Departamentul Resurse Umane

Asigurarea securitatii datelor cu caracter personal

IL HO/ST 002 Versiunea 1.0

Autor: Rotaru Vadim Versiune aprobata/ 24.01.2012

Aceste instructiuni se vor modifica doar cu aprobarea Departamentului Organizare Page 1 of 14





Departamentul Resurse Umane
Asigurarea securitatii datelor cu caracter personal
IL HO/ST 002 Versiunea 1.0

Autor: Rotaru Vadim Versiune aprobata/ 24.01.2012

Aceste instructiuni se vor modifica doar cu aprobarea Departamentului Organizare Page 2 of 14



Asigurarea securitatii datelor
cu caracter personal ale angajatilor

Instructiune de lucru- METRO C&C MD




Instructiune de lucru

IL HO/ST 002/ 24.01.2012







Distributie:

Centrala Magazin
Departamentul Resurse Umane Departamentul Resurse Umane
Departamentul Resurse Umane
Asigurarea securitatii datelor cu caracter personal
IL HO/ST 002 Versiunea 1.0

Autor: Rotaru Vadim Versiune aprobata/ 24.01.2012

Aceste instructiuni se vor modifica doar cu aprobarea Departamentului Organizare Page 3 of 14



Cuprins


0.1 Istoricul instructiunii 4
0.2 Subiectele documentului 4
1 INTRODUCERE 5
1.1. Scop 5
1.2. Roluri si responsabilitati 5
2 IMAGINEA GENERALA A PROCESULUI 6
3 DESCRIEREA GENERALA A PROCESULUI 7
3.1 Dispozitii generale 7
3.2 Categorii de date cu caracter personal 7
3.3 Procedura de colectare, prelucrare si stocare a datelor cu caracter personal 8
3.4 Responsabilitatile angajatorului 8
3.5 Responsabilitatile si drepturile angajatului 9
3.6 Masuri organizatorice si tehnice pentru asigurarea protectiei datelor cu caracter personal 10
3.7 Dispozitii finale 11
4 ANEXE 12
4.1 Anexa 1: Acord privind prelucrarea datelor cu caracter personal ale salariatilor 12
4.2 Anexa 2: Proces Verbal privind transmiterea datelor cu caracter personal ale salariatilor 13
4.3 Anexa 3: Curriculum Vitae 14



Departamentul Resurse Umane
Asigurarea securitatii datelor cu caracter personal
IL HO/ST 002 Versiunea 1.0

Autor: Rotaru Vadim Versiune aprobata/ 24.01.2012

Aceste instructiuni se vor modifica doar cu aprobarea Departamentului Organizare Page 4 of 14


0.1 Istoricul instructiunii
Nr de
inregistrare
Valida din Inlocuieste Aplicatii
relationate
Scrisa de/
Data
Revizuita
de/ Data
Aprobata
de/ Data




0.2 Subiectele documentului

Aceasta instructiune utilizeaza urmatoarele simboluri:


Simbol Simbolizeaza

Informatie
Acest simbol indica o informatie importanta, care il va ajuta pe utilizator
sa inteleaga mai bine procesul descris. In plus, va ofera sfaturi sau
experiente utile.

Exemple / Exercitii
Acest simbol indica ex. imagini ale screen-urilor sau exemple descrise.

Procedura de lucru
Descrie pasii specifici unui proces, pentru a evita neglijenta,
superficialitatea sau abordarea gresita.

Masuri de control
Acest simbol descrie rezultatul unui proces in amanunt, deoarece apare
riscul ca procesele urmatoare sa nu se poata realiza sau sa aiba
rezultate nedorite.

Intrebari & raspunsuri
Se utilizeaza pentru a oferi raspunsuri la intrebarile care apar de obicei,
in contextul descris.






