Definitii
Date cu caracter personal = orice informatii cu privire la o persoana fizica identificata sau identificabila.
Operator = entitatea care stabileste scopul si mijloacele prelucrarii datelor
Imputernicit = entitatea care prelucrează datele în numele operatorului
Prelucrare = orice operatiune asupra datelor personale (cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, consultarea etc)
Politici tehnice și organizationale care sa asigure respectarea GDPR
Beneficiarul este operatorul datelor cu caracter personal, pe care le detine, le prelucreaza si asupra carora raspunde in fata Autoritatii Nationale de Supraveghere a Prelucrării Datelor cu Caracter Personal. dot.design actioneaza ca un împuternicit in raport cu Beneficiarul. dot.design va asigura securitatea acestor date personale, prin masuri necesare protejarii acestora de atacuri cibernetice, exploatarea slabiciunilor sistemelor informatice si alte metode de penetrare a securitatii. Aceste masuri sunt necesare pentru a minimiza posibilitatea de accesare ilegala a acestor date. dot.design nu poate garanta ca este imposibila penetrarea acestor protectii. Principiile care stau la baza strategiei de securitate a dot.design sunt:
- Setari implicite sigure (Username-uri si parole complexe si imprevizibile, greu de spart prin brute force, dictionary sau phising)
- Minimizarea suprafetei de atac (Restrictionarea accesului la protocoale senzitive dupa IP)
- Functionarea cu privilegii minime (Mentinerea accesului si a drepturilor de scriere la minimul necesar)
- Securitate prin obscuritate (Folosirea de setari non-standard, greu de prezis de catre un potential atacator)
- Securitate cu reguli simple, clare (Evitarea setarilor de securitate alambicate, cu multe puncte de setare, greu de administrat)
- Folosirea de protocoale securizate pentru accesul la date (SSL, FTPS, SSH, RDP)
Securitatea și confidentialitatea datelor
Datele sunt prelucrate de catre dot.design, in numele Beneficiarului întrun mod care asigură securitatea adecvată. Principiile care stau la baza securitatii datelor sunt:
Confidentialitatea prin design este o abordare a gazduirii web care promoveaza respectarea vietii private si protectia datelor inca de la inceput. Obiectivele de confidentialitate prin design – asigurarea protectiei vietii private – pot fi realizate prin adoptarea principiilor fundamentale ale conceptului ”Privacy by Design”:
- Proactiv nu Reactiv – Se anticipeaza si se previn evenimentele invazive de confidentialitate inainte ca acestea sa se intample;
- Abordare implicita – Se urmareste asigurarea unui nivel maxim de confidentialitate, asigurand protectia automata a datelor cu caracter personal in orice sistem IT;
- Incorporata in design – Prin incorporarea in proiectarea si arhitectura sistemelor informatice, confidentialitatea devine o componenta esentiala a functiilor de baza, parte integranta a sistemului;
- Securitatea end-to-end – Protectia completa pe intreg ciclul de viata. Toate datele sunt pastrate in siguranta pana la sfarsitul procesului;
- Vizibilitate si transparenta – Indiferent de practica comerciala sau tehnologia implicata, sunt respectate toate promisiunile si obiectivele mentionate, care pot fi supuse verificarii independente;
- Respectarea confidentialitatii utilizatorilor – Arhitectii si operatorii trebuie sa protejeze interesele individului, plasand confidentialitatea individului in centrul oricarui sistem informatic.
Confidentialitatea implicita inseamna ca, setarile de confidentialitate cele mai stricte se vor aplica in mod implicit. Asigurarea protectiei datelor incepand cu momentul conceperii si in mod implicit – inseamna construirea de sisteme care iau in considerare confidentialitatea datelor inca de la arhitectura, operarea si managementul unui sistem, procese de business sau chiar specificatii de design. In cazul in care Beneficiarul solicita relaxarea acestor setari, dot.design va notifica Beneficiarului in legatura cu potentialul negativ al masurilor solicitate. In cazul in care Beneficiarul dispune aplicarea acestor modificari, Beneficiarul isi va asuma si raspunderea asupra efectelor negative ce pot decurge din aplicarea respectivelor modificari.
Managementul incidentelor de securitate
Exemple de incidente de securitate: atacuri cibernetice, accesarea fara drept a datelor cu caracter personal de catre angajati ai dot.design sau alte persoane identificabile, scurgerea de informatii legate de datele de acces la sistemele informatice oferite Beneficiarului. In situatia unui incident de securitate, dot.design se obliga să notifice de urgentă Beneficiarul, în cel mult 48 ore. In notificare va fi descris în amănunt incidentul, consecintele probabile și măsurile luate pentru remedierea problemei. dot.design va cooperara cu Autoritatea Natională de Supraveghere a Prelucrării Datelor cu Caracter Personal, in cazul in care este necesar acest lucru.
