Protecția Datelor
Tot ce ai nevoie pentru prezența ta online
Politica cu privire la Protectia datelor cu caracter personal
In 25 mai 2018 a devenit aplicabil Regulamentul European 2016/679 privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal si libera circulatie a acestor date.
Scopul principal al acestuia este cresterea nivelului de protectie a datelor personale si crearea unui climat de incredere care sa permita fiecarei persoane controlul asupra propriilor date.
Prin prezentul document – Politica cu privire la Protectia datelor cu caracter personal va informam cum protejam datele dumneavoastra personale si cum ne insusim prevederile Regulamentului.
a
Cine este CHML?
Firma CHML Web Services SRL („CHML”) este persoana juridica de drept romana, constituita si functionand in baza legilor romanesti. CHML are sediul social cu activitate in Bucuresti, Calea Rahovei nr. 266 – 268, Corp 2, Parter, Camera 11, este inregistrata la Oficiul National al Registrului Comertului cu numarul J40/12312/2002, avand numar unic de inregistrare 15058531 si atribut fiscal RO.
Cum ne puteti contacta?
Pentru orice sesizare cu privire la datele cu caracter personal prelucrate de CHML ne puteti contacta in scris, la adresa sediului social, telefonic la numarul +40.31.82.60.998, prin email la adresa protectiadatelor@chml.ro sau prin intermediul sistemului de ticketing accesibil din contul client.
Ce date cu caracter personal prelucrează CHML?
Date cu caracter personal sunt informatii referitoare la o persoana fizica care poate fi identificata, direct sau indirect.
CHML prelucreaza urmatoarele categorii de date:
– date de identificare: nume, prenume, CNP, seria si numarul actului de identitate, adresa de domiciliu, adresa de corespondenta, e-mail, telefon (fix, mobil, fax), identificator online (adresa IP);
– informatii bancare: Banca si sucursala, codul IBAN
Principiul in baza caruia colectam si prelucram aceste date este ca vom solicita de fiecare data doar minimul de date cu caracter personal necesar pentru furnizarea contractului si indeplinirea obligatiilor legale.
Ce inseamna ca CHML prelucreaza date cu caracter personal?
Prelucrarea inseamna operatiuni cum sunt: colectarea, inregistrarea, organizarea, stocarea, modificarea, extragerea, consultarea, utilizarea, transmiterea, combinarea, blocarea, restrictionarea, stergerea, distrugerea, arhivarea datelor cu caracter personal.
Cui aparțin datele cu caracter personal prelucrate de CHML?
CHML prelucreaza date cu caracter personal referitoare la clienti si angajatii proprii.
In cazul clientilor persoane juridice, CHML prelucreaza datele cu caracter personal ale persoanelor de contact ale clientului.
Persoanele fizice ale caror date cu caracter personal sunt prelucrate poarta denumirea de „Persoane vizate”.
De unde obține CHML datele cu caracter personal?
In cazul clientilor persoane fizice, datele sunt obtinute direct de la client.
In cazul clientilor persoane juridice, datele sunt obtinute de la imputernicitii clientui.
CHML nu obtine / nu colecteaza date cu caracter personal de la terte parti.
În ce scopuri prelucrează CHML date cu caracter personal?
Scopurile pentru care CHML prelucreaza datele cu caracter personal sunt:
- furnizarea de servicii de hosting si servicii conexe
- inregistrarea si administrarea de domenii internet
- inregistrarea de certificate SSL
- contactarea clientului/altei persoane vizate prin intermediul mijloacelor de comunicare cu scopul solutionarii cererilor de suport tehnic
- facturarea serviciilor prestate
- administrarea contului client
In ce temeiuri prelucreaza CHML date cu caracter personal?
CHML prelucreaza datele tale cu caracter personal in scopurile mentionate mai sus, in baza urmatoarelor temeiuri:
- pentru executarea contractului la care clientul / persoana vizata este parte. Contractul poate avea atat forma scrisa cat si online, semnat de client prin acceptarea Termenilor si Conditiilor furnizarii serviciilor.
- consimtamant
- interes legitim
Catre cine transmitem datele dumneavoastra cu caracter personal?
Pentru marea majoritate a servicilor furnizate de CHML, datele cu caracter personal nu sunt transmise catre terte parti.
In cazul serviciilor de inregistrare si mentenanta a domeniilor internet, precum si pentru o partea a serviciilor de gazduire web si WP, vom transmite date cu caracter personal catre firma Tes Euro Media SRL cu sediul in Str. Crizbavului nr. 118, Satu Nou, Halchiu, jud. Brasov.
