Manual de Funcionamiento - zhannamartel.com · El artículo 89.2 del Reglamento dispone la...

DOCUMENTO DE SEGURIDAD

IntegramosticProtegemos sus Datos

Manual de Funcionamiento

Documento de Seguridad. Manual de funcionamiento

Nº Cliente : 2055

ÍNDICE GENERAL del DOCUMENTO DE SEGURIDAD

1 – Ámbito de aplicación del Documento de Seguridad

2 – Información y Obligación de Usuarios

3 - Encargados del Tratamiento

4 - Seguridad de los Datos

5 - Gestión de incidencias

6 - Ficheros inscritos AEPD

7 – Procedimientos de revisión

8 - Definiciones


Nº Cliente : 2055

ÍNDICE ANEXOS

1-Autorizaciones 1.1 Nombramiento del Responsable de seguridad. 1.2 Autorización de acceso por redes. 1.3 Autorización de Régimen de trabajo fuera de los locales de ubicación del fichero 1.4 Autorización de Control de acceso físico del personal externo 1.5 Delegación de Autorizaciones. 2 -Personal: Relación de usuarios y permisos 2.1 Identificación, autentificación y Gestión de usuarios 2.2 Permisos 3 -Contratos de servicios con terceros 3.1 Contratos de Tratamiento por cuenta de terceros 3.2 Contratos de Cesión 3.3 Contratos de servicios sin accesos a datos. 3.4 Contratos como encargado de Tratamientos 4 -Aplicaciones, procesos de backup, ficheros y archivos 4.1 Procedimientos de copias de seguridad y recuperación 4.2 Inventario de aplicaciones por entorno 4.3 Inventario de soportes y equipos 4.4 Ficheros no automatizados 5 - Cláusulas: 5.1 Modelos de Funciones y Obligaciones específicas de cada usuario 5.2 Cláusula deber de información a candidatos 5.3 Cláusulas de consentimiento para la recogida de datos 5.4 Cláusula consentimiento a incluir en contratos 5.5 Cláusula legitimación email 5.6 Cláusulas deber de información de la web y política de privacidad 5.7 Circular a clientes y proveedores 5.8 Nota Informativa 5.9 Videovigilancia 6 –Informes, controles y auditorias 6.1 Ficheros inscritos en el Registro General de Protección de Datos 6.2 Controles iniciales y periódicos 6.3 Modelo de Registro y Autorización de Entrada Y Salidas de Soportes 6.4 Modelo de Notificación, Registro y Resolución de Incidencias 6.5 Gestión de soportes 6.6 Solicitud ARCO: Cartas Modelo de respuesta a los derechos de acceso, etc (ARCO): Derecho de Acceso Favorable Derecho de Rectificación Favorable Derecho de Cancelación favorable Derecho de Oposición favorable Solicitud para que aporte documentación. 6.7 Auditorias 7 -Funciones y obligaciones del personal


Nº Cliente : 2055

Documento de Seguridad 1. Objeto del documento de seguridad A fecha 21 de diciembre de 2007, se publicó el Real Decreto 1720/2007, por el cual se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. La actual Ley Orgánica 15/1999 adaptó a nuestro ordenamiento a lo dispuesto por la Directiva 95/46/CE de Parlamento Europeo y del Consejo de 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos, derogando a su vez hasta la entonces vigente Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de datos de carácter personal. El objeto del presente documento es recopilar la normativa de la empresa referente a las medidas de seguridad de obligado cumplimiento para todo el personal con acceso a los datos de carácter personal y a los sistemas de información, tal y como prevé el Real Decreto 1720/2007. Debido a la continua evolución y cambios intrínsecos de los sistemas de información y a la propia complejidad de la organización, el documento intentará ser un marco estable y, al mimo tiempo, flexible, en lugar de una descripción estática, por la que se vería sometido a continuas actualizaciones. En esta línea, el documento incluye referencias a otros documentos que conforman la política de seguridad establecida en la organización y, en ocasiones, en lugar de incluir relaciones estáticas se describe el procedimiento para obtener las citadas relaciones en el momento en que sean necesarias. El presente documento se mantendrá en todo momento actualizado por el Responsable de Seguridad y será revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. Del mismo modo, el Documento de Seguridad se adaptará, en todo momento, a las disposiciones vigentes en materia de los datos de carácter personal. 1.1. Ámbito de aplicación del documento de seguridad Las medidas de seguridad definidas en el presente documento van encaminadas a proteger todos los ficheros, aplicaciones, herramientas de actuaciones y consulta, recursos del sistema operativo, redes de telecomunicaciones, soportes y equipos informáticos que pueden ser gestionados por el responsable del fichero o por cualquier otra empresa con la cual se haya suscrito un contrato de prestación de servicios que implique el tratamiento de datos de carácter personal. En consecuencia, los recursos comprendidos dentro del ámbito de aplicación de este documento serán todos los datos de carácter personal que componen los ficheros inscritos en el Registro General de Protección de Datos, así como las aplicaciones y sistemas que los tratan, los equipos informáticos que los soportan y los locales donde se ubican. 1.2. Responsable de Seguridad ¿QUIEN ES EL RESPONSABLE DEL FICHERO O DEL TRATAMIENTO? La persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Podrán también ser responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. ¿QUÉ ES EL TRATAMIENTO DE LOS DATOS?


Nº Cliente : 2055

Cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de modificaciones, consultas, interconexiones y transferencias. Es decir, cualquier utilización de los datos personales que realice EL RESPONSABLE del Fichero o del tratamiento. La empresa designará a una persona como Responsable de Seguridad que se encargará de la coordinación y control de todas las medidas definidas en este documento de seguridad. En ningún caso, la designación supone una delegación de la responsabilidad que le corresponde a la empresa como Responsable del Fichero de acuerdo con el Reglamento 1720/2007. El Responsable de Seguridad desarrollará las funciones encargadas en tanto que el responsable del fichero no nombre a otro diferente. En el ANEXO 1.1 AUTORIZACIONES ”Nombramiento del Responsable de Seguridad” se

encuentran las copias del nombramiento del Responsable de Seguridad. OBLIGACIONES DEL RESPONSABLE Las obligaciones que tiene EL RESPONSABLE del Fichero o del tratamiento son: legalizar los ficheros, legitimar el tratamiento de los datos en base a unos principios básicos y protegerlos a través de la implantación de medidas de seguridad. No es lo mismo tratar datos meramente identificativos para, por ejemplo, realizar la facturación de un servicio, que tratar el historial médico, o la vida sexual de una persona. Hay datos mucho más sensibles que otros, y que necesitan de una mayor protección para garantizar la confidencialidad e integridad de los mismos. Las medidas de seguridad se clasifican en tres niveles acumulativos (básico, medio y alto) atendiendo a la naturaleza de la información tratada, en relación con la menor y mayor necesidad de garantizar la confidencialidad y la integridad de la información. NIVEL ALTO: se aplicarán a los ficheros o tratamientos de datos:

• De ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto a los que no se prevea la posibilidad de adoptar el nivel básico. • Recabados con fines policiales sin consentimiento de las personas afectadas y derivados de actos de violencia de género. NIVEL MEDIO: Se aplicarán a los ficheros:

• Relativos a la comisión de infracciones administrativas o penales. • Que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito). • De Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias. • De entidades financieras para las finalidades relacionadas con la prestación de servicios financieros. • De Entidades Gestoras de Servicios Comunes de la Seguridad Social, que se relacionen con el ejercicio de sus competencias. • De mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. • Que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas. • De los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización (Para esta categoría de ficheros además deberá disponerse de un registro de accesos).


Nº Cliente : 2055

NIVEL BÁSICO: Se aplicarán a cualquier otro fichero que contenga datos de carácter personal:

• También para aquellos que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual cuando: a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean socios o miembros. b) Se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero. • En los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos. 1.3 Consecuencias de incumplimiento del documento de seguridad El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento por el personal afectado, se sancionará conforme al artículo 44.3 h LOPD, que establece “Son infracciones graves: mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. La reforma del artículo 45.2 LOPD dispone “las infracciones graves serán sancionadas con una multa de entre 40.001€ y 300.000€.


Nº Cliente : 2055

2. Información y obligaciones del personal Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla. La entidad ha emitido un Comunicado Interno, ver el ANEXO 7 dónde se establecen las directrices

para el tratamiento, por parte del personal, de los datos conocidos como consecuencia del desarrollo de su tarea de la empresa. En este Comunicado se recogen las principales obligaciones en materia de seguridad sobre datos de carácter personal incluyendo la prohibición expresa de instalar cualquier tipo de aplicación en los equipos informáticos y la utilización de los recursos informáticos para otras finalidades diferentes de las estrictamente derivadas del desarrollo de su actividad laboral; así como la obligación de mantener el deber de secreto sobre datos tratados con motivo del desarrollo de su puesto de trabajo y de no comunicar estos datos a ninguna persona o entidad sin la autorización pertinente. El artículo 89.2 del Reglamento dispone la obligación de adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias en que podría incurrir en caso de incumplimiento. En cumplimiento del citado artículo, la entidad ha editado el Comunicado Interno mencionado anteriormente y lo ha comunicado a todo el personal. El Responsable de Seguridad ha estado personalmente informado de las funciones que le han estado asignadas y que figuran en el Anexo 1.1 de este Documento de Seguridad. Con relación a las funciones establecidas en el Reglamento al Responsable del Fichero, han estado asignadas al personal de la empresa de la siguiente manera: La Dirección tendrá que: -Autorizar expresamente la ejecución del tratamiento de datos personales fuera de los locales de la ubicación del fichero. -Autorizar la salida de soportes fuera de los locales en los que esté ubicado el fichero. -Designar al Responsable de Seguridad. -Establecer los criterios para la definición de los derechos de acceso de los usuarios. El Responsable de Seguridad se encargará de: -Actualizar el documento de seguridad y adecuación del documento de seguridad a la normativa vigente. -Mantener una relación actualizada de los usuarios del sistema indicando sus derechos de acceso. -Adoptar las medidas necesarias para que el personal conozca las normas en materia de seguridad que afecten al desarrollo de sus funciones y de sus consecuencias que pudiesen incurrir en caso de incumplimiento. -Establecer mecanismos para evitar que un usuario acceda a datos o recursos con derechos diferentes a los autorizados. -Verificar la definición y correcta aplicación de los procedimientos de realización de copias de seguridad y recuperación de los datos. Ver ANEXO 4.1 -Adoptar las medidas correctoras como consecuencia de las deficiencias detectadas en un proceso de auditoría y aprobadas por la dirección. -Establecer un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación que está autorizado. -Mantener una relación del personal autorizado para conceder, anular o alterar los derechos de acceso, conforme a los criterios establecidos. Ver ANEXO 1.5 -Mantener una relación del personal con acceso autorizado al lugar donde se almacenen los soportes. Ver ANEXO 2.2.3


Nº Cliente : 2055

3 Encargados de Tratamiento Se entiende por Encargado del tratamiento toda persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del Responsable de los ficheros. Como establece el párrafo 1 del artículo 9 de la LOPD, al hablar de la seguridad de los datos, “el responsable del fichero, y, en su caso, el Encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los Riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural”. Atendiendo a lo dispuesto en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, El Responsable adoptará las medidas indicadas a continuación con el objetivo de cumplir con los requisitos legales previstos para los supuestos en que exista la figura del Encargado del tratamiento. El Responsable de los ficheros cuando facilite el acceso a los datos, a los soportes que los contengan o a los recursos de los sistemas de información que los traten, a un Encargado de tratamiento que preste sus servicios ya sea en los locales de la Empresa o propio, con o sin acceso remoto y con o sin incorporación de datos a sistemas o soportes del Encargado se reflejará tal circunstancia en los contratos con dichos Encargados de tratamientos y en el Anexo 3.1 del presente Documento de Seguridad, exigiendo al personal del Encargado el cumplimiento de las medidas de seguridad previstas en el presente Documento en calidad de Encargado del tratamiento. En el momento en que La empresa preste a otras empresas determinados servicios que impliquen el acceso o tratamiento de datos de carácter personal, ostentará la condición de Encargado del tratamiento respecto de los datos de aquéllas y deberá garantizar la seguridad de los datos de cuyo tratamiento se encargue. En este sentido, La empresa deberá aplicar a los ficheros con datos de carácter personal de cuyo tratamiento se encargue en sus propios locales en calidad de Encargado del tratamiento, las medidas de seguridad establecidas en el presente Documento de Seguridad, en función del nivel de seguridad que corresponda a los datos tratados. La relación de dichos ficheros se detalla en el Anexo 3.4 al presente Documento de Seguridad, en el que se incluyen, además, la referencia expresa al contrato o documento que regula las condiciones del encargo, así como de la identificación del responsable, el nivel de las medidas de seguridad a implantar y el período de vigencia del encargo. Las empresas que prestan servicios sin acceso a datos al responsable del fichero son las relacionadas en el anexo 3.3. Las empresas a las que se le ceden datos son las relacionadas en el anexo 3.2. 4. Seguridad de los datos LA EMPRESA deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. No se registrarán datos en ficheros que no reúnan las condiciones con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. Para garantizar el nivel de protección exigido en el Reglamento 1720/2007, son de aplicación el siguiente conjunto de normas, procedimientos y estándares relacionados con la seguridad de los sistemas de la empresa. Acceso a datos a través de redes de comunicaciones. Para el acceso a datos a través de redes, sean o no públicas, se exigirán unas medidas de seguridad equivalentes a las adoptadas para el acceso en modo local. En el ANEXO 1.2


