Booking.com isi actualizează Politica de Confidențialitate

Juridic / Legislativ

Vizualizari: 908

Facebooktwittergoogle_plusredditpinterestlinkedinmail

"Dorim să ajutăm la îmbunătățirea serviciilor tuturor brandurilor Booking Holdings, dezvoltarea de noi mărci și să vă oferim serviciile de care aveți nevoie și pe care le doriți. De asemenea, dorim să prevenim și să detectăm fraudele acolo unde este posibil. Pentru a face acest lucru, vom începe să împărtășim informații între brandurile Booking Holdings pentru scopurile descrise în Declarația de confidențialitate actualizată" este mesajul primit de utilizatorii Booking.com în data de 13 Aprilie 2019.

Mai jos puteti consulta noua forma a declaratiei de confidentialitate.

"În primul rând, intimitatea dumneavoastră este importantă pentru noi. Ştim că așa spun toate notificările similare, dar noi vorbim serios. Ne-aţi acordat încredere folosind serviciile Booking.com şi apreciem această încredere. Aceasta înseamnă că ne luăm angajamentul să protejăm toate datele personale pe care ni le încredinţaţi. Acționăm în interesul clienților noștri și suntem transparenți în privința prelucrării datelor dumneavoastră personale.

Acest document descrie cum folosim şi cum procesăm datele dumneavoastră personale, informaţii pe care sperăm să vi le transmitem în mod transparent şi uşor de citit, să înţelegeţi ce dorim să vă comunicăm fără a vă plictisi inutil. Ca bonus, veţi afla şi cum ne puteţi contacta dacă aveţi întrebări cu privire la datele dumneavoastră personale, întrebări la care ne vom bucura să vă răspundem. Vă rugăm să citiţi şi Declaraţia noastră separată despre cookie-uri, din care veţi afla în ce fel foloseşte Booking.com cookie-urile şi alte tehnologii similare. Pentru o mai bună înțelegere a ceea ce noi numim “Sejur”, “Furnizor de Sejur”, “Serviciu de Sejur” și “Rezervare”, vă rugăm citiți Termenii și Condițiile Booking.com.

Dacă l-aţi mai folosit înainte, ştiţi că Booking.com oferă servicii pentru călătorie prin website-uri proprii, aplicaţii mobile, dar şi prin rețele sociale şi alte platforme online, cum ar fi website-uri partenere. Vă întrebaţi de ce vă atragem atenţia asupra acestui aspect? Iată ce se întâmplă. Toate informaţiile care urmează sunt aplicabile tuturor acestor platforme. Câteva platforme, o singură declaraţie de confidenţialitate.

Această politică de confidenţialitate se aplică tuturor informaţiilor pe care le colectăm prin aceste platforme sau prin alte mijloace conectate la aceste platforme (cum ar fi contactarea echipei de serviciu clienţi prin e-mail). Este o lectură mai puţin plictisitoare. Dacă sunteți unul dintre partenerii noștri de afaceri, nu uitați să analizați și Declarația de Confidențialitate pentru Parteneri de afaceri, pentru a înțelege cum sunt procesate ulterior datele personale, ca parte a relației comerciale.

Am putea modifica Declaraţia de Confidenţialitate din când în când. Dacă ţineţi la intimitate, vizitaţi cu regularitate această pagină şi veţi şti exact ce se întâmplă. Dacă facem modificări ale Declarației de confidențialitate care vor avea un impact asupra dumneavoastră (de exemplu, dacă intenționăm să procesăm datele dumneavoastră personale în alte scopuri decât cele comunicate în trecut în această Declarație de confidențialitate), vă vom trimite notificări cu privire la aceste modificări înainte de începerea noilor activități.

Trist dar necesar: Dacă nu sunteţi de acord cu această Declaraţie de Confidenţialitate trebuie să încetaţi să mai folosiţi serviciile noastre. Dacă sunteţi de acord cu Declaraţia de Confidenţialitate, atunci sunteţi pregătit să vă rezervaţi următorul Sejur prin noi. Să înceapă vremurile bune!


Ce fel de date personale colectează Booking.com?

Nu vă putem ajuta să rezervaţi sejurul perfect fără a avea date suficiente, de aceea vă solicităm anumite informaţii atunci când folosiţi serviciile noastre. Sunt informaţii destul de simple precum numele, detalii preferate de contact, numele celor care vă însoţesc şi informaţii necesare pentru plată. Puteți să decideți singur să trimiteți cereri speciale pentru călătoria viitoare (de exemplu anumite preferințe). În plus, colectăm şi informaţii din computerul dumneavoastră. Aceste informaţii pot include IP-ul, browserul utilizat şi setările de limbă. Sunt şi situaţii în care primim informaţii despre dumneavoastră de la alţii sau colectăm automat şi alte informaţii. Acesta este un rezumat al informaţiilor pe care le colectăm, dar dacă doriţi să aflaţi mai multe, vă oferim mai jos mai multe detalii.

De ce colectează şi utilizează Booking.com datele dumneavoastră personale?

Avem un motiv principal foarte bun pentru care vă cerem detaliile personale: pentru a ne ajuta să administrăm Rezervările online de Sejur, pentru a ne asigura că vă oferim cel mai bun serviciu posibil. Utilizăm datele personale şi pentru a vă contacta şi a vă informa cu privire la cele mai noi oferte speciale care credem că v-ar interesa. Mai sunt şi alte scopuri. Dacă doriţi să aflaţi care sunt acestea, citiţi o explicaţie mai detaliată.

Cum partajează Booking.com informațiile dumneavoastră cu terțe părți?

Sunt mai multe părţi integrate în serviciile Booking.com, în diferite moduri şi pentru motive diferite. Motivul principal este partajarea datelor relevante pentru Sejurul dumneavoastră cu Furnizorul de Sejur, pentru a vă finaliza Rezervarea de Sejur. Mai sunt şi alte părţi care pot primi anumite date ale dumneavoastră; acestea sunt părți pe care le implicăm pentru a vă oferi serviciile Booking.com și includ, de exemplu, instituții financiare, părți care fac reclamă, filiale din familia corporatistă Booking.com și alți afiliați ai familiei corporatiste Booking Holdings Inc. sau, în unele situații, dacă suntem obligați conform legii, autorități guvernamentale sau de alt tip. Nu vindem sau închiriem datele dumneavoastră personale. Mai jos vom oferi mai multe detalii despre cum sunt utilizate și transmise acestor părți informațiile pe care ni le oferiți.

Cum sunt partajate datele dumneavoastră personale în familia corporativă Booking Holdings Inc.?

Booking.com face parte din familia corporativă Booking Holdings Inc. Citiți aici în mod specific modul în care datele dumneavoastră pot fi partajate în cadrul grupului corporativ Booking Holdings.

Cum procesează Booking.com comunicările pe care dumneavoastră și Furnizorul de Sejur rezervat le puteți trimite la Booking.com?

Booking.com vă poate ajuta pe dumneavoastră și pe Furnizorii de Sejur să trimiteți informații și cereri cu privire la serviciile acestora și la Rezervările de sejur existente, direcționând comunicarea prin Booking.com. Dacă doriți să aflați mai multe despre cum primește și cum administrează Booking.com aceste comunicări, citiți continuarea aici.

Cum folosește Booking.com dispozitivele mobile?

Oferim aplicaţii gratuite prin care de asemenea colectăm şi procesăm date personale. Acestea funcţionează destul de asemănător cu website-ul, dar în plus vă permit să folosiţi serviciile noastre de localizare.

Cum foloseşte Booking.com reţelele sociale?

Utilizarea serviciilor de reţele sociale poate fi integrată cu serviciile Booking.com în diferite moduri, ceea ce va implica colectarea de către noi sau primirea de către furnizorul de reţele sociale a unora din datele dumneavoastră personale. Dacă doriţi să aflaţi mai multe despre cum se colectează sau se partajează informaţiile, citiţi în continuare.

Ce proceduri de securitate şi stocare implementează Booking.com pentru a vă păstra datele în condiţii de securitate?

Utilizăm proceduri rezonabile pentru a preveni accesul neautorizat şi folosirea frauduloasă a datelor personale pe care le procesăm.

Cum administrează Booking.com datele personale ale copiilor?

Dacă nu este indicat altceva, Booking.com este un serviciu pe care îl pot folosi numai persoanele cu vârsta de peste 16 ani. Procesăm informaţiile despre copii numai cu consimțământul părinţilor sau al tutorilor legali, sau dacă informațiile sunt furnizate de părinți sau tutori legali.

Cum puteţi controla datele personale pe care la oferiţi Booking.com?

Aveţi întotdeauna dreptul de a revizui datele personale pe care le păstrăm. Puteţi solicita un rezumat al datelor dumneavoastră personale, trimiţând un e-mail la adresa de mai jos. Dacă doriți să aflați mai multe despre drepturile dumneavoastră de a controia datele personale, vedeți aici:

Cine este responsabil de procesarea datelor personale pe website-ul şi în aplicaţiile Booking.com?

Booking.com B.V. cu sediul în Amsterdam, Olanda, controlează procesarea datelor pe website-urile şi în aplicaţiile sale mobile.


Ce tipuri de date personale colectează Booking.com?

OK, deci doriţi mai multe informaţii. Iată detalii mai aprofundate despre informaţiile pe care le colectăm.

Date personale furnizate de dumneavoastră.

Booking.com colectează şi utilizează informaţiile pe care ni le oferiţi. Când faceţi o Rezervare de Sejur, vi se vor cere (cel puţin) numele şi adresa de e-mail. În funcție de Rezervarea de Sejur, este posibil să vă cerem şi adresa, numărul de telefon, informaţii pentru plată, data nașterii, numele celor cu care călătoriţi şi preferinţele legate de Sejur (precum preferințe dietetice și restricții legate de mobilitate).

Dacă aveţi nevoie să contactaţi echipa noastră de la serviciul clienţi sau să ne contactaţi prin alte metode (cum ar fi prin reţelele sociale sau comunicarea prin website-ul nostru cu Furnizorul de Sejur rezervat), vom colecta informaţii şi de acolo. Clienţii pot fi rugaţi să facă o evaluare pentru a ajuta alţi clienţi să primească ceea ce îşi doresc. Vom colecta informații de la dumneavoastră incluse în comentariile dumneavoastră, inclusiv numele dumneavoastră de utilizator și avatarul, dacă alegeți unul.

