Skip to Content
Go back
BAS-IP / MEMORANDUM PRIVIND CONFORMITATEA PRELUCRĂRII DATELOR CU CARACTER PERSONAL

Suntem dedicați adoptării de practici solide și inovatoare de protecție a datelor, astfel încât fiecare client să poată avea încredere că datele sale cu caracter personal sunt prelucrate în siguranță.

BAS-IP DISTRIBUTION LTD (Compania sau BAS-IP) a pregătit acest memorandum pentru clienții noștri cu privire la conformitatea noastră cu legislația aplicabilă privind protecția datelor, inclusiv Regulamentul General privind Protecția Datelor din Marea Britanie (UK GDPR) și Regulamentul General privind Protecția Datelor al UE (GDPR/RGPD). În cele ce urmează, vă vom familiariza cu activitățile noastre privind respectarea cerințelor de protecție a datelor cu caracter personal.

DEFINIȚII

  • „UK GDPR” înseamnă Regulamentul General privind Protecția Datelor din Marea Britanie, astfel cum a fost încorporat în legislația britanică în temeiul Legii privind Protecția Datelor din 2018 (Data Protection Act 2018), împreună cu alte legi aplicabile din Marea Britanie privind protecția datelor și confidențialitatea.
  • „GDPR” (RGPD) înseamnă Regulamentul General privind Protecția Datelor (Regulamentul (UE) 2016/679) și orice legislație conexă privind protecția datelor și confidențialitatea aplicabilă în Uniunea Europeană și Spațiul Economic European.
  • Date cu caracter personal (Personal data) înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă.
  • Persoană vizată (Data subject) înseamnă o persoană fizică identificabilă, care poate fi identificată, direct sau indirect.
  • Operator (Controller) înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau un alt organism care, singur sau împreună cu alții, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.
  • Persoană împuternicită de operator (Processor) înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau alt organism care prelucrează date cu caracter personal în numele operatorului.
  • Sub-împuternicit (Subprocessor) înseamnă o persoană fizică sau juridică, angajată de o persoană împuternicită de operator, care efectuează prelucrarea datelor cu caracter personal în numele operatorului.
  • Prelucrare (Processing) înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminare sau punere la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

DESPRE BAS-IP

BAS-IP dezvoltă și produce interfoane IP, sisteme de control al accesului și sisteme de comunicații și este un actor de frunte în acest domeniu. Puteți găsi mai multe informații despre activitățile noastre pe site-ul web: https://bas-ip.com/.

În cursul activităților sale, Compania poate colecta, accesa sau prelucra în alt mod date cu caracter personal referitoare la diverse categorii de persoane vizate: clienți și utilizatori, angajați, contractori și alte persoane vizate. În timpul unei astfel de prelucrări, Compania se angajează să ia toate măsurile necesare și să respecte politicile, procedurile și alte documente relevante privind protecția datelor cu caracter personal pentru a prelucra datele cu caracter personal în conformitate cu legislația aplicabilă și cu cele mai bune practici.

Roluri în timpul prelucrării datelor cu caracter personal

BAS-IP poate avea diverse roluri în conformitate cu UK GDPR și GDPR:

  • Ca operator, Compania determină scopurile și mijloacele de prelucrare a datelor cu caracter personal, de exemplu, în timp ce comunică cu clienții și vizitatorii site-ului, desfășoară activități de marketing care implică prelucrarea datelor cu caracter personal etc.
  • Ca persoană împuternicită de operator, Compania poate prelucra date cu caracter personal la instrucțiunile clientului nostru, care acționează ca operator sau în numele operatorului respectiv.
  • În timpul prelucrării datelor cu caracter personal ca persoană împuternicită de operator, putem angaja furnizori de servicii terți care vor acționa ca sub-împuterniciți.
La prelucrarea datelor cu caracter personal în cursul furnizării de servicii către clienții săi, Compania acționează ca persoană împuternicită de operator și respectă cerințele aplicabile ale UK GDPR și GDPR, precum și obligațiile contractuale relevante dintre Companie și client.

BAS-IP ȘI PROTECȚIA DATELOR

BAS-IP se angajează să respecte cele mai înalte standarde de protecție a datelor și legislația aplicabilă privind protecția datelor cu caracter personal.

