eficient de prelucrare a datelor cu caracter personal, in ceea ce priveste copierea si stocarea datelor cu caracter personal cu respectarea drepturilor persoanelor vizate, in acord cu reglementarile Regulamentului si ale legislatiei conexe.
3.2. Domeniul de aplicare
Aceasta procedura se aplica tuturor angajatilor [introdu denumirea organizatiei] si companiilor din grup, precum si tuturor contractantilor, consultantilor, angajatilor temporari si partenerilor de afaceri.
Angajatii care incalca in mod deliberat aceasta procedura vor fi supusi actiunilor disciplinare prevazute de Codul muncii.
De asemenea, prezenta procedura se aplica tuturor structurilor organizatorice/directiilor/
departamentelor operatorului [a se completa in cazul in care nu se aplica tuturor structurilor/directiilor/departamentelor, caror structuri/departamente nu se aplica].
Procedura este intocmita in scopul prezentarii circuitului intern de prelucrare a datelor cu caracter personal in ceea ce priveste retinerea si stergerea datelor cu caracter personal. La procedura participa toate structurile organizatorice/serviciile/departamentele conform cu atributiile care le revin in ceea ce priveste activitatea de prelucrare a copierii si stocarii datelor cu caracter personal.
4. REGULI PRIVIND POLITICA DE COPIERE SI STOCARE A DATELOR CU CARACTER PERSONAL
Copierea datelor cu caracter personal reprezinta o prelucrare a datelor cu caracter personal in sensul Regulamentului. Copierea datelor cu caracter personal se va efectua doar in situatia in care operatorul a identificat unul dintre temeiurile legale prevazute de Regulament pentru o anumita categorie de date cu caracter personal, in conformitate cu Politica de prelucrare a datelor personale.
Prezenta procedura se va utiliza doar pentru copierea datelor cu caracter personal prelucrate de catre operator si au regimul si se supun tuturor prevederilor legale si procedurilor interne ale operatorului.
4.1. Formatul datelor copiate si stocate
A. Format electronic
Datele cu caracter personal vor fi copiate in format electronic, cu respectarea masurilor tehnice si organizatorice ale operatorului. Datele cu caracter personal vor fi stocate intr-o forma care sa permita identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate. In cazul in care scopul prelucrarii datelor nu necesita sau nu mai necesita identificarea unei persoane vizate de catre operator, operatorul nu va pastra informatii suplimentare necesare identificarii persoanei vizate in scopul unic al respectarii drepturilor persoanelor vizate.
In cazul in care exista riscul ca datele cu caracter personal sa faca obiectul unui incident de securitate care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, sau la accesul neautorizat la acestea, se vor utiliza proceduri de backup. O solutie de backup are in principal doua componente: partea hardware si partea software. Partea hardware este mediul pe care se face backup-ul. Partea software este aplicatia care realizeaza backup-ul. In zona de hardware exista echipamente dedicate pentru backup. Unele pot oferi redundanta la nivel de componente si pot avea viteze diferite de transfer al datelor. In momentul actual tendinta pietei este de scadere a pretului pe unitatea de stocare.
Datele cu caracter personal vor fi copiate in format electronic atunci cand sunt supuse transferurilor catre o tara terta sau o organizatie internationala, iar acest lucru este posibil.
B. Format fizic
Datele cu caracter personal copiate in format fizic vor reprezenta date personale in acord cu prevederile Regulamentului, in masura in care acestea fac parte dintr-un sistem de evidenta a datelor sau care sunt destinate sa faca parte dintr-un sistem de evidenta a datelor. Datele vor fi retinute cu respectarea masurilor tehnice si organizatorice ale operatorului. Datele cu caracter personal vor fi stocate intr-o forma care sa permita identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele. In cazul in care scopul prelucrarii datelor nu necesita sau nu mai necesita identificarea unei persoane vizate de catre operator, operatorul nu va pastra informatii suplimentare necesare identificarii persoanei vizate in scopul unic al respectarii drepturilor persoanelor vizate.
4.2. Personal competent
In functie de tipul de date cu caracter personal si necesitatea prelucrarii lor, copierea si stocarea se face doar de catre personalul autorizat sa prelucreze anumite categorii de date cu caracter personal.