Departamentul Resurse Umane
Asigurarea securitatii datelor cu caracter personal
IL HO/ST 002 Versiunea 1.0

Autor: Rotaru Vadim Versiune aprobata/ 24.01.2012

Aceste instructiuni se vor modifica doar cu aprobarea Departamentului Organizare Page 5 of 14

1 Introducere
1.1. Scop

Prezenta instructiune are drept scop definirea proceselor care ar asigura protectia datelor cu
caracter personal, prelucrate de catre METRO Cash&Carry Moldova. Prezenta instructiune
este elaborata in baza dispozitiilor legale ce reglementeaza protectia datelor cu caracter
personal ale salariatului cuprinse in art 91-94 Codul Muncii al Republcii Moldova si art 4-29
din Legea cu privire la protectia datelor cu caracter nr 133 din 8 iulie 2011, Hotarirea de
Guvern nr 1123 din 14.12. 2010.
Aceasta instructiune se aplica in magazinele si sediul central METRO Cash&Carry
Moldova.

1.2. Roluri si responsabilitati


Angajatii companiei poarta responsabilitate deplina asupra datelor cu caracter personal cu
care iau cunostinta in cadrul si in legatura cu activitatea pe care o desfasoara.
Angajatii companiei sunt obligati sa pastreze confidentialitatea datelor cu caracter personal
cu care iau cunostinta in cadrul activitatii pe care o desfasoara si in conformitate cu
prevederile instructiunii date.

Prelucrarea datelor cu caracter personal se efectueaza cu consimtamintul subiectului datelor
cu caracter personal (Anexa Nr 1).


Nu este necesar consimtamantul angajatului in urmatoarele cazuri:
executarea unui contract la care subiectul datelor cu caracter personal este
parte sau pentru luarea unor masuri inaintea incheierii contractului, la
cererea acestuia
indeplinirea unei obligatii care ii revine operatorului conform legii
protejarea vietii, integritatii fizice sau a sanatatii subiectului datelor cu
caracter personal;
executarea sarcinilor de interes public sau care rezulta din exercitarea
prerogativelor de autoritate publica cu care este investit operatorul sau tertul
caruia ii sint dezvaluite datele cu caracter personal;
realizarea unui interes legitim al operatorului sau al tertului caruia ii sint
dezvaluite datele cu caracter personal, cu conditia ca acest interes sa nu
prejudicieze interesele sau drepturile si libertatile fundamentale ale
subiectului datelor cu caracter personal
scopuri statistice, de cercetare istorica sau stiintifica, cu conditia ca datele cu
caracter personal sa ramina anonime pe toata durata prelucrarii



Departamentul Resurse Umane
Asigurarea securitatii datelor cu caracter personal
IL HO/ST 002 Versiunea 1.0

Autor: Rotaru Vadim Versiune aprobata/ 24.01.2012

Aceste instructiuni se vor modifica doar cu aprobarea Departamentului Organizare Page 6 of 14


2 Imaginea generala a procesului


Angajat
MCC MOLDOVA
ST/HO
Culegerea Date Caracter Personal
Prelucrare si Stocare
Date Caracter Personal
Transmitere Date Caracter Personal
Organelor Abilitate
Angajat
MCC MOLDOVA
ST/HO
Angajat
MCC MOLDOVA
ST/HO
Acord
Prelucrare
Date
Caracter
Personal
PV
Transmitere
Date
Caracter
Personal
Departamentul Resurse Umane
Asigurarea securitatii datelor cu caracter personal
IL HO/ST 002 Versiunea 1.0

Autor: Rotaru Vadim Versiune aprobata/ 24.01.2012

Aceste instructiuni se vor modifica doar cu aprobarea Departamentului Organizare Page 7 of 14