Există şi alte situaţii în care ne veţi transmite informaţii. De exemplu, dacă folosiţi un dispozitiv mobil, puteţi decide să acordați permisiunea ca Booking.com să vadă locaţia dumneavoastră curentă sau să acceseze detaliile dumneavoastră de contact. Aceste informaţii ne ajută să vă oferim cel mai bun serviciu și cea mai bună experiență (de exemplu, pentru a vedea ghidurile noastre pentru orașe, restaurante sau atracții cele mai apropiate de locația dumneavoastră sau alte recomandări). Puteţi să deschideţi un cont de utilizator, ceea ce vă permite să salvaţi setările personale, să încărcaţi fotografii, să evaluaţi rezervările anterioare sau să planificaţi şi să administraţi rezervări viitoare sau să beneficiați de alte funcționalități disponibile numai pentru titularii de cont (cum ar fi stimulentele sau alte beneficii pe care oferim).

Puteţi să decideți să participaţi la programe de recomandări sau premii. Acest lucru înseamnă şi că ne veţi transmite date personale. În plus, ne puteţi transmite un feedback sau ne puteţi solicita ajutorul la utilizarea serviciilor de călătorie ale Booking.com.

Date personale ale altor persoane pe care ni le transmiteţi.

Desigur, poate nu efectuați o Rezervare de Sejur doar pentru dumneavoastră. Poate veți face un Sejur cu alte persoane ale căror informaţii ni le furnizaţi în timpul procesului de rezervare sau poate faceţi o rezervare în numele altcuiva. Dacă aveţi un cont Booking.com Business, puteţi crea o agendă cu adrese pentru a facilita călătoriile de afaceri şi pentru a administra rezervări pentru terți. În unele cazuri, puteţi utiliza Booking.com pentru a partaja informaţii cu alte persoane, sub forma transmiterii unei liste de dorinţe sau a participării la programe de recomandări, dar aceste informaţii pot fi utilizate numai conform descrierii de pe interfaţa utilizată. Vedeţi informaţiile de acolo dacă doriţi să aflaţi mai mult.

Totuşi, trebuie să vă atragem atenţia că este responsabilitatea dumneavoastră să vă asiguraţi că persoana sau persoanele ale căror date personale ni le transmiteţi sunt la curent cu acest lucru şi că au înțeles și acceptat modalitatea în care Booking.com le utilizează informaţiile (după cum este descris în această Declaraţie de confidenţialitate).

Date personale pe care le colectăm automat.

Chiar dacă vizitarea website-ului sau a aplicaţiilor noastre nu are ca rezultat efectuarea unei Rezervări de Sejur (sau dacă are), noi colectăm automat anumite informaţii. Printre acestea se numără adresa dumneavoastră IP, data şi ora la care aţi accesat serviciile noastre, hardware-ul, software-ul sau browser-ul de internet pe care le utilizaţi şi informaţii despre sistemul de operare al computerului dumneavoastră, precum versiunile aplicațiilor şi setările de limbă. De asemenea, colectăm şi informaţii despre unde aţi dat clic şi ce pagini aţi vizualizat.

Dacă folosiți un dispozitiv mobil, colectăm date de identificare a dispozitivului, setările și caracteristicile specifice acestuia, detalii ale locației, erori ale aplicației sau alte activități ale sistemului. Când faceți o Rezervare de Sejur, sistemul nostru înregistrează prin ce mijloace și pe ce website-uri ați efectuat rezervarea sau dacă ați accesat direct website-ul Booking.com și/sau aplicațiile sale.

Date personale care ne parvin prin alte surse.

Nu se rezumă totul doar la informațiile pe care ni le furnizați direct – este posibil să primim informații despre dumneavoastră și din alte surse. Printre acestea se numără parteneri de afaceri, precum parteneri afiliați, filiale ale familiei corporatiste Booking.com și alți afiliați ai familiei corporatiste Booking Holding Inc. (vedeți și aici) și alte părți terțe independente. Tot ceea ce primim de la aceștia poate fi combinat cu informațiile provenite direct de la dumneavoastră. De exemplu, serviciile de rezervare Booking.com nu sunt disponibile doar prin Booking.com și aplicațiile Booking.com, ci sunt integrate și în serviciile partenerilor afiliați, pe care îi puteți găsi online. Atunci când utilizați unele dintre acestea, este posibil să furnizați detaliile rezervării către partenerul nostru de afaceri, care redirecționează către noi detaliile dumneavoastră. Integrăm și furnizori de servicii de terță parte pentru a facilita plata între clienți și Furnizori de Sejur. Acești furnizori de servicii partajează informațiile de plată pentru ca noi să vă putem administra Rezervarea de Sejur, asigurându-ne că totul este cât mai ușor posibil pentru dumneavoastră.

Un alt exemplu este acela că integrăm servicii de comunicare în platformele noastre, pentru a vă pune mai ușor în legătură cu Furnizorul de Sejur rezervat. În unele dintre aceste situații, primim meta-date despre activitățile de comunicarea (precum locul unde ați sunat, identitatea dumneavoastră și data și durata conversației). Este posibil și să primim informații despre dumneavoastră, pentru a vă arăta reclame mai relevante, ca, de exemplu, date suplimentare privind modulele cookie puse la dispoziția companiei Booking.com de către rețelele sociale partenere. Pentru mai multe informații, vă rugăm citiți secțiunea De ce utilizează și colectează Booking.com datele dumneavoastră personale?. Când conectați contul de utilizator Booking.com la contul dumneavoastră de pe o rețea socială, datele personale pot fi partajate cu Booking.com de către acel furnizor de rețea socială, dar numai cu acordul dumneavoastră. Aveți întotdeauna opțiunea de a nu partaja aceste date.

Furnizorii de Sejur pot partaja informații cu Booking.com, de asemenea – acest lucru se poate întâmpla dacă aveți întrebări despre rezervările existente, dacă există dispute în legătură cu Rezervarea de Sejur (deși nu ne face nicio plăcere când se întâmplă).


De ce colectează și utilizează Booking.com datele dumneavoastră personale?

Utilizăm informațiile colectate despre dumneavoastră pentru diverse scopuri. Acestea pot fi:

A. Rezervări de Sejur: Pentru început, vă folosim datele personale pentru a completa și administra Rezervarea dumneavoastră de Sejur online, ceea ce este scopul nostru ca și companie! Acest lucru implică transmiterea mesajelor referitoare la Rezervarea dumneavoastră de Sejur, precum confirmări, modificări și mementouri.

B. Serviciul clienți: Oferim asistență pentru clienți la nivel internațional din birourile nostre locale în peste 20 de limbi, non-stop. Partajarea detaliilor cu personalul nostru global din Serviciul Clienți ne permite să vă răspundem prompt când aveți nevoie de noi – inclusiv să vă ajutăm să găsiți un Furnizor de Sejur și să vă răspundem la întrebările referitoare la Rezervare (sau oricăror altor nelămuriri).

C. Facilitățile contului: utilizatorii Booking.com pot crea un cont de utilizator pe website-urile sau aplicațiile noastre. Utilizăm informațiile pe care ni le dați pentru a administra acest cont, permițându-vă să faceți o serie de lucruri utile. Puteți să vă gestionați rezervările, să beneficiați de oferte speciale, să efectuați cu ușurință viitoare Rezervări și să vă gestionați setările personale. Gestionarea setărilor personale vă permite să păstrați și să partajați liste, să partajați fotografii, să consultați cu ușurință Servicii de Sejur căutate anterior și să verificați alte informații legate de călătorii pe care le-ați furnizat. De asemenea, vă poate permite să vedeți toate comentariile pe care le-ați trimis. Dacă doriți, puteți să distribuiți anumite informații în contul dumneavoastră de utilizator, creând un profil public care este asociat fie cu propriul dumneavoastră prenume, fie cu un nume de utilizator pe care îl alegeți. Deținătorii unui cont Booking.com Business pot salva detaliile de contact în cont, pot gestiona rezervările de afaceri și pot conecta alți utilizatori la contul Booking.com Business al companiei.

D. Grupuri online: Putem de asemenea să permitem utilizatorilor care au un cont să se alăture şi să interacţioneze unii cu ceilalţi în cadrul unor grupuri sau forumuri online.

E. Activităţi de marketing: Utilizăm informaţiile dumneavoastră şi pentru activităţi de marketing. Aceste activităţi pot include:

  1. Utilizarea informaţiilor dumneavoastră de contact pentru a vă trimite noutăţi despre produse şi servicii de călătorie. Vă puteţi dezabona de la aceste comunicări de marketing prin e-mail oricând, rapid şi uşor. Trebuie numai să daţi clic pe linkul de „Dezabonare” inclus în fiecare newsletter sau alt tip de comunicare.
  2. Pe baza informaţiilor dumneavoastră, vi se pot arăta oferte personalizate pe website-ul Booking.com, în aplicaţii sau pe website-uri şi aplicaţii terţe (inclusiv pe reţelele sociale). Acestea pot fi oferte pe care le puteţi rezerva direct pe website-ul Booking.com, oferte ale unor terţi sau produse care credem că v-ar interesa.
  3. Când participaţi la alte activităţi promoţionale (tombole, concursuri sau programe de recomandare) informaţii relevante vor fi utilizate pentru a administra aceste promoţii.

F. Comunicarea cu dumneavoastră: Pot exista momente în care vă contactăm prin poştă, e-mail, telefon sau SMS. Metoda pe care o alegem depinde de informaţiile de contact pe care ni le-aţi furnizat anterior. Procesăm comunicările primite de la dumneavoastră. Pot exista diferite motive pentru acest lucru, printre care:

  1. Răspunsul şi administrarea cererilor dumneavoastră sau ale Furnizorului de Sejur. Booking.com oferă clienţilor şi Furnizorilor de Sejur diferite mijloace prin care aceştia să schimbe informaţii, cereri şi comentarii despre Furnizori de Sejur şi despre rezervări existente, prin Booking.com. Pentru mai multe informaţii derulaţi în jos şi citiţi secţiunea ˝Cum procesează Booking.com comunicările pe care dumneavoastră şi Furnizorul de Sejur la care aţi rezervat le trimiteţi prin Booking.com?˝.
  2. Dacă nu aţi finalizat o Rezervare online, vă putem contacta pentru a vă reaminti să continuaţi rezervarea. Credem că acest serviciu suplimentar vă este util pentru a continua Rezervarea fără să mai trebuiască din nou să căutaţi un Furnizor de Sejur sau să introduceţi detaliile necesare rezervării.
  3. Când utilizaţi serviciile noastre, vă putem trimite un chestionar sau o invitaţie pentru a evalua experienţa dumneavoastră cu Booking.com sau Furnizorul de Sejur.
  4. De asemenea, vă trimitem și alte materiale referitoare la Rezervarea făcută, precum modalități de a contacta Booking.com dacă aveți nevoie de asistență când călătoriți sau alte informații care v-ar putea fi utile la planificare sau la efectuarea Sejurului. De asemenea, vă trimitem materiale referitoare la Rezervările viitoare sau un sumar al Rezervărilor anterioare efectuate prin Booking.com.
  5. Chiar și atunci când nu aveți Rezervări viitoare, este posibil să vă trimitem mesaje administrative, ca de exemplu alerte de securitate.

