Operatorul: Societatea Covers Systems SRL , cu sediul in Timisoara, Calea Aradului nr 48 C, Hala Nr 10, Birou 3, Judetul Timis, inregistrata la Oficiul Registrului Comertului de pe langa Tribunalul Timis sub numarul J35/1374/2020, avand Cod de Identificare Fiscala : RO42621976.


1. Angajamentul Companiei


1.1 Protejarea sigurantei si securitatii datelor personale este importanta pentru Companie, astfel ca activitatile desfasurate sunt in conformitate cu legislatia aplicabila referitoare la protectia sigurantei datelor si la securitatea acestora. Oferirea garanțiilor în ceea ce privește siguranta, protecția și confidențialitatea datelor, inclusiv a datelor cu caracter personal, asigurarea încrederii în calitatea serviciilor oferite și asigurarea unui mediu de afaceri stabil, reprezintă un element fundamental în activitatea companiei.
De aceea, compania, prin activitățile sale își asumă responsabilități față de salariati, clienți si colaboratori, bazate pe confidențialitate, protecție și siguranță, asigurate prin aplicarea și respectarea legilor și normelor aplicabile la nivel national si european și implementarea și aplicarea politicilor proprii de securitate privind protecția datelor cu caracter personal și securitate corporativă. Astfel, prezenta Politică de Securitate, are drept scop asigurarea nivelului corespunzător de securitate in ceea ce priveste modul în care sunt colectate, stocate și prelucrate datele cu caracter personal (DCP) și este elaborată în conformitate cu prevederile Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
1.2 Politica de securitate prezinta modul in care sunt colectate si utilizate aceste informatii, scopul colectarii si prelucrarii, precum si conditiile de utilizare ale informatiilor cu caracter personal.


2. Principiile colectarii si prelucrarii datelor cu caracter personal


2.1 Datele cu caracter personal sunt prelucrate cu buna-credinta, in temeiul si in conformitate cu prevederile legale.
2.2 Datele cu caracter personal sunt colectate numai in scopuri bine determinate, explicite si legitime, iar prelucrarea ulterioara nu va fi incompatibila cu aceste scopuri.
2.3 Datele cu caracter personal nu se stocheaza pentru o perioada mai lunga decat este necesar pentru realizarea scopurilor in care au fost colectate.
2.4 Compania va lua toate masurile tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat din punct de vedere al scopului in care sunt colectate si pentru care vor fi prelucrate.


