1. Dreptul de informare – dreptul de a primi informații clare și inteligibile

Drepturile persoanei vizate: Printre informaţiile ce trebuie oferite se numără, potrivit art. 13 şi art. 14 din GDPR:

• identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia;
• scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării;
• destinatarii sau categoriile de destinatari ai datelor cu caracter personal.
• perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă.

2. Dreptul de acces la datele cu caracter personal (prevăzut expres în art. 15 din GDPR);

    Componente ale dreptului:

• posibilitatea persoanei vizate de a obţine o confirmare din partea operatorului referitor la efectuarea sau nu a unor operaţiuni de prelucrare cu privire la datele sale personale;
• în cazul în care sunt efectuate operaţiuni de prelucrare, acces la datele respective şi la o serie de informaţii (ex. scopurile prelucrării; destinatarii sau categoriile de destinatari cărora datele le-au fost sau urmează să le fie divulgate; categoriile de date cu caracter personal vizate; acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau criteriile utilizate pentru a stabili această perioadă, după caz; existența drepturilor specifice; orice informații disponibile privind sursa datelor, dacă este cazul; existența unui proces decizional automatizat, incluzând crearea de profiluri și informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată; dacă și către ce state terțe ori organizații internaționale, din afara UE/SEE sunt transferate datele) – art. 15 alin. (1) GDPR;
• posibilitatea persoanei vizate de a obţine de la operator o copie a datelor personale prelucrate – art. 15 alin. (2) GDPR.

3. Dreptul de rectificare şi ştergere a datelor (cunoscut şi sub denumirea de “dreptul de a fi uitat) – art. 17 GDPR;

Conferă persoanei vizate posibilitatea de a obţine ştergerea datelor care o privesc, fără nicio întârziere, în situaţia în care este aplicabil oricare dintre cazurile menţionate în art. 17 alin. (1) GDPR şi nu sunt incidente prevederile art. 17 alin. (3) GDPR.

Potrivit “Dreptului de a fi uitat” – persoanele fizice pot cere ştergerea datelor personale dacă acestea au fost prelucrate ilegal; dacă persoana vizată își retrage consimţământul pe baza căruia are loc prelucrarea, și nu există niciun alt temei juridic pentru prelucrarea acestora; dacă persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în scopuri de marketing direct sau dacă datele nu mai sunt necesare pentru îndeplinirea scopului/scopurilor pentru care au fost colectate sau prelucrate iniţial.

În cazul dreptului de a fi uitat, este avută în vedere în special prelucrarea datelor în mediul on-line.

Dreptul de a fi uitat nu este unul absolut – vor fi analizate întotdeauna circumstanţele specifice fiecărui caz în parte.

Regulamentul permite păstrarea în continuare a datelor cu caracter personal în cazul în care acestea sunt necesare pentru exercitarea dreptului la liberă exprimare şi a dreptului la informare; pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este investit operatorul; din motive de interes public în domeniul sănătăţii publice; în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în măsura în care ștergerea este susceptibilă să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective; sau pentru constatarea, exercitarea sau apărarea unui drept în instanţă.

4. Dreptul la restricţionarea prelucrării datelor (drept cu caracter de noutate, introdus prin art. 18 GDPR);

    Restricționarea se aplică atunci când:

1. persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
2. prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor;
3. operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept îninstanţă; sau
4. persoana vizată s-a opus prelucrării, pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.

5. Dreptul la portabilitatea datelor (Drept cu caracter de noutate, reglementat expres în art. 20 GDPR);

Oferă posibilitatea persoanei fizice de a cere să se transmită datele la un alt operator sau de a primi datele personale care o privesc şi pe care le-a furnizat operatorului.

Operatorul de date trebuie să ofere datele solicitate într-un format accesibil/structurat, utilizat în mod curent, prelucrabil automat şi interoperabil, tocmai pentru ca şi un alt operator de date să le poată prelucra ulterior. Transmiterea unor astfel de date se realizează prin mijloace automate (nu în formă fizică / hârtie, ci prin orice mijloace automatizate).

Dreptul la portabilitatea datelor este aplicabil în măsura în care persoana vizată a oferit operatorului datele personale, iar acesta le prelucrează în baza consimţământului sau în executarea unui contract la care persoana vizată este parte.

Nu se va putea exercita dreptul la portabilitatea datelor în cazul operatorilor de date care prelucrează datele persoanelor fizice în cadrul exercitării funcţiilor lor publice, în cazul în care prelucrarea este necesară în vederea respectării unei obligaţii legale căreia îi este supus operatorul ori în cazul îndeplinirii unei sarcini care serveşte unui interes public sau care rezultă din exercitarea unei autorităţi publice cu care este învestit operatorul de date.

În exercitarea dreptului la portabilitatea datelor, nu trebuie aduse atingeri drepturilor și libertăților altor persoane – spre exemplu cazul unui set de date care priveşte mai multe persoane sau dreptul altei persoane de a obţine ştergerea datelor care o privesc.

Atunci când se exercită dreptul la portabilitatea datelor, operatorul de date poate transmite datele personale direct altui operator de date ales de persoana vizată, acolo unde acest lucru este fezabil din punct de vedere tehnic.

Portarea în GDPR nu este văzută similar cu portarea numerelor de telefon, adică o schimbare totală a furnizorului, ci pur și simplu ca o modalitatea de transfer de date, inclusiv între servicii neechivalente (de exemplu, de la un furnizor de cloud la o soluție de analiză a informaţiilor).

6. Dreptul de opoziţie la prelucrarea datelor (reglementat în mod expres prin art. 21 GDPR);

    Constă, în sens larg, în posibilitatea persoanei vizate de a se opune prelucrării datelor sale cu caracter personal.