Nº Cliente : 2055

“Autorización de acceso a través de redes de comunicación” se encuentran los detalles de

quienes tienen acceso remoto. Régimen de trabajo fuera de los locales de ubicación del fichero. Las normas contenidas en el presente Documento de Seguridad les serán plenamente aplicables a todas aquellas personas que precisen acceder y trabajar con datos de carácter personal a través de ordenadores portátiles o agendas electrónicas. Dichas personas serán, a todos los efectos, considerados usuarios del sistema. En el caso que el responsable del fichero lleve a cabo el tratamiento de datos personales fuera de los locales de ubicación del fichero, se deberán especificar la persona que realiza estos tratamientos así como los dispositivos portátiles utilizados (ordenadores portátiles, PDA’s o Memory Sticks con datos de carácter personal). Para ello será necesaria una autorización por parte del responsable del fichero. En el ANEXO 1.3 “Régimen de trabajo fuera de los locales de ubicación del fichero” se establecerá una relación de todos los dispositivos portátiles utilizados y las correspondientes autorizaciones. Ficheros temporales. De acuerdo con el art. 87 del Real Decreto 1720/2007, aquellos ficheros temporales o copias de documentos que se hubiesen creado exclusivamente para la realización de trabajos temporales o auxiliares cumplirán el nivel de seguridad que les corresponda, atendiendo a la naturaleza de la información que contengan y conforme a los datos tratados. Todo fichero temporal o copia de trabajo así creado será borrado o destruido una vez que haya dejado de ser necesario para los fines que motivaron su creación. Se deberá evitar el guardar copias de los datos personales del Fichero en archivos intermedios o temporales. En el caso de que sea imprescindible realizar esas copias temporales por exigencias del tratamiento, se deberán adoptar las siguientes precauciones: • Realizar siempre esas copias sobre un mismo directorio de nombre TEMP o similar, de forma que no queden dispersas por todo el disco del ordenador y siempre se pueda conocer donde están los datos temporales. • Tras realizar el tratamiento para los que han sido necesarios esos datos temporales, proceder al al borrado o destrucción de los mismos. Los ficheros temporales creados exclusivamente para la realización de trabajos temporales o auxiliares, deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios expresados en el Reglamento de Medidas de Seguridad. Identificación y autentificación. El procedimiento seguido en la empresa para la identificación y autentificación de los usuarios cuando intentan acceder al sistema, la red o las aplicaciones, está basado en la combinación de un código de identificación de usuario y una contraseña. A cada usuario le ha sido asignada una identificación única tanto para el acceso al sistema como para el acceso a las aplicaciones. El control de acceso al sistema limitará el número máximo de intentos fallidos de acceso al sistema. En este caso, se procederá a la revocación del usuario que, para volver a acceder al sistema, deberá solicitarlo, siguiendo el procedimiento establecido en el ANEXO 2 “Identificación,

autentificación y Gestión de usuarios”. Los usuarios recibirán sus derechos de acceso siguiendo la política de mínimo privilegio, asignándoles un único código de identificación. Es decir, únicamente accederán a aquellos datos y recursos informáticos que precisan para el desarrollo de sus funciones. El Responsable de Seguridad, en función de las tareas que se prevea que desarrollará determinará las aplicaciones que serán accesibles para cada usuario. En el ANEXO 2.2 “Permisos”, se indica la relación de usuarios con acceso autorizado a la red y a


Nº Cliente : 2055

las aplicaciones; así como los derechos que tienen concedidos. En el ANEXO 2.1 “Identificación, autentificación y Relación de Usuarios”, se incluyen los procedimientos para obtener la relación de usuarios con acceso autorizado a cada sistema de información. . Esta lista se actualizará por el Responsable de Seguridad cada vez que un usuario reciba nuevos privilegios o cada vez que se dé de alta un nuevo usuario con acceso a datos de carácter personal. El Responsable de Seguridad es el encargado de mantenimiento de los usuarios del sistema y aplicaciones. Todos los usuarios deberán tener configurado su puesto de trabajo de modo que se les exija la introducción de una contraseña al intentar acceder al sistema tras un tiempo de 10 minutos de inactividad. En aquellos casos en los que los usuarios deban acceder a datos catalogados como especialmente protegidos, las aplicaciones o el sistema gestor de la base de datos se ocuparán de registrar la siguiente información: -Identificación del usuario, fecha y hora en que se realizó el acceso, fichero accedido, tipo de acceso y autorización o denegación del mismo. En el caso de que el acceso haya sido autorizado, se registrará el identificador de usuario del registro accedido. Esta información será conservada por un periodo de dos años. El responsable de seguridad se encargará mensualmente de revisar la información de control registrada y elaborará un informe con las revisiones realizadas y los problemas detectados. Control de acceso físico. En el supuesto que sea necesario que cualquier otra persona externa a la empresa, permanezca en los locales donde se encuentren ubicados los sistemas de información de la entidad, será siempre acompañada por personal de la propia entidad. El Responsable de Seguridad se encarga de mantener una relación del personal externo (mantenimiento, limpieza, auditores, etc.) cuyo acceso haya sido previamente autorizado y referenciado en el ANEXO 1.4 “Control de acceso físico del personal externo”.

Gestión de soportes Se entiende por soporte todo objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos. Ejemplos de soportes: disquetes, cd-rom, dvd-rom, memoria usb, disco duro, etc. Los Usuarios deben observar las siguientes medidas de seguridad en relación con los soportes que contengan datos de carácter personal: • Los usuarios que traten los soportes o documentos con datos de carácter personal, son los encargados de custodiarlos y vigilar para que personas no autorizadas no accedan al soporte físico o documentos a su cargo. • Cuando un usuario gestione o produzca soportes que contengan datos de carácter personal, estos deberán estar claramente identificados con una etiqueta externa e inventariados. En el ANEXO 6.5 se encuentran ejemplos de etiquetado de soportes.

• Los soportes que contengan datos de carácter personal, deberán ser almacenados en lugares a


Nº Cliente : 2055

los que no tenga acceso el personal no autorizado. • La salida de soportes que contengan datos de carácter personal de las instalaciones bajo control del RESPONSABLE del Fichero, deberá ser autorizada por EL RESPONSABLE del Fichero o estar debidamente autorizada en el Documento de Seguridad. • La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o añejos a un correo electrónico, fuera de los locales bajo el control del RESPONSABLE fichero o tratamiento, deberá ser autorizada por EL RESPONSABLE del fichero (o aquel en que se hubiera delegado),en el ANEXO 6.3 “Modelo de Registro y Autorización de

Entrada Y Salidas de Soportes”, se encuentran los modelos a utilizar para dichas autorizaciones. • El traslado del soporte fuera de las instalaciones, debe realizarse siempre en un maletín con llave. • Cuando deban ser enviados datos personales fuera de las ubicaciones del RESPONSABLE del Fichero, ya sea mediante soporte físico de grabación de datos o bien a través de correo electrónico o FTP, deberán ir cifrados o utilizar cualquier otro mecanismo que asegure que la información no es accesible ni manipulada durante su transporte. En el anexo 4.3 se encuentra un inventario de los soportes informáticos y de los equipos que tratan o almacenan datos de carácter personal .En dicho listado o en un archivo denominado Equipos se encuentran actualizados por el responsable de seguridad, los datos donde están las características técnicas de los equipos de tratamiento de almacenamiento de datos utilizados por el responsable.

DESTRUCCIÓN Y REUTILIZACIÓN DE SOPORTES Uno de los mayores peligros para la confidencialidad de los datos son los soportes desechados. Todos los desechos informáticos de cualquier tipo que puedan contener información de carácter personal, como CDs, cintas, discos removibles, o incluso los propios ordenadores obsoletos que contengan discos de almacenamiento, deberán ser eliminados o destruidos de acuerdo al siguiente procedimiento. • Como norma general, ningún desecho informático debe ser nunca dejado para retirar sin ser destruido o depositado en el contenedor de la empresa encargada de la destrucción de los datos. • Aquellos CDs que contengan datos de carácter personal deberán ser destruidos en una destructora o por cualquier otro medio que haga imposible extraer ningún dato posteriormente. • De todos los disquetes y otros soportes removibles desechados deberán ser eliminados sus datos previamente con alguna aplicación de borrado seguro que haga imposible la recuperación posterior de los datos contenidos y entregados para su reutilización al Responsable del Fichero. • Si se trata de ordenadores obsoletos, antes de su donación, venta o entrega a otras organizaciones, deberá comunicarse al Responsable del Fichero para que pase una aplicación de borrado seguro que haga imposible la recuperación posterior de los datos contenidos. Si el ordenador estuviese estropeado y no se pudiese realizar la operación de limpiado, se deberán desmontar los discos duros y proceder a su destrucción o encomendar a una empresa de reciclaje especializada la destrucción de los mismos. En el ANEXO 4.2 “Inventario de aplicaciones por entorno”, se indica la ubicación de la

documentación existente con relación a los sistemas y aplicaciones por si fuese necesario facilitarla. Pruebas con datos reales. La empresa no dispone de un entorno de desarrollo y pruebas independientes del entorno de explotación. Todas las pruebas anteriores a la implantación o modificación de los sistemas de información se realizan dotándolas de todas las medidas de seguridad que se describan a lo largo del presente Documento. Procedimientos de copias de seguridad y recuperación. Los procedimientos establecidos para las copias de respaldo y para su recuperación garantizarán su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. En el ANEXO 4.1 “Procedimientos de copias de seguridad y recuperación” se describe el procedimiento utilizado en la empresa.


Nº Cliente : 2055

El responsable del fichero verificará semestralmente los procedimientos de copias de respaldo y recuperación de los datos. Ficheros no automatizados Por fichero no automatizado se entiende todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél descentralizado, repartido de forma funcional o geográfica. Por tanto entenderemos como fichero no automatizado de modo genérico todo documento en el que se encuentren daos de carácter personal en formato no informático. Entre otros, facturas, presupuestos, albaranes, contratos, currículums vitae, etc. Medidas de Seguridad. Serán de aplicación para los ficheros no automatizados las medidas de seguridad descritas anteriormente para los ficheros automatizados. Concretamente, serán de aplicación las medidas expuestas en los siguientes puntos de Documento de Seguridad: -Ámbito de aplicación. -Responsable de Seguridad y nombramiento. -Gestión de soportes. -Funciones y obligaciones del personal. -Registro y gestión de incidencias. -Consecuencias del incumplimiento del Documento de Seguridad. -Ficheros inscritos en el Registro General de Protección de Datos. -Contratos de Prestación de Servicios. -Salidas de soportes autorizados. -Control de accesos -Régimen de trabajo fuera de los locales de la Empresa. -Copias de trabajo de documentos. -Encargados del Tratamiento. El archivo de los soportes o documentos se realizará con criterios que permitan la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. Se adjunta como Anexo 4.4 al presente Documento de Seguridad, el procedimiento de archivo y

custodia de la documentación establecida por la Empresa. 3. Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. 4. Cuando, por sus características físicas, los dispositivos de almacenamiento utilizados no

permitan adoptar la presente medida de seguridad, se adoptarán las medidas alternativas necesarias que impidan el acceso de personas no autorizadas. Dichas medidas alternativas se encuentran identificadas en el Anexo 4.4 al presente Documento de Seguridad. 5. En tanto los documentos con datos personales no se encuentren archivados en los dispositivos

de almacenamiento indicados en el punto anterior, por estar en proceso de tramitación, las personas que se encuentren a su cargo deberán custodiarlos e impedir el acceso de personas no autorizadas. • Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse las medidas que impidan el acceso indebido, manipulación, sustracción o pérdida de la información objeto del traslado durante el transporte de la misma. Dichas medidas son: • El traslado del soporte fuera de las instalaciones, debe realizarse siempre en un maletín o contenedor similar y que disponga de mecanismos que para su apertura precise de una llave o el conocimiento de una combinación. • En todo momento el maletín o contenedor debe estar controlado, bajo supervisión de la persona que lo custodia. DESTRUCCIÓN DE DOCUMENTACIÓN Uno de los mayores peligros para la confidencialidad de los datos son los documentos


Nº Cliente : 2055

desechados. Todos los documentos en papel desechados que contengan datos de carácter personal, deberán ser eliminados o destruidos de acuerdo al siguiente procedimiento: • Como norma general ningún documento debe ser nunca dejado para retirar sin ser destruido o depositado en un contenedor de la empresa encargada de la destrucción de los datos si la hubiera, o destruido por otros medios que impidan la recuperación de la información. • Aquellos soportes en papel o material blando, y que no sean demasiado voluminosos, deberán ser destruidos en una destructora de papel. • En caso de no existir máquina destructora de papel o en el caso de que los listados o documentos sean muy voluminosos, deberán ser depositados en unos contenedores confidenciales herméticos para ser entregados a una empresa encargada de la destrucción de los mismos • EL RESPONSABLE del Fichero deberá exigir a la empresa encargada de la destrucción de los datos un contrato en el que se comprometan bajo penalización a la completa destrucción de todo el material retirado. 5. Gestión de incidencias Se considerarán como “incidencias de seguridad”, entre otras, cualquier incumplimiento de la normativa desarrollada en este Documento de Seguridad, así como cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal. El responsable de fichero recogerá tantas incidencias de seguridad como se produzcan sobre los datos que trata. La difusión de Comunicado Interno ha supuesto que todos los usuarios de la entidad sean conocedores de su obligación de comunicar las incidencias en materia de seguridad al Responsable de Seguridad. Todas las comunicaciones tendrán que efectuarse al Responsable de Seguridad indicando el momento que se detectaron y utilizando el medio de comunicación más rápido, a ser posible personal o telefónicamente. El Responsable de Seguridad anotará en el registro de incidencias los siguientes datos: -Tipos de incidencia -Momento en que se ha producido -Persona que notificó la incidencia Posteriormente, se encargará de contactar con las personas oportunas para corregir la incidencia. Una vez analizado su alcance, registrará los efectos que se hayan derivado de la misma. A continuación se presenta una lista de incidencias que serán inexcusablemente registradas. Esta lista no se tiene que entender como limitadora, sino que podrá ser ampliada con cualquier otro tipo de incidencia que hubiese quedado omitida: -Incidencias que afecten a la identificación y autentificación de los usuarios: -Pérdida de confidencialidad de contraseñas. -Asignación o modificación de derechos sobre herramientas de control de acceso y utilidades de accesos privilegiados. -Periodos de desactivación de las herramientas de seguridad.


