Întrebări frecvente privind obligaţiile procesatorului

1. Are compania dumneavoastră o notificare/declaraţie de confidenţialitate publicată, astfel încât să o putem examina?

• Declaraţia de confidenţialitate oficială a companiei HP este disponibilă pe toate paginile web de la hp.com. Lista cu declaraţiile în diferite limbi poate fi găsită AICI.

2. Păstraţi o evidenţă a procesării pentru toate activităţile efectuate?

• HP păstrează şi actualizează în mod constant evidenţa activităţilor de procesare. Am implementat instrumente de gestionare a confidenţialităţii şi de păstrare a înregistrărilor, pentru a operaţionaliza şi păstra înregistrări pentru multe activităţi de conformitate, inclusiv Înregistrări ale procesărilor, Evaluări ale impactului protecţiei datelor şi Confidenţialitate prin design.

3. Din ce locaţii geografice veţi furniza serviciile? Transferaţi datele personale în alte ţări din afara Spaţiului economic european?

• HP este o companie globală şi multe dintre procesele noastre de afaceri utilizează un model operaţional global. Datele personale furnizate către HP pot fi transferate în afara graniţelor statelor sau ale ţărilor, pentru scopuri care ţin de consolidarea datelor, stocarea acestora şi gestionarea simplificată a informaţiilor despre clienţi. Accesarea sau transferarea datelor personale în afara graniţelor statelor sau ale ţărilor trebuie să se conformeze legilor locale aplicabile şi cerinţelor contractuale. HP participă la câteva programe care permit transferul internaţional al datelor personale către entităţile HP din întreaga lume. Puteţi afla mai multe despre participarea noastră la aceste programe, consultând Declaraţia de confidenţialitate a companiei HP.

4. Vă bazaţi pe mecanisme legale pentru transferul de date?

• În conformitate cu GDPR, HP se bazează pe mecanisme aprobate pentru transferul de date.
  • În calitate de controlor de date, HP a aprobat Regulile corporative obligatorii (Binding Corporate Rules - BCR), care sunt menite să ofere garanţiile adecvate că datele personale ale angajaţilor, furnizorilor şi clienţilor consumatori ai companiei HP sunt protejate când sunt transferate către orice altă firmă HP. HP rămâne printre puţinele companii din lume (sub 100) recunoscute de autorităţile de protecţie a datelor din UE, pentru Regulile corporative obligatorii pe care le aplică. Puteţi să găsiţi mai multe informaţii şi să verificaţi Regulile corporative obligatorii ale companiei HP AICI.
  • Cooperarea Economică Asia-Pacific (Asia-Pacific Economic Cooperation - APEC) a 21 de economii implementează Sistemul de reguli de confidenţialitate transfrontaliere (Cross Border Privacy Rules - CBPR), care asigură protejarea confidenţialităţii pentru transferurile de date personale în cadrul regiunii. Practicile de confidenţialitate ale companiei HP sunt în conformitate cu Sistemul APEC CBPR, inclusiv cu transparenţa, responsabilitatea şi opţiunea referitoare la colectarea şi utilizarea datelor dumneavoastră personale. Puteţi să găsiţi mai multe informaţii despre Sistemul de reguli CBPR şi să verificaţi participarea companiei HP AICI.
  • De asemenea, compania HP este certificată automat prin participarea la Scutul de confidenţialitate UE-SUA. Puteţi să găsiţi mai multe informaţii despre Scutul de confidenţialitate şi să verificaţi participarea companiei HP AICI.
  • Puteţi afla mai multe despre participarea noastră la aceste programe, consultând Declaraţia de confidenţialitate a companiei HP.

5. Aveţi un ofiţer responsabil cu confidenţialitatea şi protecţia datelor sau un funcţionar cu responsabilitate echivalentă?

• Ofiţerul şef pentru confidenţialitate şi protecţia datelor (Chief Privacy and Data Protection Officer) de la HP, sprijinit de Biroul de confidenţialitate, este angajat pentru a asigura conformitatea cu GDPR şi cu alte legi din întreaga lume privind confidenţialitatea şi protecţia datelor. Reprezentaţi ai Biroului de confidenţialitate al companiei HP sunt instalaţi în Uniunea Europeană şi au roluri de puncte de contact pentru posesorii datelor şi pentru autorităţile de protecţie a datelor cu sediul în UE.

6. Aveţi un plan de management al incidentelor de securitate, documentat oficial, care include măsuri împotriva accesului neautorizat la datele personale?

• HP a stabilit şi menţine proceduri de securitate şi confidenţialitate care promovează securitatea informaţiilor, securitatea fizică şi competenţele privind confidenţialitatea.
• Incidentele de securitate – indiferent dacă sunt fizice, tehnologice sau bazate pe informaţii – sunt gestionate în principal printr-un proces global de raportare a incidentelor. După primirea unui raport de incident, echipa îl transmite părţii responsabile din cadrul companiei HP şi toate părţile urmează procedurile stabilite pentru fiecare tip de incident. Aceste proceduri sunt inspirate din cele mai bune practici din industrie, din cerinţele legale şi din specificaţiile de la clienţi din cadrul fiecărui contract.
• Toate cazurile de incidente de securitate cibernetică trebuie să fie raportate la HP Cybersecurity printr-un proces susţinut online în regim 24x7. HP are un proces documentat de acţiune la diferite niveluri, pentru a gestiona incidentele de securitate, însă, în general, odată ce este raportat un incident, HP implementează imediat protocoalele de acţiuni corective şi desfăşoară o investigaţie amănunţită pentru a determina dacă s-a încercat o accesare neautorizată. Dacă se descoperă accesul neautorizat la datele personale, incidentul este transmis la nivelul Biroului de confidenţialitate HP, la Global Legal Affairs şi la alte părţi interesate de la HP, care vor face determinări referitoare la rezolvare şi notificare.