G. Cercetări de piață: Uneori invităm clienții să ia parte la cercetări de piață. Consultați informațiile furnizate atunci când primiți invitație să participați pentru a înțelege ce date personale sunt colectate și modul în care datele dumneavoastră personale sunt utilizate în continuare.

H. Optimizarea serviciilor: utilizăm date personale pentru analize de date. Acest lucru este parte integrantă a eforturilor noastre de a ne îmbunătăți constant serviciile și experiența utilizatorilor, dar pot fi folosite și pentru testări, soluționări ale unor erori și pentru a optimiza funcționalitatea și calitatea serviciilor noastre online pentru călătorii. Principalul scop este de a optimiza și personaliza platforma noastră online conform nevoilor dumneavoastră, astfel încât website-ul nostru să fie mai ușor și mai plăcut de folosit. Ne străduim să utilizăm numai date pseudonime pentru aceste scopuri analitice.

I. Evaluări ale clienților și alte informații referitoare la destinații turistice: În timpul și după Sejurul rezervat prin noi, este posibil să fiți invitat(ă) să faceți o evaluare a călătoriei. Putem să le oferim posibilitatea de a face o evaluare și celorlalți clienți care au călătorit cu dumneavoastră sau pentru care ați făcut o rezervare. Această invitație solicită informații despre Furnizorul de Sejur sau despre destinație. Deținătorii unui cont pot alege să afișeze un comentariu însoțit de un nume de ecran în locul numelui real (ambele pot fi alese în contul de utilizator). În plus, utilizatorii de cont pot alege afișarea anonimă a comentariului. Adăugarea unui avatar este posibilă. Completând comentariul, sunteți de acord că poate fi afișat (așa cum este descris în detaliu în Termeni și Condiții) pe pagina de informații a Furnizorului de Sejur din website, aplicații mobile, pe conturile de rețele sociale sau aplicațiile de rețele sociale, sau pe website-ul Furnizorului de Sejur respectiv sau al partenerului de afaceri. Scopul este de a informa alți călători despre calitatea Furnizorului de Sejur în care ați fost cazat, destinația pe care ați ales-o sau alte servicii pe care le-ați folosit.

J. Monitorizarea apelurilor: Când sunați la echipa de Serviciu clienți, Booking.com folosește un sistem de detectare automată a numărului de telefon pentru a conecta numărul cu rezervarea existentă – astfel se va câștiga timp atât pentru dumneavoastră cât și pentru personalul nostru care vă oferă asistență. Aceștia vă vor solicita să vă autentificați oricum, lucru care vă oferă garanția că detaliile rezervării sunt păstrate în confidențialitate. În timpul convorbirilor cu personalul de suport de la Serviciu Clienți, se pot asculta în direct apelurile sau acestea pot fi înregistrate pentru controlul calității și instruirea personalului, incluzând aici folosirea înregistrărilor pentru rezolvarea plângerilor și în scopul detectării fraudelor. Nu toate apeluriel sunt înregistrate, iar înregistrările sunt păstrate pentru o perioadă limitată de timp și apoi șterse în mod automat, cu excepția cazului în care Booking.com are un interes legitim de a păstra o anumită înregistrare pentru o perioadă mai lungă de timp, inclusiv în scopul investigării fraudelor sau în scopuri juridice.

K. Promovarea unui serviciu securizat și de încredere: pentru a crea un mediu sigur pentru dumneavoastră, companionii de călătorie, partenerii de afaceri ai Booking.com și Furnizorii noștri de Sejur, este posibil să folosim date personale în scopul detectării și prevenirii fraudelor și a altor activități ilegale sau nedorite. În mod similar, este posibil să folosim informații personale pentru analiză de risc și în scopuri de securitate, inclusiv pentru autentificarea utilizatorilor și pentru rezervări. În acest sens, este posibil să oprim anumite rezervări sau să punem în așteptare anumite rezervări până la finalizarea evaluării noastre.

L. Scopuri juridice: În anumite cazuri, este posibil să fie necesar să utilizați informațiile dumneavoastră pentru a rezolva disputele juridice, pentru investigații de reglementare și conformare, pentru a impune condițiile de utilizare a serviciului de rezervare online al Booking.com sau pentru a respecta cererile juridice din partea autorităților de aplicare a legii.

Furnizarea datelor dumneavoastră personale către Booking.com este voluntară. Cu toate acestea, în funcție de tipul de serviciu pe care doriți să îl utilizați, este posibil să vă oferim acest serviciu numai dacă se colectează anumite date personale. De exemplu, nu vă putem procesa Rezervarea dacă nu vă colectăm numele și datele de contact.

Dacă vom utiliza mijloace automate pentru a prelucra date cu caracter personal care produc efecte juridice sau vă afectează în mod semnificativ, vom implementa măsuri adecvate pentru a vă proteja drepturile și libertățile, inclusiv dreptul de a obține o intervenție umană.

Pentru a procesa datele dumneavoastră personale așa cum au fost descrise mai sus, ne bazăm pe următoarele temeiuri juridice:

Având în vedere scopurile A și B, Booking.com se bazează pe baza legală a faptului că prelucrarea datelor cu caracter personal este necesară pentru executarea unui contract, în special pentru finalizarea și administrarea rezervării. Dacă nu sunt furnizate datele personale solicitate, Booking.com nu poate finaliza Rezervarea și nici nu poate furniza servicii pentru clienți. Având în vedere scopurile de la C la K, Booking.com se bazează pe interesul său comercial legitim pentru a-și furniza serviciile, pentru a preveni frauda și pentru a-și îmbunătăți serviciile. Atunci când utilizează date personale pentru a servi interesul legitim al Booking.com sau al unui terț, Booking.com va echilibra întotdeauna drepturile și interesele dumneavoastră cu privire la protecția datelor dumneavoastră personale în comparație cu drepturile și interesele Booking.com sau ale terților. Pentru scopurile L, Booking.com se bazează, de asemenea, acolo unde este cazul, pe respectarea obligațiilor legale (cum ar fi cererile legale de aplicare a legii). Atunci când este necesar în conformitate cu legislația aplicabilă, Booking.com vă va obține consimțământul înainte de a vă prelucra datele personale în scopuri de marketing direct.

Dacă doriți să obiectați față de procesarea stabilită de la punctele C la K și niciun mecanism de retragere nu este disponibil direct (de exemplu, în setările contului dumneavoastră), vă rugăm să contactați dataprotectionoffice@booking.com, în măsura în care acest lucru este posibil.


Cum partajează Booking.com datele dumneavoastră cu terțe părți?

În anumite circumstanțe, vă vom partaja datele personale cu terțe părți.

  1. Furnizorul de Sejur pe care l-ați rezervat: esențial în obiectul nostru de activitate! Pentru a vă finaliza Rezervarea, transferăm informațiile necesare către Furnizorul de Sejur rezervat. Printre acestea pot fi: numele, detaliile de contact, detaliile de plată, numele oaspeților care vă însoțesc și preferințele sau alte informații specificate când ați făcut Rezervarea. Dacă aveți întrebări referitoare la Rezervare, este posibil să contactăm Furnizorul de Sejur pentru a vă procesa cererea. În cazul în care plata nu este făcută în timpul rezervării prin website-ul Booking.com, vor redirecționa detaliile cardului de credit către Furnizorul de Sejur rezervat pentru procesare (presupunând că ne-ați oferit aceste informații în timpul procesului de rezervare). În cazul disputelor referitoare la Rezervări, este posibil să punem la dispoziția Furnizorului de Sejur informații despre procesul de Rezervare. Acestea pot include o copie a confirmării rezervării, drept dovadă că s-a făcut Rezervarea.
  2. Biroul local Booking.com: pentru a susține utilizarea serviciilor Booking.com, detaliile dumneavoastră pot fi partajate cu companii subsidiare din familia corporativă Booking.com, care acționează ca furnizori de servicii pentru Booking.com, inclusiv în ceea ce privește serviciile de relații cu clienți. Pentru a afla tot ceea ce trebuie să știți despre familia corporativă Booking.com, vizitați Despre Booking.com.
  3. Furnizori terţi de servicii: utilizăm furnizori de servicii care nu fac parte din familia corporatistă Booking.com pentru a ne sprijini în a oferi serviciile Booking.com. Acești furnizori de servicii oferă servicii de suport precum
    • asistență clienți;
    • cercetare de piață;
    • detectarea fraudelor și servicii de prevenire, inclusiv servicii de screening antifraudă;
    • servicii de plată. Folosim părți terțe pentru procesarea plăților, gestionarea stornării plăților sau oferirea de servicii de facturare. Când se solicită o stornare a plății pentru Rezervarea dumneavoastră de Sejur, fie de către dumneavoastră, fie de către titularul cardului de credit folosit pentru a face rezervarea, este necesar să partajăm anumite detalii ale rezervării cu furnizorul de servicii de plată şi cu instituţia financiară relevantă, pentru a procesa stornarea plății. Aceste informaţii pot include şi o copie a confirmării rezervării sau adresa de IP folosită pentru a face rezervarea. Mai putem partaja informaţii cu instituţiile financiare relevante, în cazul în care considerăm că este strict necesar pentru detectarea şi prevenirea fraudelor.
    • servicii de marketing. Partajăm datele personale cu partenerii de publicitate, inclusiv adresa dumneavoastră de e-mail, ca parte a serviciilor de marketing Booking.com prin terțe părți (pentru a ne asigura că publicitatea relevantă este afișată publicului potrivit). Ne străduim să partajăm doar adresele de e-mail în format hash, pentru a permite asocierea adresei dumneavoastră de e-mail cu o bază de date existentă a clienților, astfel încât adresa dumneavoastră de e-mail să nu poată fi utilizată în alte scopuri. Pentru mai multe informații despre publicitatea personalizată și alegerile dumneavoastră, vă rugăm să citiți: "Cum sunt folosite cookie-urile?" și "Ce opțiuni aveți?" în Declarația cu privire la cookie-uri.Toți furnizorii de servicii trebuie să continue să protejeze în mod adecvat datele dumneavoastră personale.
  4. Autorităţi competente: Dezvăluim date personale autorităţilor poliţieneşti în măsura în care este solicitat prin lege sau este strict necesar pentru detectarea sau aducerea în instanţă a fraudelor şi a altor fapte penale, sau dacă suntem obligați din punct de vedere legal să facem acest lucru. Am putea să distribuim date personale şi unor autorităţi competente în protejarea şi garantarea drepturilor sau proprietăţilor noastre sau a drepturilor şi proprietăţilor partenerilor noştri de afaceri.
  5. Parteneri de afaceri: Colaborăm cu mulţi parteneri de afaceri din toată lumea. Unii dintre aceştia distribuie sau fac reclamă serviciilor Booking.com, inclusiv serviciilor și produselor Furnizorilor noștri de Sejur.