    Operatorul de date poate continua totuşi prelucrarea, însă doar dacă “demonstrează că are motive legitime şi imperioase care justifică prelucrarea şi care prevalează asupra intereselor, drepturilor şi libertăţilor persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanţă”.

    Persoanele vizate pot să se opună oricând la prelucrarea datelor lor cu caracter personal:

– din motive legate de situația particulară în care se află, inclusiv creării de profiluri.

– fără motive și justificare, în cazul prelucrării datelor în scopuri de marketing direct.

    Operatorul nu mai poate prelucra datele cu caracter personal în cazul opunerii, cu excepția cazului în care demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul prelucrării este constatarea, exercitarea sau apărarea unui drept în instanță.

7. Dreptul de a nu fi subiect al unei decizii individuale automate, inclusiv crearea de profiluri (Reglementat expres în art. 22 GDPR).

    Art. 22 alin. (1) GDPR: “Persoana vizată are dreptul de a nu face obiectul unei decizii bazate, exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă”, cu excepţia cazului în care este incidentă oricare dintre excepţiile menţionate în art. 22 alin. (2) GDPR – ex. când decizia e necesară pentru încheierea unui contract, este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului, ori atunci când are la bază consimţământul explicit al persoanei vizate.

    În concluzie, drepturile persoanei vizate fizice în legătură cu prelucrarea datelor personale, sunt:

Dreptul de acces – dreptul de a obține din partea Operatorului o confirmare dacă se prelucrează sau nu date cu caracter personal care vă privesc și, în caz afirmativ, aveți acces la datele respective;

Dreptul la rectificare – dreptul de a obține de la Operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care vă privesc, precum şi completarea datelor care sunt incomplete;

Dreptul la ştergerea datelor – “Dreptul de a fi uitat” – în situaţiile reglementate expres de lege, în special în cazul în care vă retrageţi consimţământul aveți dreptul de a obține din partea Operatorului ștergerea datelor cu caracter personal care vă privesc;

Dreptul la restricţionarea prelucrării – dreptul de a obține din partea Operatorului restricționarea prelucrării datelor în anumite situaţii reglementate expres de lege, în special în cazul în care contestaţi exactitatea acestora sau în cazul în care prelucrarea este ilegală;

Dreptul la portabilitatea datelor – dreptul de a primi datele cu caracter personal care vă privesc și pe care le-ați furnizat Operatorului pentru a fi transmise altui operator;

Dreptul la opoziţie – dreptul de a vă opune, din motive legate de situația particulară în care vă aflați, prelucrării datelor cu caracter personal care vă privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții;

Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată – dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care vă afectează într-o măsură semnificativă.

Acesta a fost articolul despre drepturile persoanei vizate. Pentru alte detalii despre legislatia privind GDPR, va rugam accesati blogul nostru: Blog GDPR
Un ofiter de protectia datelor profesionist o sa va ajute.

The post Drepturile persoanei vizate appeared first on Evaluator - analiza de risc la securitatea fizica - Responsabil GDPR.

1. Conştientizarea

Primii pasi spre conformarea cu GDPR. La nivel de organizație conștientizarea vizează toți factorii de conducere și departamentele direct implicate în procesarea datelor cu caracter personal.

De ce este importantă conștientizarea importanței GDPR? Pentru că, deși cele mai multe componente ale GDPR se regăsesc și în legislația actuală, noua reglementare europeană vine cu o serie de noi prevederi care pot schimba dramatic cursul firesc al unui business, în cazul în care nu sunt tratate cu toată considerația.

Procedura de conștientizare trebuie să înceapă cu conștientizarea echipei de implementare GDPR, sens în care trebuiesc abordate o serie de proceduri, ca de exemplu:

• plan coerent de discuții, înțelegere și interpretare a prevederilor GDPR în funcție de profilul și mărimea companiei;
• prezentări de conștientizare cu șefii de departamente și la nivelul fiecărui departament direct implicat în procesarea datelor personale;
• fiecare membru al echipei de implementare trebuie să înțeleagă rolul său individual și colectiv pentru bunul mers al lucrurilor;
• indiferent de departament, vechime și pregătire, toți membrii echipei de implementare GDPR trebuie să vorbească aceeași limbă și să participe la elaborarea și urmărirea planului comun de acțiune.

Este necesar ca operatorul să se asigure că factorii de decizie şi persoanele cheie din organizaţie sunt conştienţi ca legile în vigoare cu privire la protecţia datelor s-au modificat odată cu intrarea în vigoare a noului regulament GDPR. Ei trebuie să fie conştienţi de impactul pe care îl va avea această modificare şi să identifice ariile de activitate care pot crea probleme în ceea ce priveşte conformitatea cu noul Regulament. De asemenea este nevoie de conștientizarea riscurilor asociate cu penalitățile extrem de severe prevăzute pentru neconformare.

Este deosebit de util să se aibă în vedere registrul de riscuri al companiei, dacă acesta există, de asemenea implementarea GDPR, poate avea implicaţii deosebite cu privire la resursele umane, în special în companiile mari şi organizaţiile complexe.

Una dintre cerinţele GDPR este de înregistrare a activităţilor de prelucrare de date. De asemenea, dacă se constată că unele date personale sunt inexacte şi acestea au fost distribuite unei alte organizaţii, este obligatoriu să se comunice această situaţie organizaţiei respective, pentru ca să îşi corecteze informaţia.

Nu se poate face acest lucru în lipsa unei evidențe a activităților de prelucrare (cartografiere). Toate aceste informaţii trebuie documentate astfel încât să se poată dovedi conformitatea cu cerinţele din noul regulament ţinând cont de principiul responsabilităţii, de exemplu prin crearea de politici şi proceduri.