Nº Cliente : 2055

-Incidencias que afecten a los derechos de acceso a los datos: -Comunicación de los usuarios de sospechas que alguien ha suplantado su personalidad. -Detección de puntos de acceso desatendidos y sin protección de pantalla activada. -Detección de contraseñas escritas en los puestos de trabajo. -Revisión de los informes de seguridad. -Incidencias que afecten a la gestión de soportes: -Comunicación de pérdida de soportes. -Comunicación de localización de soportes en lugares inadecuados. -Errores de contenido en soportes recibidos. -Incidencias que afecten a los procedimientos de copias de seguridad y recuperación: -Errores en los procesos de realización de copias de seguridad. -Recuperación de datos realizados. -Violación del mecanismo de cierre o guarda de los ficheros no automatizados. La aplicación de este Procedimiento se establece en todas las áreas usuarias de empleados y colaboradores externos. En el ANEXO 6.4 “Modelo de Notificación, Registro y Resolución de

Incidencias” se encuentran los modelos a utilizar. Con el fin de poder mantener un registro de incidencias que permita su mantenimiento y posterior tratamiento y análisis, se centralizarán la recepción de las mismas ante el Responsable de Seguridad. En el caso de incidencias sobre procesos o aplicaciones se comunicarán directamente al Responsable Informático que se ocupará de informar al Responsable de Seguridad sobre su resolución. El registro de incidencias será mantenido en exclusiva por el Responsable de Seguridad. Se facilitará el acceso estrictamente a aquellos departamentos que lo necesiten para su consulta o análisis encaminado al estudio de acciones a llevar a cabo para la resolución de las incidencias. El registro contendrá los siguientes campos: -Tipos de incidencia. -Momento en que se ha producido (en su defecto, momento de la detección). -Persona que la notifica. -Quien la recibe. -A quien se notifica. -Efectos causados para ésta. En el caso en que la incidencia implique la ejecución de un proceso de recuperación de datos, el registro contendrá además, tal y como consta en el procedimiento de copia de seguridad y recuperación de datos: -Persona que ha ejecutado el proceso. -Datos restaurados. -En su caso, datos que ha sido necesario grabar manualmente para su recuperación. 6. Estructura de los ficheros inscritos AEPD En el ANEXO 6.1 “Ficheros inscritos en el Registro General de Protección de Datos” se detallan

los ficheros declarados en el Registro General de Protección de Datos, indicando la fecha de inscripción y el código asignado.


Nº Cliente : 2055

7-Procedimientos de revisión del documento de seguridad. El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en el contenido de la información incluida en los ficheros o como consecuencia del seguimiento periódico realizado. En todo caso se entenderá como cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. Para garantizar el cumplimiento de lo que se dispone en el presente Documento de Seguridad, el Responsable de Seguridad será el encargado de que se lleven a cabo todos los controles descritos en este procedimiento así como que queden adecuadamente registrados. Cada uno de estos controles generará un registro en el que incluirá la fecha de realización del control, la descripción concreta del control realizado, el resultado del mismo y las acciones correctoras necesarias en su caso, así como el nombre de la persona que lo ha realizado. Estos se encuentran en el ANEXO 6.2. Controles con relación a la identificación, autentificación y derechos de acceso. Con relación a los derechos de acceso: Se comprobará que los nuevos usuarios dados de alta tengan acceso únicamente a los sistemas y/o aplicaciones solicitadas en la correspondiente notificación escrita de solicitud de alta, repitiendo esta misma comprobación en los usuarios a los cuales se hayan realizado modificaciones de sus derechos de acceso. En el caso de los usuarios dados de baja en este periodo de tiempo, se comprobará que les han sido revocados todos sus derechos de acceso. Verificación semestral de la correcta parametrización de los sistemas y aplicaciones en cuanto a la caducidad de las contraseñas establecida en el Documento de Seguridad. Verificación semestral de la correcta parametrización de los sistemas y aplicaciones en cuanto a la limitación del número máximo de intentos de acceso no autorizado al sistema. Verificación del almacenamiento de las contraseñas, almacenadas por los nuevos sistemas o aplicaciones puesto en producción, en formato ininteligible para todos los usuarios con cualquier tipo de privilegios. Este control no será periódico sino que se realizará siempre antes y tras la puesta producción de nuevos sistemas o aplicaciones. Controles con relación a la gestión de soportes. Semestralmente se realizará una selección aleatoria de una muestra de soportes inventariados, copias de “backup” y otras si fueran, con el fin de comprobar el correcto etiquetado de los mismos, así como su inclusión al inventario de soportes. Verificar semestralmente la vigencia de la lista de control de acceso físico al lugar o lugares donde se encuentran almacenados los soportes, comprobando que no falta ningún usuario con derecho de acceso a los citados soportes y que se han dado las bajas pertinentes en la citada lista. Identificar semestralmente las entradas y salidas de información escogiendo al azar un número de entradas y salidas no inferior al 10% del total y comprobando que han quedado debidamente registradas. Si hubiese salidas esporádicas bajo petición de alguna de las áreas usuarias, identificar la correspondiente autorización con su inclusión en el registro de salida. Identificación semestral de las entradas y salidas periódicas al registro correspondiente, verificación de las autorizaciones escritas pertinentes en el caso de entradas o salidas esporádicas. Controles con relación al control de acceso físico Comprobación semestral de la vigencia de las listas de acceso a los locales donde se ubican los


Nº Cliente : 2055

sistemas de información con datos de carácter personal, poniendo atención a la revisión de altas y bajas en la citada lista. Controles con relación al acceso a través de redes de telecomunicaciones. Semestralmente se verificará que los usuarios no han instalado aplicaciones que permitan el acceso remoto al sistema de información. Controles con relación al trabajo fuera de los locales de ubicación de fichero. Comprobar semestralmente una muestra de ordenadores portátiles y verificar que no contengan en sus discos duros datos catalogados de nivel alto. Controles con relación a ficheros temporales. Comprobar semestralmente, mediante la selección de una muestra, que no hay ningún fichero temporal en los directorios especificados en el documento de seguridad por más tiempo del previsto. Comprobación semestral de que no se almacenan ficheros temporales con datos de carácter personal en dos lugares escogidos al azar. Controles con relación al registro de incidencias. Comprobar semestralmente la resolución efectiva de las incidencias incluidas en el registro y verificar que las incidencias que quedan pendientes de resolver están siendo debidamente tratadas. De todas aquellas incidencias que hubiesen requerido la ejecución del procedimiento de recuperación de datos, seleccionar semestralmente una muestra para comprobar la correspondiente autorización del mencionado proceso. Ver modelo de Registro de Incidencias ANEXO 6.3. Controles con relación al procedimiento de copias de seguridad y recuperación de datos. Semestralmente se comprobará el correcto funcionamiento de los procedimientos de recuperación de un fichero escogido al azar de una de las copias de seguridad.


Nº Cliente : 2055

8-Definiciones

Los siguientes términos y expresiones, a efectos del presente Documento de Seguridad y según lo previsto en la LOPD y en el R.D. 1720/2007, tendrán el siguiente significado. Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica,

acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Persona identificable: Toda persona cuya identidad pueda determinarse, directa o

indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados. Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los

datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Fichero no automatizado: Todo conjunto de datos de carácter personal organizado de forma no

automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica. Tratamiento de datos: Cualquier operación o procedimiento técnico, que permita la recogida,

grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o

privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento.

Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Cesión o comunicación de datos: Tratamiento de datos que supone su revelación a una

persona distinta del interesado. Destinatario o cesionario: La persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos. Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e

informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Dato disociado: Aquél que no permite la identificación de un afectado o interesado.

Procedimiento de disociación: Todo tratamiento de datos personales que permita la obtención de datos disociados. Transferencia internacional de datos: Tratamiento de datos que supone una transmisión de los

mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español. Exportador de datos personales: La persona física o jurídica, pública o privada, u órgano

administrativo situado en territorio español que realice una transferencia de datos de carácter Personal a un país tercero. Importador de datos personales: La persona física o jurídica, pública o privada, u órgano

administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero. Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada, por

cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación.Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, las guías de servicios de comunicaciones electrónicas y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de


Nº Cliente : 2055

incorporación y situación de ejercicio profesional. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación. Sistemas de información: Conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal. Usuario: Sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la consideración

de usuarios los procesos que permitan acceder a datos o recursos sin identificación de un usuario físico. Perfil de usuario: Accesos autorizados a un grupo de usuarios. Accesos autorizados: Autorizaciones concedidas a un usuario para la utilización de los diversos recursos.En su caso, incluirán las autorizaciones o funciones que tenga atribuidas un usuario por delegación del responsable del fichero o tratamiento o del responsable de seguridad. Recurso: Cualquier parte componente de un sistema de información. Identificación: Procedimiento de reconocimiento de la identidad de un usuario. Autenticación: Procedimiento de comprobación de la identidad de un usuario.

Control de acceso: Mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos. Contraseña: Información confidencial, frecuentemente constituida por una cadena de caracteres,

que puede ser usada en la autenticación de un usuario o en el acceso a un recurso. Incidencia: Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. Soporte: Objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser

tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos. Documento: Todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que

puede ser tratada en un sistema de información como una unidad diferenciada. Ficheros temporales: Ficheros de trabajo creados por usuarios o procesos que son necesarios

para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento. Transmisión de documentos: Cualquier traslado, comunicación, envío, entrega odivulgación de la información contenida en el mismo. Copia del respaldo: Copia de los datos de un fichero automatizado en un soporte que posibilite

su recuperación.

AUTORIZACIONES

01

1.1 Nombramiento del Responsable de Seguridad

1.2 Autorización de Acceso por redes

1.3 Autorización de Régimen de trabajo fuera de los locales de ubicación del fichero

1.4 Autorización de Control de acceso físico del personal externo


1.5 Delegación de Autorizaciones


1.1NOMBRAMIENTO DEL RESPONSABLE DE SEGURIDAD


1.1 NOMBRAMIENTO DEL RESPONSABLE DE SEGURIDAD

Estepona , miércoles, 11 de noviembre de 2015

Yo, Zhanna Martel, con DNI X3427004G, como representante de Martel Zhanna SL, con CIF B72232010, de acuerdo con la Ley 15/1999 de Protección de datos de Carácter Personal y del Real Decreto 1720/2007 de 21 de Diciembre , con efectividad inmediata, nombro Responsable de Seguridad a Zhanna Martel, haciéndose cargo de las tareas relacionadas a continuación:

-Actualizar el documento de seguridad y adecuación del documento de seguridad a la normativa vigente.

-Mantener una relación actualizada de los usuarios del sistema indicando sus derechos de acceso

-Adoptar las medidas necesarias para que el personal conozca las normas en materia de seguridad que afecten al desarrollo de sus funciones y de sus consecuencias que pudiesen incurrir en caso de incumplimiento

-Establecer mecanismos para evitar que un usuario acceda a datos o recursos con derechos diferentes a los autorizados

-Verificar la definición y correcta aplicación de los procedimientos de realización de copias de seguridad y recuperación de los datos.

-Establecer un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación que está autorizado.

-Mantener una relación del personal autorizado para conceder, anular o alterar los derechos de acceso, conforme a los criterios establecidos.

En prueba de conformidad, ambas partes firman el presente documento por duplicado ya un solo efecto, en el lugar y fecha arriba indicados

Zhanna Martel

X3427004G

Martel Zhanna SL

Zhanna Martel


1.2AUTORIZACIÓN ACCESO A DATOS A TRAVÉS DE REDES DE COMUNICACIÓN


1.2 ACCESO A DATOS A TRAVÉS DE REDES DE COMUNICACIONES

Las empresas marcadas con Sí en el cuadro de arriba tienen acceso remoto a los sistemas de Martel Zhanna SL.

Esta conexión garantiza un nivel de seguridad equivalente a los accesos en “modo local” especificados en este documento.

Encargado de Tratamiento Labor Acceso Remoto


1.3AUTORIZACIÓN RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DE UBICACIÓN DEL FICHERO


1.3 RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES

Ámbito de aplicación: Los recursos protegidos abarcan a la totalidad de documentos, soportes y sistemas de información de Zhanna Martel que almacenen o traten datos de carácter personal. Dichos sistemas de información están constituidos por los siguientes recursos: a) Conjunto de ficheros, automatizados y no automatizados, titularidad de Zhanna Martel que contengan datos de carácter personal. b) Conjunto de ficheros, automatizados y no automatizados, cuyo tratamiento sea realizado por Zhanna Martel en calidad de Encargado del Tratamiento. c) Equipos empleados para el almacenamiento y tratamiento de datos de carácter personal. d) Programas informáticos de que disponga Zhanna Martel para el tratamiento o almacenamiento de los datos de carácter personal. e) Soportes informáticos utilizados por Zhanna Martel para el almacenamiento de datos de carácter personal. Los locales protegidos están ubicados en:

Dirección Localidad Provincia

Urb. El Real Del Campanario, Esc 12, Bajo B Estepona Málaga

Blv. Hohenlohe Gal. Com. Marbella Club Local 8 Marbella

En Martel Zhanna SL existen 1 ordenadores portátiles.

La empresa da la oportunidad de trabajar con datos de carácter personal fuera de los locales de ubicación de los ficheros.