    Când faceţi o rezervare pe un website sau pe o aplicaţie a partenerilor noştri de afaceri, anumite date pe care le furnizaţi, precum numele și adresa dumneavoastră de e-mail, adresa dumneavoastră, detaliile de plată și alte informații relevante ne vor fi transmise şi nouă, pentru a finaliza și administra Rezervarea. Dacă partenerul de afaceri oferă servicii pentru clienţi, Booking.com va transmite partenerilor de afaceri detalii relevante pentru rezervarea dumneavoastră (în funcţie de necesităţi) pentru a vă putea fi oferită asistenţa necesară. Când faceţi o rezervare pe un website al unui partener de afaceri al nostru, acesta poate primi anumite date personale ale dumneavoastră, în legătură cu acea rezervare. Acestea servesc scopurilor lor interne (cum ar fi analize de date statistice) şi, la cererea dumneavoastră, pentru administrarea programelor de loialitate sau marketing.

    Când faceţi o rezervare pe un website al unui partener de afaceri, vă rugăm să citiţi şi notificările lor de confidenţialitate dacă doriţi să înţelegeţi cum pot procesa aceştia datele dumneavoastră personale. Pentru detectarea şi prevenirea fraudelor şi dacă este strict necesar, putem transmite informaţii despre utilizatorii noştri partenerilor de afaceri.

    • Booking.Basic: Am putea să vă permitem să faceți o rezervare Booking.Basic. Rezervările Booking.Basic sunt facilitate de către un Furnizor de Sejur diferit de unitatea de cazare rezervată. În timpul procesului de rezervare, ni se solicită să distribuim acelui partener business datele dumneavoastră personale importante pentru acea rezervare. Dacă utilizați Booking.Basic, vă rugăm să revizuiți informațiile furnizate în procesul de rezervare sau confirmarea rezervării pentru mai multe informații despre Furnizorul de Sejur și despre cum procesează acesta datele dumneavoastră personale mai departe.
  6. Familia corporatistă Booking Holdings Inc.: Vă rugăm să citiți aici modurile în care este posibil să vă partajăm datele personale cu Familia corporatistă Booking Holdings Inc.

Transmiterea datelor cu caracter personal descrisă în prezenta Declarație de confidențialitate poate include transferuri de date cu caracter personal în străinătate către țări ale căror legi privind protecția datelor nu sunt la fel de cuprinzătoare ca acelea ale țărilor din Uniunea Europeană. Atunci când acest lucru este impus de legislația europeană, transferăm datele personale numai destinatarilor care oferă un nivel adecvat de protecție a datelor. În aceste situații, după cum este necesar, facem aranjamente contractuale pentru a ne asigura că datele dumneavoastră personale sunt în continuare protejate în conformitate cu standardele europene. Ne puteți cere să vedeți o copie a acestor acorduri contractuale utilizând detaliile de contact de mai jos.


Cum sunt partajate datele dumneavoastră personale în familia corporativă Booking Holdings Inc.?

Booking.com face parte din familia corporativă Booking Holdings Inc. Vedeți aici mai multe informații: https://www.bookingholdings.com/

Este posibil să primim date personale despre dumneavoastră de la alte companii din familia corporativă Booking Holdings Inc. sau să partajăm datele dumneavoastră personale cu acestea în următoarele scopuri:

A. pentru a furniza servicii (inclusiv pentru a face, administra și gestiona rezervările sau pentru a gestiona plățile);

B. pentru a furniza servicii de asistență clienți;

C. pentru a detecta, a preveni și a investiga activități frauduloase, alte activități ilegale și încălcări ale datelor;

D. în scopuri analitice și de îmbunătățire a produselor;

E. pentru a crea oferte personalizate sau a trimite reclame, cu consimțământul dumneavoastră sau în conformitate cu legislația aplicabilă;

F. pentru a asigura respectarea legilor aplicabile.

Cu excepția cazului în care se indică altfel, în scopurile A - E, Booking.com se bazează pe interesul său legitim de a partaja și a primi date cu caracter personal. În scopul F, Booking.com se bazează, după caz, pe respectarea obligațiilor legale (cum ar fi cererile legale de aplicare a legii).

De exemplu, Booking.com lucrează îndeaproape cu Rentalcars.com pentru a le oferi clienților servicii de transport la sol. Este posibil ca toate companiile din cadrul grupului Booking Holdings Inc. să aibă nevoie să facă schimb de date cu caracter personal ale clienților, pentru a se asigura că protejează toți utilizatorii de activitățile frauduloase pe platformele sale online.


Cum procesează Booking.com comunicările pe care dumneavoastră şi Furnizorul de Sejur la care aţi rezervat le trimiteţi prin Booking.com?

Booking.com vă oferă dumneavoastră şi Furnizorilor de Sejur diferite mijloace de comunicare despre Serviciile de Sejur şi Rezervările existente, redirecţionând comunicările prin Booking.com. Dacă aveţi întrebări despre rezervare sau despre Furnizorii de Sejur, puteţi contacta Booking.com prin pagina Rezervarea mea, aplicaţia Booking.com şi prin ale canale pe care vi le punem la dispoziţie.

Booking.com poate accesa comunicările şi poate folosi sisteme automate pentru a revizui, scana şi analiza comunicările, din motive de securitate; prevenirea fraudelor; respectarea legilor şi regulamentelor; investigarea unor comportamente ilegale potenţiale; dezvoltarea şi îmbunătăţirea produselor; cercetare; angajamentul clienţilor, inclusiv furnizarea de informaţii şi oferte despre care credem că v-ar interesa; suport tehnic sau pentru clienţi. Ne rezervăm dreptul de a bloca livrarea sau de a revizui comunicările despre care noi, la propria discreţie, credem că pot conţine lucruri inadecvate, spam sau care pot prezenta un risc pentru dumneavoastră, partenerii de cazare, Booking.com sau alţii. Toate comunicările trimise sau primite folosind instrumentele pentru comunicare ale Booking.com, vor fi primite şi păstrate de Booking.com. Partenerii de afaceri prin ale căror platforme aţi făcut rezervarea şi partenerii de cazare pot alege să comunice cu dumneavoastră direct prin e-mail sau prin alte canale pe care Booking.com nu le controlează.


Cum foloseşte Booking.com dispozitivele mobile?

Oferim aplicaţii gratuite pentru diferite dispozitive mobile, precum şi versiuni ale website-ului care au fost optimizate pentru căutarea pe mobil sau pe tabletă. Aceste aplicaţii şi website-uri mobile procesează detaliile pe care ni le oferiţi foarte similar cu website-ul nostru şi de aceea vă permit să folosiţi şi servicii de localizare pentru a găsi Servicii de Sejur în apropiere. Cu permisiunea dumneavoastră, vă putem trimite şi notificări cu informaţii despre Rezervare. Ne puteţi oferi acces la locaţia dumneavoastră sau detalii de contact, pentru a vă oferi serviciile pe care le solicitaţi. Când încărcaţi o fotografie de pe dispozitivul mobil, fotografia poate conţine informaţii despre locaţie. Vă rugăm să citiţi instrucţiunile dispozitivului dumneavoastră mobil pentru a înţelege cum să modificaţi setările şi să permiteţi partajarea datelor sau primirea de notificări push.

Putem utiliza o tehnologie cunoscută sub numele de monitorizare inter-dispozitive pentru a optimiza serviciile şi activităţile noastre de marketing. Acest lucru se poate face cu sau fără cookie-uri. Pentru mai multe informaţii despre cookie-uri şi alte tehnologii similare, vă rugăm să vizitaţ Declaraţia despre cookie-uri. Cu monitorizarea inter-dispozitive, Booking.com poate să monitorizeze comportamentul utilizatorilor pe mai multe dispozitive. Ca parte a monitorizării inter-dispozitive, Booking.com poate combina date statistice colectate de pe un anumit browser sau dispozitiv mobil cu alt computer sau dispozitiv de la care au fost colectate datele.

Pentru a optimiza conţinutul newsletter-ului Booking.com, Booking.com combină căutările şi rezervările făcute de pe diferite computere şi dispozitive în timp ce sunteţi autentificat în contul de utilizator de pe fiecare din aceste dispozitive şi computere. Vă puteți dezabona oricând de la newsletter-urile Booking.com.

Reclamele personalizate care vă sunt arătate pe alte website-uri sau în aplicaţii pot fi oferite pe baza activităţii dumneavoastră pe computerele sau aplicaţiile conectate. Modificând setările cookie-urilor pe dispozitivul dumneavoastră (vedeţi în declaraţia noastră despre cookie-uri sub ˝Ce opţiuni aveţi˝), puteți schimba monitorizarea inter-dispozitive pentru scopuri publicitare. Trebuie să ştiţi că dacă vă deconectaţi din contul de utilizator nu înseamnă că nu mai primiți reclame personalizate.


Cum foloseşte Booking.com reţelele sociale?

Aici, la Booking.com, folosim reţelele sociale în diferite moduri. Le folosim parțial pentru a facilita utilizarea serviciilor de rezervare online, dar şi pentru a promova produsele și serviciile turistice ale Furnizorilor de Sejur şi pentru a promova, îmbunătăţi şi facilita propriile noastre servicii. Aveți libertatea de a nu utiliza funcționalitățile rețelelor sociale.

  1. Autentificare cu contul reţelei sociale. Vă putem oferi oportunitatea de a vă autentifica într-un cont Booking.com cu contul reţelei sociale, ceea ce vă scuteşte de a reţine nume de utilizator şi parole diferite pentru diferite servicii online. După ce v-aţi autentificat o dată, veţi putea folosi mereu contul reţelei sociale pentru a vă autentifica în contul Booking.com. Puteţi oricând să decuplaţi aceste conturi.
  2. Integrarea plugin-urilor reţelelor sociale. Am integrat plugin-uri ale unor reţele sociale pe website-ul şi în aplicaţiile Booking.com. Aceasta înseamnă că dacă daţi clic pe unul din butoane (cum ar fi butonul ˝Îmi place˝ de la Facebook), anumite informaţii sunt partajate cu furnizorul acestor reţele sociale. Dacă sunteţi autentificat în acelaşi timp într-un cont al reţelei sociale, furnizorul de reţele sociale poate lega aceste informaţii de contul dumneavoastră şi vă poate prezenta activităţile în profilul reţelei sociale pentru a fi partajate cu contacte din reţeaua dumneavoastră.
  3. Alte servicii şi funcţionalităţi ale reţelelor sociale. Putem integra şi alte servicii ale reţelelor sociale (precum serviciile de mesagerie ale reţelelor sociale) pentru a interacţiona cu Booking.com sau cu contactele dumneavoastră despre serviciile noastre. Am putea de asemenea să întreţinem conturi ale reţelelor sociale şi să oferim aplicaţii pe diferite website-uri ale reţelelor sociale. Oricând vă conectaţi la Booking.com prin reţele sociale, furnizorul de servicii de reţele sociale vă poate permite să partajaţi informaţii cu Booking.com. Dacă alegeţi să partajaţi, vi se va spune în general de către reţelele sociale ce informaţii vor fi partajate. De exemplu, dacă vă autentificaţi în contul Booking.com cu contul reţelei sociale, anumite informaţii (pentru care aţi autorizat reţeaua socială) pot fi partajate cu Booking.com. Aceste informaţii pot include adresa de e-mail, vârsta sau fotografiile de profil salvate în contul de utilizator.