2. Cartografierea datelor cu caracter personal și evidența datelor prelucrate

Primul pas, considerat critic pentru o organizație sau companie, este și cel mai important pentru conformarea cu GDPR. Practic, acest proces constă în capabilitatea de a obține o concepție holistică despre locul în care se află toate datele personale deținute și de a le putea identifica imediat. Acest lucru poate fi făcut prin realizarea unei cartografieri a datelor, prin care să înţelegem cine are acces la acestea, cât timp sunt păstrate sau ce spaţiu ocupă pe diferite sisteme de stocare și, în sfârșit, modalitatea în care sunt mutate sau copiate pe diferite platforme cu scopul de a îmbunătăți managementul acestora. Această hartă este “cheia” pentru a înțelege modul în care organizația gestionează și procesează datele personale. Este prevăzută de art. 30 din Regulament și presupune păstrarea unei evidențe a activităților de prelucrare desfășurate sub responsabilitatea operatorului, care să cuprindă anumite informații, ce se regăsesc la alin. 1 lit. a-g ale aceluiași articol.

Pentru fiecare scop al prelucrării de date cu caracter personal, cartografierea va trebui să cuprindă, cel puţin, următoarele informaţii:

Cine?

Se înscriu în evidență numele și coordonatele operatorului și ale reprezentantului său legal și, după caz, ale responsabilului cu protecția datelor. Se întocmește lista persoanelor împuternicite; de asemenea se descriu categoriile de persoane vizate;

Ce?

Se identifică categoriile de date cu caracter personal prelucrate. Se identifică datele susceptibile de a prezenta riscuri datorită naturii lor sensibile deosebite cum ar fi sănătatea sau infracțiunile;

De ce?

Se precizează scopul sau scopurile în care sunt colectate sau prelucrate datele cu caracter personal (de exemplu: gestionarea relației comerciale, managementul resurselor umane, geo-localizare, video-supraveghere etc.);

Cui?

Se menționează categoriile de destinatari cărora le-au fost sau le vor fi divulgate date cu caracter personal: autorităţi, bănci etc. Dacă este cazul, transferurile de date către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective;

Unde?

Se stabilește locația sistemului de evidență și, dacă este cazul, destinatarii datelor, statele către care sunt eventual transferate datele;

Până când?

Se precizează pentru fiecare categorie de date termene-limită preconizate pentru ştergere perioada de stocare);

Cum?

Se precizează măsurile tehnice şi organizatorice de securitate implementate pentru a reduce la minimum riscurile de acces neautorizat la date și, în consecință, impactul asupra vieții private a persoanelor vizate. Alin. 2 al art. 30 prevede că trebuie păstrată și o evidență a tuturor categoriilor de activități de prelucrare, inclusiv cele făcute prin persoană împuternicită. Din aceste texte rezultă că operatorul de date cu caracter personal, nu păstrează doar evidența datelor pe care le operează în mod direct, ci și evidența datelor pe care le operează împuternicitul său, un colaborator sau furnizor de servicii care are acces la datele ce intră în posesia operatorului.

Ținerea acestor evidențe este obligatorie pentru companiile cu mai mult de 250 de angajați, dar și pentru cele la care prelucrarea datelor este susceptibilă să genereze un risc ridicat pentru drepturile persoanelor vizate, precum este obligatorie și pentru cele pentru care prelucrarea nu este ocazională sau care include categorii speciale de date sau date referitoare la condamnări penale și infracțiuni. Evidențele se vor redacta în scris, precum și în format electronic și se vor pune la dispoziția Autorității de Supraveghere la cererea acesteia, conform art. 30 alin. 4 din Regulament.

3. Maparea fluxurilor de date

Pentru o identificare eficientă a riscurilor asociate procesărilor de date personale, trebuie să documentăm ce fel de date personale deținem, de unde le avem și cu cine le partajăm. Printr-un audit desfășurat la nivelul întregii organizații sau doar pentru anumite linii de business se pot lămuri aceste aspecte. Maparea este procesul de identificare a modelului de circulație a datelor folosit la determinarea tipurilor de date personale procesate de operator.

După ce am identificat poziția pe care o deține operatorul în fiecare dintre procesele de business ce implică prelucrări de date personale și am stabilit acțiunile care trebuie întreprinse pentru conformarea la cerințele impuse de GDPR, trebuie să prioritizăm aceste acțiuni în funcție de riscurile pe care le prezintă prelucrările efectuate pentru drepturile și libertățile persoanelor vizate.

Indiferent de tipul de prelucrări efectuate, trebuie să avem în vedere câteva aspecte precum:

• colectarea și prelucrarea doar a datelor strict necesare pentru realizarea scopurilor;
• identificarea temeiului legal în baza căruia se efectuează prelucrarea, raportat la art. 6 din Regulamentul general privind protecția datelor (ex. consimțământul persoanelor vizate, contract, obligație legală);
• revizuirea/completarea informațiilor furnizate persoanelor vizate, astfel încât să se respecte cerințele articolelor 12, 13 şi 14 din GDPR;
• să ne asigurăm că procesatorii își cunosc noile obligații și responsabilități;
• verificarea clauzelor contractuale și actualizarea obligațiilor procesatorilor privind securitatea, confidențialitatea și protecția datelor cu caracter personal prelucrate;
• stabilirea modalităților de exercitare a drepturilor persoanelor vizate: ex. dreptul de acces, dreptul de rectificare, dreptul la portabilitate, retragerea consimțământului etc.;
• verificarea măsurilor de securitate implementate.

(Baza de reglementare: Ghidul orientativ (al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP) de aplicare a Regulamentului General privind Protecția Datelor destinat operatorilor).

Înțelegerea fluxurilor de date reprezintă esența conformității cu GDPR: unde sunt stocate, cum sunt administrate, cine are acces la acestea. De la început trebuie să stabilim dacă datele sunt supuse prevederilor GDPR, care este rolul operatorului, în fluxul de procesare a datelor personale și care sunt aceste date. Apoi trebuie clarificat ce anume facem cu datele personale, le procesăm la solicitarea unui operator, le înregistrăm, le structurăm și le stocăm, le adaptăm, le extragem, le ștergem etc.