3 Descrierea generala a procesului
3.1 Dispozitii generale

Definire termeni:
persoana vizata - persoana fizica ale carei date cu caracter personal sunt
prelucrate:
1. candidati la angajare in cadrul METRO Cash & Carry Moldova (pentru toate
functiile),
2. persoanele angajate incepind cu primirea actelor pentru intocmirea actelor
necesare pentru angajare (pentru toate functiile).
a colecta - a stringe, a aduna, a primi date cu caracter personal de la persoanele
vizate prin intermediul Departamentului Resurse Umane (copii actelor ce detin date
cu caracter personal si adeverinte oferite de catre alte institutii) si intrare clienti
(Anexa 3 - Curriculum Vitae).
a dezvalui - a transmite, a face disponibile in orice alt mod date cu caracter
personal.
consimtamint - acordul persoanei vizate de a-i fi prelucrate datele cu caracter
personal, care trebuie sa fie intotdeauna expres si neechivoc.
utilizator - orice angajat din cadrul Departamentului Resurse Umane si care este
imputernicita de catre angajator, cu drept recunoscut de acces la baza de date cu
caracter personal.
operator - persoana fizica sau persoana juridica de drept public sau de drept privat,
inclusiv autoritatea publica, orice alta institutie ori organizatie care, in mod individual
sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu
caracter personal prevazute in mod expres de legislatia in vigoare.


3.2 Categorii de date cu caracter personal

Solicitarea datelor cu caracter personal de la persoane fizice, se efectueaza in cadrul
procesului de angajare in munca: primirea actelor (originale si copii) necesare pentru
intocmirea actelor de angajare in cimpul muncii. Datele cu caracter personal, care direct sau
indirect identifica o persoana fizica, in special prin referire la un numar de identificare (cod
personal), la unul sau mai multe elemente specifice proprii identitatii sale fizice, fiziologice,
psihice, economice, culturale sau sociale, se impart in doua categorii: obisnuite si speciale.
Categoria speciala a datelor cu caracter personal o constituie informatia care dezvaluie
originea rasiala sau etnica, convingerile politice, religioase, privind starea de sanatate sau
viata intima, precum si cele privind condamnarile penale ale unei persoane fizice.
Categoria obisnuita o constituie informatia care dezvaluie:
1) numele si prenumele;
2) sexul;
3) data si locul nasterii;
4) cetatenia;
5) IDNP;
6) imaginea;
7) vocea;
8) situatia familiala;
9) situatia militara;
Departamentul Resurse Umane
Asigurarea securitatii datelor cu caracter personal
IL HO/ST 002 Versiunea 1.0

Autor: Rotaru Vadim Versiune aprobata/ 24.01.2012

Aceste instructiuni se vor modifica doar cu aprobarea Departamentului Organizare Page 8 of 14

10) datele de geolocalizare/datele de trafic;
11) porecla/pseudonimul;
12) datele personale ale membrilor de familie;
13) datele din permisul de conducere;
14) datele din certificatul de inmatriculare;
15) situatia economica si financiara;
16) datele privind bunurile detinute;
17) datele bancare;
18) semnatura;
19) datele din actele de stare civila;
20) numarul dosarului de pensie;
21) codul personal de asigurarii sociale (CPAS);
22) codul asigurarii medicale (CPAM);
23) numarul de telefon/fax;
24) numarul de telefon mobil;
25) adresa (domiciliului/resedintei);
26) adresa e-mail;
27) datele genetice;
28) datele biometrice si antropometrice;
29) datele dactiloscopice;
30) profesia si/sau locul de munca;
31) formarea profesionala diplome studii;
32) obisnuintele/preferintele/comportamentul;
33) caracteristicile fizice.

Domeniul de aplicare, continutul si prelucrarea datelor cu caracter personal este
reglementata prin Constitutie, Codul Muncii al Republicii Moldova si alte legi si reglementari

3.3 Procedura de colectare, prelucrare si stocare a datelor cu
caracter personal

Toate datele cu caracter personal ale angajatului, angajatorul le primeste direct de la angajat
(potential angajat) sau din sursa indicata de acesta:

Datele personale a salariatului sunt prelucrate si stocate de catre angajator, prin
reprezentantii sai, in urmatoarele conditii:
in format electronic, pe calculatoarele angajatilor, fara drept de colectare,
pastrare a datelor cu caracter personal pe purtator de memorie externe (CD-
uri, DVD-uri, memorie USB s.a.).
pe hirtie in dulapuri special amenajate, care sunt incheiate la cheie.