7. Aveţi posibilitatea să vă asistaţi clienţii în legătură cu orice solicitări ale posesorilor de date şi menţineţi un proces documentat oficial pentru a trata problemele de exercitare a drepturilor de către un posesor de date?

• Persoanele individuale pot să îşi exercite drepturile, să trimită întrebări despre confidenţialitate sau să depună plângeri, prin Contactaţi Biroul de confidenţialitate HP.
• Atunci când HP procesează date personale în numele clienţilor, în condiţiile anumitor limitări, HP îi va asista pe clienţi în satisfacerea obligaţiilor lor de a răspunde solicitărilor din partea posesorilor de date care doresc să îşi exercite drepturile în conformitate cu cerinţele contractuale.

8. Are compania dumneavoastră un standard/o politică privind confidenţialitatea datelor, în conformitate cu legile de protejare a datelor aplicabile în jurisdicţia în care operează compania dumneavoastră?

• HP are o lungă istorie de leadership în industrie în domeniul confidenţialităţii şi protecţiei datelor; împreună cu puternicul nostru portofoliu de produse, software şi servicii de securitate, noi putem să sprijinim eforturile clienţilor noştri în demersul de protejare a datelor personale şi de îndeplinire a propriilor criterii de conformitate. HP are politici interne referitoare la securitate, la acces şi la acurateţea datelor personale şi interzice partajarea datelor personale fără a efectua paşii corespunzători. HP face o prioritate din înţelegerea cerinţelor de confidenţialitate şi de securitate ale clienţilor săi şi din stabilirea proceselor care livrează produsele şi serviciile sale în moduri care îi ajută să-şi îndeplinească cerinţele de conformitate.

9. Asigură compania dumneavoastră instruire pe tema confidenţialităţii pentru angajaţii dumneavoastră?

• Angajaţii şi lucrătorii cu contract temporar de la HP beneficiază de o instruire anuală privind etica în afaceri, iar în cadrul instruirii, o componentă cheie o constituie confidenţialitatea şi protecţia datelor. De asemenea, o instruire obligatorie suplimentară poate fi necesară pentru personalul în atribuţiile căruia intră manevrarea regulată a datelor personale sau, ori de câte ori este necesar, pentru a susţine activităţi specifice de afaceri.

10. Sunt obligaţi furnizorii companiei HP să protejeze datele personale când le manevrează în numele companiei HP?

• HP cere ca terţii, inclusiv furnizorii şi partenerii care procesează date personale în numele companiei HP să fie obligaţi prin contract să protejeze orice date personale pe care le primesc de la HP şi li se interzice să utilizeze datele personale în alt scop decât efectuarea serviciilor în modul indicat de HP. De asemenea, HP a implementat o evaluare a conformităţii pe baza riscului, pentru furnizorii care manevrează date de la HP sau de la clienţii companiei HP.

11. Implementaţi conceptele Confidenţialitate prin design (Privacy by Design) şi Evaluarea impactului protecţiei datelor (Data Privacy Impact Assessment) în dezvoltarea sistemelor şi produselor?

• Noi consolidăm aplicarea conceptului Privacy by Design în operaţiile noastre pentru a ne asigura că toate produsele, serviciile, site-urile web, sistemele şi aplicaţiile sunt proiectate şi implementate numai după analizarea profundă a implicaţiilor pe care le-ar putea avea asupra confidenţialităţii. Un alt proces de importanţă crucială îl constituie Evaluările impactului protecţiei datelor (Data Protection Impact Assessments), prin care evaluăm riscurile la adresa drepturilor persoanelor individuale şi documentăm luarea deciziilor pentru anumite activităţi de procesare.

12. Ce face HP pentru a sprijini eforturile clienţilor săi în demersul de protejare a datelor personale şi de îndeplinire a propriilor criterii de conformitate?

• Noi aplicăm măsuri de securitate asupra datelor pe care le procesăm pentru clienţii noştri. Ca furnizor de servicii de management şi de servicii tehnice pentru sisteme de imprimare şi personale, HP s-a angajat să îndeplinească obligaţiile noastre şi să protejeze toate datele personale pe care le procesăm pentru clienţii noştri. Noi aducem multe dintre ofertele noastre de servicii pentru clienţi la nivelul cerinţelor standardului de certificare ISO 27001 şi ne extindem sfera de certificare pentru a include ofertele de servicii de imprimare gestionată (Managed Print Services) şi de dispozitive ca servicii (Device-as-a-Service).
• De asemenea, HP a implementat un cadru de control al confidenţialităţii, care conţine peste 100 de activităţi separate legate de conformitatea cu regulamentul GDPR. Acest cadru de control este nucleul programului nostru privind confidenţialitatea şi protecţia datelor. Cadrul de control a fost revizuit de o terţă parte independentă, pe baza cerinţelor legale şi standardelor industriale.