Putem desena o hartă a fluxurilor de date, maparea datelor angrenate într-un proces de business este una dintre cele mai importante etape pe care trebuie să o abordăm pentru un proiect GDPR. De multe ori informații cu caracter sensibil pot scăpa accidental în afara organizației mascate într-o notă de subsol a prezentărilor interne cu caracter confidențial sau cine nu a pățit asta, în comentarii sau remarci uitate sau atașate în texte prea lungi de email.

Putem evita toate aceste neplăceri prin identificarea datelor sensibile din companie, verificarea condițiilor de stocare, realizarea unei hărți a fluxului de date și evident eliminarea datelor sensibile din locațiile neautorizate.

Ce trebuie să știm despre maparea datelor?

Pentru a efectua o mapare a datelor trebuie să înțelegem fluxul de informații pentru fiecare dintre activitățile pe care le derulăm.

Înțelegerea fluxului de informații – un flux de informații este transferul de informații de la o locație la alta, de exemplu de la un furnizor la un distribuitor apoi la un reseller iar în cele din urmă la un client;

Descrierea fluxului de informații – înseamnă o parcurgere în timpul unui ciclu de informații pentru a identifica sursele inutile sau neautorizate de acces la date care pot genera vulnerabilități. Cea mai bună măsură de precauție este limitarea acestui flux de date doar la informațiile absolut necesare și limitarea perioadei de stocare la strictul necesar;

Identificarea elementelor cheie – orice organizație trebuie să analizeze tipul de date colectate, formatul în care sunt stocate și metodele de colectare a datelor;

Locațiile de păstrare a datelor și cine are acces la aceste zone.

4. Elaborarea unui plan de asigurare

Elaborarea unui plan de asigurare a tuturor măsurilor necesare pentru îndeplinirea conformării, care să conțină:

– pregătirea aplicării efective a Regulamentului;

– obținerea resurselor financiare și umane adecvate pentru realizarea efectivă a competențelor solicitate;

– elaborarea unei Analize de impact – în cazul procesărilor de date care presupun un risc ridicat pentru viața privată a persoanelor;

– înființarea funcției Responsabil cu protecția datelor cu caracter personal / Data Protection Officer (DPO), ca funcție/persoană care răspunde de/coordonează siguranța datelor personale la nivelul Operatorului de date, acolo unde este obligatoriu sau recomandabil.

TEMEIURILE LEGALE PENTRU PRELUCRAREA DATELOR CU CARACTER PERSONAL, sunt:

 Consimțământul – prelucrarea este permisă dacă persoana vizată și-a dat consimțământul pentru prelucrare;

 Încheierea sau executarea unui contract – prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

 Îndeplinirea unei obligații legale – prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

 Interesele vitale – prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

 Interesul public – prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

 Interesul legitim – prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Acesta a fost articolul despre primii pasi spre conformarea cu GDPR. Pentru alte detalii despre legislatia privind GDPR, va rugam accesati blogul nostru: Blog GDPR
Un ofiter de protectia datelor profesionist o sa va ajute.

The post Primii pasi spre conformarea cu GDPR appeared first on Evaluator - analiza de risc la securitatea fizica - Responsabil GDPR.

Glosar GDPR

În aplicarea Regulamentului general privind protecţia datelor şi a Legii nr.190/2018, termenii şi expresiile de mai jos se definesc după cum urmează (glosar GDPR):

„GDPR”, “Regulamentul” = Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului în 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter  personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor – RGPD / General Data Protection Regulation – GDPR);

DPO = responsabilul cu protecția datelor (în limba engleză, data protection officer);

„responsabilul de protecţia datelor” înseamnă persoana din cadrul Organizatiei cu sarcini/responsabilităţi specifice privind funcţionarea corespunzătoare a sistemului de protecţie a datelor cu caracter personal, în conformitate cu prevederile GDPR precum şi elaborarea, implementarea şi monitorizarea respectării prevederilor Regulamentului GDPR;

„date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;  

„sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibil conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după anumite criterii funcţionale ori geografice;  

„prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi:

• colectarea – strângerea, adunarea ori primirea datelor cu caracter personal prin orice mijloace legale şi din orice sursă;
• înregistrarea – consemnarea datelor cu caracter personal într-un sistem de evidenţă automat ori neautomat, care poate fi registru, fişier automat, baza de date sau orice formă de evidenţă organizată, structurată ori ad-hoc sau într-un text, înşiruire de date ori document, indiferent de modalitatea în care se înscriu datele;
• organizarea – ordonarea, structurarea sau sistematizarea datelor cu caracter personal, conform unor criterii prestabilite, potrivit atribuţiilor legale ale operatorului, în scopul eficientizării/optimizării activităţilor de prelucrare a acestora;
• stocarea – păstrarea pe orice fel de suport a datelor cu caracter personal culese, inclusiv prin efectuarea copiilor de siguranţă;
• adaptarea – transformarea datelor cu caracter personal colectate iniţial, conform criteriilor prestabilite şi scopurilor pentru care au fost colectate;
• modificarea – actualizarea, completarea, schimbarea, corectarea ori refacerea datelor cu caracter personal, în scopul menţinerii caracteristicilor de exactitate, realitate, actualitate;
• extragerea – scoaterea unei părţi din categoria specifică de date cu caracter personal, în scopul utilizării acesteia, separat şi distinct de prelucrarea iniţială;
• consultarea – examinarea, vizualizarea, interogarea ori cercetarea datelor cu caracter personal, fără a fi limitate la acestea, în scopul efectuării unei operaţiuni sau set de operaţiuni de prelucrare ulterioară;
• utilizarea – folosirea datelor cu caracter personal, în tot sau în parte, de către şi în interiorul operatorului, împuterniciţilor operatorului ori destinatarului, după caz, inclusiv prin tipărire, copiere, multiplicare, scanare sau orice alte procedee similare;
• dezvăluirea/divulgarea – a face disponibile date cu caracter personal către terţi prin comunicare, transmitere, diseminare sau punerea la dispoziţie în orice alt mod;
• alăturarea – adăugarea, alipirea sau anexarea unor date cu caracter personal la cele deja existente, pe care nu le modifică;
• combinarea/alinierea – îmbinarea, unirea sau asamblarea unor date cu caracter personal separate iniţial, într-o formă nouă, pe baza unor criterii prestabilite, pentru scopuri anume determinate;
• blocarea – întreruperea prelucrării datelor cu caracter personal;
• restricţionarea – marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
• ştergerea – eliminarea sau înlăturarea, în tot sau în parte, a datelor cu caracter personal din evidenţe sau înregistrări, prin împlinirea termenului de păstrare, la atingerea scopului pentru care au fost introduse, caducitatea, inexistenţa, inexactitatea;
• transformarea – operaţiunea efectuată asupra datelor cu caracter personal având ca scop anonimizarea ori utilizarea acestora în scopuri exclusiv statistice;
• distrugerea – aducerea la stare de neîntrebuinţare, în condiţiile legii, definitivă şi irecuperabilă, prin mijloace mecanice sau termice, a suportului fizic pe care au fost prelucrate date cu caracter personal.  

„operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; în cazul în care scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau prin dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;  

„persoană împuternicită de operator/procesator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;  

„reprezentant” înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana împuternicită de operator în temeiul art. 27 din GDPR, și care reprezintă operatorul sau persoana împuternicită de operator sub aspectul obligațiilor care le revin potrivit dispozițiilor GDPR;  

„destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective este supusă normelor aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării;  

„parte terță” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism alta (altul) decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;

„utilizator” înseamnă orice persoană care acţionează sub autoritatea operatorului, a persoanei împuternicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal; are calitatea de utilizator al datelor cu caracter personal, personalul Organizației/Operatorului sau al împuternicitului acestuia ale cărei atribuţii de serviciu presupun operaţiuni de prelucrare a datelor cu caracter personal;

„consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;

„încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, ori la accesul neautorizat la acestea;  

„date genetice” înseamnă acele date cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care oferă informaţii unice privind fiziologia sau sănătatea persoanei respective şi care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză;

„date biometrice” înseamnă acele date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice de natură a permite sau confirma identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;

„date privind sănătatea” înseamnă acele date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia;

„reguli corporatiste obligatorii” înseamnă politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru UE, în ceea ce privește transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe țări terțe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună;  

„autoritate de supraveghere” este o autoritate publică independentă instituită de un stat membru UE, responsabilă de monitorizarea aplicării GDPR, în scopul protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul UE;

„autorităţi şi organisme publice” – Camera Deputaţilor şi Senatul, Administraţia Prezidenţială, Guvernul, ministerele, celelalte organe de specialitate ale administraţiei publice centrale, autorităţile şi instituţiile publice autonome, autorităţile administraţiei publice locale şi de la nivel judeţean, alte autorităţi publice, precum şi instituţiile din subordinea/coordonarea acestora. În sensul Legii nr. 190/2018, sunt asimilate autorităţilor/organismelor publice şi unităţile de cult şi asociaţiile şi fundaţiile de utilitate publică;

„număr de identificare naţional” – numărul prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care are aplicabilitate generală, cum ar fi: codul numeric personal, seria şi numărul actului de identitate, numărul paşaportului, al permisului de conducere, numărul de asigurare socială de sănătate;  

„creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea lor pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;  

„pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informaţii suplimentare, cu condiţia ca aceste informaţii suplimentare să fie stocate separat şi să facă obiectul unor măsuri de natură tehnică şi organizatorică menite a asigura neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;

„plan de remediere” – anexă la procesul-verbal de constatare şi sancţionare a contravenţiei, întocmit în condiţiile prevăzute la art. 11/Legea nr. 190/2018, prin care Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare Autoritatea naţională de supraveghere, stabileşte măsuri şi un termen de remediere;  

„măsură de remediere” – soluţie dispusă de Autoritatea naţională de supraveghere în planul de remediere în vederea îndeplinirii de către autoritatea/organismul public a obligaţiilor prevăzute de lege;

„termen de remediere” – perioada de timp de cel mult 90 de zile de la data comunicării procesului-verbal de constatare şi sancţionare a contravenţiei, în care autoritatea/organismul public are posibilitatea remedierii neregulilor constatate şi îndeplinirii obligaţiilor legale;

„îndeplinirea unei sarcini care serveşte unui interes public” – include acele activităţi ale partidelor politice sau ale organizaţiilor cetăţenilor aparţinând minorităţilor naţionale, ale organizaţiilor neguvernamentale, care servesc realizării obiectivelor prevăzute de dreptul constituţional sau de dreptul internaţional public ori funcţionării sistemului democratic, incluzând încurajarea participării cetăţenilor în procesul de luare a deciziilor şi a pregătirii politicilor publice, respectiv promovarea principiilor şi valorilor democraţiei.

Pentru informatii suplimentare va recomandam sa cititi legislatia GDPR.
https://analizariscbraila.ro/legislatie-gdpr/

The post Glosar GDPR appeared first on Evaluator - analiza de risc la securitatea fizica - Responsabil GDPR.

ACTE NORMATIVE, U.E. ŞI NAŢIONALE, CARE REGLEMENTEAZĂ PROTECŢIA DATELOR CU CARACTER PERSONAL

Regulament nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)

https://www.dataprotection.ro/?page=Regulamentul_nr_679_2016

Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

https://www.dataprotection.ro/?page=legislatie_primara&lang=ro 

Legea nr. 363 din 28 decembrie 2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date

https://www.dataprotection.ro/?page=legislatie_primara&lang=ro

Acestea sunt principalele documente din categoria legislatie gdpr.

