Declarație de confidențialitate
v1.0
17 mai 2018
Preambul
Începând cu data de 25 mai 2018, Regulamentul 2016/679/UE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (în continuare „Regulamentul”) va fi aplicat de toate statele Uniunii Europene. Prin intermediul acestui Regulament se dorește crearea unui cadru legislativ unitar și uniform pe teritoriul Uniunii Europene care să nu mai necesite măsuri naționale de implementare.
În vederea alinierii la noile reglementări în materie, având în vedere că acestea impun obligații noi și revizuite, S.C. CULTWARE S.R.L., persoană juridică română, cu sediul în România, jud. Cluj, mun. Cluj-Napoca, str. Regle Ferdinand nr. 22 -26, înregistrată la O.R.C. de pe lângă Tribunalul Cluj sub nr. J12/3145/2011, reprezentată prin Diana Ghiorghieș, în calitate de administrator, își asumă următoarea declarație de confidențialitate:
Cultware S.R.L. distribuie produse software standard și personalizate și oferă servicii IT clienților săi. Atât compania Cultware cât și furnizorii soluțiilor software distribuite de Cultware S.R.L. respectă în totalitate noile norme privid protecția datelor cu caracter personal. Prezentul document rezumă soluțiile, tehnicile și practicile care asigură respectarea deplină a standardelor de protecție a datelor și de management al datelor pentru familia de produse Qulto cu îmbunătățiri și pentru servicii IT personalizate oferite clienților noștri.
Termenii
SICP
Sistem Integrat pentru Colecții Publice
Client
Persoană juridică aflată în relație contractuală cu societatea Cultware SRL, în mod obișnuit instituție de cultură, învățământ public sau instituție de învățământ superior, care folosește în fluxurile ei de lucru și serviciile ei unul dintre produsele software Qulto sau un software personalizat dezvoltat de noi.
Utilizator
Persoană fizică care folosește software-ul nostru
Utilizator instituțional
Un utilizator al software-ului, bibliotecar, arhivar, muzeolog, (de obicei ca angajat al Clientului) care administrează sistemul în numele acestuia.
Utilizatori înregistrați ai instituțiilor
Utilizator, înregistrat de client care utilizează software-ul și serviciile clientului. (Pe scurt, includem aici atât cititorii bibliotecilor, cât și utilizatorii serviciilor colecțiilor publice care se află într-o relație contractuală cu instituția: cercetători, studenți etc.)
Utilizator prin internet
Utilizatorii unor componente publice Qulto care nu sunt partenerii instituțiilor. Aceștia pot fi utilizatori înregistrați sau neînregistrați.
Utilizator PEAS
Persoanele înscrise în sistemul de administrare PEAS. Includ: persoane de contact din partea clienților, parteneri de afaceri și colegi.
Informații împrumut
Datele privind tranzacțiile de împrumut, care neapărat includ identificatorul unic al cititorului, identificatorul documentului sau al obiectului împrumutat, termenul închirierii.
Permis de bibliotecă
Un card sau un document aparținând unui singur cititor care înregistrează relația „contractuală” pe termen determinat.
Domenii de protecția datelor
Activitatea noastră principală este distribuirea de produse software. Componentele din gama Qulto sunt utilizate de un număr mare de colecții publice (biblioteci, muzee și arhive), instituții de învățământ superior și instituții publice de învățământ. Prin aceste produse software oferim clienților noștri unelte, care, ca parte a fluxurilor lor de lucru, pot, printre altele, să gestioneze date și să ofere diverse servicii. Este important pentru noi ca software-ul oferit să sprijine clienții la toate nivelurile pentru a putea respecta pe deplin regulile de gestionare a datelor și de protecție a datelor. Aceasta implică reglementarea accesului, implementarea tehnică a securității datelor și furnizarea funcțiilor necesare pentru gestionarea a datelor.
În afară de distribuția de produse software Qulto, oferim din ce în ce mai mult clienților noștri servicii bazate pe cloud. Această soluție se bazează în mare parte pe încredere atunci când plătitorul încredințează gestionarea datelor și serviciilor sale într-un mediu gestionat de alții. Pentru succesul afacerii, este extrem de important ca infrastructura furnizată de noi (sau partenerul nostru subcontractant), inclusiv componentele hardware și software și serviciile conexe să îndeplinească toate cerințele privind protecția datelor și securitatea datelor.
În timpul activității noastre de asistență pentru sistem, adesea intrăm în contact cu datele stocate, colectate de clienții noștri, care pot conține și informații personale. Reglementăm în așa fel activitatea noastră de asistență încât să le putem oferi garanția corectă că protecția datelor lor în activitatea noastră nu este compromisă în nici un fel.
