Politica de confidentialitate

Reguli adoptate de către Revive Club SRL pentru
implementarea GDPR și asigurarea cerințelor minime de securitate

1. Scop
1. Prezentul document prezinta masurile minime de securitate a datelor pe care Revive Club SRL le-a
adoptat in scopul asigurarii confidentialitatii, disponibilitatii, accesibilitatii si a caracterului de non-
repudiere aferent tuturor activitatilor de procesare a datelor cu caracter personal asa cum sunt ele
definite de reglementarile in rigoare.
2. Masurile adoptate includ metode adecvate riscurilor la adresa securitatii informatiei in acord cu
amenintarile si vulnerabilitatile specifice. Intrucat aceste riscuri, amenintari, vulnerabilitati sunt in
continua schimbare metodele vor fi adoptate in permanenta.
3. Totodata, aceste cerinte vor fi revizuite, amendate si actualizate in contextul cerintelor legale, a
reglementarilor in vigoare si a standardelor de securitate aplicabile.

2. Domeniul de aplicare a acestor cerințe
1. Măsurile de securitate necesare pentru procesarea Datelor cu Caracter Personal trebuie să
garanteze un nivel de securitate indiferent de modul de realizare al procesarii informatiei si datelor,
daca aceasta e realizata de Revive Club SRL sau de Subcontractori, folosind metode de acces local
sau la distanta, prin mijloace electronice sau fizice. Prezentele reguli se aplică angajaților Revive Club
SRL precum și subcontractorilor, colaboratorilor, etc. ce prestează servicii pentru Revive Club SRL.
Prin termenii de Salariați/ Angajați se înțelege atât persoanele angajate cu contract individual de muncă
cât și persoane terțe subcontractate, colaboratori, etc.
2. Cerintele de securitate sunt descrise in cele ce urmeaza, avand in vedere masurile de organizare,
cele tehnice si de personal.

3. Inventarul activelor informaționale
1. Revive Club SRL folosește în activitatea curentă următoarele componente IT:
– desktop-uri
– laptop-uri
– stick-uri
– CD-uri
– hard disk-uri externe –

4. Prelucrarea datelor cu caracter personal se realizează în următoarele condiții:
1. Întocmirea, primirea, păstrarea, accesarea, transmiterea, transportul, utilizarea și predarea
documentelor care conțin date cu caracter personal se fac exclusiv de către salariați instruiți cu
privire la regulile de protecție a datelor cu caracter personal.
2. Întocmirea, primirea, păstrarea, accesarea, transmiterea, transportul, utilizarea și predarea
documentelor care conțin date cu caracter personal se fac cu respectarea strică a regulilor de
protecție a datelor cu caracter personal.

2
3. Întocmirea, primirea, păstrarea, accesarea, transmiterea, transportul, utilizarea și predarea
documentelor care conțin date cu caracter personal se fac exclusiv în scopul realizării atribuțiilor
de serviciu sau îndeplinirii cerințelor legale.
4. Este interzisă orice divulgare a documentelor care conțin date cu caracter personal, precum și
orice informație cu caracter personal cuprinsă în acestea.
5. Întocmirea. Documentele întocmite pentru salariați la nivelul serviciilor au regimul documentelor
care conțin date personale și sunt supuse regulilor de protecție a datelor cu caracter personal.
6. Primirea. Primirea documentelor care conțin date cu caracter personal se face cu promptitudine și
cu îndeplinirea imediată a procedurilor de păstrare sau utilizare.
7. Păstrarea. Documentele care conțin date cu caracter personal se păstrează în spațiu închis cu
cheie, cu excepția situațiilor în care este necesară utilizarea lor firească, potrivit necesităților
activității.
8. Accesarea. Accesarea documentelor care conțin date cu caracter personal se face doar în
momentul și doar câtă vreme este necesară utilizarea lor. Accesarea documentelor cu caracter
personal pentru buna desfășurare a activității, precum și pentru asigurarea realizării drepturilor și
intereselor clientului/furnizorilor, cumpărătorilor etc., la nivelul fiecărui serviciu, prin solicitarea
acestor date de la persoana/serviciul care răspunde de ele.
9. Utilizarea. Documentele care conțin date cu caracter personal părăsesc spațiul în care sunt
păstrate doar în intervalul de timp necesar pentru utilizarea lor firească, potrivit necesităților
activității.
10. Predarea. Predarea-primirea documentelor fizice care conțin date cu caracter personal se face
doar în condițiile în care se respectă confidențialitatea datelor.
11. În cazul în care un document fizic care conține date cu caracter personal nu este reglementat în
Procedura privind protecția datelor cu caracter personal, va fi înștiințat de îndată Administratorul.
12. În cazul în care o sursă de informații care conține sau este de natură să determine colectarea de
date cu caracter personal nu este reglementată în Procedura privind protecția datelor cu caracter
personal, va fi înștiințat de îndată Administratorul.