Când vă înregistraţi pe Booking.com cu contul unei reţele sociale sau vă conectaţi la un serviciu de mesagerie al unei reţele sociale fără a avea un cont de utilizator Booking.com, informaţiile pe care alegeţi să ni le partajaţi pot include informaţii esenţiale disponibile în profilul dumneavoastră din reţeaua socială (adrese de e-mail, actualizări ale statusului şi lista contactelor). Vom folosi aceste informaţii pentru a vă oferi serviciile pe care le solicitaţi, de exemplu pentru a trimite mai departe un mesaj pe care doriţi să îl trimiteţi contactelor sau pentru a crea o experienţă de utilizator personalizată în aplicaţiile sau pe website-urle noastre. Aceasta înseamnă că dacă doriți, ne putem adapta serviciile pentru a se potrivi nevoilor dumneavoastră, conectându-vă pe dumneavoastră şi prieteniii dumneavoastră cu cele mai bune destinaţii de călătorie şi analizând şi îmbunătăţind serviciile de călătorie. Funizorii de reţele sociale vă pot oferi mai multe informaţii despre cum vă folosesc şi procesează datele atunci când vă conectaţi la Booking.com prin ei, de exemplu prin combinarea datelor cu caracter personal pe care le colectează atunci când utilizați Booking.com prin intermediul acestora cu informațiile pe care le colectează atunci când utilizați alte platforme online legate de furnizorul dumneavoastră de rețea socială.


Ce proceduri de securitate implementează Booking.com pentru a vă securiza datele personale?

Observăm proceduri rezonabile pentru a preveni accesul neautorizat la datele cu caracter personal și utilizarea necorespunzătoare a acestora.

Utilizăm sisteme şi proceduri adecvate pentru a proteja şi securiza datele personale pe care ni le transmiteţi. De asemenea, folosim proceduri de securitate şi restricţionări tehnice şi fizice ale accesării şi folosirii datelor personale pe serverele noastre. Numai personalul autorizat poate accesa datele personale în timp ce lucrează.

Vom păstra datele dumneavoastră personale atât timp cât considerăm că este necesar pentru a vă permite să utilizați serviciile noastre, să vă furnizăm servicii (inclusiv menținerea contului de utilizator online (dacă este creat)), pentru a respecta legile aplicabile, a soluționa litigiile cu orice parte și altfel, dacă este necesar, pentru a ne permite să ne desfășurăm activitatea, inclusiv pentru a detecta și a preveni frauda sau alte activități ilegale. Toate datele personale pe care le păstrăm vor fi supuse acestei Declarații de confidențialitate. Dacă aveți o întrebare despre o anumită perioadă de păstrare a anumitor tipuri de date personale pe care le procesăm despre dumneavoastră, vă rugăm să ne contactați prin intermediul detaliilor de contact furnizate mai jos.


Cum administrează Booking.com datele personale ale copiilor?

Serviciile oferite de Booking.com nu sunt destinate copiilor cu vârsta sub 16 ani. Pentru copii cu vârsta sub 16 ani, utilizarea oricăruia dintre serviciile noastre este permisă numai cu consimţământul unui părinte sau al unui tutore. Dacă primim informaţii de la un minor, ne rezervăm dreptul de a le şterge. În cazuri limitate, ca parte a unei rezervări, cumpărarea altor servicii de călătorie sau în alte circumstanţe excepţionale (cum ar fi opţiuni pentru familii) Booking.com poate colecta şi folosi informaţiile copiilor numai cu consimţământul părinţilor. Dacă descoperim că procesăm informațiile despre un copil cu vârsta sub 16 ani fără consimțământul valabil al unui părinte sau tutore, ne rezervăm dreptul de a le șterge.


Cum puteţi controla datele personale pe care le-aţi oferit la Booking.com?

Dorim să puteți controla modul în care datele dumneavoastră personale sunt utilizate de noi. Puteți face acest lucru în următoarele moduri:

  1. ne puteți solicita o copie a datelor personale pe care le deținem despre dumneavoastră;
  2. ne puteți informa despre orice modificare a datelor dumneavoastră personale sau ne puteți cere să corectăm datele personale pe care le deținem despre dumneavoastră, dar așa cum este explicat mai jos, și dumneavoastră puteți face astfel de modificări;
  3. în anumite situații, ne puteți cere să ștergem, să blocăm sau să restricționăm prelucrarea datelor personale pe care le deținem despre dumneavoastră sau să vă opuneți anumitor moduri în care vă folosim datele personale; și
  4. în anumite situații, puteți, de asemenea, să ne solicitați să trimitem unei terțe părți datele personale pe care ni le-ați dat.

În cazul în care vă utilizăm datele personale pe baza consimțământului dumneavoastră, aveți dreptul să retrageți acest consimțământ în orice moment sub rezerva legii aplicabile. Mai mult, în cazul în care procesăm datele dumneavoastră personale bazate pe interes legitim sau interes public, aveți dreptul să vă opuneți în orice moment utilizării datelor dumneavoastră personale în conformitate cu legislația aplicabilă.

Ne bazăm pe dumneavoastră pentru a ne asigura că datele dumneavoastră personale sunt complete, exacte și actuale. Vă rugăm să ne informați cu promptitudine cu privire la orice modificări sau inexactități ale datelor dumneavoastră personale, contactându-ne.

Dacă aveți un cont de utilizator online, puteți accesa o cantitate semnificativă din datele dumneavoastră personale prin website-ul/aplicațiile noastre. Website-ul/aplicațiile noastre vă oferă, în general, opțiunea de a adăuga, actualiza sau elimina informațiile pe care le avem despre dumneavoastră.

Dacă orice date cu caracter personal pe care le avem despre dumneavoastră nu sunt accesibile prin intermediul website-ului/aplicațiilor noastre, ne puteți trimite solicitarea dumneavoastră fără costuri. Pentru toate solicitările dumneavoastră referitoare la această Declarație de confidențialitate și pentru a vă exercita oricare dintre drepturile dumneavoastră sau dacă aveți o reclamație, vă rugăm să ne contactați adresându-vă ofițerului nostru pentru protecția datelor la adresa dataprotectionoffice@booking.com. De asemenea, puteți contacta autoritatea locală pentru protecția datelor.

Dacă doriți să vă opuneți prelucrării datelor dumneavoastră personale pe baza unui interes legitim și nu este disponibil niciun mecanism de renunțare, vă rugăm să ne contactați la dataprotectionoffice@booking.com.


Cine are responsabilitatea procesării datelor pe website-ul şi în aplicaţiile Booking.com?

Booking.com B.V. controlează procesarea datelor personale pe website-urile şi în aplicaţiile sale mobile. Booking.com B.V. este o companie privată cu răspundere limitată, înființată în conformitate cu legislaţia Olandei şi care are sediul la Herengracht 597, 1017 CE Amsterdam, Olanda.

Dacă aveți întrebări cu privire la această Declarație de confidențialitate sau despre procesarea de către noi a datelor dumneavoastră cu caracter personal, vă rugăm să contactați responsabilul cu protecția datelor la dataprotectionoffice@booking.com, iar noi vă vom contacta. Dacă aveți întrebări despre rezervare, vă rugăm să contactați echipa de la serviciul clienți prin pagina de contact a serviciului clienți. Solicitările din partea autorităților juridice trebuie să ne fie transmise conform procedurii descrise la https://www.booking.com/content/law-enforcement.html.


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679

Ce facem după atacutile cibernetice asupra spitalelor românești? Nimic?

Juridic / Legislativ

Vizualizari: 7030

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Spitalele sunt o țintă a atacurilor ransomware în toată lumea, nu doar în România. Foarte multe astfel de incidente au fost raportate de spitale în ultimii ani și specialiștii vorbesc despre o creștere exponențială a numărului de cazuri.  Dar de ce sunt vizate spitale din România și de mai ales de ce sunt așa de multe incidente în domeniul sanitar? Și poate cea mai importantă întrebare: putem evita să devenim ținta unui atac cibernetic ? Pentru a răspunde la toate aceste întrebări, în primul rând, trebuie să înțelegem mai bine ce s-a întamplat și mai ales ce este acest tip de atac.

Ransomware-ul este un virus sau mai bine spus un software malițios care blochează accesul la fișierele stocate într-un sistem informatic, solicitând plata unei sume de bani în schimbul redobândirii accesului la acestea. De cele mai multe ori fișierele criptate de malware nu pot fi decriptate nici după efectuarea plății către atacatori. Acest tip de malware nu urmărește o vulnerabilitate a sistemului informatic ci o eroare umană, de cele mai multe ori fiind transmis ca atașament al unui e-mail, sub forma unei facturi, a unei comenzi sau alt tip de document, păcălind astfel utilizatorii mai puțin conștienți sau vigilenți.

Interesant este faptul că acest tip de malware nu ar fi putut depăși filtrele antivirusurilor existente pe piață, ceea ce subliniază o primă problemă din spatele acestui atac în spitalele din România: spitalele atacate nu avea sisteme antivirus actualizate iar angajații acestora nu au fost instruiți cu privire la identificarea unor asemenea atacuri.

Aceste atacuri cibernetice nu sunt ceva nou. Ele se petrec de multă vreme. Se bazează pe neatenția utilizatorilor, care primesc diferite mesaje pe email și accesează atașamentele acestor mesaje, care nu sunt ceea ce par a fi. De exemplu, ei cred că sunt documente word, PDF sau poze, dar în fapt ele sunt niște elemente executabile care pot bloca accesul la calculator sau la alte resurse ale rețelei. Faptul că acest atac se întâmplă în spitale poate fi doar o coincidență sau poate fi în urma unei analize pe care atacatorul a făcut-o cu privire la vulnerabilități. Vulnerabilități vin din faptul că stațiile utilizatorilor nu sunt actualizate la zi, nu au ultimele versiuni de aplicații sau nu au antiviruși instalați corespunzător. Poate că utilizatorii nu sunt instruiți în domeniul securității cibernetice, astfel încât să nu acceseze și să nu aibă încredere în resurse neautorizate. Această analiză o fac și atacatorii. Ei pot să își aleagă victime pe care să le păcălească în acest mod mai ușor. Nu știu să spun cu certitudine de ce sunt vizate spitale, dar știm foarte clar că acestea lucrează cu informații medicale care sunt date personale sensibile. Știm că spitalele au servicii medicale pe care le prezintă și online, au date medicale pe care le transmit pacienților online, fișe medicale, rezultate ale analizelor de laborator și probabil că atacatorul s-a gândit să exploateze vulnerabilități pentru că datele sunt foarte importante și sensibile.” declară Bogdan Savu, director de dezvoltare software la Tremend.

