Politica de securitate a prelucrarii datelor

POLITICA DE SECURITATE A PRELUCRARII DATELOR CU CARACTER PERSONAL A SOCIETATII Purchasing Training SRL-D

Prezenta politica de securitate a fost creata avand in vedere: Faptul ca SC PURCHASING TRAINING SRL –D cu sediul social in Bucuresti, str. Liviu Rebreanu, nr.46-58, bl. V, sc. G, apt. 5, sector 3, inregistrata la Oficiul Registrului Comertului sub nr. J40/4658/2015, CIF 34378214 , reprezentată de Nicoleta Alina Ionita, Director (denumita in continuare “PURCHASING TRAINING ” desfasoara o activitate care presupune procesarea unor categorii de date cu caracter personal, intrarea in vigoare incepand cu data de 25 mai 2018 a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (denumit in continuare “GDPR”), obligatia impusa de GDPR de a asigura masuri de securitate tehnice si organizatorice adecvate tuturor activitatilor de procesare a datelor cu caracter personal.

1.ANGAJAMENT

Purchasing Training prelucreaza date cu caracter personal in scopuri legitime, cu respectarea tuturor principiilor impuse de GDPR si de practicile comerciale etice. Protejarea sigurantei si securitatii datelor personale este importanta pentru Purchasing Training si aceasta politica descrie cadrul

organizatoric implementat pentru asigurarea conformitatii prelucrarii. Obiectivul principal al acestei Politici de Securitate este de a contribui la desfasurarea activitatii societatii cu respectarea prevederilor legale specifice si de a minimiza riscurile prin prevenirea incidentelor si, in cazul improbabil al unor astfel de incidente, reducerea impactului lor asupra persoanei vizate. Ne propunem sa avem o relatie bazata pe incredere, transparenta, buna-credinta si etica in relatia cu toti partenerii, colaboratorii si angajatii nostri.

2.DEFINITII

“Date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”) ; o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. „Prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, aliniere a sau combinarea, restricționarea, ștergerea sau distrugerea. „Pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură

PURCHASING TRAINING SRL-D Liviu Rebreanu 46-58, bl. V, Sc. G, Apt. 5, Bucuresti, Sector 3 CUI 34378214, J40/4658/2015 IBAN RO66 INGB 0000 9999 0495 2446, ING Bank Tel: 0040 723 302 646 Email: alina.ionita@purchasingtraining.ro www.purchasingtraining.ro

tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile. „Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern. „Persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului. „Parte terță” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal. „Destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării. „Consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate. „Restricționarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora. 3.PRINCIPIILE POLITICII DE SECURITATE Purchasing Training proceseaza datele cu caracter personal cu care vine in contact cu respectarea urmatoarelor principii:

 Protejarea drepturilor si libertatilor fundamentale ale persoanelor vizate;
 Legalitate, echitate si transparenta – datele cu caracter personal sunt prelucrate cu bunacredinta si in conformitate cu dispozitiile legale in vigoare, intr-un mod echitabil si transparentfata de persoana vizata;
 Scopuri determinate, explicite si legitime –Prelucrarea datelor cu caracter personal de catrePurchasing Training se face in scopuri determinate, explicite si legitime si nu sunt prelucrateulterior intr-un mod incompatibil cu aceste scopuri;
 Temei legal–Purchasing Training se va asigura ca orice procesare a datelor cu caracterpersonal va avea un temei bine determinat, precum prevederi legale, consimtamantul persoanei vizate, executarea contractelor, interesul legitim al Purchasing Training (care nu va contraveni intereselor superioare ale persoanei vizate);
 Limitare prin raportare la scop-Purchasing Training proceseaza datele cu caracter personal numai daca sunt adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt prelucrate;
 Limitare prin raportare la timp–Purchasing Training pastreaza datele persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor in care sunt prelucrate datele;PURCHASING TRAINING SRL-D Liviu Rebreanu 46-58, bl. V, Sc. G, Apt. 5, Bucuresti, Sector 3 CUI 34378214, J40/4658/2015 IBAN RO66 INGB 0000 9999 0495 2446, ING Bank Tel: 0040 723 302 646 Email: alina.ionita@purchasingtraining.ro www.purchasingtraining.ro