CHML nu transmite in mod direct date cu caracter personal in afara spatiului Uniunii Europene.
Cat timp prelucreaza CHML date cu caracter personal?
In vederea realizarii scopurilor sus-mentionate, datele cu caracter personal vor fi prelucrate de catre CHML pe tot parcursul relatiei contractuale si dupa finalizarea acesteia in vederea conformarii cu obligatiile legale aplicabile in domeniu, inclusiv, dar fara limitare, la dispozitiile in materia arhivarii.
Care sunt drepturile dumneavoastra si cum pot fi exercitate?
Persona vizata are urmatoarele drepturi:
- Dreptul la informare – dreptul de a primi informatii detaliate privind activitatile de prelucrare efectuate de CHML, conform celor prevazute in prezentul document;
- Dreptul de acces – poate solicita si obtine confirmarea faptului ca datele sale cu caracter personal sunt prelucrate sau nu de catre CHML, iar in caz afirmativ, poate solicita accesul la acestea, precum si anumite informatii. La cerere, CHML va elibera si gratuit o copie a datelor cu caracter personal prelucrate;
- Dreptul la rectificare – dreptul de a obtine rectificarea datelor cu caracter personal inexacte si completarea celor incomplete;
- Dreptul la stergerea datelor (”dreptul de a fi uitat”) –in situatiile reglementate expres de lege (in special in cazul retragerii consimtamantului sau in cazul in care se constata ca prelucrarea datelor cu caracter personal nu a fost legala), poate obtine stergerea respectivelor date. Urmare a unei astfel de solicitari, CHML va proceda la stergerea datelor, cu exceptia cazurilor prevazute de lege.
- Dreptul la restrictionarea prelucrarii – in situatiile reglementate expres de lege (in special in cazul in care se contesta inexactitatea respectivelor date pe perioada necesara pentru determinarea acestei inexactitati sau in cazul in care prelucrarea este ilegala, si nu se doreste stergerea datelor, ci doar restrictionarea);
- Dreptul de opozitie – se poate opune in orice moment, din motive legate de situatia particulara in care se afla, prelucrarilor intemeiate pe interesul legitim al CHML
- Dreptul la portabilitatea datelor – poate primi datele cu caracter personal, intr-un format structurat, care poate fi citit automat, sau poate solicita ca respectivele date sa fie transmise altui operator.
- Dreptul de a depune plangere – poate depune plangere fata de modalitatea de prelucrare a datelor cu caracter personal de catre CHML la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal;
- Dreptul de retragere a consimtamantului – in cazurile in care prelucrarea se intemeiaza pe consimtamant, acesta poate fi retras oricand.
- Drepturi suplimentare aferente deciziilor automate utilizate in procesul de furnizare a serviciilor CHML – in cazul in care CHML ia decizii automate in legatura cu datele cu caracter personal, persoana vizata poate (i) cere si obtine interventia umana cu privire la respectiva prelucrare, (ii) isi poate exprima punctul de vedere cu privire la respectiva prelucrare si (c) contesta decizia.
Clientul poate exercita aceste drepturi, fie individual, fie cumulat prin transmiterea unei cereri scrise, datate si semnate, la sediul CHML din Bucuresti, Calea Rahovei nr. 266 – 268, Corp 2, Parter, Camera 11, Sector 5, cod postal 050912, prin Fax +40.31.82.60.997 sau prin E-mail: protectiadatelor@chml.ro.
Procese decizionale automatizate
CHML nu utilizeaza procese decizionale automatizate, NU creaza profiluri exclusiv prin mijloace automatizate, rezultand in luarea de decizii cu privire la client.
Cum aplicam GDPR in cazul minorilor?
CHML nu oferta servicii minorilor in varsta pana la 18 ani si nu colecteaza date cu caracter personal cu privire la minori.
Inregistrarea convorbirilor telefonice
Cu acordul clientului/persoanei vizate expimat inainte de fiecare convorbire telefonica, CHML poate inregistra si pastra convorbirile telefonice catre/de la centrala telefonica CHML. CHML urmeaza a utiliza aceste informatii exclusiv in scopul investigarii anumitor situatii, pentru a face proba anumitor operatiuni/instructiuni/acorduri date de catre Client/alta persoana vizata, pentru a le folosi ca proba in instanta in cazul unui litigiu, precum si pentru imbunatatirea serviciilor sale.