Confidentialitatea Informatiilor
Prin “Informatie Confidentiala” se intelege orice informatie apartinand Beneficiarului, transmisa dot.design in forma orala, scrisa sau pe alte suporturi materiale sau imateriale. Fara a se limita la, prin aceeasi notiune se inteleg: descoperiri, idei, concepte, Know-how-ul, tehnici, designul, specificatii, desene, planse, proiecte, diagrame, modele, programe pe computer, oferte, informatiile referitoare la numele angajatilor, clientilor si furnizorilor, precum si oricare alte informatii referitoare la datele tehnice, financiare, comerciale, scenarii spoturi video si audio, story-board-uri, imagini, indiferent daca aceste informatii poarta sau nu mentiunea expresa “confidential” ori “proprietate exclusiva”. ”Informatiile confidentiale” nu includ informatiile despre care dot.design poate dovedi ca sunt in mod independent folosite de catre dot.design sau erau publice la data la care dot.design a intrat in posesia lor.
dot.design va folosi Informatiile Confidentiale care ii parvin de la Beneficiarului numai in interesul si in scopurile stabilite de catre Beneficiar.
dot.design se obliga sa nu dezvaluie catre terti, angajatii sai, agenti sau furnizori, Informatiile Confidentiale ce i-au fost furnizate de Beneficiar, decat daca acestia au nevoie sa cunoasca respectivele Informatii Confidentiale in vederea realizarii proiectelor dezvoltate in comun de Beneficiar si dot.design. Angajatii dot.design vor primi Informatii Confidentiale numai daca au efectiv nevoie de acestea in derularea proiectelor, caz in care se va recomanda acestora discretie in procesarea informatiilor.
dot.design va trata Informatiile Confidentiale furnizate de Beneficiar cu aceeasi atentie cu care trateaza orice alte informatii de aceeasi natura. Atentia acordata pastrarii confidentialitatii informatiilor va fi, in toate cazurile, egala cu atentia pe care orice persoana ar acorda-o, in circumstante similare, protejarii confidentialitatii propriilor informatii.
Intelegand sa respecte confidentialitatea, dot.design se obliga sa nu copieze, multiplice, reproduca, distribuie, dezvaluie in vreun fel, total sau partial, nici unei alte persoane, fizice sau juridice, nici una din Informatiile Confidentiale sau aspecte legate de acestea, ce i-au fost comunicate de Beneficiar. De asemenea dot.design se angajeaza sa nu permita tertilor accesul la Informatiile Confidentiale.
dot.design se obliga sa notifice de urgenta Beneficiarul si sa ofere orice informatie privind dezvaluirea neautorizata, pierderea si/sau folosirea gresita (abuz, neglijenta) a Informatiilor Confidentiale.
dot.design se obliga sa nu instraineze, preia, foloseasca in nici un fel Informatiile confidentiale (concepte creative, idei etc) fara acceptul prealabil scris al Beneficiarului.
dot.design va notifica de urgenta Beneficiarul in legatura cu eventualele solicitari de dezvaluire a Informatiilor Confidentiale, solicitari venite din partea unor institutii judiciare ori administrative, situatie in care Beneficiarul va incerca sa gaseasca modalitati de protejare legala a Informatiilor Confidentiale solicitate. Daca Beneficiarul nu va gasi nici o posibilitate legala de a opri prezentarea Informatiilor respective, dot.design se obliga sa ofere doar date strict necesare, in limitele legale. Totodata, dot.design se obliga sa depuna diligente in obtinerea unor asigurari ca Informatiile Confidentiale pe care le-a transmis autoritatilor legal indreptatite isi vor pastra caracterul confidential.
dot.design confirma si recunoaste ca Beneficiarul este si va fi titularul dreptului de proprietate exclusiva asupra tuturor Informatiilor Confidentiale.
In baza unei cereri scrise a Beneficiarului ori in cazul in care, discutiile si tratativele partilor nu conduc la incheierea unui acord, dot.design va inapoia Beneficiarului toate suporturile pe care sunt stocate Informatiile Confidentiale primite, inclusiv toate copiile acestora, daca este cazul. Restituirea nu absolva dot.design de obligativitatea respectarii confidentialitatii informatiilor.