La o analiza mai atentă a infrastructurii din domeniul sanitar românesc identificăm încă un număr mare de echipamente conectate care nu beneficiază de ultimele patchuri de securitate sau chiar folosesc sisteme de securitate care nici măcar nu mai sunt actualizate de producători. De exemplu Windows XP, care nu mai beneficiază de suport și actualizare din partea Microsoft și este folosit în continuare pe scară largă în sistemul sanitar românesc, facând posibila funcționarea aparatelor de radiografii dentare, RMN-uri sau CT-uri. Prin infectarea unuia dintre aceste computere cu sistem de operare învechit se poate infecta apoi foarte simplu întreaga rețea.

Evident ne întrebăm de ce nu sunt așa de ușor de înlocuit aceste sisteme de operare învechite și răspunsul ar trebui sa îl căutăm fie la producătorii de echipamente medicale care ar trebui să actualizeze gratuit softurile de interfață cu echipamentul astfel încât să funcționeze în aceiași parametrii și pe sistemele de operare mai noi, fie la managementul unităților medicale care au amânat investițiile în sisteme noi de operare din lipsă de fonduri sau pur și simplu pentru ca echipamentele funcționează normal chiar dacă sunt vulnerabile în fața atacurilor cibernetice.

 Ce tipuri de malware au infectat sistemele din spitalele românești ?

Primul semnal de alarmă tras de CERT.RO ne anunța că „alerta a fost dată în urma raportării acestor incidente, mai multe într-o perioadă scurtă de timp. Este vizat domeniul sănătății, au fost vizate spitale, dar ne gândim că atacul se poate extinde, tocmai de aceea considerăm utilă alertarea celor care pot fi vizați de aceste atacuri.Vectorul de răspândire al atacului până acum a fost pe mail, reprezentând fișiere care aveau atașate facturi, care nu erau facturi, bilete de avion și tot felul de pseudo fișiere necesare activității curente ”, preciza Cătălin Aramă , directorul general CERT-RO.

"În legătură cu atacurile cibernetice de la spitale, Centrul Naţional Cyberint suspectează că atacatorii sunt de origine chineză. Au fost luate în calcul luând orele la care hackerii chinezi au fost activi şi indiciile lăsate în mesajele de răscumpărare", informează SRI, prin purtătorul de cuvânt al instituţiei, Ovidiu Marincea.

În urma unei investigații derulate de specialiști în securitate cibernetică din cadrul CERT-RO, Cyberint și Bitdefender, s-a constatat că formele de malware responsabile de atacurile cibernetice recente asupra unor spitale din România sunt Maoloa și Phobos. Acești doi malware nu sunt o noutate absolută, Maoloa fiind prima dată descoperit în februarie 2019 iar Phobos era cunoscut încă din decembrie 2018, așa cum reiese din articolul publicat de Playtech, din ianuarie 2019.

Incidentele de securiatate sunt o realitate zilnică

Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) a tras un semnal de alarmă încă de la începutul anului 2019, în urma sondajului "GDPR in HEALTH România" realizat în decembrie 2018 (link studiu).

Astfel, ASCPD a semnalat atunci faptul că 37,44% din instituțiile sanitare cuprinse în analiza s-au confruntat cu incidente de securitate și cu toate acestea 73,85% din total nu au  implementat un plan de reacție la incidentele de securitate. 70,26% încă foloseau adrese de email @yahoo.com sau @gmail.com în interes profesional în interiorul rețelei, expunând astfel organizație unor riscuri care pot fi evitate. Mai mult, 11.28% nu aveau implementate sisteme tehnice de protecție antivirus, cel mai des invocând lipsa fondurilor.

Fiecare organizație, nu doar cele din domeniul sanitar, trebuie să implementeze un plan de răspuns la incidente de securitate prin care să identifice și să descrie rolurile și responsabilitățile echipei de răspuns în cazul unei breșe de securitate și apoi să realizeze simulări practice pentru a testa modul de reacție a angajaților în cazul unui atac cibernetic.”, declara atunci Marius Dumitrescu, Președintele Asociației Specialiștilor în Confidențialitate și Protecția Datelor din România.

În contextul atacului derulat în prezent asupra spitalelor din România, Marius Dumitrescu a transmis faptul că “Asociația ASCPD a primit o solicitare de a sprijini un spital care a fost afectat de atacurile din ultimele zile și a oferit consultanță gratuită responsabilului cu protecția datelor pentru a gestiona cat mai eficient acest incident de securitate. Încurajăm operatorii să ne ceara sfaturi care sa-i ajute să prevină astfel de incidente înainte de a ne cere ajutorul în urma unui incident de securitate”.

Masurile întreprinse de Ministerului Sănătății

Sorina Pintea, Ministrul Sănătății, a atras imediat atenția asupra repercursiunilor pe care astfel de incidente le pot avea asupra pacienților spitalelor afectate.

În primul rând toate documentele care sunt eliberate de către un spital sunt eliberate dintr-un sistem informatic care dacă este blocat bineînțeles că îngreunează foarte mult activitatea de internare de exemplu, de eliberare a rețetelor. Până la urmă pierderea datelor ar fi o problemă majoră, de neconceput” a declarat Sorina Pintea pentru Digi24.

Alte declarații apaținând Ministrului Sănătății:

  • “Incidente izolate au mai existat, incidente în care spitalele și-au pierdut datele și care au fost recuperate, după caz, de informaticieni sau contra cost. Ultimul exemplu este spitalul din Huşi, care și-a pierdut toate documentele referitoare la pacienții care au fost internați în spital” (datele încă nu au fost recuperate)
  • “În 2017 a avut loc un atac informatic la un spital din Maramureș, Sighetu Marmației, s-au identificat hackerii respectivi, erau din altă țară, s-a plătit suma de 10.000 de euro”
  • "Este sigur că voi face plângere la DIICOT"
  • Întrebată dacă există o modalitate legală de a plăti sumele solicitate de atacatori, ministrul Sănătății a spus: "Există modalități legale. S-a luat legătura cu Curtea de Conturi. 10.000 de euro sunt nimic față de datele stocate acolo”.

Accesarea datelor pacienților este cruciala pentru îndeplinirea actului medical. Astfel, în urma atacului, sute de pacienți nu au putut beneficia de serviciile medicale în spitalele afectate, fiind invitați sa revină ulterior sau încurajați sa apeleze la serviciile altui spital. Recunoașterea valorii acestor date de către Ministrul Sănătății este un cuțit cu doua tăișuri. Deși semnalul era orientat spre mobilizarea instituțiilor medicale în vederea prevenii altor atacuri, atunci când afirmi că “10.000 de euro sunt nimic față de datele stocate acolo”, recunoscând că în trecut s-a optat pentru plata recompenselor solicitate de atacatori pentru decriptarea datelor, acest mesaj poate fi perceput de atacatori drept o încurajare de a continua atacurile și de a solicita recompense mult mai mari.

Dacă recunoștem importanța datelor pacienților, oare de ce nu au fost luate obligatoriu în fiecare spital măsuri pentru a le proteja, având în vedere că nu este prima dată când întâmpina acest tip de atacuri? Recuperarea datelor, fie că este realizată de specialiști în IT sau prin achitarea recompensei solicitate de atacatori, este mult mai costisitoare decât adoptarea măsurilor de securitate necesare prevenirii unor asemenea atacuri.

În totală contradicție cu mesajul Ministrului Sîănătății, instituțiile și companii cu competențe în domeniul securității cibernetice, printre care CERT-RO, Cyberint și Bitdefender, sfătuiesc utilizatorii infectați “să nu plătească atacatorilor taxele de decriptare solicitate”. Plata recompensei nu reprezintă o garanție că infractorii își vor onora promisiunea și le vor reda accesul la date și, în plus, ar putea fi țintite din nou de aceeași grupare, întrucât au deja un istoric de bun platnici”.

Raportarea incidentelor de securitate

Echipa CERT-RO îndeamnă fiecare operator să raporteze astfel de incidentele de securitate la numărul de telefon 1911 sau pe mail (alerts@cert.ro), cu includerea a două fișiere infectate (criptate) pentru analiză. Se recomandă să atașați acele fișiere într-o arhivă, protejate cu o parolă, pe care să o specificați în textul mesajului.

Mai mult, Art. 4 alin. (12) din Regulamentul UE 2016/679 definește "încălcarea securităţii datelor cu caracter personal" ca o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea. Regulamentul UE 2016/679 care a intrat in vigoare la 25 mai 2016 și se aplică în toate statele membre din 25 mai 2018 prevede că „în cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente (...), fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice". În acest sens, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a emis Decizia nr. 128/2018 privind aprobarea formularului tipizat al notificării de încălcare a securităţii datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE precum și Decizia nr. 161 din 9 Octombrie 2018 privind aprobarea Procedurii de efectuare a investigațiilor. Formularul online de raportare a incidentelor de securitate este accesibil AICI.

Recomandări din partea specialiștilor

Conform surselor noastre, Ministerul Sănătății a transmis o adresa în data de 19.06.2019 prin care a informat unitățile spitalicești din subordinea sa cu privire la măsurile pe care acestea trebuie sa le implementeze pentru a preveni atacurile cibernetice, recomandări inițial emise de Centrul Național de Răspuns la Incidente de Securitate Cibernetică CERT-RO (CERT-RO)

CERT-RO, Cyberint și Bitdefender, precum și instituțiile cu competențe în domeniul securității cibernetice sfătuiesc utilizatorii infectați să nu plătească atacatorilor taxele de decriptare solicitate, ci să creeze copii ale datelor compromise și să se adreseze organelor de poliție. Odată ce plătesc recompensa, victimele nu au nicio garanție că infractorii își vor onora promisiunea și le vor reda accesul la date și, în plus, ar putea fi țintite din nou de aceeași grupare, întrucât au deja un istoric de bun platnici. Nu în ultimul rând, încasările îi vor ajuta pe atacatori să dezvolte amenințări informatice din ce în ce mai sofisticate, ceea ce va duce pe termen lung la și mai multe victime infectate.

Pentru a preveni infectarea cu ransomware, utilizatorilor li se recomandă să păstreze copii ale datelor importante, să folosească o soluție de securitate performantă și să evite să acceseze linkuri sau fișiere din email-uri nesolicitate.