Monitorizarea video
Pentru asigurarea unui nivel inalt de securitate corespunzator desfasurarii activitatii de centru de date, camera serverelor operata de CHML este monitorizata video. In aceasta locatie exista marcaje corespunzatoare cu simboluri specifice inregistrarii video, urmate de mesajul ”Zona supravegheata video”.
Cum protejam datele cu caracter personal?
Pentru siguranta datelor personale, CHML a implementat o serie de masuri de securitate care sunt in conformitate cu standardele industriei.
Securitatea informațiilor și declarația de confidențialitate a CHML Web Services SRL
1. Notă generală
Firma CHML Web Services SRL se angajează să protejeze securitatea și confidențialitatea datelor tuturor clienților, și datele angajaților.
Programul nostru de securitate și protecție a informațiilor este bazat pe standardul ISO 27001 privind securitatea informațiilor și ISO 29100 și respectă o abordare bazată pe risc care cuprinde persoane, procese și tehnologii. Echipa de Securitate a Informațiilor (IS) din cadrul CHML Web Services SRL este dedicată protecției datelor si raportează direct către conducerea firmei.
2. Măsuri de securitate a informațiilor pentru protecția datelor cu caracter personal
Politicile de securitate a informațiilor
– set de reguli pentru securitatea informațiilor, aprobate de conducerea firmei, publicate și comunicate angajaților și părților externe relevante.
Revizuirea regulilor pentru securitatea informațiilor
– pentru a asigura eficacitate și o adecvare continuă, revizuim regulile noastre pentru securitatea informațiilor la intervale planificate sau când apar modificări semnificative.
Rolul și responsabilitățile privind securitatea informațiilor
– stabilim și alocăm responsabilități specifice privind securitatea informațiilor pentru toți angajații și colaboratorii externi.
Segregarea sarcinilor
– separăm domeniile de responsabilitate pentru a reduce șansele divulgării, modificării sau utilizării neautorizate sau neintenționate ale activelor organizaționale.
Securitatea informațiilor în managementul proiectelor
– abordăm securitatea informațiilor în managementul de proiect, indiferent a tipului de proiect.
Regulile dispozitivelor mobile
– folosim reguli și măsuri de securitate pentru a face față riscurilor legate de utilizarea dispozitive mobile. Utilizăm reguli și măsuri de securitate pentru a proteja informațiile accesate, prelucrate sau stocate pe dispozitive mobile.
Gestionarea securității în timpul angajării forței de muncă
– efectuăm verificări pentru toți candidații la ocuparea locurilor de muncă disponibile în conformitate cu legile, reglementările și etica relevante și proporționale cu cerințele de afacerile, clasificarea informațiilor care trebuie accesate și riscurile percepute. Acordul contractual între noi și angajații noștri specifica responsabilități ale ambelor părți privind securitatea informațiilor. Securitatea informațiilor, responsabilitățile și îndatoririle care rămân valabile după încetarea contractului de muncă sau schimbarea locului de muncă în interiorul organizației sunt definite, comunicată angajatului sau contractantului extern și poarta titlu executoriu.
Responsabilități de management
– conducerea firmei cere ca toți angajații și contractorii să respecte securitatea informațiilor în conformitate cu normele și procedurile stabilite de organizație.
Conștientizarea în materie de securitate a informațiilor, educația și formarea profesională
– toți angajații organizației sunt conștientizați continuu în privința regulilor și procedurilor organizaționale, relevante pentru funcția lor.
Gestionarea și eliminarea de medii amovibile
– folosim proceduri care implementează gestionarea dispozitivelor media detașabile. Când nu mai sunt necesare, dispozitivelor media detașabile sunt distruse, asigurându-ne ca datele nu mai pot fi citite.
Transferul de materiale fizice
– materialele care conțin informații sunt protejate împotriva accesului neautorizat, a utilizării incorecte sau neautorizate si a coruperii în timpul transportului.
Controlul și gestionarea accesului
– folosim o politică de control al accesului, care este revizuită pe baza cerințelor de securitate a afacerilor și a informațiilor. Utilizatorilor li se oferă acces numai la rețelele / serviciile de rețea pe care au fost autorizați să le utilizeze.
Gestionarea și utilizarea parolelor de autentificare a utilizatorilor
– folosim un proces pentru a controla alocarea informațiilor de autentificare. Utilizatorii respectă cele mai bune practici în utilizarea informațiilor secrete de autentificare. Utilizăm sistemul de gestionare a parolelor pentru a asigura parolele de calitate.
Restricționarea accesului la informații
– accesul la informațiile și funcțiile aplicațiilor este restricționat în conformitate cu regulile de control al accesului.