3. Categorii de date cu caracter personal prelucrate de Companie


3.1 In indeplinirea obiectului sau de activitate, Compania colectează, prelucreaza si stocheaza, cu acordul persoanelor vizate, sau in temeiul prevederilor legale privind infiintarea si functionarea societatilor, in baza contractelor incheiate sau in scopul incheierii unor contracte comerciale, următoarele categorii de date:
a) informaţiile personale furnizate de către client/prestator persoana fizica sau persoana fizica reprezentant al clientului/prestatorului persoana juridica, necesare pentru identificarea clientului/furnizorului, in scopul incheierii contractelor comerciale: nume, prenume date din cartea de identitate ale persoanei fizice rezidente (serie, numar, CNP, adresa domiciliu) date din paşaport (serie, numar, adresa domiciliu) în cazul persoanelor nerezidente adresa posta electronica, alte adrese de corespondență numere de telefon semnatura.
b) informatii personale necesare in vederea incheierii si executarii contractelor individuale de munca si managementului resurselor umane: nume, prenume date din cartea de identitate ale persoanei fizice rezidente (serie, numar, CNP, adresa domiciliu) date din paşaport (serie, numar, adresa domiciliu) în cazul persoanelor nerezidente adresa posta electronica, alte adrese de corespondență numere de telefon profesie, calificare / formare-profesională istoric angajari / antecedente profesionale informațiile furnizate de GPS-ul instalat pe o mașină informații privind modul de folosire al unui calculator cont bancar semnatura date privind veniturile obținute.
c) date personale ale actionarilor persoane fizice necesare tinerii Registrului de evidenta al actionarilor si exercitarii acestei calitati in cadrul companiei: nume, prenume date din cartea de identitate ale persoanei fizice rezidente (serie, numar, CNP, adresa domiciliu) date din paşaport (serie, numar, adresa domiciliu) în cazul persoanelor nerezidente adresa posta electronica, alte adrese de corespondență numere de telefon cont bancar. semnătura datele referitoare la aportul acționarului în cadrul societății (tipul aportului, cuantumul aportului, data subscrierii, data vărsării etc.) date referitoare la cota de participare la beneficii și pierderi date referitoare la drepturile și obligațiile acționarului informații privind participarea și modul de exercitare al votului al cadrul adunărilor generale (data participării, locul participării, modul de exercitare al votului) date privind veniturile obținute de acționar de la societate (ex: sumele plătite, cuantumul acestora, data plății, natura acestora etc).
d) date personale ale administratorului persoana fizica, necesare exercitarii acestei calitati in cadrul companiei: nume, prenume date din cartea de identitate ale persoanei fizice rezidente (serie, numar, CNP, adresa domiciliu etc.) date din paşaport (serie, numar, adresa domiciliu etc.) în cazul persoanelor nerezidente adresa posta electronica, alte adrese de corespondență numere de telefon cont bancar. semnătura date privind experiența profesională date referitoare la drepturile și obligațiile administratorului; informații privind modul în care și exercita funcția date privind veniturile obținute.
3.2. Compania prelucreaza date privind sănătatea exclusiv în scopul îndeplinirii obligaţiilor şi exercitării unor drepturi specifice ale companei sau ale persoanei vizate în domeniul ocupării forţei de muncă şi al securităţii sociale şi protecţiei sociale.
3.3. Compania NU colecteaza si nu stochează informații referitoare la categorii speciale de date, respectiv date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filosofice sau apartenenţa la sindicate şi NU prelucreaza date genetice, date biometrice pentru identificarea unică a unei persoane fizice, sau date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.


4. Scopul prelucrarii datelor cu caracter personal


4.1 Compania va colecta, utiliza si prelucra datele personale atat in mod direct, prin obtinerea acordului persoanelor vizate, prin incheierea contractelor comerciale, a contractelor de prestari servicii, a contractelor individuale de munca sau a altor contracte necesare sau oportune pentru realizarea obiectului de activitate, cat si in calitate de destinatar, prin intermediul partenerilor comerciali care au obtinut in prealabil acordul persoanelor vizate. 4.2 Datele cu caracter personal sunt destinate utilizarii de catre Companie, insa acestea pot fi furnizate partenerilor comerciali doar in masura in care acest lucru este considerat necesar in contextul livrarii / achizitiei de bunuri sau achizitiei / prestarii de servicii.
4.3 Datele cu caracter personal ale salariatilor sunt colectate, prelucrate si stocate in vederea incheierii si executarii contractelor individuale de munca, in conformitate cu prevederile legislatiei muncii, in scopul managementului resurselor umane si asigurarii raporturilor de munca (inregistrari Revisal, plati de natura salariala si contributii sociale obligatorii, arhivare, etc.).
4.4 Datele cu caracter personal ale actionarilor persoane fizice sunt necesare tinerii Registrului de evidenta al actionarilor
5. Acoperirea cerintelor minime de securitate
5.1 Acces restrans la baza de date

Tipul de acces
Utilizatorii acceseaza numai datele cu caracter personal necesare pentru indeplinirea atributiilor de serviciu. Pentru aceasta sunt stabilite roluri de utilizator, iar fiecare rol de utilizator are acces doar la datele necesare pentru indeplinirea atributiilor de serviciu.