 Exactitate si acuratete–Purchasing Training proceseaza date cu caracter personal intr-un mod precis si ia masuri rezonabile pentru a se asigura ca datele inexacte de care ia cunostinta sunt sterse sau rectificate;
 Securitate – Purchasing Training este dedicata asigurarii securitatii tuturor datelor cu caracter personal pe care le prelucreaza si face demersuri constante pentru a atinge acest scop,inclusiv prin instruirea angajatilor, colaboratorilor si partenerilor sai.4.CATEGORII DE PERSOANE VIZATEPurchasing Training proceseaza date cu caracter personal ale urmatoarelor categorii de persoane vizate: – angajatii si colaboratorii proprii; -angajatii partenerilor comerciali; -dupa caz, alte persoane fizice care interactioneaza cu societatea in cursul activitatii acesteia. 5.DATELE COLECTATE In functie de specificul fiecarei relatii, Purchasing Training poate procesa urmatoarele categorii de date cu privire la persoanele vizate:
-  Nume si Prenume;
-  Date de contact: adresa de e-mail;
-  Date furnizate direct prin e-mail sau prin alte modalitati de catre persoanele vizate;
-  Date colectate despre angajati sau despre colaboratori, in scopulrespectarii contractului de munca/colaborare si a prevederilor legale in domeniul muncii;

 Profile profesionale ale angajatilor clientilor realizate la solicitarea clientilor si cu acceptul persoanelor vizate. Datele cu caracter personale mentionate mai sus au caracter exemplificativ. Aceste date pot fi colectate din urmatoarele surse: -de la clientii Purchasing Training; -din contracte si documente auxiliare acestora, inclusiv in executarea relatiilor de munca/colaborare; -ca urmare a furnizarii acestora direct de catre persoana vizata –cu obtinerea consimtamantului in cazurile prevazute de lege; -ca urmare a interactiunii angajatilor/colaboratorilor nostri cu persoanele vizate (e.g. carti de vizita, liste de prezenta la evenimente); -din surse publice; 6.SCOPURILE SI TEMEIURILE PRELUCRARII Purchasing Training este o companie de training si consultanta in domeniul achizitiilor private. Procesele de transformare organizationala prin care trec clientii nostri sunt intotdeauna măsurate prin rezultate concrete. Cerintele partenerilor nostri sunt diverse si complexe. Unele tin de dezvoltarea unor competente sau atitudini pentru angajati. Altele de strategie, procese si abilitatea concreta de implementare. Astfel, colectam date cu caracter personal in urmatoarele scopuri: a)oferirea de training si consultanta catre clientii nostri, persoane juridice, pentru personalul acestora; b)Promovarea produselor si serviciilor grupului Purchasing Training; c)Executarea contractelor cu furnizorii si partenerii; d)In procesul de recrutare si gestionare a angajatilor/colaboratorilor nostri, sau,ocazional, pentru clienti; Colectam date cu caracter personal in urmatoarele temeiuri: a)Executarea contractelor. Societatea noastra ofera servicii aproape in exclusivitate catre persoane juridice, procesand astfel date cu caracter personal in executarea contractelor cu acestia; PURCHASING TRAINING SRL-D Liviu Rebreanu 46-58, bl. V, Sc. G, Apt. 5, Bucuresti, Sector 3 CUI 34378214, J40/4658/2015 IBAN RO66 INGB 0000 9999 0495 2446, ING Bank Tel: 0040 723 302 646 Email: alina.ionita@purchasingtraining.ro www.purchasingtraining.ro