5. descrierea modului in care se realizeaza protectia acestora pentru asigurarea clasificarii
datelor, a confidentialitatii si integritatii acestora.
1. Protecția datelor se realizează, în primul rând, prin introducerea prezentei proceduri de lucru
prin care salariații sunt instruiți cu privire la măsurile adoptate pentru asigurarea protecției
datelor cu caracter personal.
Conectarea la activele informaționale se realizează de către fiecare angajat în baza unui user
și a unei parole unice generate de către Administrator, devenind Utilizator autorizat. Fiecare
angajat trebuie să păstreze userul si parola secrete și să nu le încredințeze altui angajat sau
terțe persoane. În situația în care userul și parola nu sunt utilizate mai mult de 6 luni sau când

Utilizatorul autorizat încetează raportului de muncă, atunci Administratorul va dezactiva și va
sterge userul și parola. Userul va fi revocat dacă salariatul va fi transferat pe un alt post, iar
noile sarcini nu îi permite accesul la datele cu caracter personal, dacă va lipsi de la serviciu mai
mult de 30 de zile sau dacă a abuzat de codurile primite.
2. Bazele de date transmise prin mijloace electronice vor fi parolate și parola va fi comunicată prin
email separat/telefonic/sms.

3. Confidențialitatea datelor cu caracter personal:
a. Angajatorul garantează seriozitatea tuturor angajaților săi și a personalului oricărei alte
persoane similare subcontractate, care accesează Date cu Caracter Personal, și că personalul
respectiv a beneficiat de o pregătire adecvată în domeniul protecției și manipulării Datelor cu
Caracter Personal și a semnat clauze de confidențialitate cu privire la prelucrarea Datelor cu
Caracter Personal,
b. Angajatul se obligă ca atât pe durata contractului de muncă, cât şi după încetarea acestuia, pe
o perioadă nelimitată, să nu dezvăluie datele cu caracter personal prelucrate, modul în care
acestea au fost prelucrate, scopurile prelucrării, destinatarii datelor, perioada stocării datelor,
procedurile de lucru în privința protecției datelor cu caracter personal, ștergerea datelor,
plângerile și sesizările depuse la ANPDCP, cazurile de încălcare a securității datelor cu
caracter personal, informații despre care a luat cunoştinţă pe durata executării contractului
muncă,
c. Sunt confidenţiale Datele cu Caracter Personal, astfel cum sunt definite de Regulamentul CE
nr.2016/679: orice informaţii privind o persoană fizică identificată sau identificabilă ("persoana
vizată"); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau
indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de
identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente
specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau
sociale.
d. Angajatului îi este interzis să divulge informațiile anterior menționate, să copieze, stocheze,
modifice, intervină, fotografieze, salveze datele cu caracter personal ale persoanei vizate sau
evidența prelucrărilor pe active informaționale proprii sau neautorizate, să nu utilizeze aceste
informații în scop personal și indiferent de modul în care a luat la cunoștință despre aceste
date,
e. Angajatului le este interzis să permită persoanelor neautorizate, intenționat sau din culpă, să
realizeze una dintre acțiunile anterior enumerate.
f. Angajatul va prelucra datele doar în condițiile în care s-a asigurat în prealabil că:
i. activul informațional poate fi utilizat în siguranță,
ii. nu există pericolul unei dezvăluiri accidentale a datelor cu caracter personal,
iii. în proximitatea sa nu se află persoane care nu au dreptul să prelucreze datele cu
caracter personal,
iv. persoanele din proximitate nu pot vedea și prelua user-ul și parola de acces
v. parola nu este afișată în mod clar în câmpul destinat.
g. Angajatulse obligă să:

4
i. să prelucreze datele cu caracter personal doar prin intermediul activelor informaționale
autorizate de angajator și asupra cărora are autorizat accesul/activul informațional al
Salariatului. În această ultimă situație, Angajatul se obligă se dezactiveze funcția de
memorare automată a user-ului și parolei.
ii. păstreze în siguranță user-ul și parola de acces la activele informaționale ale
angajatorului,
iii. nu comunice sau să noteze user-ul și parola de acces pe foi, telefon, fișiere word sau
excel,
iv. nu părăsească activul informațional în momentul în care s-a logat cu user și parolă iar
ecranul nu este blocat,
v. nu acceseze activele informaționale ale altor angajați, cu excepția dispoziției date de
personalul ierarhic superior, și, în condițiile respectării tuturor obligațiilor de
confidențialitate,
vi. acceseze informațiile din cloud sau cele stocate pe stick-urile / hard disk-urile societății
doar de pe activele informaționale pentru care angajatorul și-a dat acceptul,
vii. nu se logheze cu user și parolă prin intermediul altor active informaționale, cu excepția
celor puse la dispoziție de angajator. În cazul în care primește permisiunea de a folosi
alte mijloace active informaționale, atunci se va asigura în prealabil că acestea
respectă toate condițiile tehnice de securitate impuse prin prezenta procedură precum
și faptul că poate fi respectată întocmai obligația de confidențialitate,
viii. nu utilizeze la prelucrarea datelor stick-uri / hard disk-uri personale neautorizate de
către angajtor,
ix. nu proceseze categorii speciale de date personale cu caracter personal în înțelesul art.
9 din Regulamentul nr. 2016/679, cu excepția situației în care primește instrucțiuni
exprese în acest sens,
x. să notifice în termen de 24 de ore și să asigure suport nelimitat angajatorului sau
clientului său în condițiile apariției unui breșe de securitate, astfel cum este definită în
continuare, și, că va urma procedura și va lua măsurile specifice în asemenea caz.
xi. să notifice angajatorul atunci când nu poate respecta sau prefigurează că nu va putea
respecta instrucțiunile de prelucrare și motivele și să înceteze prelucrarea până la noi
instrucțiuni.

4. Breșă de securitate reprezintă orice distrugere, pierdere, modificare, dezvăluire sau accesare
a Datelor cu Caracter Personal accidentală, neautorizată sau ilegală, sau orice situație de
încălcare proprie sau de către alt angajat a politicii și procedurilor privind securitatea datelor cu
caracter personal de care a luat la cunoștință sau orice risc de apariție a unei Breșe de
securitate.
5. Procedura în cazul unei Breșe de securitate este următoarea:
a) Angajatul trimite o Notificare către Administrator în care va menționa:

i. detaliile Breșei de Securitate,
ii. tipul de date care au făcut obiectul Breșei de Securitate și
iii. identitatea fiecărei persoane afectate (sau, dacă nu este posibil,
numărul aproximativ de persoane vizate și de înregistrări de Date cu Caracter
Personal vizate);
iv. descriere a consecințelor probabile ale Breșei de Securitate;

5
v. descriere a măsurilor luate sau propuse a fi luate de către angajator pentru a
soluționa Breșa de Securitate, inclusiv, dacă este cazul, măsuri de atenuare a
posibilelor efecte negative ale acesteia;
vi. orice alte informații solicitate de angajator în mod rezonabil, referitoare
la Breșa de Securitate.

b. Angajatul va ajuta angajatorul pentru a investiga Breșa de Securitate și pentru a identifica,
preveni și a atenua cât mai mult posibil efectele acesteia, în conformitate cu obligațiile care îi
revin conform contractelor încheiate cu clienții.
c. Angajatul nu va comunica altor angajați neautorizați, nu va emite sau publica nicio declarație,
nici un anunț, comunicat de presă, sau raport privitor la Breșa de Securitate legată de Datele
cu Caracter Personal („Anunțuri”). Acțiunile și măsurile descrise mai sus se vor lua pe
cheltuiala Angajatului, dacă se va stabili culpa acestuia.
d. Administratorul va forma o echipă desemnată să gestioneze și coordoneze reacția la incidente,
formată din Administrator, salariatul care a sesizat Breșa de securitate și responsabilul IT. În
situația Breșei de securitate sesizată de către Persoana Împuternicită de Operator sau de către
un Subcontractant, din echipă va face parte și persoana care a sesizat Breșa de Securitate
precum și persoana desemnată să gestioneze astfel de situații din cadrul respectivelor
companii.
e. Angajatorul va anunța și Operatorul despre Breșa de securitate, în situația în care Revive Club
SRL este Persoana Împuternicită de Operator.
f. Echipa astfel formată va colabora, dacă este cazul, cu reprezentanții responsabili cu
securitatea din cadrul Operatorului, până la rezolvarea satisfăcătoare a incidentului sau a
încălcării.
g. De asemenea, echipa de securitate va analiza situația, va adopta măsurile cele mai bune de
limitare pe moment a efectelor Breșei de securitate, de înlăturare a acestora și va adopta și
implementa măsurile necesare pentru a evita în viitor apariția unui caz asemănător.
h. Angajatorul va ține un jurnal cu evidența incidentelor și a acțiunilor luate, în care se va
consemna momentul producerii incidentului, persoana care a raportat incidentul, persoana
căreia i s-a raportat incidentul și efectele acestuia.
i. Prezenta procedură va fi urmată și de către Persoana Împuternicită de Operator sau
Subcontractanților, în cazul unor Breșe de securitate.
j. Angajatul va răspunde pentru prejudiciul cauzat angajatorului și clienților săi, rezultat din sau în
legătură cu orice nerespectare de către angajat a dispozițiilor prezentului Regulament sau ale
Legii aplicabile privind protecția datelor.
6. Angajatul se obligă să nu stocheze pe niciun tip de suport (stick, hard disk exter, CD, etc.) orice
date cu caracter personal fără acordul expres dat în prealabil de către Revive Club SRL. Dacă i
se dă acest accept, atunci suporturile pe care sunt stocate baze de date nu vor fi depozitate în
afara incintei angajatorului și a locurilor special desemnate, astfel încât să nu existe riscul să fie
accesate de către persoane neautorizate.
7. Toate suporturile electronice și înscrisurile pe care se afla inregistrate/consemnate/stocate
informatii cu caracter confidential, userul și parola de acces la activele informatice Revive Club

