L'operatore : società Euro Covers SRL, con sede a Timisoara, Calea Aradului n. 48 C, contea di Timis, registrata presso l'ufficio del registro delle imprese vicino al Tribunale di Valcea con il numero J35 / 708/2010, con codice di identificazione Procura: RO26880049.
1. Impegno dell'azienda
1.1 La protezione della sicurezza dei dati personali è importante per la Società, in modo che le attività svolte siano conformi alla legislazione applicabile in materia di protezione della sicurezza dei dati e della loro sicurezza. Fornire garanzie in materia di sicurezza, protezione e riservatezza dei dati, compresi i dati personali, garantire la fiducia nella qualità dei servizi forniti e garantire un ambiente aziendale stabile, è un elemento fondamentale dell'attività dell'azienda.
Pertanto, la società, con le sue attività, si assume responsabilità nei confronti di dipendenti, clienti e collaboratori, in base alla riservatezza, protezione e sicurezza, assicurata applicando e osservando le leggi e le norme applicabili a livello nazionale ed europeo e implementando e applicando le proprie politiche di sicurezza in merito protezione dei dati personali e sicurezza aziendale.
Pertanto, questa politica di sicurezza mira a garantire il livello adeguato di sicurezza per quanto riguarda il modo in cui i dati personali (DCP) vengono raccolti, archiviati ed elaborati ed è preparato in conformità con le disposizioni del regolamento (UE) 2016/679 del Al Parlamento europeo e al Consiglio, del 27 aprile 2016, sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati.
1.2 La politica di sicurezza mostra come queste informazioni vengono raccolte e utilizzate, lo scopo della raccolta e del trattamento, nonché le condizioni di utilizzo delle informazioni personali.
2. I principi della raccolta e del trattamento dei dati personali
2.1 I dati personali vengono elaborati in buona fede, sulla base e in conformità con le disposizioni di legge.
2.2 I dati personali vengono raccolti solo per scopi ben definiti, espliciti e legittimi e l'elaborazione successiva non sarà incompatibile con tali scopi.
2.3 I dati personali non vengono archiviati per un periodo superiore a quello richiesto per gli scopi per i quali sono stati raccolti.
2.4 La Società prenderà tutte le misure tecniche e organizzative appropriate per proteggere i dati personali da distruzione, perdita, modifica, divulgazione accidentale o illecita, in relazione allo scopo per il quale sono raccolti e per i quali verrà elaborato.
3. Categorie di dati personali elaborati dalla Società
3.1 Nell'adempiere al proprio oggetto di attività , la Società raccoglie, elabora e archivia, con il consenso delle persone interessate o in base alle disposizioni legali relative alla costituzione e al funzionamento delle società, sulla base dei contratti conclusi o ai fini della conclusione di contratti commerciali, le seguenti categorie di dati:
a) le informazioni personali fornite dal cliente / fornitore la persona fisica o la persona fisica che rappresenta il cliente / fornitore la persona giuridica, necessaria per identificare il cliente / fornitore, al fine di concludere i contratti commerciali:
nome, nome
dati della carta d'identità della persona fisica residente (serie, numero, CNP, indirizzo di residenza)
dati del passaporto (serie, numero, indirizzo di residenza) per i non residenti
indirizzo e-mail, altri indirizzi postali
numeri di telefono
firma.
b) informazioni personali necessarie per concludere ed eseguire contratti lavoro individuale e gestione delle risorse umane:
nome, nome
dati della carta d'identità della persona fisica residente (serie, numero, CNP, indirizzo di residenza)
dati del passaporto (serie, numero, indirizzo di residenza) per i non residenti
indirizzo e-mail, altri indirizzi postali
numeri di telefono
professione, qualifica / formazione professionale
storia occupazionale / esperienza professionale
le informazioni fornite dal GPS installato su un'auto
informazioni su come usare un computer
conto bancario
firma
dati sulle entrate.
c) dati personali degli azionisti persone fisiche necessarie per tenere il registro degli azionisti e per esercitare tale qualità all'interno dell'azienda:
nome, nome
dati della carta d'identità della persona fisica residente (serie, numero, CNP, indirizzo di residenza)
dati del passaporto (serie, numero, adrdomicilio) per i non residenti
indirizzo e-mail, altri indirizzi postali
numeri di telefono
conto bancario.
firma
i dati relativi al contributo degli azionisti all'interno dell'azienda (tipo di contributo, importo del contributo, data di sottoscrizione, data di pagamento, ecc.)
dati sulla quota di profitti e perdite
dati relativi ai diritti e agli obblighi dell'azionista
informazioni sulla partecipazione e su come votare alle assemblee generali (data di partecipazione, luogo di partecipazione, come votare)
dati sul reddito ottenuto dall'azionista dalla società (ad es. gli importi pagati, il loro importo, la data di pagamento, la loro natura, ecc.).
d) i dati personali dell'amministratore della persona fisica, necessari per esercitare tale qualità all'interno dell'azienda:
nome, nome
dati della carta d'identità della persona fisica residente (serie, numero, CNP, indirizzo di residenza, ecc.)
dati del passaporto (serie, numero, indirizzo di casa, ecc.) per i non residenti
indirizzo e-mail, altri indirizzi postali
numeri di telefono
conto bancario.
firma
dati sull'esperienza professionale
dati relativi ai diritti e agli obblighi dell'amministratore;
informazioni su come eseguire la funzione
dati sulle entrate.