b) Consimtamantul persoanelor vizate. In unele cazuri, consimtamantul va fi considerat acordat prin faptul ca persoana vizata va avea initiativa transmiterii unor date cu caracter personal catre noi, de exemplu, in cazul contactarii societatii din proprie initiativa de catre persoana vizata prin intermediul adresei de e-mail a Purchasing Training; c)Indeplinirea unor obligatii legale; d)Indeplinirea intereselor legitime ale Purchasing Training care nu se vor opune drepturilor superioare ale persoanei vizate. 7.DESTINATARI Unul dintre partenerii nostri este localizat in afara Uniunii Europene. Oferim clientilor nostri servicii integrate care presupun si un transfer al date lor cu caracter personal catre acest partener. Mai jos se regasesc date despre partenerul nostru din afara Uniunii Europene cu care colaboram pentru oferirea serviciilor Purchasing Training: A)Aweber – platforma de e-mail marketing fondata in anul 1998 cu o baza de peste 100.000 clienti activi, locata in USA. Purchasing Training si partenerul sau non-UE doresc conformarea cu GDPR si asigurarea unui inalt grad de protectie datelor cu caracter personal. Pe langa masurile de securitate tehnice pe care le implementeaza partenerii nostri, exista o documentare corespunzatoare constand in clauze contractuale tip care asigura un nivel de protectie adecvat.Purchasing Training nu vinde, nu ofera si nu pune la dispozitia tertilor in interes comercial datele cu caracter personal pe care le prelucreaza.De asemenea, date cu caracter personal se pot transmite autoritatilor publice, in temeiul legii (de exemplu, catre Ministerul Educatiei), precum si partenerilor nostri contractuali cu care colaboram pentru furnizarea serviciilor catre clientii nostri si de care ne asiguram ca vor implementa masuri adecvate privind securitatea datelor cu caracter personal. Informațiile persoanelor vizate pot fi stocate într-o bază de date din Uniunea Europeana (UE) sau din afara UE, cu respectarea garantiilor de securitate amintite mai sus. Purchasing Training isi asuma respectarea confidențialitatii informațiilor personale procesate. Purchasing Training, direct sau prin împuterniciții săi, va procesa datele, iar aceste date pot fi accesibile și folosite numai de către alte companii din grupul Purchasing Training, direct sau prin împuterniciții acestora, precum şi de către partenerii contractuali ai operatorului, direct sau prin împuterniciţii acestuia.In cazul in care se solicita Purchasing Training dezvăluirea informațiilor persoanelor vizate printr-un ordin judecătoresc sau pentru a se conforma altor cerințe legale sau de reglementare, societatea va da curs acestor solicitari in conformitate cu prevederile legale in vigoare. 8.DREPTURILE PERSOANELOR VIZATE Conform GDPR, toate persoanele fizice carora le prelucram date cu caracter personal au drepturi specifice, printre care mentionam: a)Dreptul la informare: dreptul de a afla ce date sunt procesate, scopurile si temeiurile prelucrarii, destinatarii datelor, perioada de stocare, existenta drepturilor persoanelor vizate, dreptul de a se adresa autoritatii de supraveghere etc.; b)Dreptul de acces: dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care privesc și, în caz afirmativ, acces la datele respective și la informații privind prelucrarea detaliate anterior; c)Dreptul la rectificare: dreptul de a obtine corectarea datelor inexacte sau completarea datelor lipsa; d)Dreptul la stergerea datelor: dreptul de a solicita stergerea datelor procesate, in situatiile prevazute de lege; PURCHASING TRAINING SRL-D Liviu Rebreanu 46-58, bl. V, Sc. G, Apt. 5, Bucuresti, Sector 3 CUI 34378214, J40/4658/2015 IBAN RO66 INGB 0000 9999 0495 2446, ING Bank Tel: 0040 723 302 646 Email: alina.ionita@purchasingtraining.ro www.purchasingtraining.ro