6
SRL sunt și rămân proprietatea Revive Club SRL sau dupa caz a Clienților acestuia, Angajatul
având obligaţia de a le preda imediat la solicitarea angajatorului sau o data cu încetarea
contractului de prestari servicii, în caz de refuz urmând a suporta prejudiciul creat. Daca
utilizarea dispozitivelor sau suporturilor de orice fel pe care se afla
inregistrate/consemnate/stocate informatiile cu caracter confidential este necesara pentru
desfasurarea serviciilor contractate, Angajatul raspunde direct si nemijlocit de siguranta
respectivelor informatii si pentru consecintele produse de dezvaluirea acestora din neglijenta
sa;
8. Angajatul va aduce, de urgență, la cunoștința angajatorului orice solicitare de a divulga orice
informaţii ce privesc datele cu caracter personal, indiferent de modul în care au fost făcute
propunerile respective, contra cost sau nu.
9. Salariatul recunoaşte angajatorului dreptul de proprietate exclusivă asupra tuturor datelor cu
caracter personal, astfel cum sunt acestea definite în prezentele reguli.
10. Salariatul recunoaste importanta exceptionala pe care o are pentru angajatorul respectarea
clauzelor referitoare la obligatia de confidentialitate, si avand in vedere aceasta, recunoaste ca
nerespectarea acestor clauze constituie o grava abatere disciplinara care poate fi sanctionata de
angajator cu incetarea contractului individual de munca la initiativa angajatorului din motive care
tin de persoana salariatului.
11. În conformitate cu art. 26 alin. 2 din Codul muncii, angajatorul îşi rezervă dreptul de a cere daune-
interese pentru acoperirea eventualelor prejudicii pe care le-ar suferi în urma divulgării
intenţionate, neglijenţei, pierderii ori folosirii greşite a datelor cu caracter personal, încălcării
prezentelor reguli și a instrucțiunilor primite de la angajator sau de la clienții acesteia.
12. În cazul în care mai mulți angajați ai societății folosesc pentru a accesa o bază de date,
concomitent sau alternativ, același user și aceeași parolă, fiecare salariat este obligat să respecte
prezentele reguli de securitate și în ceea ce privește acest user și parolă.
13. Integritatea datelor:
a) Pentru a asigura integritatea datelor, angajatorul realizează periodic back-up-ul datelor stocate
pe activele informatice folosite de angajați.
b) Activele informaționale și bazele de date folosite de angajații sunt parolate și pot fi accesate doar
cu un user și o parolă unic atribuite fiecărui salariat.
c) Se va evita, pe cât posibil, salvarea și prelucrarea datelor cu caracter personal direct în activele
informaționale, fiind utilizat cu prioritate cloud-ul.
d) Angajatul trebuie să respecte următoarea procedură cu privire la prelucrarea datelor cu caracter
personal:
i. Angajatul va copia, dacă a primit instrucțiuni în acest sens, întreaga bază de date și nu
doar anumite coloane sau rânduri din bazele de date,
ii. Dacă a primit instrucțiuni exprese de la persoane autorizate să încalce regula de la lit. a)
atunci nu va aplica filtre în mod separat pe fiecare rând sau coloană astfel încât să existe
riscul ca, după aplicarea filtrelor, să nu mai existe o corelare între toate rândurile și
coloanele bazei de date,
iii. Angajatul nu va modifica sau șterge baza de date, cu excepția situației în care a primit
instrucțiuni exprese în acest sens și a urmat procedura prevăzută pentru acest tip de
activitate,

