REGULAMENTUL PRIVIND PRELUCRAREA INFORMAȚIILOR CE CONȚIN DATE CU CARACTER PERSONAL ÎN SISTEMUL DE EVIDENȚĂ “Clienți”

I. DISPOZIȚII GENERALE

1.1. Regulamentul privind prelucrarea informațiilor ce conțin date cu caracter personal în sistemul de evidență “Clienți” (în continuare Regulament) este elaborat în vederea implementării prevederilor Legii nr.133 din 8 iulie 2011 privind protecția datelor cu caracter personal și a Cerințelor față de asigurarea securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal, aprobate prin Hotărârea Guvernului nr.1123 din 14 decembrie 2010, precum și întru respectarea prevederilor Politicii de securitate a prelucrării datelor cu caracter personal în cadrul ÎM”Efes Vitanta Moldova Brewery”SA, IDNO- cod fiscal 1003600015208 (”Operator”).
1.2. Prezentul Regulament reglementează condițiile generale și cerințele față de prelucrarea datelor cu caracter personal ale clienților Operatorului în cadrul sistemului de evidență “Clienți”.

II. SCOPUL, CATEGORII DE DATE PRELUCRATE

2.1. Scopul prelucrării informațiilor ce conțin date cu caracter personal în sistemul de evidență constă în executarea următoarelor acțiuni:

  • gestiune economică și administrativă;
  • evidență și analiza vânzărilor;
  • publicitate;
  • expedierea materialelor informative inclusiv prin SMS, e-mail, MMS;
  • oferire de bunuri și servicii;
  • operarea sistemelor IT și de comunicare;
  • organizarea promoțiilor și tombolelor;
  • înmînarea premiilor;
  • înregistrarea plîngerilor și reclamațiilor clienților;
  • alinierea la cerințele juridice;
  • executarea obligațiilor fiscale, de raportare şi de menținere a înregistrărilor;
  • taxe și impozite,.
    2.2. În cadrul sistemului de evidență sunt prelucrate următoarele categorii de date cu caracter personal: numele şi prenumele, data naşterii; semnătura; numărul de telefon; numărul de telefon mobil; adresa e-mail; adresa (domiciliului/reşedinței); IDNP; seria și numărul buletinului de identitate; autoritatea emitentă (dacă este indicată), data eliberării actului și termenul de valabilitate, copia buletinului de identitate, altă informație pe care Clientul dorește să o furnizeze și care permite identificarea subiectului de date cu caracter personal cu consimțământul Clientului.
  • Orice utilizare a datelor cu caracter personal, introduse în sistemul de evidență „Clienți” în alte scopuri
  • decât cele menționate mai sus este interzisă.

III. LOCAȚIA ȘI DESCRIEREA SISTEMULUI DE EVIDENȚĂ

3.1. Datele cu caracter personal conținute în sistemul de evidență „Clienți” în cadrul Operatorului se prelucrează/stochează în mod combinat, atât pe suport de hîrtie, cât și în format electronic. Astfel, datele cu caracter personal se păstrează atât în dosarele de hîrtie, în mape cartonate, care se depozitează în dulap metalic, care se încuie cu cheie și la care au acces doar persoanele autorizate în modul corespunzător să prelucreze datele cu caracter personal ale Clienților, precum și în format electronic. Cum ar fi baze electronice de date, inclusiv programe de contabilitate, și formularele dispozițiilor de plată, facturilor, ordinelor de reținere la sursă a impozitelor din cîștiguri, și altele utilizate pentru evidența retururilor de marfă, eliberarea premiilor și cîștigurilor, participarea la tombole și promoții, înregistrarea reclamațiilor etc.
3.2. Persoana responsabilă de prelucrarea datelor cu caracter personal este desemnata de administrația întreprinderii.

IV. DURATA DE STOCARE

4.1. Prelucrarea datelor cu caracter personal în sistemul de evidență se efectuează pe perioada existenței raporturilor juridice. La expirarea termenelor menționate, datele sunt păstrate în formă arhivată, pe perioadă de 5 ani sau alt termen stabilit de indicatorul documentelor-tip și a termenelor lor de păstrare pentru organizațiile și întreprinderile RM.