e)Dreptul de a solicita restrictionarea prelucrarii , in limitele prevazute de lege. f)Alte drepturi care pot fi exercitate in limitele prevazute de lege: dreptul la portabilitatea datelor, dreptul de a obiecta la prelucrarea datelor, dreptul de a se opune proceselor decizionale automate, dreptul de a se adresa autoritatilor competente cu solicitari privind prelucrarile efectuate de Purchasing Training etc. 9.SECURITATEA DATELOR COLECTATE In conformitate cu prevederile legale in vigoare si cu stadiul actual al tehnologiei, Purchasing Training a implementat masuri tehnice si organizatorice adecvate pentru asigurarea securitatii datelor cu caracter personal in decursul activitatii noastre, conform regulilor detaliate mai jos. In activitatea noastra urmarim in primul rand prevenirea oricaror incidente de securitate, precum acces neautorizat la date, scurgeri de informatii, stergere accidentala a datelor si altele asemenea, intreaga structura a prelucrarilor de date fiind construita in jurul principiului preventiei. Totusi, avand in vedere ca in societatea informationala securitatea prelucrarilor nu poate fi 100% garantata, Purchasing Training a luat, de asemenea, masuri ca, in cazul improbabil in care apar incidente de securitate, intinderea si gravitatea acestora sa fie diminuate. Avand in vedere ca unele dintre informatiile colectate pot avea caracter sensibil (de exemplu, profilele profesionale si cele privind preferintele profesionale ale angajatilor clientilor nostri despre care ni se solicita realizarea unor astfel de informatii), ne asumam impunerea unor standarde suplimentare de securitate pentru aceste informatii. 10.REGULI GENERALE Pentru a asigura protectia adecvata a datelor cu caracter personal la care Purchasing Training are acces, am implementat masuri organizatorice si tehnice, precum: a)Semnarea unor documente suplimentare cu angajatii, colaboratorii si partenerii nostri pentru asigurarea confidentialitatii datelor cu caracter personal la care au acces cel putin la un nivel similar cu cel impus de compania noastra. b)Implementarea unor masuri de securitate fizice cu privire la documentele care contin date cu caracter personal, cum ar fi, de exemplu, stocarea documentelor in dulapuri la care are acces doar personalul autorizat, implementarea unor sisteme de acces restrictionat (de exemplu, chei, carduri de acces) exclusiv pentru persoanele care justifica un interes pentru accesul respectivelor date. c)Implementarea unor masuri de securitate in ceea ce priveste sistemele informatice, cum ar fi, de exemplu, asigurarea ca toate echipamentele noastre dispun de programe de securitate corespunzatoare, asigurarea unor copii de rezerva etc. d)Implementarea unor programe de instruire a personalului cu privire la cerintele GDPR. 11.REGULI SPECIFICE Purchasing Training a implementat urmatoarele reguli specifice pentru protectia datelor cu caracter personal: a)Reguli de securitate tehnica i.Interzicerea folosirii de catre utilizatorii de sisteme a unor programe software nelicentiate sau care provin din surse nesigure; ii.Implementarea unui sistem de autentificare bazat pe user si parole securizate, unice pentru fiecare utilizator autorizat; astfel, pe de o parte se impiedica accesul tertilor la terminale / bazele de date si, pe de alta parte, la introducerea gresita a userului / parolei de un anumit numar de ori, sistemul se blocheaza automat, conform procedurilor tehnice interne; iii.Implementarea unor masuri de securitate adecvate ale echipamentelor IT si software-ului utilizat in activitatea noastra, dupa cum urmeaza: informarea utilizatorilor in privinta pericolului privind virusii informatici; PURCHASING TRAINING SRL-D Liviu Rebreanu 46-58, bl. V, Sc. G, Apt. 5, Bucuresti, Sector 3 CUI 34378214, J40/4658/2015 IBAN RO66 INGB 0000 9999 0495 2446, ING Bank Tel: 0040 723 302 646 Email: alina.ionita@purchasingtraining.ro www.purchasingtraining.ro

