Integritetspolicy
SÄKERHETSPOLICY FÖR DATABEHANDLING
ÄNDAMÅL
Syftet med denna policy är att fastställa nödvändiga åtgärder och de anställdas ansvar Noumeno att uppfylla skyldigheter avseende garanti och skydd av individens grundläggande rättigheter och friheter, särskilt rätten till privatliv, familjeliv och personligt liv, i samband med behandling av personuppgifter.
OMFATTNING
Denna policy gäller alla Noumeno anställda med ansvar för behandling av personuppgifter och/eller, i tillämpliga fall, till behöriga personer.
TERMER OCH DEFINITIONER
-
ANSPDCP – Nationell tillsynsmyndighet för behandling av personuppgifter.
-
Personuppgifter – all information som rör en identifierad eller identifierbar fysisk person; en identifierbar person är en person som kan identifieras, direkt eller indirekt, med hänvisning till ett identifikationsnummer eller en eller flera faktorer som är specifika för deras fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.
-
Anonyma uppgifter – uppgifter som på grund av sitt ursprung eller den specifika behandlingsmetoden inte kan kopplas till en identifierad eller identifierbar person.
-
Kontrollant (operatör) – varje fysisk eller juridisk person, offentlig eller privat, inklusive offentliga myndigheter, institutioner och deras territoriella strukturer, som bestämmer ändamålet och medlen för behandling av personuppgifter.
-
Datasäkerhetsansvarig – den person som ansvarar för att informationsskyddssystemet som innehåller personuppgifter fungerar korrekt, samt för att utarbeta, implementera och övervaka efterlevnaden av säkerhetspolicyn för personuppgifter.
-
Behandling av personuppgifter – varje åtgärd eller serie av åtgärder som utförs på personuppgifter, oavsett om de utförs automatiserat eller manuellt, såsom insamling, registrering, organisering, lagring, anpassning, ändring, utdrag, konsultation, användning, utlämnande till tredje part genom överföring, spridning eller på annat sätt, sammankoppling, blockering, radering eller förstöring.
-
Lagring – lagring av personuppgifter på alla typer av medium.
-
Användare – varje person som agerar under den registeransvariges, behöriga persons eller ombuds överinseende, med erkända rättigheter att få tillgång till personuppgiftsdatabaser.
REFERENSDOKUMENTER
-
Lag nr 677/2001 om skydd för enskilda personer avseende behandling av personuppgifter och det fria flödet av sådana uppgifter, med senare ändringar.
-
Folkets advokats beslut nr 52/18.04.2002 om minimikrav på säkerhet för behandling av personuppgifter.
-
ANSPDCP:s beslut nr 90/18.07.2006 gällande fall där anmälan om behandling av personuppgifter inte krävs.
-
ANSPDCP:s beslut nr 100/23.11.2007 gällande fall där anmälan om behandling av personuppgifter inte krävs.
-
ANSPDCP-beslut nr 132/20.12.2011 angående behandlingsvillkoren för personnummer och andra allmänna personuppgifter.
ALLMÄNNA PRINCIPER
Noumeno har vidtagit lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot oavsiktlig eller olaglig förstörelse, förlust, ändring, avslöjande eller obehörig åtkomst. Personal som ansvarar för att lag nr 677/2001 följs har utsetts.
Åtgärder finns på plats för att säkerställa säker lagring av personuppgifter, vilket garanterar en adekvat skyddsnivå i enlighet med tillämplig lag.Organisatoriska och tekniska åtgärder fokuserar på:
-
Användaridentifiering och autentisering
-
Åtkomsttyp och rättigheter
-
Datainsamlingsförfaranden
-
Datorer och åtkomstterminaler
-
Åtkomst till loggfiler
-
Personalutbildning
SPECIFIKA FÖRFARANDEN
Användaridentifiering och autentisering
-
Åtkomst till personuppgiftssystem kräver autentisering med unika inloggningsuppgifter som erhållits under onboarding och identitetshantering.
-
Varje användare har en unik identifierare (användarnamn) som inte kan delas eller tilldelas flera personer.
-
Inaktiva konton inaktiveras och raderas efter en period som anges av Noumeno.
-
Varje konto kräver autentisering med ett lösenord. Lösenord lagras säkert, uppdateras regelbundet och maskeras vid inmatning.
-
Åtkomst blockeras automatiskt efter ett fastställt antal felaktiga autentiseringsförsök.
-
Användare är skyldiga att bevara sina inloggningsuppgifter konfidentiellt och är ansvariga inför den personuppgiftsansvarige för deras användning.
-
Auktoriserad personal hanterar kontoavstängning eller återkallelse vid uppsägning, omplacering, missbruk eller längre frånvaro.