Martel Zhanna SL autoriza expresamente la ejecución de los tratamientos fuera de los locales a:

Nº Nombre

1 Elías Morilla


1.4AUTORIZACIÓN DE CONTROL DE ACCESO FÍSICO DEL PERSONAL EXTERNO


1.4 AUTORIZACIÓN CONTROL DE ACCESO FÍSICO DEL PERSONAL EXTERNO

Nombre Apellido DNI Fecha Día Fichero Acceso Autoriza


DELEGACIÓN DE AUTORIZACIONES1.5


1.5 DELEGACION DE AUTORIZACIONES

La relación de las personas Autorizadas por el Responsable de los Ficheros para las distintas funciones es la que se indica en el cuadro .

A los efectos de dejar constancia escrita de las autorizaciones emitidas por las personas habilitadas en el presente AnexoMartel Zhanna SL dispone que en este Anexo se guarde el Registro de Autorizaciones emitidas. Persona habilitada: Autorizaciones para autorizar a otros, o sea las personas habilitadas por el Responsable de los Ficheros para otorgar autorizaciones. Autorización para almacenar datos en dispositivos portátiles o para tratar datos fuera de los locales del Responsable de los Ficheros. Persona habilitada: Autorización dirigida a los Encargados del Tratamiento que, para la prestación del servicio contratado, requieran trabajar con los datos personales fuera de los locales del propio encargado del tratamiento. Persona habilitada: Autorización de personas responsables de la recepción de soportes y documentos con datos de nivel medio o alto. Persona habilitada: Autorización para ejecutar procedimiento de recuperación de datos. Persona habilitada: Autorización para custodiar los backups:. Persona habilitada:

Nombre DNI Autorización


REGISTRO DE AUTORIZACIONES Las autorizaciones emitidas por las personas habilitadas al efecto por parte del Responsable de los Ficheros son registradas haciéndose constar el tipo de autorización, la fecha y la hora en que se ha otorgado, la persona que emite la autorización, el usuario o perfil de usuario a quién se autoriza, así como el periodo de vigencia de la autorización. También deberán constar en el presente Anexo los Registros de Autorizaciones otorgadas a los Encargados del Tratamiento que, para la prestación del servicio contratado, requieran trabajar con los datos personales fuera de los locales del propio encargado del tratamiento. EJEMPLO: HOJA DE AUTORIZACIÓN Nº de Autorización: 18/2006 Fecha: 1/05/2006 Hora: 08:00 Tipo de Autorización Autorización para conceder el acceso al fichero Nominas al gestor. Persona que emite la autorización Responsable de Seguridad: Usuario o perfil de usuario a quien se autoriza Encargado de tratamiento Gestor Periodo de vigencia: Temporal. De __/__/____ a __/__/____ Firmas:

REGISTRO DE AUTORIZACIONES HOJA DE AUTORIZACIÓN Nº de Autorización: Fecha: Hora: Tipo de Autorización Persona que emite la Autorización Usuario o perfil de usuario a quien se autoriza Periodo de vigencia: Indefinido. Temporal. De __/__/____ a __/__/____ Firmas:

02

2.1 Identificación, autentificación y Gestión

2.2 Permisos

PERSONAL: RELACIÓN DE USUARIOS Y PERMISOS


de usuarios


2.1IDENTIFICACIÓN, AUTENTIFICACIÓNY GESTIÓN DE USUARIOS


2-RELACIÓN de USUARIOS Y PERMISOS

2.1 Gestión de usuarios

El siguiente es el procedimiento para obtener la relación de usuarios con acceso autorizado a los sistemas y los derechos que tienen concedidos.

Alta de usuarios

Únicamente el Responsable de Seguridad, Zhanna Martel tiene competencias para dar de alta los identificadores de usuarios (el identificador será el nombre del usuario , en caso de encontrar uno repetido se establecerá otra combinación aleatoria) y asociarlos a los perfiles definidos por los diferentes niveles de acceso a las aplicaciones y ficheros.

Los Responsables directos de los usuarios que tengan que dar de alta a uno nuevo al sistema o a las aplicaciones, lo tendrán que notificar al Responsable de Seguridad utilizando el modelo establecido al efecto indicando en la solicitud los derechos de acceso deseados.

Será la Dirección de la empresa quien tenga la última decisión sobre los derechos de acceso de los usuarios.

Una vez realizado el alta, el Responsable de Seguridad Zhanna Martel la comunicará al nuevo usuario y al Responsable que autorizó la solicitud indicando los datos de éste y el identificador de usuario asignado.

Para el primer acceso del usuario al sistema, el Responsable de Seguridad le deberá comunicar de forma confidencial su identificador y su contraseña de acceso inicial, según las indicaciones en la norma sobre gestión de contraseñas. Se tendrán en cuenta las siguientes normas en la asignación de identificadores:

No se reutilizará nunca un identificador.

Utilizar al menos cinco caracteres en la composición del identificador del usuario.

Se tienen que mantener únicamente aquellos nombres de usuario propios de los Sistemas operativos y de las aplicaciones de software que no puedan ser modificadas.

Se prohíbe la existencia de usuarios genéricos con acceso a datos de carácter personal


BAJA DE UN USUARIO

Martel Zhanna SL se encargará de cancelar el usuario y sus derechos de acceso.

El Responsable de Seguridad Zhanna Martel almacenará información descriptiva sobre los perfiles de acceso de los usuarios que se den de baja durante el tiempo requerido para el cumplimiento de las obligaciones legales y por la auditoria.

Modificación de permisos de un usuario

La modificación de los derechos o permisos de acceso de un usuario requerirá de la misma autorización ya descrita en el protocolo de alta. Por esto, el procedimiento enunciado en el apartado de alta es el mismo que el de modificación de permisos.

Reactivación de usuarios

La reactivación de usuarios exige un procedimiento diferenciado respecto al resto de protocolos enunciados anteriormente puesto que parte de !a premisa de la existencia de un alta previa no requiere un cambio de permisos del usuario en el sistema.

En aquellos casos en los que el acceso del usuario al sistema se haya revocado por causas accidentales, como el olvido de la contraseña, un periodo prolongado de inactividad o un excesivo número de intentos fallidos, la reactivación del usuario exigirá su comunicación al Responsable de Seguridad para resolver la situación.

Registros

El Responsable de Seguridad mantendrá actualizada la documentación en lo referente a perfiles de acceso e identificadores asociados por el usuario, alias, bajas, revocación y modificación de usuario por fechas.

Datos sobre usuarios:

Nombre y apellidos completos.

Empresa, en caso de tratarse de personal externo.

Área, Departamento y servicio.

Cualquiera de estos datos se podrá utilizar en la localización de usuarios y en la reactivación de usuarios revocados, para su control, uso o modificación.


GESTIÓN DE CONTRASEÑAS Generación

Cada usuario tiene un identificador que se autentifica mediante contraseña. Los identificadores de usuario y las contraseñas de acceso asociadas son de uso personal e intransferible y no pueden ser compartidas.

Privacidad

Las contraseñas tienen que ser conocidas exclusivamente por el usuario propietario de ésta y tratadas como información personal e intransferible. Es responsabilidad del usuario asegurar la confidencialidad y custodia do la contraseña.

Martel Zhanna SL ha establecido ciertas consideraciones en el momento de escoger una contraseña que deberá ser aplicada por lodos los usuarios del sistema:

Se evitarán nombres comunes o cualquier otra combinación que pueda identificar al usuario, fecha que nacimiento, matrículas de vehículos, etc.

La contraseña contendrá un mínimo de cinco caracteres alfanuméricos.

Deberá cambiarse al menos una vez cada 90 días.

Los sistemas o aplicaciones de Martel Zhanna SL que realizan la autentificación del usuario, permiten la limitación del número de intentos fallidos para accesos de usuarios no autorizados.

Se evitará la comunicación escrita que revele la contraseña de cualquier usuario.

Almacenamiento

Las contraseñas se almacenarán cifradas y solo el Responsable de Seguridad tendrá acceso a su descodificación.

Mantenimiento

Todas las contraseñas tienen que ser modificadas por el usuario al menos con la frecuencia establecida de tres meses. En los entornos en los que sea posible se automatizará este requerimiento de caducidad. Cuando no sea posible, el usuario será responsable del cambio sistemático.

En caso de olvido o cualquier dificultad relacionada con contraseñas, los usuarios contarán con la asistencia del Responsable de Seguridad.

Distribución

La comunicación de contraseñas siempre se realizará por parte del Responsable de Seguridad al usuario, ya sea personalmente o vía telefónica.


2.2

RELACIÓN DE USUARIOS Y PERMISOSPERMISOS


2.2 USUARIOS CON ACCESO AUTORIZADO A LOS SISTEMAS DE INFORMACIÓN

Id Nombre DNI Aplicación a la que accede

Zhanna Martel X3427004G Todos

Elías Morilla Todos


2.2.3 USUARIOS CON ACCESO AUTORIZADO A LOS SOPORTES DE INFORMACIÓN

Id Nombre DNI Soporte al que accede

Zhanna Martel X3427004G Todos

03

3.1 Contrato de Tratamiento por cuenta de terceros

3.2 Contrato de cesión


CONTRATO DE SERVICIOS CON TERCEROS

3.4 Contratos como encargado de tratamiento

3.3 Contratos de servicios sin accesos a datos


3.1CONTRATO DE TRATAMIENTO POR CUENTA DE TERCEROS


3.1 CONTRATOS DE PRESTACIÓN DE SERVICIOS

En el presente anexo se recoge una relación de los datos tratados por terceros como consecuencia de un contrato de prestación de servicios en el que Martel Zhanna SL es

Responsable del Fichero. En la siguiente tabla se recoge esta información:

Prestador Datos Facilitados Finalidad Fecha

contrato


3.2CONTRATO DE CESIÓN


3.3CONTRATO DE SERVICIOSSIN ACCESO A DATOS


3.1 CONTRATOS DE PRESTACIÓN DE SERVICIOS SIN ACCESO A DATOS

En el presente anexo se recoge una relación de los datos tratados por terceros, sin acceso a datos, como consecuencia de un contrato de prestación de servicios en el que Martel Zhanna SL es Responsable del Fichero. En la siguiente tabla se recoge esta información:

Prestador Finalidad Fecha contrato


CONTRATOS COMO ENCARGADODE TRATAMIENTOS

3.4


3.4 CONTRATOS COMO ENCARGADO DE TRATAMIENTOS

En el presente anexo se recoge una relación de los datos tratados por Martel Zhanna SL como

encargado de tratamientos. En la siguiente tabla se recoge esta información:

Empresa Datos Facilitados Finalidad Fecha

contrato

04

APLICACIONES, PROCESOS DE BACKUP, FICHEROS Y ARCHIVOS4.1 Procedimientos de copias de seguridad y recuperación

4.2 Listado inventario de aplicaciones por entorno

4.3 Inventario de soportes y equipos

4.4 Ficheros no automatizados



4.1PROCEDIMIENTOS DE COPIAS DE SEGURIDAD Y RECUPERACIÓN


4.1 COPIAS DE SEGURIDAD

Procedimiento de copias de respaldo y de recuperación

En el presente procedimiento se describen de forma detallada los mecanismos establecidos

por Zhanna Martel para la realización de copias de respaldo sobre los datos residentes en sus

sistemas de información y para la recuperación de los mismos, junto con los procedimientos y medidas desarrollados para garantizar los aspectos recogidos al respecto en el Reglamento de Protección de Datos (R.D. 1720/2007). El Responsable de Seguridad es la persona encargada de comprobar la operatividad y correcto funcionamiento de los procedimientos de realización de copias de seguridad y de recuperación de datos al menos semestralmente. 1. Procedimiento de copias de respaldo Los procedimientos aquí descritos se aplican sobre todos los servidores y sistemas utilizados

por Zhanna Martel y que almacenan datos de carácter personal.

Elías Morilla se encarga de realizar copias de seguridad de los datos de carácter personal del/los fichero/s: Video-Vigilancia,Potenciales WEB(Basico),Agenda de contactos(Basico),Historial Clínico(Alto). La ejecución de estos procesos se realiza con periodicidad . Se harán copias de respaldo completas de los servidores de producción con una periodicidad mínima semanal. Este backup semanal se establece como criterio de mínimos. En cualquier caso, Zhanna Martel intentará dotarse de los recursos necesarios que le permitan disponer de una copia de respaldo con periodicidad diaria (de lunes a viernes). En estos casos, la copia de seguridad correspondiente al último día de la semana se conservará a modo de backup semanal. Antes de guardar el/los Pen drive que contengan las copias semanales en los dispositivos de almacenamiento previstos por Zhanna Martel, se procederá a comprobar que dichos soportes se pueden leer correctamente y restaurarse sin problemas. Para ello se restaurará en una carpeta temporal el backup completo, comprobándose que el procedimiento de restauración y los datos del fichero son correctos. En caso de que el soporte fuera erróneo se sustituiría por el soporte del día anterior, siempre y cuando éste superara con éxito la correspondiente comprobación.

Todos los soportes utilizados por Zhanna Martel para la realización de las copias de backup se

etiquetarán debidamente de conformidad con lo previsto en el Anexo 6.5 del presente Documento de Seguridad. Todos los soportes se guardarán en dispositivos de almacenamiento con mecanismos que obstaculicen su apertura, permitiéndose únicamente el acceso al personal autorizado en el presente Documento de Seguridad. Elías Morilla se encarga de custodiar las copias de seguridad que se han realizado y almacenarlas e inventariadas en oficinas.

Respecto a las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal (servidores de pre-producción) no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado. Cuando esté previsto realizar este tipo de pruebas con datos reales, será obligatorio realizar con carácter previo una copia de seguridad específica de los datos. 2. Procedimiento de recuperación El proceso de recuperación de datos llevará asociado una serie de actividades genéricas que se detallan en los siguientes apartados. Estas actividades se agrupan en las fases siguientes: a) Detección de la pérdida de datos. b) Aprobación de la recuperación de datos. c) Recuperación de los datos. d) Registro de la incidencia. a) Detección de la pérdida de datos. En cualquiera de las fases del tratamiento de los datos de carácter personal de Martel Zhanna SL puede existir una incidencia que ocasione una pérdida de datos. Todo aquel usuario que detecte una incidencia tiene la obligación de comunicarlo al Responsable de Seguridad o en quien éste delegue, para que se proceda al registro de la incidencia y se adopten las medidas de restauración de los datos oportunas. b) Aprobación de la recuperación de datos.