Utilizatorii au următoarele obligaţii specifice:
să cunoască şi să aplice prevederile actelor normative din domeniul prelucrării datelor cu caracter personal precum şi ale prezentei Politici de securitate;
să informeze persoana vizată atunci când datele cu caracter personal sunt colectate direct de la aceasta, în condiţiile legii, cu privire la: identitatea operatorului, scopul în care se face prelucrarea datelor, eventualii destinatarii ai datelor, obligativitatea furnizării tuturor datelor cerute şi consecinţele refuzului de a le pune la dispoziţie, drepturile prevăzute de lege, în special drepturile de acces, de intervenţie asupra datelor şi de opoziţie, condiţiile în care pot fi exercitate aceste drepturi;
să prelucreze numai datele cu caracter personal necesare îndeplinirii atribuţiilor de serviciu şi să acorde sprijin conducătorului operatorului pentru realizarea activităţilor specifice ale acestuia;
să păstreze confidenţialitatea datelor prelucrate, a contului de utilizator, a parolei/codului de acces la sistemele informatice/baze de date prin care sunt gestionate date cu caracter personal;
să respecte măsurile de securitate, precum şi celelalte reguli stabilite de operator;
să informeze de îndată conducerea companiei despre împrejurări de natură a conduce la o diseminare neautorizată de date cu caracter personal sau despre o situaţie în care au fost accesate/ prelucrate date cu caracter personal prin încălcarea normelor legale, despre care a luat la cunoştinţă.

Programatorii sistemelor de prelucrare a datelor cu caracter personal nu au acces la datele cu caracter personal, accesul programatorilor la datele cu caracter personal este permis numai dupa ce acestea au fost transformate in date anonime. Departamentul care asigura suportul tehnic are acces la datele cu caracter personal pentru rezolvarea unor cazuri exceptionale. Pentru activitatea de pregatire a utilizatorilor sau pentru realizarea de prezentari se folosesc date anonime.
5.2 Identificarea si autentificarea utilizatorului
Pentru a capata acces la o baza de date cu caracter personal utilizatorul trebuie sa se identifice. Identificarea se poate face pe baza unui nume de utilizator unic, astfel niciodata mai multi utilizatori nu au acelasi nume de utilizator. Un utilizator se poate autentifica prin introducerea unei parole care trebuie sa indeplineasca urmatoarele criterii de complexitate:
- sa aiba minimum 6 caractere dintre care cel putin unul trebuie sa fie o cifra. La introducerea parolelor acestea nu se afiseaza in clar pe monitor. Conturile de utilizator sunt administrate de catre o persoana autorizata care are dreptul de a revoca sau a suspenda un cod de identificare si autentificare, daca utilizatorul si-a dat demisia ori a fost concediat, si-a incheiat contractul, a fost transferat la alt serviciu si noile sarcini nu ii solicita accesul la date cu caracter personal sau a abuzat de codurile primite. Accesul la bazele de date cu caracter personal pentru a efectua modificari manuale se face doar de de catre persoane aprobate de conducerea companiei conform fisei postului.
5.3 Colectarea datelor
Colectarea datelor se face prin introducere directa de catre personal autorizat si orice modificare a datelor cu caracter personal se poate face numai de catre utilizatori autorizati. Sistemul informational inregistreaza cine a facut modificarea, data si ora modificarii. Sistemul informational mentine un istoric al datelor sterse sau modificate.
5.4 Executia copiilor de siguranta
Copiile de siguranta ale bazelor de date cu caracter personal precum si ale programelor folosite pentru prelucrarile automatizate se executa zilnic, de catre personal specializat. Copiile de siguranta sunt stocate in alte camere, in fisete metalice cu sigiliu aplicat, iar accesul la copiile de siguranta este monitorizat.
5.5 Computerele si terminalele de acces
Accesul la computerele si alte terminale de acces se face doar prin intermediul unui nume de utilizator si a unei parole. Daca utilizatorul nu realizeaza actiuni in cadrul aplicatiei o perioada de 5 minute sesiunea de lucru expira automat. Serverele care gazduiesc bazele de date ce contin date cu carater personal pot fi accesate doar in mod controlat si se afla in incaperi inchise cu cheie.
5.6 Fisierele de acces
Orice accesare a bazei de date cu caracter personal este inregistrata intr-un fisier de acces (numit log). Informatiile inregistrate in fisierul de acces sunt: codul de identificare, numele fisierului accesat, codul operatiei executate sau programul folosit, data accesului (an, luna, zi), timpul (ora, minutul, secunda). Orice incercare de acces neautorizat este de asemenea inregistrata. Compania pastreaza fisierele de acces cel putin 2 ani, pentru a fi folosite ca probe in cazul unor investigatii. Daca investigatiile se prelungesc, aceste fisiere se vor pastra atat timp cat se va considera necesar. Fisierele de acces fac posibila identificarea de catre operator sau de catre persoana imputernicita a persoanelor care au accesat date cu caracter personal fara un motiv anume, in vederea aplicarii unor sanctiuni sau a sesizarii organelor competente.
5.7 Instruirea personalului
In cadrul cursurilor de pregatire a utilizatorilor se face informarea acestora cu privire la prevederile Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, la cerintele minime de securitate a prelucrarilor de date cu caracter personal, precum si cu privire la riscurile pe care le comporta prelucrarea datelor cu caracter personal. Utilizatorii care au acces la date cu caracter personal sunt instruiti asupra confidentialitatii acestora.
5.8 Folosirea computerelor
Pentru mentinerea securitatii prelucrarii datelor cu caracter personal (in special impotriva virusilor informatici) sunt luate urmatoarele masuri:
- interzicerea folosirii de catre utilizatori a programelor software care provin din surse externe sau dubioase
- informarea utilizatorilor in privinta pericolului privind virusii informatici
- implementarea unor sisteme automate de devirusare si de securitate a sistemelor informatice.
5.9 Imprimarea datelor
Listarea la imprimanta a datelor cu caracter personal se realizeaza numai de utilizatori autorizati pentru aceasta operatiune, existand proceduri interne specifice privind folosirea si distrugerea acestor materiale.