7
iv. Angajatul nu va procesa în același timp două baze de date ale unor clienți diferiți. Înainte
de a accesa o nouă bază de date, Angajatul se va deconecta de la baza de date
anterioară,
v. Bazele de date vor fi transferate doar prin intermediul emailului de serviciu și doar pe
adresele de corespondență comunicate de către clienți.
vi. În cazul în care, în mod excepțional, transferul bazelor de date este necesar să se
realizeze prin aplicații specializate (we transfer), acestea vor fi obligatoriu parolate și parola
se va comunica doar telefonic și nu prin email / sms.
14. Metodele de securizare a activelor informationale.
a) Toate informațiile și bazele de date sunt salvate în cloud. Există back-up salvat tot în cloud.
b) Copiile de siguranță salvate pe suporturi electronice vor fi păstrate în încăperi distincte de cele
în care se află cele originale, încăperi la care au acces doar Utilizatori autorizați să prelucreze
respectivele informații.
c) Prelucrarea datelor se realizeză de fiecare angajat conectându-se la activele informaționale
doar în baza unui user și a unei parole.
d) Aplicația folosită de salariați salvează mai multe date atunci când sunt modificate datele:
persoana care a făcut modificările, modificările realizate.
e) Activele informaționale sunt protejate anti-malware.
15. Plan de restabillire in siguranta a activitatilor in caz de intrerupere urmare a unui eveniment
major (precum catastorfa naturala, atac cibernetic, indisponibiltate a sistemelor suport sau
alte incidente perturbatoare).
a) În cazul întreruperii activităților ca urmare a unui eveniment major (catastrofă naturală, atac
cibernetic, indisponibilitate a sistemelor suport sau alte incidente perturbatoare) salariații sunt
obligați să aducă la cunoștința Administratorului acest aspect.
b) După verificarea situației, Administratorul va aviza personalul IT să:
i. întrerupă conexiunea celorlalte active informaționale astfel încât să nu fie afectate,
ii. reinstaleze programele și a bazele de date,
iii. recuperează datele cu ajutorul back-up-ului.
c) Prevederile procedurilor vor fi revizuite atunci când intervin modificări și cunoașterea lor de
către angajați va fi verificată anual de către Administrator în urma verificării prin sondaj.
d) Termenul de păstrare al documentului de securitate, evidențelor și documentațiilor aferente
este de 5 ani de la închiderea prelucrării sau până la solicitarea de ștergere a datelor.
e) Activele informatice care conțin date cu caracter personal sunt conectate la UPS-uri care le
asigură funcționarea și în caz de întrerupere a alimentării.
16. Masuri tehnice
a) Societatea aplică măsuri tehnice de securitate preventivă împotriva riscurilor de securitate a
informatiei aferente activitatilor sale, cum ar fi:
i. parolarea laptopurilor și desktopurilor, parolele având minim 8 caractere,
ii. salvarea datelor în cloud,
iii. back-up periodic,
iv. instalarea programelor antivirus,