El Responsable de Seguridad deberá comprobar la pérdida de los datos y aprobar el procedimiento de restauración de los mismos. Únicamente en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo de la restauración de los datos, se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el Registro de Incidencias de Zhanna Martel. c) Recuperación de los datos El Responsable de Seguridad y por delegación de éste el administrador del sistema afectado deberán identificar el día a restaurar, en función de las copias de respaldo disponibles con fecha anterior a la incidencia. Una vez identificado el soporte o cinta a restaurar, se realizará la recuperación de los datos. d) Registro de la incidencia El Responsable de Seguridad deberá asegurarse de que la incidencia se registra según el Procedimiento de Gestión de Incidencias.


4.2LISTADO INVENTARIO DE APLICACIONES POR ENTORNO


4.2 INVENTARIO DE APLICACIONES POR ENTORNO

En este anexo se recoge la documentación de las aplicaciones existentes que tratan datos de carácter personal en cada uno de los diferentes equipos informáticos existentes, el listado de las mismas ordenados por finalidad son:

Finalidad

Contable

Nóminas

Gestión

Facturación Facturación

Comercial

Otra finalidad


4.3INVENTARIO DE SOPORTES Y EQUIPOS


4.3 INVENTARIO DE SOPORTES INFORMATICOS

En este anexo se recoge una relación de soportes informáticos existentes que se usan para almacenar datos de carácter personal:

Ejemplo : Fichero = Clientes, Nombre del soporte = PDrv 02, Tipo de Soporte = Pendrive 8Gb

Fichero Nombre del soporte Tipo de soporte


4.3.1 INVENTARIO DE EQUIPOS INFORMATICOS

En este anexo se recoge una relación del equipamiento informático existentes que procesan datos de carácter personal:

Ejemplo : Equipo = HP Intel, Sistema Operativo= Windows Server 2008, Función = Servidor de aplicaciones

Equipo Sistema Operativo Función


4.4FICHEROS NO AUTOMATIZADOS


4.4 FICHEROS NO AUTOMATIZADOS Para los ficheros:

Agenda de contactos(Basico),Historial Clínico(Alto)

Hay que tener en cuenta :

Procedimiento de archivo de la documentación Los mecanismos establecidos por Zhanna Martel para la custodia y archivo de la

documentación en papel se describen a continuación y son de obligado cumplimiento para todo el personal. 1. Organización física de los archivos Todos los documentos deberán ir clasificados en expedientes o carpetas que estarán debidamente marcadas en base al Área o Departamento que las genera, así como con la fecha y la temática o proyecto cuya información contengan. Ejemplo genérico: ÁREA (Depto.): Nombre del Departamento de origen. TEMA: Se indicará el asunto general de la documentación. FECHA: Se anotarán las fechas extremas de la documentación. Ejemplo Concreto ÁREA (Depto.): Recursos Humanos. ÁREA (Depto.): Dpto. Técnico TEMA: Nóminas TEMA: Cliente A FECHA: Enero - Diciembre 2011 FECHA: Julio - Ago 2011 La organización al interior de las carpetas deberá ser de forma cronológica ascendente. Si un asunto o tema genera muchos documentos, deberán abrirse más carpetas con la misma identificación. Esto evitará el deterioro físico y la incomodidad para consultarlo. 2. Dispositivos de almacenamiento Los documentos o carpetas que contengan datos de carácter personal deberán almacenarse obligatoriamente en archivadores, armarios o cajones cerrados bajo llave. Dichos dispositivos de almacenamiento no deberán en ningún caso conservar la llave puesta en la cerradura. Asimismo, cuando la documentación contenga datos de carácter personal de nivel alto, los armarios, archivadores u otros elementos en los que se almacenen dichos documentos deberán encontrarse en áreas o despachos en los que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas o despachos deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero. Si, atendidas las características de los locales de Martel Zhanna SL, en algún momento no fuera posible cumplir con lo establecido en el párrafo anterior, Martel Zhanna SL garantizará la presencia constante en horario de trabajo de una persona autorizada que custodiará la documentación. Fuera del horario propio de oficinas, la documentación quedará protegida mediante las puertas de acceso principales a las oficinas o instalaciones de Martel Zhanna SL. 3. Custodia de los archivos Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos al efecto por Martel Zhanna SL, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada. Para ello, se deberán guardar los documentos que contengan datos personales protegidos en un sitio que no pueda ser visible para terceros.

05


CLÁUSULAS

5.1 Modelo de Funciones y Obligaciones específicas de cada usuario

5.2 Cláusula deber de información a candidatos

5.3 Cláusulas de consentimiento para la recogida de datos

5.4 Cláusula consentimiendo a incluir en contratos

5.5 Cláusula legitimación email

5.6 Cláusulas deber de información

5.8 Nota Informativa

de la web y política de privacidad

5.7 Circular a clientes y proveedores

5.9 Videovigilancia


5.1MODELO DE FUNCIONES Y OBLIGACIONES ESPECÍFICAS DE CADA USUARIO


5.1 MODELO DE FUNCIONES Y OBLIGACIONES ESPECÍFICAS DE CADA USUARIO 5.1.1 FICHA DE EMPLEADOS CON ACCESO A DATOS DEL RESPONSABLE DEL FICHERO

5.1.2 CLÁUSULA DE CONFIDENCIALIDAD DEL EMPLEADO CON ACCESO A DATOS. 5.1.3 CLAUSULA INFORMATIVA VIDEO VIGILANCIA EMPLEADO 5.1.4 CIRCULAR INFORMATIVA PARA TODOS LOS TRABAJADORES


5.1.1 FICHA DE EMPLEADOS CON ACCESO A DATOS DEL RESPONSABLE DEL FICHERO

Nombre y Apellidos: DNI: A los efectos de lo que dispone el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos Personales (LOPD), le informamos que sus datos personales incluidos en este formulario, en el contrato de trabajo suscrito con Martel Zhanna SL, en su currículum vitae, y en cualquier otro documento derivado del mencionado contrato, y sus datos de salud y afiliación sindical y cualquier otro dato personal facilitado por usted para el desarrollo de nuestra relación laboral, serán incluidos en el fichero de PERSONAL creado bajo la responsabilidad de Martel Zhanna SL. Estos datos personales los facilita de forma voluntaria para establecer la relación laboral con esta empresa siendo los mismos necesarios para el mantenimiento y cumplimiento de dicha relación laboral, así como para poder llevar a término la gestión de personal, contable y administrativa de Martel Zhanna SL. En virtud de lo dispuesto en el artículo 15 y siguientes de la LOPD y en los términos que indica su Reglamento de desarrollo aprobado por Real Decreto 1720/2007, de 21 de diciembre, en cualquier momento usted podrá ejercitar sus derechos de acceso, rectificación, cancelación y oposición, dirigiéndose por escrito a Martel Zhanna SL, Urb. El Real Del Campanario, Esc 12, Bajo B Estepona. El ejercicio del derecho de cancelación podría conllevar la imposibilidad de mantener la relación laboral. En cuanto a los datos personales relativos a otras personas físicas que con motivo de la declaración anual del IRPF hubiera de comunicar a Martel Zhanna SL les habrá de informar, con carácter previo a su comunicación, de los extremos contenidos en los párrafos anteriores. El hecho de establecer una relación laboral con Martel Zhanna SL le obliga al secreto profesional respecto de aquellos datos de la empresa o de sus clientes, así como de las diferentes operaciones que con motivo de su trabajo pueda tener conocimiento o acceso y el deber de secreto y confidencialidad, obligaciones todas ellas que subsistirán aún después de finalizada su relación laboral con esta empresa. Asimismo, los medios técnicos que la empresa Martel Zhanna SL pone a su alcance para realizar las tareas propias de su trabajo son propiedad de Martel Zhanna SL (Ordenadores, Fotocopiadoras, Fax, Internet, Correo electrónico, Teléfono, etc.) y han de ser utilizados exclusivamente en el desarrollo de sus tareas en Martel Zhanna SL, quedando totalmente prohibido hacer un uso particular ya sea en horario laboral o fuera de él. El incumplimiento de esta norma se considerará una falta muy grave en el ámbito laboral. Igualmente, el abajo firmante autoriza a Martel Zhanna SL a que, una vez finalizada su relación laboral con la empresa, acceda a sus datos personales existentes en la empresa y pueda proceder a su destrucción. Enterado y conforme, por la presente, usted consiente expresamente y autoriza a Martel Zhanna SL, para que trate sus datos personales que voluntariamente facilita, de conformidad con las finalidades expuestas en este documento y para poder cederlas a las administraciones públicas y entidades privadas necesarias para el desarrollo de la relación laboral. Esta autorización tendrá validez hasta su revocación por el titular de los datos En Estepona, a miércoles, 11 de noviembre de 2015

Conforme:


5.1.2 CLÁUSULA DE CONFIDENCIALIDAD DEL EMPLEADO CON ACCESO A DATOS.

En desarrollo de la relación laboral que mantiene con Martel Zhanna SL sl tendrá acceso a datos de carácter personal cuyo tratamiento está sometido a las condiciones y requisitos establecidos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento de desarrollo aprobado por Real Decreto 1720/2007, de 21 de diciembre. se compromete a guardar secreto sobre los datos de carácter personal y cualesquiera informaciones o circunstancias relativas de las personas cuyos datos conozca y a los que ha tenido acceso en el ejercicio de las funciones que le hubiesen sido asignadas por Martel Zhanna SL, que se extenderán a cualquier fase del tratamiento de los citados datos y subsistirán aún después de concluidas las funciones en el marco de las cuales ha tenido acceso a los datos o concluida su relación laboral con Martel Zhanna SL. Conforme


5.1.3 CLAUSULA INFORMATIVA VIDEO VIGILANCIA EMPLEADO

Art. 3, apartado B. Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras. FICHERO PRIVADO De conformidad con lo dispuesto en el art. 5.1 LO 15/1999, de 13 de diciembre, de Protección de Datos, se informa: 1. Que sus datos personales se incorporarán al fichero denominado video vigilancia y serán tratados con la finalidad de seguridad a través de un sistema de video vigilancia. 2. Que el destinatario de sus datos personales es: a. La empresa de seguridad b. El dueño del establecimiento Martel Zhanna SL 3. Que puede ejercitar sus derechos de acceso, rectificación, cancelación y oposición ante el responsable del fichero. 4. Que el responsable del fichero es Martel Zhanna SL cuyo domicilio social es Urb. El Real Del

Campanario, Esc 12, Bajo B, Estepona, Málaga, código Postal 29688.

Firma empleado


5.1.4 CIRCULAR INFORMATIVA PARA TODOS LOS TRABAJADORES La presente circular tiene por objeto poner en su conocimiento que hemos implantado las medidas de seguridad técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal que almacenamos, de acuerdo con lo dispuesto por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y el Real Decreto 1720/2007, de 21 de diciembre (RLOPD), por el que se aprueba el Reglamento de Desarrollo de la LOPD. Es nuestro deber informarle que como consecuencia de la relación laboral que nos une, sus datos están incluidos en un fichero debidamente inscrito en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos con la finalidad de gestionar dicha relación laboral. La empresa se compromete a cumplir con lo dispuesto por la normativa sobre protección de datos anteriormente mencionada, así como a hacer cumplir las medidas de seguridad técnicas y organizativas implantadas al personal a su servicio que trate datos de carácter personal, evitando de esta forma, la pérdida alteración y acceso no autorizado a los mismos. Le informamos también que puede ejercer sus derechos de acceso, rectificación, cancelación y oposición de sus datos dirigiéndose a la empresa Recibí, Firma Nombre y Apellidos: __________________ NIF: __________________


5.2CLÁUSULA DEBER DE INFORMACIÓN A CANDIDATOS


5.2 CLÁUSULA DEBER DE INFORMACIÓN A CANDIDATOS


CLÁUSULA DEBER DE INFORMACIÓN ARTÍCULO 5 LOPD CANDIDATOS

En cumplimiento de lo que dispone el artículo 5 de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, se le informa que los datos personales que nos proporcione en este formulario y en su currículo se incorporarán a un fichero denominado Personal el responsable del cual es Martel Zhanna SL y serán tratados con la finalidad de atender su solicitud de participar en los procesos de selección de personal, garantizándole la confidencialidad en el tratamiento de sus datos personales. El hecho de rellenar este formulario implica que usted reconoce que la información y datos personales que indica son suyos, exactos y ciertos y autoriza de forma expresa a Martel Zhanna SL, para que sus datos puedan ser cedidos a las empresas que nos encarguen la selección de personal. En virtud de lo dispuesto en el artículo 15 y siguientes de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en los términos que indica su Reglamento de desarrollo aprobado por Real Decreto 1720/2007, de 21 de diciembre, usted podrá ejercer en cualquier momento sus derechos de acceso, rectificación, cancelación y oposición, dirigiéndose por escrito a Urb. El Real Del Campanario, Esc 12, Bajo B Estepona.