Secure login
– accesul la sisteme și aplicații este controlat printr-un proces de autentificare securizat.
Amplasarea fizică și protecția echipamentelor
– echipamentele IT&C sunt amplasate și protejate pentru a reduce riscurile cauzate de amenințările și pericolele legate de mediu și de posibilitățile de acces neautorizat.
Utilitățile și securitatea cablurilor
– echipamentele sunt protejate de defecțiunile de alimentare și alte întreruperi cauzate de eșecurile în susținerea utilităților. Cablurile de alimentare și de telecomunicații care transportă date sunt protejate de interceptare, interferențe sau deteriorări.
Întreținerea echipamentelor
– echipamentele sunt întreținute continuu si corect pentru a asigura disponibilitatea și integritatea lor.
Verificarea și reutilizarea sigură a echipamentelor
– se asigură suprascrierea multiplă a datelor si formatarea low level a mediilor de stocare, pentru a se asigura că informațiile sensibile și software-ul licențiat sunt eliminate sau suprascrise în siguranță înainte de eliminare sau reutilizarea echipamentului.
Clear desk / clear screen
– am adoptat reguli clare pentru documente și medii de stocare amovibile și o regulă clear screen pentru facilitățile de procesare a informațiilor.
Proceduri de operare cu documente
– am definit proceduri de operare și le-am pus la dispoziția tuturor utilizatorilor care au nevoie de ele.
Separarea mediilor de dezvoltare, de testare și operaționale
– folosim medii separate pentru dezvoltare, testare și operare, pentru a reduce riscul accesului neautorizat sau schimbările în mediul operațional.
Controale împotriva programelor malware
– implementăm controale de detectare, prevenire și recuperare pentru a asigura protecția împotriva malware-ului și combinăm aceste controale cu o conștientizare adecvată a utilizatorilor.
Copii de siguranță
– efectuăm în mod regulat copii de siguranță (backups) ale informațiilor și sistemelor. Numărul copiilor de siguranță este corelat cu riscurile potențiale ale informațiilor și sistemelor susținute.
Event logging și protejarea fișierelor log
– producem, păstrăm și revizuim în mod regulat jurnalele de evenimente care înregistrează activitățile utilizatorilor, excepțiile, defectele și evenimentele de securitate a informațiilor. Fișierele log sunt protejate.
Instalarea software-ului pe sisteme operaționale
– am stabilit reguli care reglementează instalarea software-ului pe sistemele operaționale, în special instalarea făcută de utilizatori.
Gestionarea vulnerabilităților
– vulnerabilitățile tehnice sunt gestionate prin mitigarea acestora în timp util, evaluând expunerea organizației și luând măsurile adecvate care abordează riscul asociat.
Restricții privind modificările aduse pachetelor software
– folosim reguli privind modificarea software-ului, limitând această acțiune la modificările necesare.
Abordarea securității în cadrul acordurilor cu furnizorii
– analizăm, documentăm și convenim cu furnizorii noștri cerințele de securitate a informațiilor pentru reducerea riscurilor asociate accesului furnizorului la activele organizației.
Raportarea evenimentelor și incidentelor legate de securitatea informațiilor
– atunci când sunt constatate evenimente legate de securitatea informațiilor, acestea se raportează prin intermediul canalelor adecvate de management, în timp util. Angajații și contractorii notează și raportează orice slăbiciune a sistemelor sau serviciilor observate sau suspectate. Evaluăm și clasificăm în consecință evenimentele privind securitatea informațiilor cu care ne confruntam. Răspundem în timp util și în conformitate cu procedurile noastre interne pentru incidentele legate de securitatea informațiilor. Folosim cunoștințele pe care le câștigăm atunci când analizăm și soluționăm incidentele de securitate a informațiilor pentru a reduce probabilitatea sau impactul viitoarelor incidente. Avem un proces de identificare, colectare, achiziționare și păstrare a informațiilor care pot servi drept dovadă.
Drepturile de proprietate intelectuală
– implementăm proceduri adecvate pentru a asigura conformitatea cu cerințele legislative, de reglementare și contractuale legate de drepturile de proprietate intelectuală și de utilizarea produselor software proprietare.
Revizuirea conformității tehnice
– sistemele informatice sunt revizuite în mod regulat pentru a respecta regulile și standardele de securitate ale organizației.
3. Măsuri de asigurare a confidențialității pentru protecția datelor cu caracter personal
Identificarea și documentarea scopului – identificăm și documentăm scopurile specifice pentru care sunt procesate datele cu caracter personal.