3.4 Responsabilitatile angajatorului
Prelucrarea cu buna credinta si in conformitate cu dispozitiile legale a datelor cu
caracter personal.
Colectarea in scopuri determinate, explicite si legitime, adecvate, pertinente si
neexcesive, prin raportare la scopul in care sunt colectate si ulterior prelucrate.
Datele cu caracter personal trebuie sa fie exacte si actualizate; datele inexacte sau
incomplete din punct de vedere al scopului pentru care sunt colectate si respectiv
prelucrate vor fi sterse sau rectificate.
Departamentul Resurse Umane
Asigurarea securitatii datelor cu caracter personal
IL HO/ST 002 Versiunea 1.0

Autor: Rotaru Vadim Versiune aprobata/ 24.01.2012

Aceste instructiuni se vor modifica doar cu aprobarea Departamentului Organizare Page 9 of 14

Prelucrarea datelor personale ale salariatului poate fi efectuata exclusiv in scopul
indeplinirii prevederilor legislatie in vigoare, acordarii de asistenta la angajare,
instruirii, si promovarii in serviciu, asigurarii securitatii personale a salariatului,
controlul volumului si calitatii lucrului indeplinit si asigurarii integritatii bunurilor
angajatorului.
Angajatorul, prin reprezentantii sai, nu este in drept sa obtina si sa prelucreze date
privind apartenenta salariatului la sindicate, asociatii obstesti si religioase, partide si
alte organizatii social-politice, cu excpetia cazurilor prevazute de lege.
Angajatorul, prin reprezentantii sai, se obliga:
o sa nu comunice unor terte persoane datele personale ale salariatului fara
acordul scris al acestuia, cu exceptia cazurilor cind acest lucru este necesar
in scopul prevenirii unui pericol pentru viata sau sanatatea salariatului,
precum si in cazurile prevazute expres de lege (Anexa 1)
o sa nu comunice datele personale ale salariatului in scopuri comerciale fara
acordul acestuia
o sa previna persoanele carora le sunt oferite datele personale al salariatului
despre faptul ca acestea pot fi utilizate doar in scopurile pentru care au fost
comunicate si sa ceara persoanelor in cauza confirmarea in scris a respectarii
acestei legi. Persoanele carora le sunt oferite datele personale ale salariatului
sint obligate sa respecte regimul de confidentialitate, cu exceptia cazurilor
prevazute de lege.
o sa nu solicite informatii privind starea sanatatii salariatului, cu excpetia datelor
ce vizeaza capacitatea salariatului de a-si indeplini obligatiile de munca.
3.5 Responsabilitatile si drepturile angajatului

Responsabilitatile angajatului

informarea Departamentului Resurse Umane despre orice modificare a datelor cu
caracter personal in termen de 10 zile de la data modificarii, conform prevederilor
Regulamentului de Ordine Interna.
cerinta de a elimina sau corecta datele cu caracter personal false sau incomplete.

Angajatul are dreptul :

de a primi informatia deplina despre datele sale personale si modul de prelucrare a
acestora;
de a avea acces liber si gratuit la datele sale personale, inclusiv si dreptul la copie
de pe orice act juridic care contine datele sale personale, cu exceptia cazurilor
prevazute de legislatia in vigoare;
de as-si desemna reprezentantii pentru protectia datelor sale personale;
de a avea acces la informatia cu caracter medical ce-l vizeaza;
de a cere excluderea sau rectificarea datelor personale incorecte si/sau
incomplete, precum si a datelor prelucrate cu incalcarea cerintelor prezentei
instructiuni. In cazul in care reprezentantii angajatorului refuza sa excluda sau sa
rectifice datele personale incorecte, salariatul este in drept sa notifice (printr-o
cerere) in scris angajatorului dezacordul sau motivat;
de a contesta in Inspectia Muncii si/sau ataca in instanta de judecata orice actiuni
sau inactiuni ilegale ale angajatorului admise la obtinerea, pastrarea, prelucrarea si
protectia datelor personale ale salariatului;