5.3CLÁUSULAS DE CONSENTIMIENTO PARALA RECOGIDA DE DATOS


5.3 CLÁUSULA CONSENTIMIENTO PARA LA RECOGIDA DE DATOS


CLÁUSULA DE CONSENTIMIENTO PARA EL TRATAMIENTO DE DATOS PERSONALES Todos los datos facilitados por usted a través de este formulario serán tratados con estricta confidencialidad. En virtud de la Ley Orgánica15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, le informamos que todos los datos que usted nos facilita serán incluidos en un fichero titularidad de Martel Zhanna SL para su tratamiento con la finalidad de Prestarle servicios, para mantenerle informado de las novedades relacionadas con la compañía y no serán cedidos. Usted podrá ejercitar sus derechos de acceso, rectificación, cancelación y oposición dirigiéndose por escrito a Urb. El Real Del Campanario, Esc 12, Bajo B Estepona.


5.4CLÁUSULA CONSENTIMIENTO A INCLUIR EN CONTRATOS


5.4 CLÁUSULA CONSENTIMIENTO A INCLUIR EN CONTRATOS


CLÁUSULA CONSENTIMIENTO A INCLUIR EN CONTRATOS

[Nº de cláusula].- PROTECCIÓN DE DATOS El firmante de este contrato autoriza a que se incorporen sus datos personales facilitados en este documento, junto con las que se obtengan durante el desarrollo del servicio, en el fichero creado bajo la responsabilidad de Martel Zhanna SL, con la finalidad de poder desarrollar la relación comercial e informarle de los servicios que ofrece. En virtud de lo dispuesto en el artículo 15 y siguientes de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en los términos que indica su Reglamento de desarrollo aprobado por Real Decreto 1720/2007, de 21 de diciembre, en cualquier momento el titular de los datos personales podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición, dirigiéndose por escrito a Urb. El Real Del Campanario, Esc 12, Bajo B, Estepona.


5.5CLÁUSULA LEGITIMACIÓN EMAIL


5.5 CLÁUSULA LEGITIMACIÓN EMAIL


CLÁUSULA GENÉRICA DE LEGITIMACIÓN DE E-MAIL PARA ENVÍO PUBLICITARIO En cumplimiento de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, le informamos que los datos personales que puedan figurar en esta comunicación están incorporados a un fichero creado por Martel Zhanna SL, con la finalidad de poder gestionar la relación comercial que nos vincula e informarle de nuestros servicios. En virtud de lo dispuesto en el artículo 15 y siguientes de la LOPD y en los términos que indica su Reglamento de desarrollo aprobado por Real Decreto 1720/2007, de 21 de diciembre, en cualquier momento usted podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición, dirigiéndose por escrito a Urb. El Real Del Campanario, Esc 12, Bajo B, Estepona En cumplimiento de lo prevenido en el artículo 21 de la Ley 34/2002 de servicios de la sociedad de la información y comercio electrónico, si usted no desea recibir más información sobre nuestros servicios, puede darse de baja en la siguiente dirección de correo electrónico [email protected].

CLÁUSULA BÁSICA DE ENVIOS DE E-MAIL

AVISO DE CONFIDENCIALIDAD. Este mensaje y, en su caso, los ficheros anexos que contenga, son

confidenciales, especialmente en lo que respecta a información de carácter personal, y se dirige exclusivamente al destinatario referenciado. Si usted no lo es y lo ha recibido por error, o tiene conocimiento del mismo por cualquier motivo, le rogamos nos lo comunique por este medio y proceda a destruirlo o borrarlo, y que en todo caso se abstenga de utilizar, reproducir, alterar, archivar o comunicar a terceros el presente mensaje y ficheros anexos. El emisor no garantiza la integridad, rapidez o seguridad del presente correo, ni se responsabiliza de posibles perjuicios derivados de la captura, incorporaciones de virus o cualesquiera otras manipulaciones efectuadas por terceros.

CONFIDENTIALITY WARNING. This message and any attached files transmitted with it, is confidential,

especially as regards personal data. It is intended solely for the use of the individual or entity to which it is addressed. If you are not the intended recipient and have received this information in error or have accessed it for any reason, please notify us of this fact by email reply and then destroy or delete the message, refraining from any reproduction, use, alteration, filing or communication to third parties of this message and attached files. The sender does not guarantee the integrity, the accuracy, the swift delivery or the security of this mail transmission, and assumes no responsibility for any possible damage incurred through data capture, virus incorporation or any manipulation carried out by third parties.


5.6CLÁUSULAS DEBER DE INFORMACIÓN DE LA WEB Y POLÍTICA DE PRIVACIDAD


5.6 CLÁUSULA DEBER DE INFORMACIÓN WEB POLITICA DE PRIVACIDAD

A través del presente aviso, Martel Zhanna SL y con domicilio en Urb. El Real Del Campanario, Esc 12, Bajo B Estepona, teléfono: 951894646 email: [email protected] (en adelante, LA EMPRESA) informa a los usuarios en cumplimiento del artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre de 1999, de Protección de Datos de Carácter Personal (en adelante LOPD) sobre su política de protección de datos personales con la finalidad de que estos decidan de forma expresa, libre y voluntaria, si desean facilitar a Martel Zhanna SL los datos personales que le son solicitados en el website para la prestación de sus servicios. También se informa a los usuarios de la incorporación de los datos recabados a un fichero que consta debidamente inscrito en el Registro General de Protección de Datos, y cuyo titular y responsable es Martel Zhanna SL, llevando a cabo un archivo mixto de de datos conforme a las finalidades especificadas y demás previsiones establecidas en la presente política de privacidad, a lo cual usted nos otorga su consentimiento expreso e inequívoco. Recogida de datos y usos previstos La recogida de datos personales se produce a través de la cumplimentación de las posibles vías de envío de datos: bien a través de un formulario de contacto (u otros disponibles) que figura en la página web, y envío de correos electrónico Los datos que se solicitan son los adecuados, pertinentes y no excesivos en relación con el ámbito, las finalidades y servicios determinados, explícitos y legítimos de la Martel Zhanna SL. El usuario deberá rellenar los formularios con datos verdaderos, exactos, completos y actualizados, respondiendo de los daños y perjuicios que pudiera ocasionar a causa de la cumplimentación defectuosa del formulario con datos falsos, inexactos, incompletos o no actualizados. A. empresas y datos de carácter personal Los datos de empresas y, en particular, de personas que se reciban a través de envío de los formularios de solicitud de información u otras demandas al Responsable del fichero, serán tratados con la finalidad de atender su petición así como de facilitar información sobre nuestros servicios y productos actuales y futuros, que puedan ser de su interés. Se entenderá expresamente aceptado el tratamiento de datos con las finalidades anteriormente indicadas, al pulsar el botón “ENVIAR” que figura en el formulario de solicitud de información (CONTACTA)- U OTRAS OPCIONES DE ENVÍO DE DATOS), de conformidad con los requisitos exigidos en el artículo 21 de la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico, para el envío de comunicaciones comerciales por correo electrónico y otros medios electrónicos equivalentes. Los usuarios podrán oponerse al tratamiento de sus datos con las finalidades antes indicadas, dirigiéndose por escrito postal a la dirección Urb. El Real Del Campanario, Esc 12, Bajo B, Estepona, mediante el procedimiento que en cada caso habilite a Martel Zhanna SL acreditando su identidad para el ejercicio de este derecho de oposición. Medidas de Seguridad Martel Zhanna SL ha adoptado los niveles de seguridad de protección de los datos personales exigidos en la legislación vigente sobre protección de datos, instalando las medidas técnicas y organizativas necesarias para evitar la pérdida, mal uso, alteración, acceso no autorizado y demás riesgos posibles. Igualmente, la Martel Zhanna SL se obliga a cumplir con la obligación de secreto respecto de los datos contenidos en el fichero automatizado establecido en la legislación de protección de datos aplicable. En particular, Martel Zhanna SL informa que ha suscrito los pertinentes acuerdos de confidencialidad y protección de datos con terceros que tienen acceso a datos personales responsabilidad de Martel Zhanna SL para la prestación de un servicio a ésta, en cumplimiento de lo dispuesto en el artículo 12 de la LOPD, comprometiéndose estos terceros a tratar los datos con el único fin de prestar los servicios contratados por Martel Zhanna SL y a adoptar las medidas de seguridad de carácter informático, organizativo y de cualquier otra índole que en cada caso resulten exigibles.


Martel Zhanna SL informa que la recogida de datos en la web se realiza en un entorno tecnológico que aplica altos niveles de seguridad y confidencialidad en la transmisión de la información. Ello no obstante, el Usuario debe ser consciente de que las medidas de seguridad en Internet no son inexpugnables. Ejercicio de derechos de acceso, rectificación, cancelación y oposición. El usuario o persona que lo represente podrá ejercitar en cualquier momento el derecho de acceso, rectificación, cancelación y, en su caso, oposición de acuerdo con lo establecido en la LOPD y demás normativa aplicable al efecto, estos derechos pueden hacerse efectivos mediante una comunicación escrita dirigida a la Martel Zhanna SL con domicilio en Urb. El Real Del Campanario, Esc 12, Bajo B, Estepona en la que se acredite la identidad del usuario, o bien a la dirección electrónica [email protected] Martel Zhanna SL se reserva el derecho a modificar la presente política de privacidad de datos para adaptarla a novedades legislativas y jurisprudenciales, así como a criterios interpretativos de esta normativa que sean publicados por la Agencia Española de Protección de Datos. En tal caso, la Martel Zhanna SL anunciará dichos cambios en el portal con suficiente antelación a su puesta en práctica.


5.7CIRCULAR A CLIENTES Y PROVEEDORES


5.7 CIRCULAR A CLIENTES Y PROVEEDORES

Estimado Sr., Sra:

La presente circular tiene por objeto poner en su conocimiento que con el asesoramiento de la

empresa especialista en protección de datos Integramostic www.integramostic.com

951-704700 hemos implantado las medidas DE LA LOPD OBLIGATORIAS PARA TODA EMPRESA O AUTONOMO de seguridad técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal que almacenamos, de acuerdo con lo dispuesto por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y el Real Decreto 1720/2007, de 21 de diciembre (RLOPD), por el que se aprueba el Reglamento de Desarrollo de la LOPD. Es nuestro deber informarle que como consecuencia de la relación comercial que nos une, sus datos están incluidos en un fichero debidamente inscrito en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos con la finalidad de llevar a cabo la relación comercial que no une Nos comprometemos a cumplir con lo dispuesto por la normativa sobre protección de datos anteriormente mencionada, así como a hacer cumplir las medidas de seguridad técnicas y organizativas implantadas al personal a su servicio que trate datos de carácter personal, evitando de esta forma, la pérdida alteración y acceso no autorizado a los mismos. Dicho personal se halla sujeto al deber de secreto y confidencialidad respecto a los datos que trata en los mismos términos nosotros. Los datos incluidos podrán ser comunicados a BANCOS y otras entidades privadas y públicas con la finalidad de prestarle servicios. Le informamos también que puede ejercer sus derechos de acceso, rectificación, cancelación y oposición de sus datos dirigiéndonos una solicitud por escrito o por este email a nuestra empresa.

http://www.integramostic.com/


5.8NOTA INFORMATIVA


5.9VIDEOVIGILANCIA


5.9 VIDEO VIGILANCIA

ANEXO VIDEO VIGILANCIA NOTA INFORMATIVA DE VIDEOVIGILANCIA


ANEXO VIDEO VIGILANCIA

Cancelación de los datos: Los datos grabados por cámaras de video vigilancia serán cancelados en el plazo máximo de un mes desde su captación. Información: Los responsables que cuenten con sistemas de video vigilancia deberán cumplir con el deber de Información previsto por la LOPD de la siguiente forma: 1. Colocar, en las zonas video vigiladas, al menos un distintivo informativo ubicado a la entrada de dicho espacio y ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados. 2. Tener a disposición de los interesados impresos en los que se detalle la información prevista por la LOPD. Captación de imágenes: Deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imposible evitarlo por razón de la ubicación de aquellas.


NOTA INFORMATIVA DE VIDEOVIGILANCIA

MODELO CLAUSULA INFORMATIVA Art. 3, apartado B. Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras. FICHERO PRIVADO De conformidad con lo dispuesto en el art. 5.1 LO 15/1999, de 13 de diciembre, de Protección de Datos, se informa: 1. Que sus datos personales se incorporarán al fichero denominado ‘video vigilancia’ y serán tratados con la finalidad de seguridad a través de un sistema de video vigilancia. 2. Que el destinatario de sus datos personales es: a. La empresa de seguridad b. El dueño del establecimiento Martel Zhanna SL 3. Que puede ejercitar sus derechos de acceso, rectificación, cancelación y oposición ante el responsable del fichero. 4. Que el responsable del fichero es Martel Zhanna SL cuyo domicilio social es Urb. El Real Del

Campanario, Esc 12, Bajo B, Estepona, Málaga, código Postal 29688

06


INFORMES, CONTROLES Y AUDITORIAS

6.1 Ficheros inscritos en el Registro General de Protección de Datos

6.2 Controles Iniciales y Periódicos

6.3 Modelo de Registro y Autorización de Entrada y Salida de Soportes

6.4 Modelo de Notificación, Registro y Resolución de Incidencias

6.5 Gestion de soportes

6.6 Solicitud ARCOCartas Modelo de respuesta a los derechos ARCODerecho de Acceso FavorableDerecho de Cancelación FavorableDerecho de Oposición FavorableSolicitud para que aporte documentación

6.7 Auditorias


6.1FICHEROS INSCRITOS EN EL REGISTRO GENERAL DE PROTECCIÓN DE DATOS


6.1 FICHEROS INSCRITOS EN EL REGISTRO GENERAL DE LA AEPD

En la siguiente tabla se recoge información de los ficheros declarados en el Registro General de Protección de Datos de la AEPD, indicando la fecha de inscripción y el código asignado por la Agencia Española de Protección de Datos:

Nombre del fichero Fecha de

inscripción Código de envío

Código de inscripción

Clientes(Basico)

Docs. Contables(Basico)

Emails(Basico)

Nominas(Basico)

Video Vigilancia(Basico)

Potenciales WEB(Basico)

Agenda de contactos(Basico)

Historial Clínico(Alto)


6.2CONTROLES INICIALES Y PERIÓDICOS


6.2.1MEDIDAS CORRECTORAS INICIALES PARA COMPLETAR SU LOPD


6.2.1 MEDIDAS CORRECTORAS INICIALES PARA COMPLETAR SU LOPD

Se debe implantar y seguir todas las medidas de seguridad e indicaciones especificadas en el documento de seguridad pero en forma simplificada estas son:

ALGUNAS RECOMENDACIONES PRÁCTICAS

Firmar la siguiente documentación:

1.1 El nombramiento de responsable de seguridad del Anexo 1.1, si se va a autorizar y delegar en otras personas usar el Anexo 1.5

Con el personal:

1.2 Firmar confidencialidad del personal con acceso a datos y la aceptación de funciones y obligaciones en el uso de ficheros del Anexo 5.1.1 y 5.1.2

1.3 Firmar circular informativa con los trabajadores sin acceso a datos personales del Anexo 5.1.4

1.4 Dar una copia a los trabajadores que tengan acceso a datos personales de las funciones y obligaciones y que firmen una copia que está en al Anexo 7.