Pentru detalii despre legislatia pentru analiza de risc, poti accesa blogul nostru oferit gratuit cu informatii actualizate:
https://analizariscbraila.ro/ce-spune-legislatia-cu-privire-la-analiza-de-risc-la-securitatea-fizica/

The post Legislatie GDPR appeared first on Evaluator - analiza de risc la securitatea fizica - Responsabil GDPR.

FRAUDA / ESCROCHERIA

-furtul greu sesizabil pentru care butonul de panică este ineficient

–partea I – FRAUDA INTERNĂ

Frauda internă

• furtul de numerar sau din cont;
• furtul de la ceilalţi angajaţi;
• neîncasarea de la prieteni, membri de familie sau complici a contravalorii produselor/serviciilor firmei;
• acceptarea de la complici a cecurilor fără acoperire;
• neemiterea bonurilor/chitanţelor pentru bunuri/servicii;
• acceptarea furturilor făcute către prieteni şi complici;
• recepţia/livrarea intenţionată cu lipsuri.

Uneori, angajatul este tentat, mai mult sau mai puţin, sa producă fraudă, dacă:

• crede că nu este o infracţiune, deoarece:
  • observă că nu este verificat;
  • observă că şi alţii fac la fel;
  • consideră că prin asta nu face rău nimănui.
• o consideră ca o justificare pentru că:
  • este amânat de la promovare;
  • nu este remunerat corespunzător muncii prestate;
  • este tratat nedrept în comparaţie cu colegii săi;
  • asupra lui au fost luate măsuri disciplinare;
  • are resentimente la lipsa de apreciere a muncii sale.

• furt, reducerea sau epuizarea stocului de marfă/produse sau valori;
• pierderi de numerar sau titluri de valoare;
• pierderi de capital sau informaţii cu efect asupra capitalului;
• afectarea imaginii firmei.

• rămân peste program;
• revin la serviciu în afara programului;
• sunt nejustificat de curioşi privind politicile şi sistemul de plăţi ale firmei;
• renunţă nejustificat la concediul de odihnă sau de boală;
• pierd timp nejustificat la baie, în afara sediului firmei sau în alte locuri;
• refuză/evită asistenţa sau ajutorul altor colegi;
• demisionează sau cer transferul pe neaşteptate;
• au foarte multe lacune în activitate;
• au un număr mic de tranzacţii, faţă de media la nivelul firmei.

De asemenea, observaţi dacă registrele sunt mai mereu ascunse vederii, sunt bunuri nelivrate sau suntfăcute plăţi consecutive din acelaşi card/cont.

• • –Elaborarea unor politici ale firmei, clare, care să reglementeze:
    • servirea şi procesarea tranzacţiilor pentru familia şi prietenii administratorului firmei;
    • achiziţiile/tranzacţiile personale;
    • utilizarea echipamentelor tehnice personale, cum ar fi telefon mobil, laptop, cameră video etc;
    • formarea şi pregătirea personalului;
    • aprobarea părăsirii sediului, în timpul programului.

• • -Elaborarea unei proceduri clare privind tranzacţiile, care să includă prevederi privind:
    • fondul de casă;
    • limita plăţilor efectuate cu numerar;
    • inventarierea zilnică a numerarului (de către două persoane, dacă este posibil);
    • dreptul de semnătură a cecurilor emise (două persoane);
    • verificarea recepţiilor şi a tranzacţiilor;
    • limitarea accesului personalului în zonele în care se gestionează valori sau informaţii;
    • păstrarea sub supraveghere a registrelor care conţin date şi informaţii confidenţiale;
    • separarea activităţilor de achiziţie, recepţie şi plată.

• • –Supravegherea permanentă şi atentă a personalului, prin persoană desemnată care va:
    • monitoriza permanent a delegaţiile/deplasările;
    • supraveghea respectarea de către angajaţi a procedurilor şi politicilor firmei;
    • cerceta cauzele care au dus la lipsurile constatate cu ocazia verificărilor;
    • cerceta tranzacţiile suspecte.

• • –Analiza şi verificarea periodică a registrelor de evidenţă a bunurilor şi a tranzacţiilor firmei, dacă:
    • se înregistrează toate tranzacţiile;
    • stocul scriptic corespunde cu stocul faptic;
    • este ţinută evidenţa uneltelor, echipamentelor şi a valorilor;
    • întotdeauna, când este posibil, se inscripţionează pe bunuri numărul de evidenţă din registru.

• • –Elaborarea unor proceduri stricte de audit, prin care sa se urmărească:
    • verificarea periodică a corespondenţei soldurilor conturilor bancare cu soldurile din registre;
    • achitarea totală a indemnizaţiilor şi a cererilor de plată pentru a evita plata dublă;
    • efectuarea regulată a verificărilor IT;
    • efectuarea auditurilor regulate şi aleatorie a tuturor elementelor/proceselor;
    • verificarea aleatorie a salariilor şi indemnizaţiilor pentru evitarea de plăţi excedentare.

• • –Păstrarea securităţii informaţiilor, prin:
    • limitarea accesului la informaţiile confidenţiale;
    • obligarea angajaţilor să poarte ecusoanele de identificare;
    • schimbarea periodică a parolelor de la sistemele informatice şi cele de alarmă;
    • cercetarea amănunţită a incidentelor de securitate;
    • restricţionarea imediată a accesului angajaţilor care se transferă sau pleacă din firmă.

• –Elaborarea unor proceduri stricte de management al resurselor umane, prin care să se urmărească:
  • angajarea în urma unui interviu şi a unei perioade de probă;
  • implementarea unui sistem echitabil de salarizare;
  • consemnarea în fişa postului a obligaţiilor aferente acestuia;
  • asigurarea unei pregătiri şi educări adecvate postului;
  • informarea angajaţilor privind politicile, procedurile şi regulile firmei, precum şi consecinţele nerespectării acestora.