V. DREPTURILE CLIENȚILOR ȘI PERSOANELOR VIZATE

5.1. Operatorul, în calitate de operator de date cu caracter personal, garantează respectarea drepturilor privind protecția datelor cu caracter personal ce le revin Clienților, precum și, după caz, altor persoane vizate.
5.2. În conformitate cu principiile de protecție a datelor cu caracter personal, persoanele vizate beneficiază de următoarele drepturi: la informare, de acces la date, de intervenție, de opoziție asupra datelor cu caracter personal ce-i vizează, precum și dreptul de a se adresa în justiție.
5.3. Toate persoanele implicate în activitatea de administrare și/sau prelucrare a informațiilor din sistemul de evidență vor respecta procedura de acces la datele cu caracter personal.
5.4. Acordarea dreptului de acces salariaților Operatorului la informațiile ce vizează datele cu caracter personal se efectuează prin solicitarea expresă, în formă scrisă, cu acordul nemijlocit al conducerii, decît dacă accesul nu este necesar pentru exercitarea atribuțiilor de serviciu. Informațiile furnizate vor fi acordate astfel, încît să nu prejudicieze drepturile terților. Persoanele care solicită date cu caracter personal trebuie să indice scopul solicitării, precum și perioada concretă pentru care solicită informațiile.
5.5. Există posibilitatea refuzării dreptului de acces în situația în care se aplică excepțiile prevăzute de lege. Necesitatea de a restricționa accesul se poate impune în cazul în care există obligația de a proteja drepturile şi libertățile unor terțe persoane, de exemplu, dacă în informațiile solicitate apar şi alte persoane şi nu există posibilitatea de a obține consimțămîntul acestora sau nu pot fi extrase, prin editare, datele cu caracter personal nerelevante.

VI. MĂSURILE DE PROTECȚIE A DATELOR CU CARACTER PERSONAL PRELUCRATE
ÎN SISTEMUL DE EVIDENȚĂ ”CLIENȚI”

6.1. Datele cu caracter personal prelucrate în sistemul de evidență Clienți sunt confidențiale și nu pot fi dezvăluite decît în condițiile prezentului Regulament. Toate persoanele care au acces la datele prelucrate de Operator se obligă să păstreze confidențialitatea acestora și măsurile de protecție reglementate în unitate.
6.2. Accesul în sediile/ birourile de lucru ale Operatorului, ori alte spații unde sunt amplasate sistemele informaționale de date cu caracter personal prelucrate de Operator este restricționat, se efectuează în baza cartelelor de identificare, fiind permis doar salariaților Operatului, partenerilor şi vizitatorilor autorizați (”Utilizatori”). Accesul vizitatorilor se înregistrează în registre, care se păstrează în conformitate cu politica de securitate. Înainte de acordarea accesului fizic la sistemele informaționale de date cu caracter personal se verifică competențele de acces.
6.3. Se efectuează administrarea şi monitorizarea accesului fizic în toate punctele de acces la sistemele informaționale de date cu caracter personal, inclusiv se reacționează la încălcarea regimului de acces.
6.4. În spațiile destinate publicului, se va minimiza în măsura posibilității activitățile de prelucrare a datelor cu caracter personal, iar mijloacele și echipamentele care oferă acces la datele prelucrate de Operator vor fi securizate. Oricare registre, liste, formulare și alte suporturi care conțin date ale clienților nu vor fi accesibile terților, nu se vor lăsa pe masă sau în alte locuri ușor accesibile. Totodată, acestea nu se vor lăsa nesupravegheate, fiind puse în mape de carton în sertare, dulapuri inclusiv metalice.
6.5. Accesarea datelor prelucrate de Operator este permisă numai pentru executarea atribuțiilor de serviciu, cu respectarea strictă a măsurilor de securitate, principiilor și regulilor de securitate prevăzute de Politica de securitate adoptată de Operator.
6.6. Datele prelucrate de Operator sunt confidențiale și nu pot fi dezvăluite terților decît în conformitate cu legislația în vigoare. Este interzisă copierea informație deținute de Operator, inclusiv transcrierea, copierea prin xerox, telefon sau alte mijloace mobile după cum este descris mai jos.
6.7. Scoaterea la imprimantă a datelor cu caracter personal prelucrate de Operator se va realiza numai de persoanele autorizate de Operator pentru această operațiune. Materialele imprimate care nu mai sunt folosite sau necesare se distrug cu ajutorul shredder-ului (dispozitivului de distrugere a documentelor). Persoana care va scoate din cadrul perimetrului securizat al Operatorului informația printată sau altfel ieşită din sistem, care conține date cu caracter personal, se va asigura că această informație este marcată cu modelul de marcaj specificat mai jos, indicându-se prescripții pentru prelucrarea ulterioară şi răspândirea acesteia, inclusiv indicându-se numărul de identificare unic al Operatorului. Model de marcaj de avertizare: „Acest document conține date cu caracter personal, prelucrate în cadrul sistemului de evidență nr. 000000X-00X, înregistrat în Registrul de evidență al operatorilor de date cu caracter personal www.registru.datepersonale.md. Prelucrarea ulterioară a acestor date poate fi efectuată numai în condițiile prevăzute de Legea nr. 133 din 08.07.2011 privind protecția datelor cu caracter personal.”
6.8. Informațiile, care conțin date cu caracter personal şi care se conțin pe purtătorii de informații, se distrug fizic sau se transcriu şi se nimicesc prin metode sigure, evitându-se folosirea funcțiilor standarde de nimicire după executarea scopului pentru care această informație este prelucrată de Operator şi/sau expirarea termenului pentru păstrarea acesteia. Precum și la scoaterea din uz a dispozitivului pe care sunt păstrate (curățați memoria xerox-ului, stick-urilor cu memorie, discuri etc înainte de a le arunca, vinde, transmite altor persoane terțe).