3.2. La società elabora i dati sanitari esclusivamente allo scopo di adempiere agli obblighi e esercitare diritti specifici dell'azienda o dell'interessato in materia di occupazione, previdenza sociale e protezione sociale.
3.3. La società NON raccoglie e archivia informazioni relative a categorie speciali di dati, rispettivamente dati personali che rivelano l'origine razziale o etnica, opinioni politiche, confessioni religiose o credenze filosofiche o appartenenza a sindacati e NON elabora dati genetici, dati biometrici per l'identificazione univoca di una persona fisica o dati sulla vita o l'orientamento sessuale di una persona fisica.
4. Finalità del trattamento dei dati personali
4.1 La Società raccoglierà, utilizzerà ed elaborerà i dati personali sia direttamente, ottenendo il consenso degli interessati, stipulando contratti commerciali, contratti di servizio, contratti individuali di lavoro o altri contratti necessari o Opportunità per la realizzazione dell'oggetto di attività, nonché come destinatario, attraverso i partner commerciali che hanno precedentemente ottenuto l'accordo degli interessati.
4.2 I dati personali sono destinati all'uso da parte della Società, ma possono essere forniti ai partner commerciali solo se ciò è ritenuto necessario nel contesto della consegna / acquisto di beni o dell'acquisto / prestazione di servizi.
4.3 I dati personali dei dipendenti sono raccolti, elaborati e archiviati al fine di concludere ed eseguire contratti di lavoro individuali, in conformità con le disposizioni del diritto del lavoro, ai fini della gestione delle risorse umane e dell'assicurazione dei rapporti di lavoro , retribuzioni e contributi sociali obbligatori, archiviazione, ecc.).
4.4 Dati personali degli azionisti Le persone fisiche sono tenute a tenere il registro degli azionisti
5. Copertura dei requisiti minimi di sicurezza
5.1 Accesso limitato al database
Tipo di accesso
Gli utenti accedono solo ai dati personali richiesti per eseguire le funzioni di servizio. A tale scopo vengono stabiliti ruoli utente e ogni ruolo utente ha accesso solo ai dati richiesti per svolgere le funzioni del servizio.
Gli utenti hanno i seguenti obblighi specifici:
conoscere e applicare le disposizioni degli atti normativi in materia di trattamento dei dati personali nonché della presente Politica di sicurezza;
informare l'interessato quando i dati personali vengono raccolti direttamente da esso, a norma di legge, in merito a: l'identità dell'operatore, lo scopo per il quale i dati vengono elaborati, gli eventuali destinatari dei dati, l'obbligo di fornire tutti i dati richiesti e le conseguenze del rifiuto di mettere a loro disposizione i diritti previsti dalla legge, in particolare i diritti di accesso, intervento sui dati e opposizione, le condizioni alle quali tali diritti possono essere esercitati;
elaborare solo i dati personali necessari per l'adempimento delle funzioni del servizio e fornire supporto al gestore dell'operatore per lo svolgimento delle sue attività specifiche;
mantenere la riservatezza dei dati trattati, dell'account interfaccia utente, password / codice di accesso a sistemi / database informatici attraverso i quali vengono gestiti i dati personali;
per rispettare le misure di sicurezza, nonché le altre norme stabilite dall'operatore;
informare immediatamente la direzione dell'azienda in merito a circostanze che potrebbero comportare la diffusione non autorizzata di dati personali o una situazione in cui i dati personali sono stati consultati / elaborati attraverso la violazione delle norme legali, di cui è venuta a conoscenza. />
I programmatori dei sistemi di elaborazione dei dati personali non hanno accesso ai dati personali, l'accesso ai programmatori dei dati personali è consentito solo dopo che sono stati trasformati in dati anonimi. Il dipartimento che fornisce supporto tecnico ha accesso ai dati personali per la risoluzione di casi eccezionali. I dati anonimi vengono utilizzati per l'attività di preparazione degli utenti o per la presentazione di presentazioni.
5.2 Identificazione e autenticazione dell'utente
Per ottenere l'accesso a un database personale, l'utente deve identificarsi. L'identificazione può essere effettuata sulla base di un nome utente univoco, quindi più utenti non hanno mai lo stesso nome utente. Un utente può autenticarsi inserendo una password che deve soddisfare i seguenti criteri di complessità:
- deve contenere almeno 6 caratteri di cui almeno uno deve essere un numero. Quando si inseriscono le password, queste non vengono visualizzate chiaramente sul monitor. Gli account utente sono gestiti da una persona autorizzata che ha il diritto di revocare o sospendere un codice di identificazione e autenticazione, se l'utente si è dimesso o è stato risolto, ha concluso il contratto, è stato trasferito a un altro servizio e le nuove attività non richiedono l'accesso ai dati personali o abuso dei codici ricevuti. L'accesso ai database personali per apportare modifiche manuali viene effettuato solo da persone approvate dalla direzione aziendale in base alla descrizione del lavoro.