8
v. dezactivarea automată a activului informativ după o perioadă de inactivitate de 10
minute.
vi. cripatarea datelor.
b) Pentru fiecare risc identificat masurile tehnice vor fi compensate cu un alt mecanism de
protectie din sfera roganizatorica sau de personal.
17. Controlul accesului.
a) Accesul la datele cu caracter personal se realizează de către angajații autorizați (Utilizatori
autorizați) și în funcție de sarcinile de serviciu.
b) Persoanele care au acces la datele cu caracter personal sunt instruite și monitorizate în mod
corespunzător.
c) Fiecare persoana desemnata sa realizeze operatiuni de procesare efectuează operațiunile cu
ajutorul activului informatic ce i-a fost repartizat și la care se conectează în baza unui user și a
unei parole.
d) Toate conturile programelor informatice utilizate de angajator sunt accesate în baza unui user
și parolă alocate fiecărui angajat și sunt gestionate centralizat. Accesul la activele informatice
(laptop-uri, desktop-uri) implicate in procesare vor fi autorizate in baza autentificarii fiecărui
angajat cu un user și o parolă.
e) Parolele conțin cel puțin opt caractere iar dacă sistemul informatic nu permite acest lucru din
punct de vedere tehnic, parola va consta din numărul maxim permis de caractere. Parolele
sunt setate de către fiecare Utilizator autorizat, cu excepția parolelor pentru bazale de date
primite de la clienți, și nu conțin niciun element care să poată fi ușor asociat cu Utilizatorul
autorizat care răspunde de Prelucrare. Parolele și secvențele secrete sunt schimbate la
intervale de 6 luni regulate.
f) Accesul la datele cu caracter personal, indiferent daca sunt stocate, transmise sau modificate
este posibil doar pentru Utilizatorul autorizat.
g) Masurile de control la nivelul sistemului de operare, acces la baze de date si la stocarea
datelor trebuie sa fie configurate conform cu nivelele minime de permisiuni. Numai personalul
autorizat prin documentul de securitate este îndreptățiți sa acorde, sa modifice sau sa retragă
accesul utilizatorilor la sistemele informatice.
h) Angajatorul întocmește și păstrează jurnalele de acces la sistemele informatice pe perioada
minimă prevăzută de lege sau, dacă legea nu prevede, pe o perioadă de 5 ani de la
definitivarea prelucrării. Aplicația utilizată de Revive Club SRL generează log-uri pentru fiecare
activitate întreprinsă de un user.
i) Pentru a asigura comunicarea în condiții de siguranță și reducerea riscurilor, accesul
administrativ de la distanță la activele informationale esențiale se realizează în mod
excepțional situație în care se utilizează soluții de autentificare puternica, monitorizarea
indeaproape a accesului si prin utilizarea de protocoale sa nu permita interceptarea
comunicatiilor, respectiv criptarea comunicațiilor.
18. Tipurile de date prelucrate de către salariați
a) Datele prelucrate de către salariați, atât cu privire la propria persoană cât și cu privire la Clienții
angajatorului, vor fi următoarele:
– numele și prenumele,

9

– adresa de domiciliu,
– adresa de email,
– numărul de telefon,
– CNP,
– seria și numărul cărții de identitate,
– datele din cartea de identitate,
– copie CI.
b) Datele prelucrate de către salariați cu privire la Clienți sunt următoarele:
– user și parolă,
– preferințe,
– accesări anterioare,
– achiziții anterioare de produse și servicii,
– utilizarea anterioară a site-urilor și/sau aplicațiilor,
– comunicările Clienților cu angajatorul / Clienții societății,
– locația, inclusiv locația geografică în timp real a computerului sau a dispozitivului dvs. prin
GPS și adresa dvs. IP, împreună cu locațiile Wi-Fi hotspot și gsm, dacă utilizați funcții bazate
pe locație și activați Serviciile de localizare setări pe dispozitiv și pe computer,
– date de trafic și interacțiune legate de email și/sau sms (deschidere, acțiune, produse vizitate)
și acțiuni ulterioare pe site-ul operatorului (vizitare pagina, cumparare, abonare) precum și
accesări anterioare.
– alte tipuri de date analizate.
c) Datele vor fi prelucrate atât în format digital cât și format tipărit.
19. Consimțământul prelucrării
a) Salariatul își exprimă consimțământul ca angajatorul sa colecteze si sa prelucreze datele mele
cu caracter personal: nume și prenume, adresă de domiciliu, adresă de email, număr de
telefon, CNP, seria și numărului cărții de identitate, copia cărții de identitate, etc. in scopul
incheierii si executarii contractului de munca cu Revive Club SRL.
b) Mentionez ca sunt de acord in mod expres ca destinatarii datelor mele cu caracter personal sa
fie angajatii societatii, departamentul de contabilitate, colaboratorii și clientii (in ceea ce priveste
numele și prenumele, adresa de email si numarul de telefon), precum si autoritatile statului si
ca sunt de acord cu stocarea acestor date in arhiva Revive Club SRL.
c) Fiecare salariat se obligă să obțină acordul prealabil al persoanei vizate în vederea prelucrării
datelor cu caracter personal.
20. Stocarea, copiere, imprimarea, transmiterea și ștergerea datelor
a) Datele cu caracter personal vor fi stocate pe suport fizic: hârtie, sau în format digital: stick, hdd,
mail gmail, mail server, revisal, 24broker, google drive, platforme digitale, etc.
b) Datele vor fi păstrate în arhiva, birourile și activele informatice ale societății, precum și digital
(mail gmail, mail server, whatsapp, facebook, email marketing, google contacts, 24broker,
google drive, cloud și alte platforme) și vor fi prelucrate de către angajații și colaboratorii
societății, clienții societății și serviciile suport.
c) Angajații vor avea asupra lor sau vor supraveghea, în permanență, activele informatice și
suporturile fizice pe care sunt stocate Date cu Caracter Personal. Se va evita folosirea în
preajma activelor informatice sau a suporturilor fizice a oricăror obiecte, proceduri, manevre
care le-ar putea deteriora sau care ar putea duce la pierderea lor.