4.3. Stocarea datelor. In cadrul operatorului, datele cu caracter personal prelucrate vor fi stocate in functie de departamentul in care salariatii isi desfasoara activitatea si de categoria din care acestea fac parte, pe baza urmatoarelor tabele:
A. Format electronic
A.1. Departamentul IT
A. | Date confidentiale |
IT | Stocarea datelor confidentiale se face pe un dispizitiv criptat, asigurandu-se nivelul adecvat de confidentialitate, integritate, disponibilitate si rezistenta continua a sistemului informatic necesar datelor confidentiale in conformitate cu masurile tehnice stabilite in Politica de confidentialitate. |
B. | Date private |
IT | Datele private sunt stocate pe un dispozitiv criptat, asigurandu-se nivelul adecvat de confidentialitate, integritate, disponibilitate si rezistenta continua a sistemului informatic necesar datelor private in conformitate cu masurile tehnice stabilite in Politica de confidentialitate. |
C. | Date publice |
IT | Datele publice sunt stocate pe un dispozitiv criptat sau necriptat, asigurandu-se nivelul adecvat de confidentialitate, integritate, disponibilitate si rezistenta continua a sistemului informatic necesar datelor publice in conformitate cu masurile tehnice stabilite in Politica de confidentialitate. |
A.2. Departamentul IT
A. | Date confidentiale |
IT | Sunt stocate pe un hard-disk criptat, |
B. | Date private |
IT | Sunt stocate pe un hard-disk criptat, |
C. | Date publice |
IT | Sunt stocate pe un hard-disk criptat sau necriptat, asigurandu-se nivelul adecvat de confidentialitate, integritate, disponibilitate si rezistenta continua a sistemului informatic necesar prelucrarii datelor publice in conformitate cu masurile tehnice stabilite in Politica de confidentialitate. |
Format fizic
B.1. DepartamentulContabil
A. | Date confidentiale |
Contabil | Sunt pastrate intr-un spatiu inchis, securizat, asigurandu-se nivelul adecvat de confidentialitate, integritate si disponibilitate a serviciului de prelucrare corespunzator datelor confidentiale in conformitate cu masurile tehnice stabilite in Politica de confidentialitate. |
B. | Date private |
Contabil | Sunt pastrate intr-un spatiu inchis, asigurandu-se nivelul adecvat de confidentialitate, integritate si disponibilitate a serviciului de prelucrare corespunzator datelor confidentiale in conformitate cu masurile tehnice stabilite in Politica de confidentialitate. |
C. | Date publice |
Contabil | Sunt pastrate intr-un spatiu accesibil angajatilor si/sau publicului, asigurandu-se nivelul adecvat de confidentialitate, integritate si disponibilitate a serviciului de prelucrare corespunzator datelor confidentiale in conformitate cu masurile tehnice stabilite in Politica de confidentialitate. |
4.4. Informatii referitoare la datele cu caracter personal copiate si stocate
A. Reducerea la minimum a datelor
Operatorul respecta principiul reducerii la minimum a datelor potrivit Regulamentului, respectiv copiaza si stocheaza numai datele relevante si necesare indeplinirii scopului prelucrarii conform Politicii de confidentialitate.
B. Exactitate
Datele personale copiate si prelucrate de operator sunt exacte si actualizate la momentul stocarii, efectuand verificari pentru a asigura acest aspect in cazul in care este necesar.
4.5. Termenele de stocare
Operatorul ia masuri adecvate privind eliminarea datelor cu caracter personal atunci cand acestea nu mai sunt necesare atingerii scopului prelucrarii. Acest lucru reduce riscul stocarii unor date inexacte, inutile sau irelevante. Aceasta obligatie se aplica volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare si accesibilitatii lor.
Corespondenta interna si externa si notele interne in format fizic sau electronic copiate se vor retine pentru aceeasi perioada ca si documentul la care se refera sau pe care il completeaza. De exemplu, o scrisoare care se refera la un anumit contract va fi pastrata pe perioada de pastrare a acelui contract stabilita conform acestei proceduri, dar nu mai putin decat termenul de prescriptie aplicabil in eventualitatea unui litigiu care izvoraste din contractul/documentul incheiat cu un tert.
Documentele intocmite in legatura cu un anumit proiect derulat de operator vor fi pastrate pe tot parcursul derularii proiectului, precum si dupa incetarea acestuia, pe toata perioada termenului de prescriptie in cazul unui potential litigiu cu un tert al proiectului si care este izvorat din proiect.
La implinirea termenelor prevazute in procedura de stocare se va asigura stergerea/distrugerea datelor personale, cu exceptia cazului in care legislatia EU sau cea nationala prevad obligatia pastrarii acestora pe o perioada mai indelungata, in scopuri statistice, de arhivare in interes public, de cercetare stiintifica sau istorica si cu asigurarea masurilor tehnice si organizatorice adecvate in vederea garantarii drepturilor si libertatilor persoanei vizate.
In aceste cazuri, datele prelucrate al caror timp de stocare s-a implinit vor putea fi arhivate cu respectarea masurilor tehnice si organizatorice stabilite in Politica de confidentialitate.
Asupra corespondentei realizate prin posta electronica, nu toate e-mail-urile trebuie sa fie pastrate. Se va decide asupra pastrarii/stergerii in functie de continutul fiecarui e-mail in parte, tinand cont, totodata, de urmatoarele recomandari:
- toate e-mail-urile, primite din surse interne sau externe, vor fi sterse dupa 12 luni, cu exceptia cazului in care acestea contin documente sau date cu caracter personal care pot avea un temei legal sau un termen intern de pastrare mai mare de 12 luni (spre exemplu, corespondenta comerciala care se poate pastra pentru o perioada de 10 ani de la incetarea contractului);
- angajatii vor lua toate masurile necesare, pentru a nu pastra decat un numar redus dee-mail-uri, respectand principiul reducerii la minim a datelor, cu exceptia cazului in care acestea contin documente sau date cu caracter personal care pot avea un temei legal sau un termen intern de pastrare mai mare de 12 luni (spre exemplu, corespondenta comerciala care se poate pastra pentru o perioada de 10 ani de la incetarea contractului);
- operatorul va arhiva e-mail-urile timp de 12 luni de la stergerea lor de catre angajat, dupa care e-mail-ul va fi sters definitiv.
Documentele in format electronic copiate (toate fisierele in format electronic care contin date cu caracter personal, inclusiv fisiere Microsoft Office Word/Text/Powerpoint, PDF, JPG, etc.) vor fi pastrate in functie de continutul fisierului si de temeiul de stocare potrivit acestei proceduri.
Documentele care nu se pot incadra in nicio categorie prevazuta in aceasta procedura trebuie pastrate timp de 10 ani.
Dosarele pe care personalul le considera vitale pentru indeplinirea functiei lor ar trebui sa fie arhivate in spatiul de lucru al personalului.