CERT-RO atrage atenția, atât utilizatorilor cât și personalului care se ocupa de serviciile IT, asupra următoarelor măsuri imediate ce pot fi luate pentru a preveni infectarea cu aceste tipuri de aplicații malițioase:

  • nu deschideți fișierele primite prin e-mail decât în situația în care cunoașteți expeditorul iar în cazul unei suspiciuni adresați-vă personalului de specialitate
  • evitați accesarea ”ofertelor ” irezistibile din mediul online, indiferent de forma prin care le primiți (email, whatsapp, messenger, facebook etc.)
  • asigurați-vă că aveți un backup al fișierelor pe un dispozitiv care nu este conectat la rețea
  • asigurați-vă că dispozitivele pe care le utilizați atunci când navigați online sunt updatate și au instalate soluții de securitate (firewall, antivirus, antimalware etc.)
  • apelați numărul unic 1911 pentru raportarea acestor incidente
  • accesați ghidurile puse la dispoziție pe site-ul CERT-RO

Apreciem ca foarte importante aceste recomandări însa atragem atenția ca prevenirea atacurilor cibernetice nu ar trebui sa se limite doar la acestea, motiv pentru care am mai sublinia câteva măsuri importante:

  • auditarea sistemelor IT în vederea identificării vulnerabilităților
  • implementarea unor politici clare privind prelucrarea datelor personale
  • criptare datelor stocate pe dispozitivele mobile (laptop, tableta, memorii USB) pentru a împiedica accesarea datelor in caz de pierdere sau furt
  • criptarea datelor personale transmise prin e-mail
  • interzicerea accesării datelor de pe CD, DVD, stick-uri USB sau altele asemenea, dacă provin din surse nesigure.
  • echipamentele de lucru care stochează date personale vor fi parolate vor fi blocate atunci când nu vor fi utilizare (ctrl+alt+del → lock this computer)
  • asigurarea unui sistem de management al accesului, astfel încât fiecare utilizator să se logheze la echipamentul de lucru cu user și parolă proprii.

Una din cele mai importante aspecte pe care nu am regăsit-o în adresa Ministerului este necesitatea instruirii personalului. Un personal instruit va fi mult mai vigilent, va identifica eventuale pericole și va cunoaște procedurile pe care trebuie sa le urmeze pentru a identifica, semnala sau limita efectele unui atac cibernetic.

“În multe cazuri de ransomware, succesul acestora se bazează pe 4 mari tipuri de probleme: nu pe toate sistemele din reţea rulează un antivirus; sistemele de operare sunt vechi şi neactualizate; parolele folosite de administrator şi utilizatori sunt slabe; utilizatorii deschid fişiere anexate la e-mail fără să verifice sursa lor", precizează reprezentanţii Kaspersky.

Recomandările Kaspersky pentru protejarea clinicilor de accesul neautorizat, care poate avea consecinţe grave sunt:folosirea de parole complexe pentru a proteja toate punctele externe ale conexiunii; protejarea aplicaţiilor echipamentului medical din reţeaua locală cu parole, în cazul în care o persoană neautorizată ar avea acces în zonele considerate de încredere; protejarea infrastructurii de ameninţări cum sunt programele malware şi atacurile hackerilor, cu o soluţie de securitate complexă; actualizarea politicilor de securitate IT, dezvoltare unui management al patch-urilor, în timp real, şi realizarea de evaluări ale vulnerabilităţilor dar şi a unui backup la informaţiile critice, cu regularitate, şi păstrarea unei copii a backup-ului offline.

Eroarea umana și lipsa de instruire este adevarata problema

Conștientizarea pericolelor în domeniul securității este o parte esențială a formării angajaților și este cel mai eficient mod de a menține companiile în siguranță de la intruși și hackeri.

Atacurile cibernetice prejudiciază anual economia globală cu 400 miliarde de euro. Mai mult, impactul economic al criminalităţii cibernetice a crescut de cinci ori din 2013 până în prezent şi este considerată o provocare pentru securitatea internă a Uniunii Europene (UE). Totodată, în Europa, peste 50% din cetăţeni se consideră neinformaţi privind ameninţările cibernetice astfel că educaţia digitală, în domeniul securităţii cibernetice, este încă deficitară. În Europa peste 50% din cetăţeni se consideră neinformaţi privind ameninţările cibernetice, iar 70% din interprinderi au cunoştinţe minime despre aceste riscuri. În România educaţia digitală în domeniul securităţii informaţiilor continuă să fie deficitară. În anul 2018, România a fost atât generatoare de incidente de securitate cibernetică, cât şi ţintă, riscul fiind evaluat la nivel mediu, iar tendinţa fiind crescătoare.

Fiecare operator de date este obligat să protejeze în mod corespunzător toate informațiile referitoare la angajații săi, precum și să protejeze informațiile comerciale confidențiale (inclusiv informații referitoare la clienți, angajați, afiliați). Pentru a atinge acest obiectiv și pentru a  minimiza riscul pierderii, furtului sau compromiterii informațiilor legate de afaceri sau de clienți, sistemele, procedurile operaționale și politicile corespunzătoare care sunt în vigoare trebuie revizuite și actualizate în mod regulat. Problemele de securitate sunt inregistrate zilnic, in absolut toate domeniile de activitate.

Procesul de digitalizare atrage după el și metode tehnice avansate de securitate, care cresc gradul de protecție al vieții private, dar trebuie să conștientizăm în primul rând că cea mai mare vulnerabilitate în cadrul unei organizații este chiar resursa umană. Este nevoie de educație a personalului mai mult decât investiții mari în soluții tehnice de securitate.

“În ultimele zile am avut ocazia sa vorbesc cu mai multi manageri de spital despre efectul atacurilor cibernetice si despre recomandarile Ministerului Sănătății și ale CERT.RO transmise în ultima perioada. Cu dezamagire pot spune că efectul acestor întamplari nefericite este unul redus, nu am semnalat nici o stare de alerta la nici un spital și nu am auzit să fie luate masuri de reevaluare sau testare a soluțiilor implementate ci mai degraba am auzit “noua nu ni se poate întampla acest lucru” și că “avem baieți tineri care sunt pregătiți”. Nimeni nu contesta pregatirea angajaților, spun doar ca este nevoie de o implicare mult mai mare a managementului și implementarea unui plan de raspuns la incidente de securitate care nu implică doar informaticienii. Mai mult decât investiții mari în soluții tehnice de securitate este nevoie de educație a personalului. Sa nu uitam ca acestia de cele mai multe ori semneaza formal documente prin care sunt informati ce masuri trebuie luate si nu sunt verificati ulterior si mai ales nu sunt luate hotarari drastice precum interzicerea utilizarii emailurilor personale pe echipamentele de la servici, de teama unor reactii negative din partea angajatilor la astfel de masuri nepopulare..Cursurile de specialitate si simularile de atacuri cibernetice ar trebuie facute periodic pentru a implementa in mod real proceduri de prevenire a incidentelor si proceduri de lucru pentru diminuare pierderilor si efectelor in aceste cazuri. Cred ca trebuie sa invatam din aceste cazuri si sa luam masurile necesare pentru a preintampina pierderea de date cu caracter personal a pacientilor si a angajatilor, renuntand totodata sa crede ca noua nu ni se poate intampla ”, a declarat Marius Dumitrescu,  Președintele Asociației Specialiștilor în Confidențialitate și Protecția Datelor din România.

“ În companiile responsabile se fac traininguri periodice de securitate la incendiu, în care ești învățat ce să faci și ce să nu faci când observi foc în clădire – pe unde s-apuci, cum să te ferești de pericol, ce să nu faci, pe cine s-anunți etc. Tot așa, ar trebui să fie organizate traininguri periodice se cybersecurity, în care angajații să învețe cum să identifice o tentativă de phishing, de ce să nu dea click pe orice link, oriunde, ce să facă și pe cine să anunțe când ceva merge prost. Apoi, testări permanente, controlate, pe angajați, cărora le întinzi capcane de phishing, să zicem, după care vezi ce se întâmplă, evaluezi progresul și o corectezi ce e de corectat”, explică Bogdan Botezatu, director de cercetare amenințări informatice la Bitdefender

În concluzie, spitalele din România sunt atacate pentru că sunt vulnerabile și este profitabil având în vedere valoarea informațiilor și caracterul sensibil și mai ales  precedentele create prin plata rascumpărării accesului la date. Putem evita aceste incidente dacă în primul rând renunțăm la mentalitatea ca “mie nu mi se poate întâmpla” și investim în instruirea resurselor umane, implementând planuri și proceduri de lucru în caz de atac cibernetic și alocând fonduri pentru a impune măsuri adecvate de protecție tehnică și organizatorică. 

Un nou curs ONLINE - Planul de răspuns la incidente de securitate

Conștientizarea pericolelor în materie de securitate este o problemă de conformitate și este necesară pentru a asigura respectarea unor standarde precum ISO27001. De aceea am lansat un nou curs pe platforma de E-learning DPO-NET.ro, intitulat „Planul de răspuns la incidente de securitate„.

Scopul acestui curs este de a a furniza o abordare cât mai clar definită și organizată pentru a gestiona amenințările reale sau potențiale asupra procesului de prelucrare a datelor cu caracter personal.Fiecare organizație trebuie să implementeze un plan de răspuns la incidente de securitate care să identifice și să descrie rolurile și responsabilitățile echipei de răspuns în cazul unei breșe de securitate care va pune planul în acțiune.

Cost curs: 190 LEI 

La finalul cursului se va accesa un chestionar grila cu zece intrebari alese aleatoriu din baza de date si daca rezultatul final al raspunsurilor corecte depaseste procentul de 70%, cursantul obtine automat un Certificat de Absolvire. 

Acest curs poate fi utilizat de Responsabilul cu Protectia Datelor (DPO) pentru a asigura informarea angajatilor operatorului de date, obtinand astfel si dovada instruirii acestora prin obtinerea Certificatului de Absolvire emis de dpo-NET.ro. Pentru inscrierea la curs este nevoie sa aveti un cont cu acces la cursurile online dpo-NET.ro.

Daca nu ati solicitat inca un astfel de cont, o puteti face prin completarea urmatorului formular: https://dpo-net.ro/solicitare-cont-acces-cursuri-online/, urmand ca in maxim 48 de ore sa primiti un email de confirmare privind inregistrarea, cu detalii despre autentificarea in sistem. 