Åtkomsttyp
Användare får endast komma åt personuppgifter som är nödvändiga för deras arbetsuppgifter. Åtkomsträttigheter bestäms av funktionalitet (administration, inmatning, bearbetning, lagring etc.) och tillåtna åtgärder (läsning, skrivning, radering), inklusive procedurer för att upprätthålla dessa begränsningar.
Datainsamling
-
Endast behörig personal får samla in och mata in personuppgifter i Noumeno system.
-
Alla dataändringar loggas med datum, tid och användar-ID. Borttagna eller ändrade data sparas för granskningsändamål.
Datorer och åtkomstterminaler
-
Terminalerna är placerade i rum med begränsat tillträde eller låsbara områden.
-
Inaktiva sessioner loggas ut automatiskt efter en förinställd period.
-
Servrar som lagrar personuppgifter nås endast med kontrollerade behörigheter.
-
Mobila lagringsenheter som innehåller personuppgifter får inte lämna lokalen utan föregående godkännande.
Åtkomstloggar
-
All åtkomst till personuppgifter loggas. Obehöriga åtkomstförsök registreras också.
-
Loggar sparas i minst två år och kan användas som bevis i utredningar.
-
Loggar möjliggör identifiering av användare som har åtkomst till data utan giltig motivering.
Personalutbildning
-
Anställda informeras om lag nr 677/2001, minimikrav för säkerhet och risker i samband med behandling av personuppgifter.
-
Användare utbildas i sekretess och får påminnelser via systemmeddelanden.
-
Användare måste logga ut när de lämnar arbetsstationer.
Dator- och datasäkerhet
Åtgärderna inkluderar:
-
Förbud mot obehörig programvara.
-
Användarmedvetenhet om risker med skadlig kod och virus.
-
Installation av antivirus-, anti-malware- och säkerhetssystem.
-
Begränsning av kopiering/utskrift av personuppgifter utanför normala affärsflöden.
Utskrift och manuell bearbetning
-
Endast behöriga användare får skriva ut personuppgifter.
-
Dokument som innehåller personuppgifter ska förvaras i låsbara skåp eller omedelbart efter användning återlämnas till behörig personal.
BEHANDLING AV IDENTIFIERBARA PERSONUPPGIFTER
-
Behandling är endast tillåten med uttryckligt samtycke, lagstadgad bestämmelse eller med ANSPDCP:s godkännande och tillräckliga skyddsåtgärder.
-
Principer: Uppgifterna måste vara relevanta, begränsade, korrekta och endast behandlas för angivna ändamål. Lagring är begränsad till vad som är absolut nödvändigt.
REGISTRERADE PERSONERS RÄTTIGHETER
Rätt till information
-
Individer måste informeras om syftet med behandlingen, rättigheter som finns enligt lag (åtkomst, rättelse, invändning) och annan information som tillsynsmyndigheterna kräver.
-
Samtycke inhämtas innan personuppgifter samlas in.
-
Anmälningsregistreringsnumret måste anges i alla dokument som samlar in, lagrar eller lämnar ut personuppgifter.
Rätt till tillgång
-
Individer kan kostnadsfritt begära bekräftelse på huruvida deras uppgifter behandlas en gång per år.
Rätt till rättelse eller radering
-
Individer kan begära rättelse, uppdatering, blockering eller radering av uppgifter som behandlats olagligt.
-
Omvandling till anonyma uppgifter är tillåten om behandlingen inte är i överensstämmelse med gällande bestämmelser.
Rätt att invända
-
Enskilda personer kan när som helst invända mot behandling av deras personuppgifter av legitima skäl. Behandlingen måste upphöra om invändningen är berättigad, utom när lagbestämmelser åsidosätter den.
Rätt till rättslig prövning
-
Registrerade kan överklaga till tillsynsmyndigheter eller domstolar för att få sina rättigheter upprätthållna och begära ersättning för skador som orsakats av olaglig databehandling.
UTLALANDE AV PERSONUPPGIFTER
-
Data kan delas med behörig personal eller offentliga/privata enheter med:
-
Uttryckligt, informerat samtycke från den registrerade; eller
-
Laglig auktorisation.
-
-
Onlineöverföringar måste garantera systemsäkerhet.
-
Registrerade som utövat rätten att invända får inte få sina uppgifter behandlade.
SLUTBESTÄMMELSER
För ytterligare information kan privatpersoner kontakta: office@noumeno.com
FÖRETAGSINFORMATION
Noumeno S.R.L.
CUI: 36407456
Handelsregister: J35/2277/2016
Webbplats: www.noumeno.com
E-post: office@noumeno.com