VII. IDENTIFICAREA ŞI AUTENTIFICAREA UTILIZATORULUI
SISTEMULUI DE EVIDENȚĂ ”CLIENȚI”

7.1. Operatorul va identifica, înregistra şi autentifica utilizatorii sistemelor informaționale de date cu caracter personal şi a proceselor executate în numele acestor utilizatori. Toți utilizatorii (inclusiv salariații, persoanele autorizate în modul corespunzător, personalul care asigură susținerea tehnică, administratorii de rețea, programatorii şi administratorii bazelor de date) vor avea un identificator personal (ID-ul utilizatorului), care nu trebuie să conțină semnalmentele nivelului de accesibilitate al utilizatorului. Dacă un calculator are mai mulți utilizatori, fiecare utilizator trebuie să dispună de propriul login şi parolă.
7.2. Înainte de acordarea accesului în sistem, utilizatorii vor fi informați despre faptul că folosirea sistemelor informaționale de date cu caracter personal este controlată şi că folosirea neautorizată a acestora se urmăreşte în conformitate cu legislația.
7.3. Sesiunea de lucru se blochează (la solicitarea utilizatorului sau automat, după maximum 15 minute de perioadă inactivă a utilizatorului), fapt care face imposibil accesul de mai departe până în momentul când utilizatorul nu deblochează sesiunea de lucru.
7.4. Operatorul şi salariații acestuia vor respecta următoarele reguli de asigurare a securității
informaționale în cazul alegerii şi folosirii parolelor:
a) păstrarea confidențialității parolelor;
b) este interzisă înscrierea parolelor pe suport de hârtie, în cazul în care nu se asigură securitatea păstrării acestuia;
c) modificarea parolelor de fiecare dată când sunt prezenți indicii unei eventuale compromiteri a sistemului sau parolei;
d) alegerea parolelor calitative cu o mărime de minimum 8 simboluri, care nu sunt legate de informația cu caracter personal a utilizatorului, nu conțin simboluri identice consecutive şi nu sunt compuse integral din grupuri de cifre sau litere;
h) dezactivarea procesului automatizat de înregistrare a parolei (cu folosirea parolelor salvate);
g) este asigurată posibilitatea utilizatorilor de a alege şi schimba parolele individuale, inclusiv de activare a procedurii de evidență a introducerilor greşite ale acestora;
i) accesul este blocat după trei tentative greşite de autentificare;
j) la momentul introducerii, parolele nu se reflectă clar pe monitor.

VIII. AUDITUL SECURITĂȚII ÎN SISTEMUL DE EVIDENȚĂ ”CLIENȚI”

Cel puțin o dată pe an se verifică îndeplinirea măsurilor tehnice şi/sau organizaționale luate pentru detectarea unor disfuncționalități în ceea ce priveşte folosirea în procesul prelucrării datelor cu caracter personal a sistemelor de telecomunicații şi/sau efectuarea îmbunătățirilor, în caz de necesitate.

IX. ASIGURAREA INTEGRITĂȚII INFORMAȚIILOR DIN SISTEMUL DE EVIDENȚĂ ”CLIENȚI”

Toate metodele de acces de la distanță la sistemele informaționale de date cu caracter personal ale Operatorului vor fi securizate cu utilizarea VPN, criptării, cifrării, precum şi a altor metode de securizare, precum şi vor fi documentate, supuse monitorizării şi controlului de către Operator. Fiecare metodă de acces de la distanță la sistemele informaționale de date cu caracter personal se autorizează de administratorul Operatorului şi/sau de persoana responsabilă a Operatorului desemnată de administrator conform prezentei Politici şi se permite doar Utilizatorilor, cărora accesul respectiv le este necesar pentru îndeplinirea obiectivelor profesionale stabilite.

X. GESTIONAREA INCIDENTELOR DE SECURITATE A
SISTEMULUI DE EVIDENȚĂ ”CLIENȚI”

10.1. Persoana responsabilă de gestionarea incidentelor de securitate este desemnată HR Manager. Incidentele de securitate a sistemelor informaționale de date cu caracter personal se urmăresc şi se documentează în regim permanent. Salariații vor informa imediat administratorul Operatorului şi persoana responsabilă, la telefon sau prin alte mijloace de comunicare despre incidentele care încalcă securitatea sistemelor informaționale de date cu caracter personal.
10.2. Prelucrarea incidentelor va include nu doar depistarea, dar şi analiza, preîntâmpinarea dezvoltării, înlăturarea lor şi restabilirea securității. Anual, până la 31 ianuarie, Operatorul va prezenta Centrului Național pentru Protecția Datelor cu Caracter Personal raportul generalizat despre incidentele de securitate a sistemelor informaționale de date cu caracter personal.

XI. DISPOZIȚII FINALE

11.1. Prezentul Regulament se conformează prevederilor legislației în vigoare.
11.2. Regulamentul este adus la cunoştința angajaților contra semnătură.

DRAG