Departamentul Resurse Umane
Asigurarea securitatii datelor cu caracter personal
IL HO/ST 002 Versiunea 1.0

Autor: Rotaru Vadim Versiune aprobata/ 24.01.2012

Aceste instructiuni se vor modifica doar cu aprobarea Departamentului Organizare Page 10 of 14


3.6 Masuri organizatorice si tehnice pentru asigurarea protectiei
datelor cu caracter personal

Reprezentantii angajatorului, care in limitele activitatii pe care o desfasorara, au acces la
date cu caracter personal ale angajatilor companiei, sunt obligati sa aplice masurile tehnice
si organizatorice adecvate pentru protejarea datelor cu caracter personal impotriva
distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat,
in special daca prelucrarea respectiva comporta transmiteri de date in cadrul unei retele,
precum si impotriva oricarei alte forme de prelucrare ilegala.
Actele si sursele care contin date cu cracter personal ale angajatilor trebuie sa fie pastrate in
dulapuri sau safeuri special amenajate si incuiate cu cheie. Cheile la aceste dulapuri fiind
detinute doar de catre persoane autorizate ale departamentului respectiv, din cadrul
magazinului sau seduil central. Este interzis de a transmite cheile de la dulapuri unde se
pastreaza datele cu caracter personal ale angajatilor unor persoane terte, neautorizate de
catre angajator.
Este interzisa pastrarea informatiei cu caracter personal impreuna cu informatia de alt tip pe
dispozitive mobile, pe birou, lasate fara supraveghere sau transmise persoanelor
neautorizate de a lucra cu informatia cu caracter personal.
Nu se permite de a scoate informatia cu caracter personal din incinta magazinului,
companiei, fara autorizarea expresa a angajatorului, cu exceptia cazurilor cind acest lucru
este cerut de catre organele competente si doar in conditile legislatiei in vigoare si prezentei
instructiuni. La eliberarea datelor cu caracter personal catre organele competente,
reprezentatul angajatorului va transmite aceste date in baza unui procesul verbal in care se
va indica catre cine este transmisa informatia, in ce scop si va solicita in scris asigurarea
confidentialitatii asupra datelor transmise. Procesul verbal se va arhiva si pastra la
reprezentantul angajatorului care a transmis informatia (Anexa 2).
Cerintele minime de securitate a bazelor de date, care contin date cu caracter personal ale
angajatilor:
utilizatorii, pentru a obtine acces la baza de date cu caracter personal, trebuie sa
se identifice; identificarea se poate face prin introducerea codului de identificare
de la tastatura (un sir de caractere - user name);
fiecare utilizator are propriul sau cod de identificare. niciodata mai multi utilizatori
nu trebuie sa aiba acelas cod de identificare;
codurile de identificare (sau conturi de utilizator) nefolosite o perioada mai
indelungata trebuie dezactivate si distruse dupa un control prealabil intern al
administratorului, conform politicii de securitate a datelor ale companiei;
orice cont de utilizator este insotit de o modalitate de autentificare. autentificarea
poate fi facuta prin introducerea unei parole. parolele sunt siruri de caractere;
parola trebuie sa contina litere mari, cifre si simboluri; parolele trebuie schimbate
periodic in functie de politicile de securitate ale companiei schimbarea periodica
a parolelor se face numai de catre utilizatori autorizati de angajator
(administrator);
angajatul care primeste un cod de identificare si un mijloc de autentificare
trebuie sa pastreze confidentialitatea acestora si este interzisa transmiterea
acestor date catre o persoana terta, fara autorizarea angajatorului;
Departamentul Resurse Umane
Asigurarea securitatii datelor cu caracter personal
IL HO/ST 002 Versiunea 1.0