10
d) Mijloacele de stocare (CD-uri, stick-uri, hard disk-urilor) vor fi în posesia Utilizatorului autorizat
sau vor fi păstrate în sertare cu cheie la care are/au acces doar Utilizatorii autorizați.
e) Accesul în incinta spațiului angajatorului se realizează doar de către salariați și partenerii
contractuali.
f) Este interzisă abandonarea sau lăsarea nesupravegheată a înscrisurilor sau suporturilor de
orice fel pe care sunt imprimate Date cu caracter personal pe birou sau în afara acestuia.
g) Dacă durata prelucrării se prelungește peste durata zilei de lucru atunci se va menționa motivul
și locul unde au fost depozitate.
h) Operațiile de tipărire/ copiere trebuie controlate fizic de către Utilizatorii Autorizați, pentru a se
asigura că niciun exemplar din documentul tipărit sau copiat, care conține date cu caracter
personal, nu rămâne în echipamentele de copiere sau imprimare.
i) Suporturile care conțin date cu Caracter Personal sau copiile tipărite ale datelor cu Caracter
Personal trebuie să poarte mențiunea "Confidențial", iar documentele pe suport de hârtie, care
conțin date cu caracter personal, trebuie transferate într-un container/plic sigilat sau în suport
închis, pe care se va menționa clar că documentul trebuie inmanat personal unui utilizator
autorizat.
j) Anterior transmiterii datelor cu caracter personal, angajatul se va asigura că:
i. subcontractorul are încheiat un contract prin care este desemnat persoană
împuternicită, și acel contract este în termen de valabilitate,
ii. în contract este inserată o politică de confidențialitate cu privire la protecția datelor cu
caracter personal în care sunt prevăzute obligații cel puțin la fel de oneroase ca cele la
care Revive Club SRL s-a angajat față de clientul său.

k) În cazul în care Datele cu Caracter Personal sunt transmise sau transferate printr-o rețea de
comunicații electronice, ori sunt relocate temporar trebuie luate măsuri pentru a controla fluxul
de date și pentru a înregistra momentul transmiterii sau al transferului, Datele cu Caracter
Personal transmise sau transferate, destinația Datelor cu Caracter Personal transmise sau
transferate și datele de identificare ale Utilizatorului autorizat care efectuează transmisia sau
transferul.
l) Transmiterea documentelor se realizează fizic (înmânare personală, curier, etc.) sau digital prin
email (mail gmail + mail server), email marketing, we transfer, share, google drive, google
sheets, google maps, facebook, facebook tag, facebook ads, whatsapp,sociial media,
linkedin, instagram, youtube, etc.
m) Transmiterea documentelor fizice care conțin date personale între salariații cu atribuții în
gestionarea lor se face personal sau prin curier intern special.
n) Transmiterea și transportul pe dispozitive de stocare pe suport electronic (exemplu: stick USB,
hard disk extern, etc.) a imaginilor și documentelor care conțin date cu caracter personal se fac
respectând regulile transmiterii și transportului documentelor care conțin date cu caracter
personal. Astfel de dispozitive sau documente se transportă în plicuri sigilate sau genți cu
încuietoare, ce se vor afla în permanență, pe durata transportului, în posesia și sub atenția
Utilizatorului autorizat. Acestea vor fi predate doar Utilizatorului autorizat care este necesar să
intre în posesia lor. În situațiile în care este posibil, informațiile stocate pe suportul electronic
vor fi criptate.
o) Transmiterea pe cale electronică a imaginilor și documentelor care conțin date cu caracter
personal se face respectând regulile de securitate informatică ale companiei, descrise în