Toate activitățile care implică prelucrarea datelor cu caracter personal sunt desfășurate în conformitate cu documentația internă privind reglementarea prelucrării datelor cu caracter personal.

Următoarele măsuri de protecție a datelor cu caracter personal sunt aplicate de către Companie:

Revizuirea periodică a documentației de protecție a datelor cu caracter personal și efectuarea modificărilor necesare în documentația și activitățile noastre

Revizuirea și actualizarea periodică a documentației interne de protecție a datelor cu caracter personal este o parte integrantă a strategiei Companiei de a asigura conformitatea cu cerințele UK GDPR, GDPR și ale altor acte normative în domeniul protecției datelor cu caracter personal.

Documentația internă relevantă și politicile și procedurile adoptate, în special în ceea ce privește cererile persoanelor vizate, notificarea încălcărilor securității datelor cu caracter personal, evaluările de conformitate ale terților implicați în prelucrarea datelor cu caracter personal etc., sunt actualizate sau modificate periodic, după cum este necesar, în special în cazul modificărilor legislative sau al introducerii de noi activități de prelucrare a datelor cu caracter personal.

În plus, activitățile de prelucrare a datelor cu caracter personal sunt înregistrate, ceea ce include menținerea registrelor activităților de prelucrare a datelor cu caracter personal (RoPA), și, dacă este necesar, se efectuează o evaluare a impactului asupra protecției datelor (DPIA) și o evaluare a interesului legitim (LIA).

Astfel, prin menținerea la zi a documentației sale privind protecția datelor cu caracter personal, Compania asigură un nivel ridicat de protecție a datelor cu caracter personal și conformitatea continuă cu legislația.

Respectarea cerințelor privind protecția drepturilor persoanelor vizate

Politica de Confidențialitate a Companiei, care este disponibilă public pe site-ul său web, oferă clienților și altor persoane vizate informații despre scopurile pentru care pot fi prelucrate datele cu caracter personal, cum și ce date cu caracter personal specifice pot fi prelucrate, precum și informații despre drepturile lor în temeiul legilor aplicabile privind protecția datelor cu caracter personal, inclusiv modul în care pot exercita aceste drepturi.

În plus, Compania a adoptat o Procedură de Cereri și Plângeri, care conține procedura de răspuns la cererile persoanelor vizate și drepturile acestora în conformitate cu UK GDPR și GDPR.

Compania se angajează să ofere tot sprijinul necesar clientului în contextul răspunsului la cererile persoanelor vizate ale căror date sunt prelucrate de Companie ca persoană împuternicită de operator în conformitate cu prevederile UK GDPR, GDPR și obligațiile contractuale dintre Companie și client.

Respectarea celor mai bune standarde și practici de securitate tehnică și organizațională

Compania a implementat măsuri tehnice și organizaționale pentru a asigura securitatea datelor cu caracter personal. Documentația internă a Companiei definește clar măsurile tehnice și organizaționale utilizate la prelucrarea datelor cu caracter personal:

  • a dezvoltat și adoptat documentația care reglementează securitatea informațiilor și, de asemenea, monitorizează continuu evenimentele de securitate a informațiilor și asigură un răspuns în timp util la incidente;
  • a implementat garanții pentru a restricționa accesul la datele cu caracter personal, cum ar fi controlul accesului la datele cu caracter personal, în special prin utilizarea de conturi personalizate, controlul cerințelor privind lungimea și complexitatea parolelor contului și protejarea accesului la rețea pentru a reduce riscul de atacuri cibernetice; verificarea conformității centrelor de date fizice unde sunt stocate datele cu cerințele de securitate; autentificarea multi-factor și autentificarea utilizatorului în timpul autorizării, precum și configurarea și aplicarea permisiunilor de acces la date, revizuirea periodică a drepturilor de acces existente etc.;
  • utilizează tehnologii de criptare la stocarea și prelucrarea datelor cu caracter personal utilizând tehnologii cloud și stabilește cerințe pentru utilizarea doar a protocoalelor criptografice, algoritmilor, cipher suites, cheilor de criptare și abordărilor de gestionare a cheilor actualizate și robuste;
  • revizuiește periodic copiile de rezervă (backup-urile) datelor cu caracter personal pentru a determina dacă stocarea acestora este conformă cu cerințele operaționale și obligațiile legale;
  • ia alte măsuri de securitate organizațională, inclusiv implementarea unei politici de separare a rolurilor și responsabilităților, actualizarea periodică a politicilor și procedurilor relevante, monitorizarea îndeplinirii sarcinilor și demonstrarea dorinței de a coopera cu autoritățile guvernamentale relevante. Măsurile de securitate a personalului implementate de Companie includ verificări de fond ale angajaților în unele cazuri, creșterea gradului de conștientizare a angajaților cu privire la problemele de securitate a informațiilor și monitorizarea acestei conștientizări, precum și desfășurarea de programe de formare și dezvoltare profesională;
  • monitorizează continuu schimbările legislative și implementează cele mai bune practici în domeniul protecției datelor cu caracter personal în conformitate cu standardele de securitate cibernetică, ghidurile, recomandările autorităților de supraveghere a protecției datelor cu caracter personal și ale Information Commissioner’s Office (ICO).

Compania respectă toate politicile și procedurile pentru a asigura securitatea protecției datelor cu caracter personal, le verifică periodic relevanța și asigură revizuirea în timp util.

Verificarea periodică a terților

Toți terții implicați în prelucrarea datelor cu caracter personal sunt verificați utilizând o procedură internă reglementată de evaluare a conformității terților. În special, astfel de verificări evaluează disponibilitatea documentației relevante referitoare la prelucrarea datelor cu caracter personal, precum și disponibilitatea și eficacitatea măsurilor de securitate tehnică și organizațională implementate pentru a proteja datele cu caracter personal împotriva accesului neautorizat, pierderii sau încălcării integrității.

Transferuri sigure de date cu caracter personal

La furnizarea serviciilor, Compania poate transfera date cu caracter personal în afara Regatului Unit, de exemplu, în Statele Unite și Ucraina.

Pentru a asigura securitatea și conformitatea cu cerințele legale pentru transferul de date cu caracter personal, se efectuează o evaluare în prealabil. În plus, monitorizarea internă este efectuată periodic pentru a asigura conformitatea cerințelor și practicilor legale din Statele Unite, Ucraina și, acolo unde este necesar, din alte țări către care sunt transferate date cu caracter personal, cu standardele și practicile de protecție a datelor cu caracter personal din Marea Britanie și UE. De asemenea, măsurile de securitate luate de importatorii de date sunt verificate temeinic, în special prin semnarea documentației relevante care reglementează protecția datelor cu caracter personal.

Atunci când Compania transferă date cu caracter personal supuse UK GDPR și/sau GDPR, încheie un Acord de Prelucrare a Datelor (DPA) cu contractanții săi. Aceste acorduri încorporează mecanismele de transfer adecvate, inclusiv Clauzele Contractuale Standard ale UE (SCCs) împreună cu Addendum-ul UK (UK Addendum) sau Acordul Internațional de Transfer de Date (IDTA).

Instruire periodică

Compania organizează periodic sesiuni de instruire pentru angajații și contractanții săi privind conformitatea cu cerințele UK GDPR și GDPR, precum și protecția datelor cu caracter personal. Subiectele abordate în cadrul instruirii includ, printre altele, cerințele generale ale UK GDPR, GDPR și ale altor legi aplicabile privind protecția datelor cu caracter personal, rolurile în prelucrare, principiile prelucrării datelor cu caracter personal, temeiurile pentru prelucrare, asigurarea drepturilor persoanelor vizate și problemele legate de protecția datelor cu caracter personal.

În plus, Compania a adoptat, de asemenea, documentația necesară și a implementat măsuri adecvate pentru a asigura instruirea și conștientizarea angajaților în domeniul protecției datelor.

CONTACTELE NOASTRE

Dacă aveți întrebări suplimentare cu privire la protecția datelor cu caracter personal la BAS-IP, vă rugăm să ne contactați prin e-mail: [email protected].

Cu stimă,

BAS-IP DISTRIBUTION LTD