Identificarea bazei legale – determinăm, documentăm și respectăm baza legală pentru prelucrarea datelor cu caracter personal în scopurile identificate.
Determinarea momentului și a modului de obținere a consimțământului – determinăm și documentăm un proces pentru demonstrarea momentului și a modului de obținere a consimțământului de la persoanele vizate.
Obținerea și înregistrarea consimțământul – obținem și înregistram consimțământul persoanelor vizate conform cerințelor documentate.
Înregistrări legate de prelucrarea datelor cu caracter personal – determinăm și menținem înregistrările necesare pentru a demonstra respectarea obligațiilor noastre privind prelucrarea datelor cu caracter personal.
Drepturile proprietarilor de date cu caracter personal – asigurăm respectarea drepturilor persoanelor vizate legate de prelucrarea datelor cu caracter personal și oferim mijloacele necesare pentru a isi putea exercita drepturile.
Furnizarea de informații persoanelor – furnizăm persoanelor vizate informații clare și ușor accesibile referitoare la datele cu caracter personal prelucrate.
Furnizarea unui mecanism de modificare sau retragere a consimțământului – oferim mecanisme pentru persoanele vizate să modifice sau să-și retragă consimțământul.
Furnizarea mecanismului de a se opune prelucrării – furnizăm mecanismul pentru persoanele vizate de a se opune procesării datelor lor personale.
Aducerea la cunoștință a drepturile exercitate de proprietarii datelor cu caracter personal – luăm măsuri pentru a informa terții cărora le-am transmis datele cu caracter personal, despre orice modificare, retragere sau obiecție care rezultă din exercitarea drepturilor persoanelor vizate.
Corectarea sau ștergerea – implementăm un mecanism care să faciliteze exercitarea drepturilor persoanelor vizate asupra accesului, corectării și ștergerii datelor personale.
Furnizarea copiei datelor cu caracter personal prelucrate – suntem în măsură să furnizăm o copie a datelor personale care sunt procesate, în conformitate cu regulile de reținere și ștergere, la solicitarea persoanei vizate.
Managementul cererilor – avem mijloacele necesare pentru a face față cererilor legitime ale persoanelor vizate.
Luarea automată a deciziilor – identificăm și soluționăm orice obligații, inclusiv obligații legale, față de persoanele vizate care rezultă din deciziile bazate exclusiv pe prelucrarea automatizată a datelor cu caracter personal.
Limitarea colectării și prelucrării – limităm colectarea datelor cu caracter personal la minimum care este relevant, proporțional și necesar pentru scopurile identificate. Limităm prelucrarea datelor cu caracter personal la ceea ce este adecvat, relevant și necesar pentru scopurile identificate.
Respectarea obiectivelor de minimizare și de anonimizare a datelor personale – identificăm și documentăm mecanismul prin care datele personale sunt prelucrate în timp util, astfel încât măsura în care datele personale pot indentifica sau pot fi asociate cu persoanele vizate sa îndeplinească obiectivele de minimizare și anonimizarea a datelor personale.
Dezactivarea și ștergerea datelor personale – fie ștergem datele cu caracter personal, fie le transformam într-o formă care nu permite identificarea persoanelor vizate, de îndată ce datele personale inițiale nu mai sunt necesare pentru scopul identificat.
Fișiere temporare – ne asigurăm că fișierele temporare și documentele create ca urmare a procesării datelor cu caracter personal sunt eliminate.
Retenția – nu păstrăm datele personale mai mult decât este necesar pentru scopul pentru care sunt procesate aceste date.
Proceduri de colectare – ne asigurăm că datele personale sunt corecte, complete și actualizate, așa cum este necesar pentru scopurile pentru care urmează să fie procesate, pe tot parcursul ciclului de viață al datelor cu caracter personal.
Identificarea bazei pentru transferul datelor personale – identificăm și documentăm baza relevantă pentru transferul de date cu caracter personal.
Țările și organizațiile cărora le-ar putea fi transferate date cu caracter personal – specificăm și documentăm țările și organizațiile internaționale cărora le-ar putea fi transferate datele cu caracter personal.
Evidența transferului de date cu caracter personal – înregistrăm transferurile de date cu caracter personal către sau de la terți și asigurăm cooperarea cu acele părți pentru a susține exercitarea viitoarelor drepturi de acces la persoanele vizate.
Înregistrările privind divulgarea datelor cu caracter personal către terțe părți – înregistrăm divulgarea datelor cu caracter personal către terțe părți, inclusiv cu privire la datele personale care au fost divulgate, la cine și la ce moment.
Ultima actualizare: 24.05.2018