Politica de stocare a datelor

Politica de stocare a datelor

 

1. Scopul adoptării acestei politici

În operațiunile sale zilnice de afaceri S.C. CHRONOS EVOLUTION S.R.L. colectează și stochează informaţii ce conţin date cu caracter personal, de mai multe tipuri și în formate diferite. Importanța prelucrării, impactul de risc asupra persoanelor vizate şi a firmei și respectiv sensibilitatea acestor înregistrări este diferită.

Este important ca prelucrarea acestor date să fie protejate împotriva pierderii, distrugerii, falsificării, accesului neautorizat și eliberării neautorizate, iar o serie de mijloace de control sunt utilizate pentru a asigura acest lucru.

Societatea are, de asemenea, responsabilitatea de a se asigura că respectă toate cerințele legale, de reglementare și cele contractuale relevante privind colectarea, stocarea, recuperarea și distrugerea înregistrărilor privind datele cu caracter personal. De o importanță deosebită este Regulamentul UE privind protecția generală a datelor (GDPR) nr. 679/2016, și cerințele acestuia privind stocarea și prelucrarea datelor cu caracter personal.

Acest control se aplică tuturor sistemelor, persoanelor și proceselor care constituie sistemele informatice ale firmei, inclusiv conducerii, angajaților, furnizorilor și altor părți terțe care au acces la sistemele societății.

Politica de stocare se coroborează cu  alte documente adoptate la nivelul societății precum politicile privind confidenţialitatea şi protecția datelor.

Această politică începe prin stabilirea principiilor care trebuie respectate atunci când se are în vedere păstrarea și protecția înregistrărilor ce conţin date cu caracter personal. Subsecvent, prin politică se stabilesc tipurile de înregistrări deținute de societate și cerințele lor generale înainte de a discuta despre protecția, distrugerea și gestionarea înregistrărilor.

 

2. Principii generale

Există o serie de principii generale cheie care trebuie adoptate atunci când se ia în considerare politica de păstrare și protecție a înregistrărilor. Acestea sunt:

      Înregistrările cu privire la datele cu caracter personal trebuie să fie ținute în conformitate cu toate cerințele legale, de reglementare și contractuale aplicabile.

      Înregistrările nu trebuie păstrate mai mult decât este necesar sau decât sunt stabilite de prevederi legale aplicabile.

      Protecția înregistrărilor în ceea ce privește confidențialitatea, integritatea și disponibilitatea lor trebuie să fie în conformitate cu clasificarea lor de securitate

      Înregistrările trebuie să rămână recuperabile în conformitate cu cerințele afacerii în orice moment

      Dacă este cazul, înregistrările care conțin date cu caracter personal trebuie supuse, cât mai curând posibil, tehnicilor care împiedică identificarea unei persoane

 

3. Tipurile și categoriile de înregistrare

Pentru a ajuta la definirea principiilor  pentru păstrarea și protecția înregistrărilor, înregistrările deținute de societate sunt grupate în categoriile enumerate în tabelul nr. 1.

Pentru fiecare dintre aceste categorii,  se stabilește, perioada de păstrare necesară și recomandată și mediile de stocare admise, împreună cu un motiv pentru recomandare sau cerință.

Aceste categorii sunt recomandabile și pot exista circumstanțe specifice în care înregistrările trebuie să fie păstrate pentru o perioadă mai lungă sau mai scurtă de timp. Aceasta ar trebui stabilite de la caz la caz ca parte a proiectării elementelor de securitate a informațiilor cu privire la procese și servicii noi sau modificate în mod semnificativ.

În acest sens, în politica de confidențialitate, actele adiționale la contracte, modificările Regulamentului Intern, fișe de consimțământ vor fi trecute întotdeauna perioadele de stocare aferente fiecărui tip de date în funcție de natura acestuia și temeiul juridic al prelucrării.

Tabelul 1 - Tipurile de înregistrări și perioadele de păstrare

Departamentul

Descrierea documentelor

Perioada de reținere

Temeiul juridic de prelucrare

Tipul de stocare

Contabilitate

a. Facturi, comenzi de achiziții, devize, conturi bancare ale terţilor și alte înregistrări şi documente financiar contabile

5 ani

Legea contabilității 82/1991

Format fizic și/sau pe suport electronic

b. Chitanțe, liste de inventariere, ordine de deplasare, angajamente de plată, dispoziţii de plată/încasare către casierie, deconturi cheltuieli

5 ani

Ordinul 2634/2015 privind documentele financiar contabile

Format fizic și/sau pe suport electronic

Datele colectate în scopul recrutării

Date cuprinse in CV, adresa email, număr telefon, fotografii ale angajaţilor

 

Pe o perioadă de  maxim 2 ani de la momentul colectării acestor date.