The post Frauda appeared first on Evaluator - analiza de risc la securitatea fizica - Responsabil GDPR.

Documente solicitate de evaluator de risc pentru a fi consultate

Documente solicitate de evaluator de risc in vederea realizarii analizei de risc:

1. Certificatul de înregistrare al societății;
2. Certificatul constatator al punctului de lucru;
3. Actul privind dreptul de folosință asupra spaţiului/terenului;
4. Planul de pază;
5. Proiectul, jurnalul și contractul de service al sistemului tehnic de securitate;
6. Schiţa obiectivului (releveu);
7. Contractul de prestări servicii cu societatea specializată de pază;
8. Contractul de prestări servicii de monitorizare şi intervenţie;
9. Organigrama societăţii;
10. R.O.I./R.O.F./politici de securitate;
11. Situaţia evenimentelor infracţionale care au avut loc în ultimul an în societate;
12. Asigurări pentru persoane/bunuri.

Pentru alte detalii despre legislatia privind analiza de risc la securitatea fizica, va rugam accesati blogul nostru: Blog analiza de risc
Un evaluator de risc profesionist o sa va ajute.

The post Documente necesare evaluator de risc appeared first on Evaluator - analiza de risc la securitatea fizica - Responsabil GDPR.

Care este profilul unui evaluator de risc la securitatea fizica?

Hotărârea de Guvern 301/2012 a intrat in vigoare in iunie 2012 si adoptă măsurile de securitate a obiectivelor realizate pe baza unor analize de risc.

Analiza de risc la securitatea fizica efectuata de un evaluator de risc, este un standard prin care fiecare societate comercială are obligaţia să-şi identifice ameninţările care pot pune în pericol viaţa sau integritatea persoanelor sau a valorilor deţinute şi a stabili măsurile necesare.

Evaluatorul de risc la securitatea fizică are competențe și deprinderi dobândite pentru:

• Aplicarea procedurilor de calitate în procesul de evaluare;
• Comunicarea în domeniul riscului;
• Documentarea în vederea realizării evaluării de risc la securitatea fizică a obiectivului;
• Identificarea riscurilor la securitatea fizică a obiectivului;
• Analiza riscurilor la securitatea fizică a obiectivului;
• Estimarea riscurilor la securitatea fizică a obiectivului;
• Tratarea riscurilor la securitatea fizică a obiectivului;
• Monitorizarea și revizuirea riscurilor la securitatea fizică a obiectivului;

Pentru alte detalii despre legislatia privind analiza de risc la securitatea fizica, va rugam accesati blogul nostru: Blog analiza de risc
Un evaluator de risc profesionist o sa va ajute.

The post Evaluator de risc – profil și competențe appeared first on Evaluator - analiza de risc la securitatea fizica - Responsabil GDPR.

NIMIC NU TE COSTĂ MAI SCUMP DECÂT ALEGERILE IEFTINE!

Analiza de risc si riscul de a fi inselat

Analiza de risc la securitatea fizică pe care tocmai ați contractat-o/plătit-o ar putea fi o ,,țeapă” sau o lucrare ,,mai mult decât sumară”, cu cât întâlniți mai multe din următoarele situații:

• numele evaluatorului pe care l-ați ales nu figurează înscris în Registrul Național al Evaluatorilor de Risc la Securitatea Fizică – RNERSF (este intermediar sau escroc);
• discutați cu un intermediar, care poate fi o societate specializată de pază/societate de instalare sisteme de alarmare împotriva efracției (probabil că evaluatorul îi va reprezenta interesele în stabilirea numărului de posturi de pază sau elementele sistemului tehnic, utile ori mai putin utile) sau o societate/persoană pentru care singurul interes este comisionul;
• evaluatorul întocmește documentația privind analiza de risc, fără a se deplasa la obiectiv pentru culegerea datelor despre acesta (doar în baza unor discuții telefonice, e-mailuri sau fotografii);
• timpul de efectuare a întregii lucrări este mai mic de 72 de ore (este un timp minim apreciat în cazul celor mai mici obiective);
• raportul de evaluare și tratare a riscurilor la securitatea fizică întocmit prezintă următoarele caracteristici:
  • nu tratează toate elementele prevăzute în Instrucțiunea nr.9/2013 a M.A.I.;
  • nu prezintă o detaliere a situației și elementelor fizice (împrejmuire, construcții, încăperi, instalații, echipamente etc) existente în obiectiv (detalii și elemente în baza cărora se face analiza și completează grila de evaluare a nivelului de risc);
  • măsurile recomandate pentru diminuarea riscurilor identificate nu sunt punctuale (număr și poziționare posturi de pază, zone în care trebuie instalate elemente ale sistemului tehnic de securitate și tipul acestora, tipul, locul și modul de instalare al  elementelor mecanofizice (grilaje, uși, seifuri, încuietori etc);
  • măsurile recomandate nu se regăsesc în grila de evaluare a nivelului de risc;
  • numărul total al paginilor acestuia este sub 20;
  • datele introduse în raport nu reflectă realitatea de pe teren (în cel mai fericit caz aparțin obiectivelor evaluate anterior și se datorează fenomenului copy-paste);
  • evaluatorul nu vă prezintă și nu argumentează măsurile recomandate pentru diminuarea riscului la securitatea fizică și nici termenul de implementare al acestora, care nu poate depăși 60 de zile.
• evaluatorul nu vă predă grila de evaluare a nivelului de risc, document din care să rezulte un nivel de risc acceptabil (grila se predă împreună cu raportul și documentele suport);
• raportul de evaluare și tratare a riscurilor la securitatea fizică și grila de evaluare a nivelului de risc sunt semnate de o alta persoană decât evaluatorul care a cules datele despre obiectiv (în cazul în care ați încheiat contract cu o societate verificați dacă și numele celui care culege datele este înscris în RNERSF).