Protecția datelor și gestionarea datelor la produsele Qulto
Scopul principal al soluțiilor software Qulto este de a sprijini bibliotecile, muzeele și arhivele în gestionarea repozitoriilor și bazelor de cunoștințe și de a sprijini procesele și serviciile conexe. Sistemele cu software-ul nostru stochează cantități semnificative de date confidențiale, importante, și informații personale, astfel încât protecția datelor și managementul datelor sunt aspecte importante
Asigurarea protecției datelor în cadrul folosirii sistemului
Controlul accesului – În sistemele noastre, atât infrastructura cât și aplicațiile sunt gestionate pe bază de roluri. Grupurile de utilizatori sunt configurate astfel încât fiecare utilizator al sistemului să poată accesa doar ceea ce este justificat și necesar în funcție de munca, îndatoririle și rolul său. Accesul la date de către persoane neautorizate este exclus.
Autentificare – Accesul în sistem este protejat prin parolă, parolele sunt criptate și circulă criptate în rețea.
Tehnologie – Atunci când alegem tehnologiile folosite (manager de baze de date, server web etc.), luăm în considerare nivelul de securitate pentru a proteja datele clienților noștri.
Stocarea datelor clienților – În cazul produselor Qulto, datele personale sunt întotdeauna protejate și nu sunt stocate informații personale sensibile, cum ar fi detaliile bancare și date despre carduri de credit. În sistemele noastre, oferim posibilitatea de a șterge datele utilizatorilor în conformitate cu politica de confidențialitate a instituțiilor.
Politica de confidențialitate în produsele Qulto
Utilizatori online
Pe site-ul nostru și pe portalurile instituțiilor, de obicei înregistrarea nu este obligatorie, nu este nevoie ca vizitatorii site-ului să furnizeze informații personale pentru a avea acces la site. Datele personale minime sunt solicitate atunci când utilizatorul de internet inițiază o comunicare sau o conexiune activă sau dorește să utilizeze funcții de upload sau altă funcție legată de identificare.
Clienți instituționali
În cazul utilizatorilor instituționali, stocăm numai date pentru identificare (nume de utilizator, nume de utilizator și parolă criptată), fără alte informații personale suplimentare. În funcție de setări, sunt înregistrate (logate) activitățile de catalogare, împrumut și achiziții. Datele servesc numai în scopul de a regăsi cine și când a modificat o informație, înregistrare. Logarea utilizată în sistemele noastre nu poate fi utilizată pentru a ”observa” personalul, a urmări activitățile și a detecta performanța zilnică.
Cititorii
Clienții colecțiilor publice, ca cititorii înscriși, cercetători de arhivă, de muzeu, sunt, în esență, în relație contractuală cu instituția: contra unei taxe sau gratuit, instituția, în diferite forme, furnizează conținut scris sau digital, obiecte, instrumente, spațiu pentru client. Cititorul este responsabil pentru utilizarea acestora în concordanță cu regulile stabilite. Din cauza tranzacțiilor financiare și a eventualelor dispute legate de servicii, de daune și rezolvarea lor, este nevoie de un sistem de identificare cu posibilitatea de a identifica corect cititorii și datele lor de contact.
Software-ul permite evidența următoarelor date: numele, locul și data nașterii, numele de naștere al mamei, numărul de buletin, adresa temporară și permanentă, adresa de e-mail. În instituții de învățământ superior, identificarea poate fi înlocuită cu codul studentului, în conformitate cu intențiile instituției.
În scopuri statistice, instituțiile pot înregistra și alte date în sistem. Conținutul și amploarea acestor date nu sunt înregistrate de software-ul Qulto, acestea pot fi stabilite de instituții pe propria răspundere și în conformitate cu propriile reguli.
Software-ul nostru înregistrează tranzacțiile cititorilor și le stochează în sistem pentru o perioadă determinată de timp.
Modul de utilizare a informațiilor personale
Datele personale sunt stocate în mod obligatoriu în sistem doar atâta timp cât sunt:
- necesare pentru a furniza produse și servicii,
- implicate într-un caz în curs de desfășurare
- utile pentru utilizator,
- necesare pentru raportarea statistică a instituției,
- conținute într-o dispoziție legală (ex. Facturi).
Cerințele pentru colectarea și stocarea datelor sunt determinate de clienții noștri. Compania noastră garantează faptul că nu colectăm, nu stocăm, nu furnizăm și nu folosim informațiile personale în scopuri proprii.
Software-ul nostru nu utilizează informații personale în alte scopuri, nu le împărtășește cu alte sisteme, nu le transmite și nu le transferă unei terțe părți, cu excepția unor cazuri reglementate prin lege (de exemplu anchete, soluționarea unor litigii), caz în care decizia și responsabilitatea asupra comunicării unor date personale unor terțe părți (de exemplu organele legislative) revine în exclusivitate organizației care utilizează produsele software Qulto.
Drepturile utilizatorilor asupra datele cu caracter personal
Utilizatorii au dreptul de a accesa, vizualiza, corecta sau șterge informațiile personale stocate în sistem. În interfața online a aplicațiilor, oferim fiecărui utilizator posibilitatea de a trimite online comentariile despre datele personale stocate. Orice cerere de modificare sau ștergere va fi trimisă în mod automat ofițerului instituției în domeniul protecției datelor, în conformitate cu setările din sistem.