6. Masuri suplimentare de securitate


6.1 In cazul in care dezvaluirea datelor este impusa de lege, societatea, prin reprezentatul legal, se va asigura ca tertul care solicita dezvaluirea actioneaza in conformitate cu dispozitiile legale si este autorizat sa solicite dezvaluirea.
6.2 Serverele care pastreaza bazele de date sunt protejate prin antivirusi si firewall care isi actualizeaza semnaturile la un interval regulat si scurt de timp.
6.3 Atunci cand accesul la date se face printr-o interfata web este folosit un certificat de securitate HTTPS - GeoTurst
6.4 Atunci cand accesul la date se face printr-un API autentificarea se face, in plus fata de utilizator si parola, folosind o cheie de securiate.
6.5 In cazul in care apare o eroare sau cedeaza echipamentul, societatea dispune atat de personal propriu calificat cat si de asistenta externa specializata, care poate sa intervina.


7. Drepturile persoanelor ale căror date personale sunt colectate şi/ sau prelucrate


Persoana vizată dispune de drepturile prevăzute de Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, respectiv: dreptul la informare, dreptul de acces la date, dreptul de intervenție asupra datelor, anume restrictionare, rectificare si stergere, dreptul de opoziție, dreptul de a nu fi supus unei decizii individuale, pe care le poate exercita printr-o cerere scrisă adresată Companiei.
Fără a se aduce atingere posibilităţii de a se adresa cu plângere autorităţii de supraveghere, persoanele vizate au de asemenea dreptul de a se adresa justiţiei pentru apărarea oricăror drepturi garantate de lege, care le-ar fi fost încălcate. Orice persoană care a suferit un prejudiciu în urma unei prelucrări de date cu caracter personal, efectuată ilegal, se poate adresa instanţei competente pentru repararea acestuia.


8. Alte dispozitii


Prezenta Politica de securitate este o declarație a principiilor privind prelucrarea datelor cu caracter personal, in acord cu legislația relevantă și este obligatorie pentru toate departamentele Companiei.