implementarea unor software-uri de protectie adecvate pe terminalele utilizate, precum programe antivirus si informarea salariatilor asupra obligativitatii de scanare periodica a sistemelor pentru prevenire a oricaror programe neautorizate (e.g. malware, phishing) sau, dupa caz, implementarea unor sisteme automate de devirusare si de securitate a sistemelor informatice;

dezactivarea pe cat posibil a tastei “Print screen”, atunci cand sunt afisate pe monitor date cu caracter personal, limitandu-se astfel posibilitatea de scoatere la imprimanta a acestora de catre alti utilizatori decat aceia autorizati in acest sens; limitarea drepturilor de printare, prin implementarea unor sisteme bazate pe user / parola; monitorizarea accesului la baza de date si logarea accesului si a parcursului utilizatorului; schimbarea periodica a parolelor de acces la baza de date si la sistemele

informatice; obligatia angajatilor de a securiza accesul in terminalele proprii atunci cand nule utilizeaza si de a inchide terminalele la finalul programului de munca; limitarea drepturilor de acces la bazele de date de la distanta (i.e. din afara firmei) / cu utilizarea altor dispozitive decat cele puse la dispozitie de societate. b)Reguli de securitate organizatorica i.Limitarea numarului de destinatari / utilizatori care au acces la datele cu caracter personal si corelarea drepturilor de acces cu necesitatea justificata de fiecare utilizator – e.g. prin impartirea pe arii geografice a informatiilor despre persoanele vizate, prin transmiterea catre imputerniciti doar a datelor necesare pentru executarea contractului etc.; ii.Introducerea unor conditii si obligatii de confidentialitate si protectie a datelor cu caracter personal suplimentare pentru angajati, colaboratori, furnizori si parteneri; iii.Introducerea unor reguli specifice privind copierea si diseminarea documentelor pentru a preveni raspandirea si accesul unor persoane neautorizate la datele cu caracter personal; iv.Introducerea unor reguli prin care angajatii, colaboratorii si partenerii nostri au acces numai la acele date cu caracter personal necesare indeplinirii fisei postului sau, dupa caz, a obligatiilor asumate fata de Purchasing Training; v.Monitorizarea accesului in spatiile unde sunt stocate documentele care contin date cu caracter personal sau echipamentele pe care sunt stocate aceste date; vi.Instalarea unor sisteme de asigurare a securitatii fizice a documentelor care cuprind date cu caracter personal vii.Realizarea unor copii de siguranta ale datelor stocate; viii.Restrictionarea accesului persoanelor neautorizate in spatiile unde sunt stocate datele cu caracter personal sau echipamentele pe care acestea sunt stocate, decat cu asigurarea unor conditii de confidentialitate corespunzatoare; ix.Interzicerea copierii datelor cu caracter personal pe medii de stocare mobile, fara acordul prealabil al conducerii societatii, cu exceptia situatiei cand aceasta este necesara pentru indeplinirea unor obligatii asumate contractual fata de clienti; x.Asigurarea instruirii periodice a personalului cu privire la cerintele GDPR, precum si cele de securitate si riscurile privind datele cu caracter personal.

12.DISPOZITII FINALE

Pentru mai multe detalii, informatii si solicitari orice persoana interesata se poate adresa printr-un e- mail la adresa dedicata office@purchasing training.ro, prin telefon la numarul 0720.035.212 sau direct la sediul nostru din Bucureşti, str. Liviu Rebreanu nr.46-58,sector 3. Pentru exercitarea anumitor drepturi ne rezervam dreptul de a solicita ca cererea sa fie depusa in scris, semnata de persoana vizata si ca solicitantul sa prezinte dovezi suficiente de identificare cu persoana vizata (care exercita dreptul conferit de lege).