5.3 Raccolta dati
La raccolta dei dati viene effettuata mediante introduzione diretta da parte di personale autorizzato e qualsiasi modifica dei dati personali può essere effettuata solo da utenti autorizzati. Il sistema informativo registra chi ha effettuato la modifica, la data e l'ora della modifica. Il sistema informativo mantiene una cronologia dei dati cancellati o modificati.
5.4 Backup
I backup dei database personali e dei programmi utilizzati per l'elaborazione automatizzata vengono eseguiti quotidianamente da personale specializzato. I backup vengono archiviati in altri locali, in prese metalliche con un sigillo applicato e l'accesso ai backup viene monitorato.
5.5 Computer e terminali di accesso
L'accesso ai computer e ad altri terminali di accesso avviene solo tramite nome utente e password. Se l'utente non esegue azioni all'interno dell'applicazione per un periodo di 5 minuti, la sessione di lavoro scade automaticamente. I server che ospitano database contenenti dati personali sono accessibili solo in modo controllato e sono ospitati in stanze chiuse.
5.6 Accesso ai file
Qualsiasi accesso al database personale viene registrato in un file di accesso (chiamato registro). Le informazioni registrate nel file di accesso sono: il codice identificativo, il nome del file accessibile, il codice dell'operazione eseguita o il programma utilizzato, la data di accesso (anno, mese, giorno), ora (ora, minuti, secondi). Viene inoltre registrato qualsiasi tentativo di accesso non autorizzato. La società conserva i file di accesso per almeno 2 anni, da utilizzare come prova in caso di indagini. Se le indagini vengono prolungate, questi file verranno conservati per il tempo ritenuto necessario. I file di accesso consentono all'operatore o alla persona autorizzata di identificare le persone che hanno avuto accesso ai dati personali senza un motivo particolare, al fine di applicare sanzioni o notificare gli organismi competenti.
5.7 Formazione del personale
Nell'ambito dei corsi di formazione per gli utenti, sono informati delle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di questi dati, ai requisiti minimi di sicurezza del trattamento dei dati personali, nonché riguardo ai rischi connessi al trattamento dei dati personali. Gli utenti che hanno accesso ai dati personali vengono formati sulla riservatezza ii loro.
5.8 Uso dei computer
Al fine di mantenere la sicurezza del trattamento dei dati personali (in particolare contro i virus informatici) sono adottate le seguenti misure:
- vietare l'uso da parte degli utenti di programmi software che provengono da fonti esterne o dubbie
- informare gli utenti del pericolo relativo ai virus informatici
- Implementazione di sistemi automatici di rilevazione virus e sicurezza dei sistemi informatici.
5.9 Stampa dei dati
L'elenco dei dati personali sulla stampante viene eseguito solo da utenti autorizzati per questa operazione, esistono specifiche procedure interne relative all'uso e alla distruzione di questi materiali.
6. Misure di sicurezza aggiuntive
6.1 Se la divulgazione dei dati è richiesta dalla legge , la società, tramite il rappresentante legale, assicurerà che la terza parte che richiede la divulgazione agisca in conformità con le disposizioni legali e sia autorizzata a richiedere la divulgazione.
6.2 I server che gestiscono i database sono protetti da software antivirus e firewall che aggiornano le loro firme a intervalli regolari e brevi.
6.3 Quando si accede ai dati tramite un'interfaccia web viene utilizzato un certificato di sicurezza HTTPS - GeoTurst
6.4 Quando si accede ai dati tramite un'API , l'autenticazione viene eseguita, oltre all'utente e alla password, utilizzando una chiave sicura.
6.5 Se si verifica un errore o l'apparecchiatura non funziona , la società dispone sia del proprio personale qualificato sia dell'assistenza esterna specializzata, che può intervenire.
7. Diritti delle persone i cui dati personali sono raccolti e / o elaborati
L'interessato ha i diritti previsti dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati, vale a dire: il diritto all'informazione, il diritto di accesso ai dati, il diritto di intervenire sui dati, vale a dire la limitazione, la rettifica e la cancellazione, il diritto di opposizione, il diritto di non essere soggetto a una decisione individuale, che può essere esercitata da una richiesta scritta indirizzata alla Società.
Fatta salva la possibilità di sporgere denuncia all'autorità di controllo, gli interessati hanno anche il diritto di rivolgersi alla giustizia per la difesa di eventuali diritti garantiti dalla legge, che sarebbero stati violati.
Chiunque abbia subito un infortunio a seguito del trattamento di dati personali, effettuato illegalmente, può contattare l'autorità giudiziaria competente per la riparazione.
8. Altre disposizioni
Questa politica di sicurezza è una dichiarazione dei principi relativi al trattamento dei dati personali, in conformità con la legislazione pertinente ed è obbligatoria per tutti i dipartimenti della Società.