Dacă aveți deja un cont creat, este necesar să achiziționați două unități (190 lei) pentru a vă putea înscrie. O puteți face completând următorul formular: https://dpo-net.ro/solicitare-unitati-cursuri/

Cuprinsul cursului online Planul de răspuns la incidente de securitate„:

1. Introducere
2. Etapele unui plan de răspuns la incidente de securitate
3. Cum recunoaștem un incident de securitate ?
4. Echipa de management a incidentelor de securitate
5. Cronologia evenimentelor în cazul unui incident de securitate
6. Exemple de incidentele care ar trebui raportate
7. Identificarea incidentelor de securitate,
8. Implicarea departamentelor de management și  IT / Conformitate
9. Notificările în regim de urgență
10 Actvități inițiale
10.1. Izolarea incidentelor de securitate
10.2.Cyber-Asigurări și externalizarea serviciilor de răspuns la inciente de securitate
10.3 Documentarea  și deschiderea rapoartelor de incident de securitate
10.4 Înființarea echipei de management a incidentului și analiza planurilor alternative
11. Activități port-incident
11.1 Analiza și planificarea
11.2 Investigația
11.3 Reducerea riscurilor și adoptarea măsurilor corective
11.4 Notificarea
11.5 Închiderea dosarului deschis pentru incidentul de securitate
11.6 Raportarea

ANEXA A -Formular de raportare a incidentelor de securitate
ANEXA B -Notificare de încălcare a securității datelor cu caracter personal
ANEXA C – Lista a celor mai frecvente amenințări de securitate

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679

Decizia Curții de Apel Iași: GDPR NU împiedică accesul la informații publice

Juridic / Legislativ

Vizualizari: 1259

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Unul dintre miturile ce au luat naștere odată cu intrarea în vigoare a Regulamentului General Pentru Protecția Datelor (GDPR) este că acesta va restricționa accesul la date personale. Nimic mai fals!

Ca să înțelegem mai bine cum funcționează acest Regulament voi folosi o comparație “out of the box”. Astfel, GDPR-ul nu trebuie văzut ca un jandarm care păzește datele asigurându-se ca nu ajunge nimeni la ele, ci mai de grabă un polițist de la rutieră care supraveghează libera circulație a datelor, care dirijează fluxurile de date astfel încât să nu înregistreze "ambuteiaje" și care are dreptul de a aplica sancțiuni atunci când cineva îi încalcă indicațiile.

Indicii despre rolul Regulamentului le avem încă din lungul său titlu "Regulament nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date  [...]". Prin urmare, încă de la primul contact cu Regulamentul ar fi trebui să înțelegem că acesta nu reglementează doar protecția datelor ci și libera circulație a lor, dar cine să țină minte un titlu atât de lung?

Ce spune GDPR-ul în privința accesului la informațiile publice.

Art. 86 din GDPR oferă o imagine suficient de clara asupra prelucrării și accesului public la documente oficiale: "Datele cu caracter personal din documentele oficiale deținute de o autoritate publică sau de un  organism public sau privat pentru îndeplinirea unei sarcini care servește interesului public pot fi  divulgate de autoritatea sau organismul respectiv în conformitate cu dreptul Uniunii sau cu dreptul  intern sub incidența căruia intră autoritatea sau organismul, pentru a stabili un echilibru între accesul  public la documente oficiale și dreptul la protecția datelor cu caracter personal în temeiul prezentului Regulament".

Cu alte cuvinte GDPR-ul nu interferează cu legislația națională referitoare la informațiile de interes public, lăsând la latitudinea fiecărui stat stabilirea informațiilor de interes public, modul și forma sub care acestea pot fi divulgate.

Revenind la povestea noastră

Asociația Studențească Ligia Studenților ai Universității „Alexandru Ioan Cuza” din Iași (LS Iași) a intentat un proces Universității Naționale de Muzică din București (Universitatea) ca urmare a refuzului acesteia de a face publice rezultate evaluării cadrelor didactice realizată de către studenți.

Atât pe parcursul procesului cât și al recursului, Universitatea a susținut că refuzul furnizării informațiilor solicitate este întemeiat și ca a procedat în conformitate cu prevederile legale, considerând ca evaluările cadrelor didactice de către studenți reprezintă date cu caracter personal.

În aceiași timp, LS Iași a susținut că evaluarea de către studenți a prestației cadrelor didactice este obligatorie, rezultate acestei evaluări fiind informații publice, în conformitate cu dispozițiile art. 303 alin. 2 din Legea nr.1/2011 (Legea Educației).

Decizia Curții de Apel Iași

Curtea a respins ca nefondat recursul Universității, menținând astfel decizia Tribunalului Iași, decizia prin care Universitatea era obligată să comunice Ligii Studenților informațiile solicitate, această decizie fiind definitivă.

În motivarea decizie, Curtea a susținut că “potrivit art. 14 alin. 1 din Legea nr. 544/2001, informațiile cu privire la datele personale ale cetățeanului pot deveni informații de interes public numai în măsura în care afectează capacitatea de exercitare a unei funcții publice.

Cum învățământul este serviciu de interes public, iar cei vizați de solicitarea Ligii Studenților sunt profesori în cadrul universității, rezultatele evaluării activității lor de către studenți, evident cu indicarea numelui și prenumelui fiecăruia, pot face obiectul unei cereri de comunicare informații interes public, dispozițiile Regulamentului (UE) 2016/679 (GDPR) necuprinzând o restricționare din acest punct de vedere”.

Curtea a mai adăugat că “Statele membre au obligația de a lua toate măsurile pentru ca principiile ce se degajă din Regulament și dispozițiile acestuia să fie respectate , datele cu caracter personal să fie corect prelucrate și corespunzător protejate, fără însă ca acest nivel de protecție asigurat de GDPR să împiedice accesul publicului la informațiile de interes public.”

Cele doua instanțe care au judecat plângerea înaintată de liga studenților au transmis un mesaj cât se poate de clar: GDPR-ul nu este o pârghie de care sa ne prevalam atunci când dorim să blocăm accesul la anumite date de interes public chiar dacă acestea sunt date cu caracter personal.

Probabil va mai trece mult timp până când vom conștientiza impactul pozitiv pe care GDPR-ul îl are și care vor fi beneficiile pe teren lung, precum și faptul ca acesta are ca scop apărarea drepturilor și libertăților persoanelor și nu îngrădirea acestora.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679

Regulamentul UE privind securitatea informatică intră în vigoare la 27 iunie 2019

“Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare […]

Implementarea Directivei NIS (Network Internet Security) în România

În timp ce Regulamentul UE 2016/679 (GDPR) este preocupat de protectia datelor cu caracter personal, Directiva NIS  se concentrează asupra menținerii funcționării serviciilor esențiale. Să presupunem că un […]

„Directiva UE privind Drepturile de Autor: un pas inainte, doi pasi inapoi” ?

Noile reguli, propuse inițial cu mai mult de doi ani în urmă, dar aprobate în sfârșit de Parlamentul European în luna martie 2019 și Comisia Europeană în luna […]

[1 Aprilie 2019]: O mare firma de recrutare din România, iese din afaceri, acuzând GDPR

Acest articol este un pamflet si trebuie tratat ca atare.    Recruiting Great People SRL, agenție de recrutare cu peste 50 de ani de activitate in România,  a […]

ASCPD: Știrile false, adevărate bombe invizibile

În contextul Zilei Internaționale a Păcălelilor, anunțul Asociației Specialiștilor în Confindențialitate și Protecția Datelor (ASCPD) prin care se anunța lansarea pe data de 1 Aprilie 2019 a unei […]

dpo-NET.ro lansează un nou curs online GRATUIT

In numai 20 de zile care au trecut de la lansarea noului modul pe portalul dpo-NET.ro, peste 250 de persoane au absolvit cursurile online dedicate atat profesionistilor cat […]

BREXIT-ul și datele personale

O poveste cu iz de drama și efecte istorice Care este legătura între Brexit și datele personale? De curând am urmărit cu mare interes filmul Brexit: The Uncivil War, […]

Noi obligatii legale pentru spitalele si clinicile medicale publice si private

Potrivit dispozițiilor legii naționale de transpunere a Directivei (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de […]

Peste 97% dintre români cer sa fie informați despre datele lor personale

Conform unui comunicat de presă primit la redacție, Asociaţia Specialiştilor în Confidențialitate şi Protecţia Datelor (ASCPD) a lansat în luna Februarie 2019, în premieră pentru România, un studiu […]

dpo-NET.ro va oferă un CURS ONLINE GRATUIT

Incepand cu 1 martie 2019, portalul dpo-NET.ro lanseaza un nou modul de Cursuri Online, dedicat atat profesionistilor cat si angajatilor operatorilor de date. Persoanele interesate pot obtine un […]

ANAF elimină LISTA RUȘINII

Conform unui proiectul de Ordin al preşedintelui Agenţiei Naţionale de Administrare Fiscală pentru modificarea şi completarea Procedurii de publicare a listelor debitorilor care înregistrează obligaţii fiscale restante, precum […]

CURS: Ce trebuie să știm despre GDPR ?

Incepand cu 25 mai 2018 a intrat in vigoare Regulamentul UE nr. 679/2016, cunoscut drept Regulamentul General privind Protectia Datelor Personale (GDPR), care spune in principiu ca informatiile pe […]

Cum stăm până acum cu GDPR-ul în Europa ?

Regulamentul general privind protecția datelor (GDPR) se aplică începând cu 25 mai 2018. Primele analize realizate de European Data Protection Board asupra breselor de securitate, printre care si pierderile […]

Cine poate filma și publica în scop jurnalistic ?

Cine este jurnalist ? Cine poate filma și publica în scop jurnalistic ? Înregistrarea în spațiul public reprezintă o prelucrare de date cu caracter personal ? Persoana publică […]

Prima amendă GDPR în Ungaria pentru încălcarea drepturilor persoanelor vizate

Autoritatea Națională pentru Protecția Datelor și Libertatea Informațiilor (NAIH) din Ungaria a emis recent două decizii privind încălcarea normelor de protecție a datelor stabilite de Regulamentul (UE) 2016/679. […]

Noi reglementari privind accesul la dosarul electronic de sanatate al pacientului

Conform AGERPRES, Camera Deputatilor a adoptat, pe 6 februarie, cu 258 voturi ”pentru”, 4 ”împotriva” si 3 abtineri, un proiect de lege care reglementeaza accesul la dosarul electronic […]

Când este valabil consimțământul?

Atunci cand legalitatea prelucrarii datelor nu poate fi justificata prin temei legal, interes vital, interes legitim, relatie contractuala sau interes public este nevoie de contimtamantul persoanei vizate. Când […]

Elementele constitutive ale datelor cu caracter personal

În viața cotidiană, datele cu caracter personal sunt privite mai mult ca identificatorii persoanei fizice consemnați în buletinul de identitate, nefiind perceput în sensul larg a acestei noțiuni. […]

Legea privind asigurarea unui nivel ridicat de securitate a rețelelor și sistemelor informatice

Președintele României a promulgat in data 28 decembrie 2018, Legea privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice (PL-x 280/02.05.2018). Promulgarea constituie un […]

Informații generale despre NIS ( Legea 362/2018)

Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice a intrat în vigoare de la 12 ianuarie 2019. Legea transpune așa-numita […]