Autor: Rotaru Vadim Versiune aprobata/ 24.01.2012

Aceste instructiuni se vor modifica doar cu aprobarea Departamentului Organizare Page 11 of 14

administratorul autorizeaza anumiti utilizatori pentru a revoca sau a suspenda un
cod de identificare si autentificare, daca utilizatorul acestora si-a dat demisia ori
a fost concediat, si-a incheiat contractul, a fost transferat la alt serviciu si noile
sarcini nu ii solicita accesul la date cu caracter personal, a abuzat de codurile
primite sau daca va absenta o perioada indelungata stabilita de companie;
accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se
va face pe baza unei liste aprobate de catre angajator;
baza de date este localizata pe server-ul companiei si accesul la aceste
restrictionat conform politicilor de securitate informationala;
Tipuri de utilizatori si acces in baza de date unde se pastreaza datele cu caracter personal:
utilizator - este permisa introducerea, modificarea, stocarea si propunerea spre
stergere a datelor;
administrator suplimentar la opertiunile permise pentru utilizator are dreptul de
a modifica parole, efectua setari si schimbari in sistem, precum si dreptul de a
sterge date.
La expirarea termenului legal de pastrare a documentelor cu caracte personal, acestea sunt
distruse conform prevederilor legislatieI in vigoare.

3.7 Dispozitii finale

Prezenta instructiune de lucru este conforma cu Legea nr. 133 din 08.07.2011 si HG nr.
1123 din 14.12.2010.
Prezenta instructiune se aduce la cunostinta salariatilor unitatii, sub semnatura.
Reprezentantii angajatorului si alte persoane vinovate de incalcarea normelor privind
obtinerea, pastrarea, prelucrarea, si protectia datelor personale ale salariatului din unitate
poarta raspundere disciplinara, materiala, contraventionala si penala in modul prevazut de
legislatia in vigoare.
Schimbarile si modificarile prezentei instructiuni se efectuiaza prin decizia angajatorului,
adusa la cunostinta angajatilor.
Daca in rezultatul modificarilor legislatiei in vigoare a Republicii Moldova, unele norme ale
prezentei instructiuni vor intra in contradictie cu legislatia, ele i-si vor pierde valabilitatea.
Pina la introducerea schimbarilor si modificarilor in prezenta instructiune, la colectarea,
prelucrarea si stocarea datelor cu caracte personal ale angajatilor companiei, angajatii
Departamentului Resurse Umane se vor conduce de normele de drept a Republicii Moldova
in vigoare.










Departamentul Resurse Umane
Asigurarea securitatii datelor cu caracter personal
IL HO/ST 002 Versiunea 1.0

Autor: Rotaru Vadim Versiune aprobata/ 24.01.2012

Aceste instructiuni se vor modifica doar cu aprobarea Departamentului Organizare Page 12 of 14

4 Anexe
4.1 Anexa 1: Acord privind prelucrarea datelor cu caracter
personal ale salariatilor








Departamentul Resurse Umane
Asigurarea securitatii datelor cu caracter personal
IL HO/ST 002 Versiunea 1.0

Autor: Rotaru Vadim Versiune aprobata/ 24.01.2012

Aceste instructiuni se vor modifica doar cu aprobarea Departamentului Organizare Page 13 of 14

4.2 Anexa 2: Proces Verbal privind transmiterea datelor cu
caracter personal ale salariatilor





Departamentul Resurse Umane
Asigurarea securitatii datelor cu caracter personal
IL HO/ST 002 Versiunea 1.0

Autor: Rotaru Vadim Versiune aprobata/ 24.01.2012

Aceste instructiuni se vor modifica doar cu aprobarea Departamentului Organizare Page 14 of 14

4.3 Anexa 3: Curriculum Vitae