Pentru alte detalii despre legislatia privind analiza de risc la securitatea fizica, va rugam accesati blogul nostru: Blog analiza de risc
Un evaluator de risc profesionist o sa va ajute.

The post Analiza de risc si riscul de a nu fi o analiza de risc appeared first on Evaluator - analiza de risc la securitatea fizica - Responsabil GDPR.

Cine are obligația de a avea întocmită analiza de risc la securitatea fizică?

ORICE farmacie, bar, cafe-bar, club, discotecă, restaurant, frizerie, magazin, sala de jocuri de noroc, casa pariuri sportive, fermă, hotel, motel, stație carburanți, casă amanet, casă schimb valutar, cazinou, casierie utilități, CAR, service, primărie, școală, liceu, grădiniță, cabinet notar public, cabinet medical, policlinică, depozit, parc fotovoltaic, tipografie etc., ARE OBLIGATIA SA FACA ANALIZA DE RISC! Pret special!

Pentru legislatia privind analiza de risc accesati Ce spune legislatia cu privire la analiza de risc sau contactati-ne prin oricare dintre metodele puse la dispozitie la adresa Contact imediat

Care sunt informațiile pe care este bine să le comunici evaluatorului pentru a primi o ofertă cât mai reală pentru analiza de risc?

• obiectul de activitate al societății/instituției/organizației;
• numărul punctelor de lucru pentru care se dorește întocmirea documentației privind analiza de risc;
• adresa fiecărui punct de lucru (localitate și zonă/cartier);
• suprafața aproximativă, construită și totală, a fiecărui punct de lucru;
• numărul, destinația și tipul construcțiilor edificate pe suprafața fiecărui punct de lucru;
• numărul mediu de angajați;
• zilele/orele în care se poate face inspecția fiecărui punct de lucru;
• termenul până la care se dorește finalizarea documentației privind analiza de risc.

Completati formularul nostru pentru o oferta personalizata si ieftina doar pentru dumneavoastra: Contact oferta

Pentru alte detalii despre legislatia privind analiza de risc, va rugam accesati blogul nostru: Blog analiza de risc
Un evaluator de risc profesionist o sa va ajute.

The post Analiza de risc la securitatea fizica. Cine trebuie sa faca? appeared first on Evaluator - analiza de risc la securitatea fizica - Responsabil GDPR.

Furturile din magazine

Prevenirea furturilor din spațiile comerciale

Putem preveni furturile parcurgând următorii paşi, care privesc:

• realizează un spaţiu cât mai aerisit, cu vizibilitate între zone şi pe culoare;
• păstrează permanent rafturile aranjate şi produsele stivuite ordonat pe acestea;
• utilizează oglinzi pentru supravegherea spaţiilor fără vizibilitate directă;
• utilizează un subsistem TVCI de înregistrare şi stocare a imaginilor;
• utilizează, acolo unde situaţia impune, pază cu personal specializat;
• expune/păstrează încuiate, pe cât posibil, bunurile care au dimensiuni mici şi valoare mare;
• limitează punctele de acces şi de evacuare;
• limitează accesul, prin încuierea uşilor, în birouri, magazii şi depozite;
• afişează la vedere faptul că unitatea este supravegheată video;
• afişează la vedere faptul că bagajele se depun în dulapurile de la intrarea în unitate.

Convinge-te dacă personalul magazinului a înţeles:

• politica de securitate privind, atât verificarea bagajelor cât şi furturile;
• procedura pe care trebuie să o urmeze dacă suspectează pe cineva de furt;
• că valorile furate nu pot fi mai scumpe decât sănătatea sau chiar viaţa omului.

Incurajează personalul magazinului să:

• întâmpine clienţii care intră în magazin;
• întrebe ,,vă pot fi de folos?”;
• menţină rafturile aranjate;
• fie atent la clienţii cu stare de nervozitate, la cei care urmăresc dispunerea elementelor de supraveghere, la grupuri şi la cei care încearcă să distragă atenţia (să zăpăcească angajaţii).

• dacă este cazul să reţii o persoană suspectă de furt este bine să ai un martor voluntar;
• dacă persoana este recalcitrantă şi devine periculoasă nu încerca să faci acte eroice şi nu uita că pe primul plan este viaţa şi sănătatea ta;
• dacă te decizi să reţii un suspect de furt, atunci:
  • prezintă-te, explicându-i rolul tău în magazin (personal de securitate, şef de magazin etc);
  • explică-i de ce a fost reţinut şi roagă-l să rămână (revină) în magazin;
  • evită să-l bruschezi;
  • cere-i să restituie bunurile pentru care nu poate face dovada plăţii şi există suspiciunea de furt;
  • reţine că nu ai dreptul să-i faci percheziţie corporală sau a bagajelor fără acordul său;
  • roagă o altă persoană să sune la 112 în timp ce tu îl supraveghezi.

• raportează aceste incidente la poliţie (112), fără a încerca să-ţi faci singur dreptate;
• atunci când raportezi incidentul la poliţie încearcă să transmiţi următoarele detalii:
• numele tău;
• adresa unde are loc incidentul;
• numărul telefonului de contact;
• tipul de incident (furt, tentativă de furt);
• numărul, numele sau alte date privind suspecţii (când se cunosc aceste date);
• conduita suspectului;
• alte detalii pe care le crezi relevante.

Pentru alte detalii despre legislatia privind analiza de risc la securitatea fizica, va rugam accesati blogul nostru: Blog analiza de risc
Un evaluator de risc profesionist o sa va ajute.

The post Furturile din spatiile comerciale – prevenire şi acţiune appeared first on Evaluator - analiza de risc la securitatea fizica - Responsabil GDPR.