Păstrarea și ștergerea datelor
În ciclul de viață al datelor cu caracter personal, separăm trei etape în sistemele noastre:
-
Perioada activă – Există o relație „de afaceri” în fază activă sau există o tranzacție între instituție și utilizator (utilizator instituțional, cititor, utilizator online). Prin urmare, în acest stadiu, sunt importante păstrarea datelor pentru identificarea corectă, păstrarea contactului, stabilirea prețului, și păstrarea datele referitoare la tranzacțiile nefinalizate.
-
Perioada statistică – După etapa activă, este posibil ca instituția să aibă nevoie de date pentru a-și îndeplini obligațiile de raportare statistică, în cazul acesta însă identitatea exactă a utilizatorului, identificarea nu este necesară sau chiar nu este dorită, dar datele sunt relevante din punct de vedere statistic. Sistemele Qulto oferă o funcție care anonimizează datele, făcând imposibilă identificarea unei persoane.
-
Perioada de arhivare – După o perioadă importantă din punct de vedere statistic, sistemele noastre suportă diferite metode de arhivare (care împiedică ștergerea și restabilirea) și ștergere a datelor.
-
Protecția și securitatea datelor pentru serviciile de tip cloud
Scopul nostru este să oferim clienților noștri un mediu sigur și fiabil care să îndeplinească cerințele privind securitatea, accesul și confidențialitatea datelor. Oferirea serviciilor de tip cloud se efectuează împreună cu un subcontractant adecvat, cu asigurarea și certificarea corespunzătoare a calității, care oferă o descriere detaliată a sistemului și a activităților, furnizând infrastructura și serviciile care îndeplinesc cerințele de securitate a datelor și protecția datelor.
Securitatea datelor
Securitatea datelor este asigurată de următoarele activități:
monitorizare și supraveghere 7×24, menit să detecteze și să analizeze activitățile suspecte, fenomenele neobișnuite și potențialele pericole.
pentru furnizorii sistemului de operare și de software terță parte, sunt monitorizate informațiile legate de securitate și sunt instalate actualizările de securitate.
sunt create salvări (backup-uri) zilnice, salvările sunt verificate și sunt păstrate copii de rezervă în conformitate cu politica de păstrare.
controlul conexiunilor de rețea și accesul utilizatorilor.
Crearea mediului fizic
Criterii pentru dezvoltarea unui mediu de servicii pentru evitarea pierderii datelor:
Serverele sunt stocate într-un loc potrivit pentru acest scop,
● unde este disponibilă sursă de alimentare cu capacitatea necesară și sursă neîntreruptibilă,
● unde prin aparate de aer condiționat este asigurată temperatura de funcționare prescrisă,
● care este echipat cu un sistem adecvat de protecție împotriva incendiilor.
Controlul accesului fizic
Accesul la sala serverului este limitat la cei care se ocupă de servere și au nevoie de acces la hardware. Toate activitățile de acces fizic sunt înregistrate.
Reguli de securitate a informațiilor
Sistemul de operare
În sistemul de operare sunt instalate numai componentele necesare și fiecare acces este controlat.
Securitatea rețelei
Firewall: serverele sunt protejate cu firewall, pentru a le proteja de atacuri și pentru a preveni pierderea datelor clienților.
Ștergerea datelor
În cazul în care un client alege să nu utilizeze serviciile noastre în continuare, datele clientului vor fi transferate clientului pe un suport de date și vor fi șterse de la operatorul nostru de date după perioada de garanție convenită.
Protecția și gestionarea datelor în sistemul de asistență
În cadrul serviciului nostru de asistență software, oferim clienților noștri servicii de suport de sistem și un sistem online de raportare a erorilor.
Protecția datelor în cadrul sistemului de suport
Serviciul de suport implică o varietate de sarcini: verificarea și rezolvarea problemelor, modificarea setărilor, personalizare, conversie etc. Pentru îndeplinirea acestor sarcini, de cele mai multe ori este necesar accesul la baza de date, inclusiv la date personale.
Compania noastră garantează următoarea politică în ceea ce privește gestionarea datelor care ajung la cunoștința noastră în astfel de situații:
- nu folosim datele în scopurile personale
- nu transmitem aceste date terților
- datele sunt folosite în așa fel încât să împiedice accesul neautorizat
- datele nu sunt stocate.
Toți furnizorii, angajații și subcontractanții noștri au obligație de confidențialitate, deci restricția de utilizare se aplică și acestora.
Gestionarea datelor în sistemul PEAS
Utilizăm software-ul de management PEAS pentru a înregistra rapoarte de erori și sugestii.
În software, păstrăm cele mai importante date necesare pentru a păstra legătura cu clienții, partenerii de afaceri și persoane de contact. Pentru persoane înregistrăm: numele, numărul de telefon, adresa poștală, adresa de e-mail, funcția, iar în cazul companiilor acestor informații li se adaugă și datele de facturare. Clienții pot vizualiza informațiile pe care le deținem pe pagina web și pot iniția ștergerea lor.