11
prezentul document. Fișierul/documentul/corespondența va fi parolată de către Utilizatorul
autorizat, înainte de transmitere. Parola va fi comunicată destinatarului într-o manieră
securizată și separat de documentul/fișierul/corespondența în cauză.
p) Transmiterea oricăror informații în baza unor solicitări venite de la terțe părți sau autorități
(inclusiv Autoritatea pentru Protecția Datelor) se va face după avizul acordat de Administrator.
Orice înștiințare va fi înaintată Administratorului în cel mai scurt timp, maxim 24 de ore. După
obținerea avizului Administratorului, transmiterea datelor se va realiza în conformitate cu
procedura instituită prin prezentul act.
q) Ștergerea se va realiza în asemenea manieră încât să fie definitivă iar datele să nu poată fi
recuperate. Personalul va verifica ștergerea datelor de către Subscontractanți, cerând de la
aceștia dovezile necesare. După ștergerea datelor, personalul IT care a realizat ștergerea va
completa în Registru data și ora ștergerii, datele șterse, locația datelor, dacă s-a solicitat și
subcontractantului și, eventualele observații.
21. Securitatea sistemelor
a) Pentru menținerea securității prelucrării datelor cu caracter personal, angajatorul adoptă
următoarele măsuri:

i. interzicerea folosirii de către persoanele autorizate a programelor software
care provin din surse externe sau dubioase,
ii. informarea periodică a persoanelor a persoanelor autorizate în privința
pericolului privind virușii informatici,
iii. implementarea unor sisteme automate de devirusare și de securitate a
sistemelor informatice,
iv. dezactivarea, pe cât posibil, a tastei ”Print screen”, atunci când sunt afișate pe
monitor date cu caracter personal, interzicându-se scoaterea la imprimantă a
acestora.

b) Angajatorul verifică în mod regulat ca programele software utilizate pentru procesarea datelor,
inclusiv programele software ale salariaților, precum si că sistemele informatice suport sunt
actualizate și ca patch-urile de securitate sunt aplicate. Totodata se asigură că s-au introdus
mecanismele de verificare a integrității, programelor informatice, a firmware-ului și a datelor in
sine.
c) Activele informationale (software, hardware, de comunicatii) utilizate în activitatile de procesare
sunt verificate periodic, pentru a detecta și elimina vulnerabilitățile și deficiențele de natura a
produce riscuri la adresa securitatii informationale, cel putin anual.
d) Sistemele informatice sunt prevazute cu pograme informatice, echipamente sau sisteme
specializate care asigurăs protectia anti-malware si care resping atacurile informatice si
tentativele de acces neautorizat la adresa acestora. Infrastructura de protectie si detectare sunt
actualizate in permanenta, rulează fara intrerupere si vor fi configurate corespunzator cu cele
mai noi tehnologii, recomandari si bune practici din industrie.
e) Implementarea de noi sisteme de procesare sau masuri de protectie care vizeaza datele cu
caracter personal se realizează cu o testare prealabila, care sa asigure ca orice riscuri in
functionare au fost eliminate sau controlate in mod adecvat.
f) Testarea înainte de implementarea sau modificarea sistemelor informatice de Prelucrare de
Date cu Caracter Personal nu utilizează date reale sau "live", decât dacă o astfel de utilizare
este absolut necesară și nu există o alternativă rezonabilă. În cazul în care se utilizează date
reale sau "live", acestea se vor limita strict la datele absolut necesare în scopul efectuării

12
testelor, iar nivelul de securitate corespunzător tipului de date cu Caracter Personal prelucrate
trebuie obligatoriu garantat.
g) În unele situații, când se verifică funcționarea unei aplicații implementate, testarea se
realizează folosind date reale.
22. Monitorizare, inregistrare si audit
a) Angajatorul are implementate măsuri de monitorizare continuă a funcțiilor aferente activităților
de procesare, a sistemelor si activitatilor de suport și a activelor informaționale, pentru a
depista activitățile anormale în ceea ce privește datele cu caracter personal. În cadrul
monitorizării se asigură resurse corespunzătoare și eficiente pentru depistare breselor logice și
fizice, precum și a încălcărilor confidențialității, ale integrității și ale disponibilității activelor
informaționale utilizate în prestarea serviciilor.
b) Detaliile minime care trebuie înregistrate pentru fiecare acces la sistemele informatice sunt
user-ul utilizatorului, data și ora accesului, fișierul sau datele accesate, scopul, și tipul
prelucrării.
23. Masuri de personal
a) Angajatorul se asigură că angajații care îndeplinesc activitati de procesare a datelor sunt
instruiți anual privind securitatea informațiilor vizate sau mai frecvent, dacă este cazul.
b) Angajatorul pune în aplicare periodic programe de conștientizare în domeniul securității, pentru
a-și educa personalul și pentru a aborda riscurile aferente securității informațiilor in cadrul
procesarii datelor cu caracter personal. Angajații au obligația de a raporta orice incident sau
activitate neobișnuită.

Revive Club SRL
Admin. Cezar Amititeloaie