1.5 Si hay videovigilancia que firmen la nota informativa del Anexo 5.1.3

1.6 Si se guardan los Currículums hacer firmar el Anexo 5.2 a los candidatos.

2-Dar a firmar los contratos a los terceros involucrados:

2.1 encargados del tratamiento que están en el Anexo 3

3-Informar sobre la LOPD a las personas:

3.1 Pegar los carteles de la nota informativa del Anexo 5.8 y si corresponde el de videovigilancia del Anexo 5.9 a la entrada de la zona vigilada a la vista de los clientes.

3.2Tener a disposición del público notas informativas del Anexo 5.9

3.3 Incluir las cláusulas legales del Anexo 5.3 en la documentación que recoja datos

personales.

3.4 Enviar a clientes y proveedores existentes la circular informativa del Anexo 5.7

3.5 Incluir en los emails la cláusula del Anexo 5.5

4-Etiquetar e inventariar los soportes y equipos que contienen datos personales según el Anexo 6.5

5-Usuarios:

5.1 Completar y mantener actualizada la lista de usuarios y sus permisos a los sistemas con acceso a los ficheros del Anexo 2.2.

5.2 Controlar el acceso del personal externo según el Anexo 1.4

5.3 Si hay acceso remoto:

Completar y mantener actualizada la lista de usuarios con acceso remoto en el Anexo 1.2 y

5.4 Si hay usuarios con portátiles:

Completar y mantener actualizada la lista de usuarios con acceso remoto en el Anexo 1.3


6-Registros Entrada Salida e Incidencias:

Realizar gestión de incidencias y Establecer control de entrada y salida de soportes en los que se almacenan los ficheros según Anexo 6.3 y Anexo 6.4.

7-Documentos en papel

Implementar procedimientos para la destrucción de documentos en papel que se desechen y no reutilizarlos.

Los archivos, armarios y cajones donde estén los ficheros mantenerlos cerradas o controlar el acceso.

8-En la página Web,

Hay que hacer 3 tareas :

8.1 colocar una pestañas de política de privacidad con la cláusula Web del Anexo 5.6

8.2 colocar una pestaña de aviso legal con los datos completos de la empresa titular, nombre, cif, domicilio, tel., contactos.

8.3 Colocar mecanismo de confirmación de aceptación de la cláusula de consentimiento al enviar los datos, una casilla de confirmación que diga que ha leído y acepta la política de privacidad.

9 seguir las medidas indicadas en el Documento de seguridad y recordar:.

Realizar copia de seguridad cifrada semanal y tener una copia fuera y VERIFICACION CADA 6 MESES de la misma

Poner claves para acceder al ordenador en forma individual y realizar cambio según procedimiento

Cifrar portátiles con datos personales

Controlar el acceso de los usuarios a los ficheros de nivel medio y alto

Nunca comunicar o ceder datos personales a ninguna entidad sin contrato.

Contestar cuando reciba alguna petición de acceso, rectificación, cancelación u oposición.

Mantener actualizado el documento de seguridad, siempre.


6.2.2CONTROL DE MEDIDAS CORRECTORAS


6.2.2 CONTROL INICIAL DE PROCESOS DE MEDIDAS CORRECTORAS

Fecha Firma

Entrega Doc Seg:

Firma del responsable de seguridad:

Delegaciones de funciones:

Firma candidatos:

Firmar personal sin acceso:

Firma confidencialidad personal con acceso:

Entrega de funciones y obligaciones:

Firma de Contratos con encargados de tratamiento, gestores

Colocar carteles LOPD

Disponer de nota informativa

Colocar cláusulas informativas

Texto email

Enviar circular informativa

Firmar consentimientos al recabar datos

Contratos con clientes.

Control de accesos usuarios

Control de acceso físico

Autorización trabajo fuera con portátiles

Autorización acceso remoto

Cambio de claves

Inventario y etiquetado soportes

Registro de Ent. Sal e Incidentes

Destrucción documentos

Seguridad archivadores

Copia de seguridad

Pagina web

Auditoria legal

Videofilmación


6.2.3HOJA DE CONTROLES PERIÓDICOS


6.3MODELO DE REGISTRO Y AUTORIZACIÓNDE ENTRADA Y SALIDA DE SOPORTES

IntegramosticProtegemos sus Datos Documento de Seguridad. Manual de funcionamiento

MODELO DE REGISTRO Y AUTORIZACIÓN DE ENTRADA Y SALIDA DE SOPORTES

FORMULARIO DE ENTRADA DE SOPORTES

Datos del soporte

Código del soporte:

Tipo de soporte:

Fecha de copia:

Contenido:

Datos de entrada:

Responsable de recepción.

Fecha y hora:

Periodicidad:

Número de soportes:

Forma de envío:

Emisor:

Empresa:

Persona:

Motivo:


MODELO DE REGISTRO Y AUTORIZACIÓN DE ENTRADA Y SALIDA DE SOPORTES

FORMULARIO DE SALIDA DE SOPORTES

Datos del soporte

Código del soporte:

Tipo de soporte:

Fecha de copia:

Contenido:

Datos de salida:

Responsable de entrega:

Fecha y hora:

Periodicidad:

Forma de envío:

Remitente

Precauciones para el transporte:

Destinatario:

Empresa:

Persona:

Motivo:

Salida autorizada por:Observaciones:


6.2.3 HOJA DE CONTROLES PERIÓDICOS

Recuerde que tiene que actualizar el documento de seguridad para que refleje la situación real de la organización.

Por lo tanto se hará una revisión periódica para evaluar cuando se recaben nuevos tipos de datos personales o se vayan a crear nuevos ficheros o cambie algo en los existentes o alguna nueva persona vaya a tener acceso a datos personales o haya cambios en los sistemas de información o nueva contratación en la que pudiera recabar datos personales o cesión de datos, entonces habrá que actualizarlo.

Controles periódicos

Fecha Firma

Revisión del Documento de seguridad

Control de derechos de accesos de usuarios

Control de gestión de soportes

Control de acceso físico

Control de acceso remoto

Control del trabajo fuera de los locales

Control de ficheros temporales

Control del registro de incidencias

Control de copia de seguridad

Auditorías


6.4MODELO DE NOTIFICACIÓN, REGISTRO Y RESOLUCIÓN DE INCIDENCIAS


MODELO DE NOTIFICACIÓN, REGISTRO Y RESOLUCIÓN DE INCIDENCIAS

FORMULARIO DE INCIDENCIAS

Fecha y hora en la que se produjo la incidencia:

Tipo de incidencia:Fecha de notifi cación:Notifi cada por:Notifi cada a:Ficheros a los que afecta:

Descripción detallada de la incidencia:

Efectos que puede producir la incidencia:

Medidas correctoras:

Entorno al que afecta la incidencia:¿Supone pérdida de datos?:

Procedimientos realizados para la recuperación de datos:

Proceso ejecutado por: Procedimiento realizado:

Datos restaurados:

Datos recuperados manualmente:


6.5GESTIÓN DE SOPORTES

6.5 SOPORTES INFORMÁTICOS 1. Procedimiento de inventario, identificación y custodia Los soportes utilizados por Martel Zhanna SL se identifican y custodian mediante el sistema descrito a continuación. a) Inventario: El Responsable de Seguridad Zhanna Martel lleva una relación detallada de los soportes y equipos que contienen datos de carácter personal que constan en el Anexo 4.3. La relación completa y actualizada de los soportes informáticos utilizados por Martel Zhanna SL se encuentra en el archivo denominado “soportes”. b) Identificación: Cada uno de los soportes que contienen datos de carácter personal deberá estar debidamente etiquetado y su identificador coincidirá con el del Inventario de soportes. Cuando las características físicas del soporte imposibiliten su etiquetado, quedará constancia motivada de ello en el propio Inventario de soportes. La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles y de aquellos que contengan datos de nivel alto, se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas. c) Almacenamiento o custodia: Los soportes que contengan datos de carácter personal serán almacenados en un lugar con acceso restringido, accesibles únicamente al personal autorizado según la relación de usuarios del Anexo 2.2.3 del presente Documento de Seguridad.

6.5.1 EJEMPLO DE ETIQUETADO DE SOPORTES Etiquetar e inventariar los soportes que contienen datos personales: Etiquetas CS para los soportes de las copias de seguridad. Etiquetas DC para soportes con datos de clientes, Ej. Facturas. Etiquetas DP para soportes con datos de proveedores. Etiquetas DN para soportes con datos de trabajadores, Ej. Nóminas

DC Martel Zhanna SL

DC Martel Zhanna SL

DC Martel Zhanna SL

DC Martel Zhanna SL

DC Martel Zhanna SL

CS Martel Zhanna SL

CS Martel Zhanna SL

CS Martel Zhanna SL

CS Martel Zhanna SL

CS Martel Zhanna SL

DN Martel Zhanna SL

DN Martel Zhanna SL

DN Martel Zhanna SL

DN Martel Zhanna SL

DN Martel Zhanna SL


6.6SOLICITUD ARCOCARTAS MODELO DE RESPUESTA A LOS DERECHOSDERECHO DE ACCESO FAVORABLEDERECHO DE RECTIFICACIÓN FAVORABLEDERECHO DE CANCELACIÓN FAVORABLEDERECHO DE OPOSICIÓN FAVORABLESOLICITUD PARA QUE APORTE DOCUMENTACIÓN


DERECHO DE ACCESO Instrucciones para la cumplimentación de los modelos relacionados con el derecho de acceso. 1. Es necesario aportar fotocopia del D.N.I. o documento equivalente que acredite la identidad y sea considerado válido en derecho, para que el responsable del fichero pueda realizar la comprobación oportuna. En caso de que se actúe a través de representación legal deberá aportarse, además, DNI y documento acreditativo de la representación del representante. 2. El derecho de acceso no podrá llevarse a cabo en intervalos inferiores a 12 meses, salvo interés legítimo debidamente justificado. 3. La Agencia Española de Protección de Datos no dispone de sus datos personales y sólo puede facilitar, en su caso, la dirección de los responsables de los ficheros inscritos. El titular de los datos personales objeto de tratamiento debe dirigirse directamente ante el Organismo público o privado, empresa o profesional del que presume o tiene la certeza que posee sus datos. 4. Para que la Agencia Española de Protección de Datos pueda iniciar el procedimiento de tutela de derechos, resulta necesario que haya transcurrido un mes desde la presentación de la solicitud por la que se ejercita el derecho de acceso, sin que se haya producido contestación alguna, y que se aporte, junto con el escrito que en su caso haya realizado el responsable del fichero,alguno de los siguientes documentos:

la negativa del responsable del fichero a facilitar la información solicitada.

copia sellada por el responsable del fichero del modelo de petición de acceso.

copia del resguardo del envío por correo certificado o de la copia de la solicitud con el sello de la oficina de correos.

cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud.


RESPUESTA AL EJERCICIO DEL DERECHO DE ACCESO

D. C/ , nº , piso CP: Población: Provincia: En , a de de 2 Muy Sr./Sra. Mío, De conformidad con su petición, ejercitando su derecho de acceso, de conformidad con lo dispuesto en el artículo 15 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, artículos 28 y 29 de su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre y en consecuencia, LE COMUNICO: Que habiéndose resuelto favorablemente su petición de ejercicio del derecho de acceso la información sobre sus datos de carácter personal contenidos en los ficheros de esta organización, comprende: Los datos base obtenidos son los siguientes: Los datos resultantes de cualquier elaboración, proceso o tratamiento siguientes: El origen de los datos procede de: Sus datos no han sido comunicados / han sido comunicados a : Los concretos usos y finalidades para los que se almacenaron son: Atentamente,


DERECHO DE CANCELACIÓN Instrucciones para la cumplimentación de los modelos relacionados con el derecho de cancelación. 1. El Modelo se utilizará por el afectado cuando desee cancelar y bloquear datos inexactos existentes en un fichero. 2. Para probar el carácter inexacto de los datos que figuran en los ficheros resulta necesaria la aportación de la documentación que lo acredite al responsable del fichero. 3. Debido al carácter personalísimo de los datos de carácter personal es necesario aportar fotocopia del D.N.I. o documento equivalente que pruebe la identidad del afectado y sea considerado válido en derecho de modo que el responsable del fichero pueda constatarla. También puede ejercitarse a través de representante legal. 4.La Agencia Española de Protección de Datos no dispone de sus datos personales y sólo puede facilitar la dirección del responsable de los ficheros inscritos. El afectado o titular de los datos personales debe dirigirse directamente ante el Organismo público o privado, empresa o profesional del que presume o tiene la certeza que posee sus datos. 5. Para que la Agencia Española de Protección de Datos pueda iniciar el procedimiento de tutela resulta necesario que hayan transcurrido diez días hábiles sin que el responsable haya hecho efectivo el derecho, y aporte alguno de los siguientes documentos:

la negativa del responsable del fichero a la cancelación de los datos solicitados.

copia sellada por el responsable del fichero del modelo de petición de cancelación.