 

Consimțământul angajaților sau potențialilor angajați.

Format fizic şi/sau suport electronic

 

Datele colectate de la angajaţi în scopul încheierii şi executării CIM

a. Nume, prenume, CNP, date act identitate, domiciliu, date medicale, date copii sau persoane aflate în întreţinere, copii ale diplomelor de studii, foi matricole, copii ale documentelor care atesta starea civilă, fișe de aptitudini medicina muncii, traseul de la domiciliu la birou, cont IBAN, alte documente necesare întocmirii dosarului de personal şi pentru plata salariilor

 

 

b. State de plată

 

 

 

c. Fotografii ale angajaţilor

75 de ani

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

50 de ani

 

 

 

Pe durata desfăşurării contractului de muncă

Raportul contractul, respectiv respectarea prevederilor legale

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Legea 82/1991

 

 

Consimțământul angajaților

Format fizic şi/sau suport electronic

 

 

 

 

 

 

 

 

 

 

 

Format fizic și/sau pe suport electronic

 

Format electronic

Clienți/Parteneri contractuali

Datele de contact ale reprezentanţilor şi a persoanelor de contact

5 ani, respectiv 3 ani de la momentul ultimei tranzacții

Legea contabilității și Codul Civil

Format fizic şi/sau suport electronic

 

4. Utilizarea criptografiei

Dacă este cazul, pentru clasificarea informațiilor și a mediului de stocare, trebuie utilizate tehnici criptografice pentru a asigura confidențialitatea și integritatea înregistrărilor.

Trebuie să se țină seama de faptul că cheile de criptare utilizate pentru criptarea înregistrărilor sunt stocate în siguranță pentru durata de viață a înregistrărilor relevante și respectă politica organizației în domeniul criptografiei.

5. Selecția mediilor de stocare

Alegerea mediilor de stocare pe termen lung trebuie să țină seama de caracteristicile fizice ale mediului și de durata de utilizare a acestuia.

În cazul în care înregistrările sunt obligatorii din punct de vedere legal (sau practic) pentru a fi stocate pe hârtie, trebuie luate măsuri de precauție adecvate pentru a se asigura că condițiile de mediu rămân adecvate pentru tipul de hârtie utilizat. Atunci când este posibil, ar trebui luate copii de rezervă prin metode cum ar fi scanarea sau microfilm.

Se vor efectua controale regulate pentru a evalua rata de deteriorare a documentelor și acțiunile întreprinse pentru păstrarea înregistrărilor, dacă este necesar.

Ar putea fi contactate servicii specializate externe pentru arhivarea documentelor.

Totodată, trebuie menținută capacitatea de a citi conținutul unui anumit format, prin păstrarea datelor pe un dispozitiv care are abilitatea să păstreze aceste date. Dacă acest lucru nu este posibil, pot fi contactate servicii specializate externe pentru suport tehnic.

6. Recuperarea înregistrărilor

Alegerea și întreținerea procedurilor de stocare a înregistrărilor trebuie să garanteze că înregistrările pot fi stocate într-un format utilizabil într-o perioadă de timp acceptabilă. Trebuie stabilit un echilibru adecvat între costul stocării și viteza de recuperare, astfel încât circumstanțele cele mai probabile să fie asigurate în mod adecvat.

7. Distrugerea înregistrărilor

Odată ce înregistrările au ajuns la sfârșitul vieții lor în conformitate cu politica de stocare, acestea trebuie să fie distruse în siguranță într-o manieră care să asigure că nu mai pot fi folosite. Procedura de distrugere trebuie să permită înregistrarea detaliilor de eliminare și această dovadă ar trebui să fie păstrată.

8. Revizuirea înregistrărilor

Reținerea și stocarea înregistrărilor trebuie să facă obiectul unui proces de revizuire periodic efectuat sub îndrumarea conducerii societății, pentru a se asigura că:

      Înregistrările sunt păstrate conform politicii de stocare

      Înregistrările sunt eliminate în siguranță atunci când nu mai sunt necesare

      Sunt îndeplinite cerințele legale, de reglementare și contractuale

      Procesele de recuperare a înregistrărilor îndeplinesc cerințele afacerii

Rezultatele acestor revizuiri periodice ar trebuie înregistrate separat într-un raport intern.