6.Sin perjuicio del ejercicio del derecho de cancelación, a tenor del art. 16,5 de La Ley Orgánica 15/1999, los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.


RESPUESTA AL EJERCICIO DEL DERECHO DE CANCELACIÓN D. C/ , nº , piso CP: Población: Provincia: En , a de de 2 Muy Sr./Sra. Mío, De conformidad con su petición, ejercitando su derecho de cancelación, de conformidad con lo dispuesto en los artículos 16 y 17 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, artículos 31, 32 y 33 de su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre y en consecuencia, LE COMUNICO: Que se ha resuelto favorablemente su petición de ejercicio del derecho de cancelación de sus datos personales contenidos en los ficheros de esta organización. Los datos cancelados son los siguientes: Se ha procedido con anterioridad a comunicarlo asimismo a los responsables de ficheros a los que se comunicó sus datos, para que procedan también a realizar la cancelación de los mismos. La cancelación acordada implica el bloqueo de sus datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo se procederse a la supresión. Atentamente,


DERECHO DE OPOSICION Instrucciones para la cumplimentación de los modelos relacionados con el derecho de oposicion. 1. El Modelo se utilizará por el afectado cuando desee oponerse a determinados tratamientos específicos de datos personales existentes en un fichero. 2. Para oponerse a un tratamiento de los datos que figuran en los ficheros resulta necesaria la existencia de unos motivos fundados y legitimos. 3. Debido al carácter personalísimo de los datos de carácter personal es necesario aportar fotocopia del D.N.I. o documento equivalente que pruebe la identidad del afectado y sea considerado válido en derecho de modo que el responsable del fichero pueda constatarla. También puede ejercitarse a través de representante legal. 4.La Agencia Española de Protección de Datos no dispone de sus datos personales y sólo puede facilitar la dirección del responsable de los ficheros inscritos. El afectado o titular de los datos personales debe dirigirse directamente ante el Organismo público o privado, empresa o profesional del que presume o tiene la certeza que posee sus datos. 5. Para que la Agencia Española de Protección de Datos pueda iniciar el procedimiento de tutela resulta necesario que hayan transcurrido diez días hábiles sin que el responsable haya hecho efectivo el derecho, y aporte alguno de los siguientes documentos:

la negativa del responsable del fichero a la oposición de los datos solicitados.

copia sellada por el responsable del fichero del modelo de petición de oposición.



6. En el caso de que el responsable del fichero no disponga de datos personales deberá comunicarlo en el mismo plazo de 10 días.


FORMULARIO RESPUESTA AL EJERCICIO DEL DERECHO DE OPOSICIÓN D. C/ , nº , piso CP: Población: Provincia: En , a de de 2 Muy Sr./Sra. Mío, De conformidad con su petición, ejercitando su derecho de oposición, de conformidad con lo dispuesto en el artículo 6.4, 17 y 30.4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, artículos 34, 35 y 36 de su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre y en consecuencia, LE COMUNICO: Que habiéndose resuelto favorablemente su petición de ejercicio del derecho de oposición, le informo que sus datos de carácter personal han sido excluidos del tratamiento que realiza esta entidad. Atentamente,


FORMULARIO RESPUESTA AL EJERCICIO DEL DERECHO DE RECTIFICACIÓN D. C/ , nº , piso CP: Población: Provincia: En , a de de 2 Muy Sr./Sra. Mío, De conformidad con su petición, ejercitando su derecho de rectificación, de conformidad con lo dispuesto en los artículos 16 y 17 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, artículos 31, 32 y 33 de su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre y en consecuencia,

LE COMUNICO:

Que se ha resuelto favorablemente su petición de ejercicio del derecho de rectificación de sus datos personales contenidos en los ficheros de esta organización. Los datos rectificados son los siguientes: Se ha procedido con anterioridad a comunicarlo asimismo a los responsables de ficheros a los que se comunicó sus datos, para que procedan también a realizar la corrección oportuna. Atentamente,


RESPUESTA REQUIRIENDO AL AFECTADO PARA QUE APORTE DOCUMENTACIÓN O SUBSANE DEFECTOS EN LA SOLICITUD D. C/ , nº , piso CP: Población: Provincia: En , a de de 2 Muy Sr./Sra. Mío, De conformidad con su petición, ejercitando su derecho de , de conformidad con lo dispuesto en el artículo 6.4, 15, 16 y 17 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, 25 y siguientes de su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre y en consecuencia,

LE COMUNICO: Que su solicitud realizada en fecha , por la que ejercitaba su derecho de , contiene defectos, bien por no haberse realizado con los requisitos establecidos en la normativa vigente, bien porque la misma carece de los documentos acreditativos en que basa su petición. Para poder atender su solicitud precisamos que nos envíe:

El formulario debidamente cumplimentado que le acompañamos, acompañando fotocopia de su Documento Nacional de Identidad.

(y/o) La siguiente documentación:

Documento Nacional de identidad.

Documentos acreditativos de la petición que formula.

Atentamente,


6.7AUDITORIAS

07

FUNCIONES Y OBLIGACIONES DEL PERSONAL



7.0 FUNCIONES Y OBLIGACIONES DEL PERSONAL Funciones y obligaciones del personal Las funciones y obligaciones de cada una de las personas que forman parte de Martel Zhanna SL y que tienen acceso a los datos de carácter personal y a los sistemas de información son las que se relacionan a continuación. En caso de incumplimiento de las presentes funciones y obligaciones por parte de cualquier trabajador de Martel Zhanna SL, la dirección de la empresa, de conformidad con la legislación vigente, podrá adoptar las sanciones que tenga estipuladas, así como reclamar las responsabilidades civiles y penales que legalmente correspondan. 1. Personal de Martel Zhanna SL Datos de carácter personal a) El personal de Martel Zhanna SL únicamente tiene acceso autorizado a los datos de carácter personal y a los sistemas de información cuando lo precisen para el desarrollo de sus funciones. b) Las personas con acceso autorizado a los ficheros de Martel Zhanna SL a través de su puesto de trabajo no podrán modificar la configuración de las aplicaciones ni del sistema operativo, salvo autorización expresa de la Empresa. c) El personal de Martel Zhanna SL única y exclusivamente podrá utilizar aquellos datos de carácter personal a los que tenga acceso en virtud de sus funciones para dar cumplimiento a sus obligaciones laborales, quedando expresa y completamente prohibida cualquier otra utilización. d) El personal de Martel Zhanna SL no podrá borrar, destruir, dañar, alterar o modificar cualquiera de los datos de carácter personal que contengan las bases de datos de Martel Zhanna SL sin la autorización expresa de la Empresa, siempre y cuando no sea en ejercicio de las funciones que le han sido encomendadas. e) Cada trabajador de Martel Zhanna SL que, por razón del ejercicio de sus funciones, tenga acceso a los datos deberá observar la debida reserva, confidencialidad y sigilo en relación con los mismos. Esta obligación perdurará incluso tras finalizar su vinculación con la Empresa. f) El personal de Martel Zhanna SL no podrá realizar copias, transmisiones, comunicaciones o cesiones de los datos de carácter personal tratados por Martel Zhanna SL sin la autorización expresa de la Empresa, siempre y cuando no sea en ejercicio de las funciones que le han sido encomendadas.

g) El personal de Martel Zhanna SL tendrá la obligación de comunicar cualquier incidencia,

anomalía, error o fallo que detectara en los ficheros o sistemas de información propiedad Martel Zhanna SL y que puedan afectar a los datos.(Se considerarán como “incidencias de seguridad”, entre otras, cualquier incumplimiento de la normativa desarrollada en este Documento de Seguridad, así como a cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal.) h) El uso de ordenadores portátiles, PDA’s o Memory Sticks con datos de carácter personal fuera de las instalaciones de la Empresa deberá comunicarse previamente al Responsable de Seguridad, quien deberá otorgar la correspondiente autorización. i) Todo fichero temporal o copia de trabajo será borrado o destruido una vez que haya dejado de ser necesario para los fines que motivaron su creación. j) Está estrictamente prohibido copiar información de carácter personal incluida en los ficheros de Martel Zhanna SL en cualquier tipo de soporte informático (Disquette, DVD, Memory Sticks, etc.) sin la autorización previa y expresa de la Empresa. En caso de haber sido autorizada la utilización de cualquier soporte informático, el usuario deberá comunicarlo inmediatamente al Responsable de Seguridad para su inventario y etiquetado. k) Cualquier salida de soportes informáticos que contengan datos de carácter personal (Disquette, DVD, Memory Sticks, etc.) fuera de las instalaciones de Martel Zhanna SL deberá ser autorizada de forma previa y expresa por parte de la Empresa. l) En el supuesto de recibir cualquier soporte informático que contenga datos de carácter personal procedente del exterior de la Empresa, el usuario deberá comunicarlo al Responsable de Seguridad a los efectos de poder anotarlo en el Registro de Entrada de Soportes. m) Cuando un soporte deba ser desechado, se deberá entregar al Responsable de Seguridad para que pueda proceder a su destrucción y baja en el Inventario de Soportes. n) El personal de Martel Zhanna SL deberá comunicar a los Responsables de Área cualquier solicitud de acceso, rectificación, cancelación u oposición de datos de carácter personal presentada por parte de algún afectado. Dicha comunicación deberá realizarse en el plazo máximo de 3 horas desde la recepción de la solicitud.


Claves de acceso o identificadores de usuario a) Cada trabajador de Martel Zhanna SL que en el desarrollo de sus funciones laborales realice actividades en las cuales sea necesario acceder a los ficheros de datos de carácter personal propiedad de Martel Zhanna SL, dispondrá de un nombre de usuario que le identifique única y exclusivamente a él y de una clave o contraseña personal que le permita, durante el proceso de acceso a los datos, autenticarse como usuario autorizado. b) Dicho nombre de usuario o identificador así como la correspondiente contraseña, será personal e intransferible. Queda absolutamente prohibida su revelación a cualquier otra persona sin la autorización expresa de la Empresa. c) En los supuestos en los que la aplicación informática lo permita, el usuario deberá modificar su contraseña de acceso la primera vez que acceda a la aplicación. d) La contraseña de acceso o password deberá cambiarse de manera obligatoria, como mínimo cada tres meses, aún en el caso de que la aplicación no obligue a ello. Esto es aplicable a todas las aplicaciones informáticas utilizadas en la Empresa, así como a todos aquellos recursos informáticos que requieran identificación previa y permitan el cambio de la clave de acceso. e) Cada trabajador será responsable de conservar de forma confidencial y segura su nombre de usuario (identificador único) y su contraseña personal. En los supuestos que el trabajador tuviera la certeza o sospechara que alguien está utilizando dichos identificadores o contraseñas, podrá solicitar a la Empresa que le asigne un identificador y contraseña nuevos. f) Dicho identificador único y la contraseña sólo podrán utilizarse dentro de los locales de Martel Zhanna SL Queda expresamente prohibido el acceso desde fuera de los locales de Martel Zhanna SL sin la autorización expresa de la Empresa. g) Cada trabajador deberá evitar que los datos contenidos en los ficheros sean visibles a través de sus puestos de trabajo por personas no autorizadas. Para ello, cuando un trabajador abandone su puesto de trabajo (para el desayuno, reuniones, comida, etc.) deberá apagar el equipo o utilizar un protector de pantalla con la contraseña correspondiente. Sistemas de comunicación a) En caso de tener que enviar correos electrónicos a más de un destinatario a la vez, es obligatorio utilizar la opción de copia oculta (CCO). En caso de duda sobre dicha funcionalidad, puede consultarse con cualquier Responsable de Área. b) El personal de Martel Zhanna SL no podrá utilizar sistemas de comunicación para transmitir datos de carácter personal si éstos no han sido expresamente autorizados por parte del Responsable de Fichero. Tratamiento de los datos en servidor a) Todos los datos de carácter personal que sean objeto de tratamiento por parte de los trabajadores, deberán ubicarse y/o tratarse en los servidores de la Empresa. El personal de Martel Zhanna SL no podrá alojar ningún tipo de dato de carácter personal en el disco duro de sus ordenadores personales. Tratamiento de documentación en papel a) Los documentos que contengan datos de carácter personal deberán almacenarse siempre en los armarios y archivadores establecidos al efecto y que dispongan de los oportunos mecanismos de cierre que obstaculicen su apertura. b) Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento previstos por la Empresa, por estar en proceso de revisión o tramitación, el trabajador que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada. Para ello, se deberán guardar los documentos que contengan datos personales protegidos en un sitio que no pueda ser visible para terceros. c) Cada trabajador será responsable de proceder a la destrucción de las copias o reproducciones desechadas, de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior. Se recomienda la utilización de destructoras de papel. d) Siempre que se proceda al traslado físico de la documentación contenida en un fichero, se deberán adoptar medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado. e) En el uso de impresoras, faxes y fotocopiadoras se debe retirar la documentación relativa a los datos personales inmediatamente después de su impresión, envío o copia evitando el acceso por parte de personas no autorizadas. 2. Personal de encargados del tratamiento


El personal de cualquier Encargado del Tratamiento contratado por Martel Zhanna SL que preste servicios en las oficinas o instalaciones de la Empresa o que acceda a los ficheros de Martel Zhanna SL de forma remota, deberá cumplir con las mismas medidas de seguridad previstas en el apartado anterior para el personal en plantilla.

Manual de Funcionamiento - zhannamartel.com · El artículo 89.2 del Reglamento dispone la...

Documents

Transcript of Manual de Funcionamiento - zhannamartel.com · El artículo 89.2 del Reglamento dispone la...