INFORME DE RECOMANACIONS EN MATÈRIA DE LOPD DE FUNDACIÓ MIES VAN DER ROHE INFORME DE RECOMANACIONS EN MATÈRIA DE LOPD DE FUNDACIÓ MIES VAN DER ROHE Com part del nostre estudi i l’avaluació del sistema de control i compliment de la normativa en matèria de Protecció de Dades, s’han identificat situacions o fets que considerem que representen debilitats del sistema de control i compliment, que detalem a continuació: Adreça electrònica LOPD La Societat no disposa d’una adreça de correu electrònic específica. A fi i efecte, de gestionar qualsevol comunicació referent a LOPD, considerem que s’hauria d’establir una adreça que centralitzés les comunicacions rebudes i enviades. L’adreça podria ser: lopd@miesbcn.com Política de seguretat en les Contrasenyes dels ordinadors Els protocols han de dificultar el descobriment o identificació per part de tercers. Aquest descobriment pot resultar de l’observació del teclejat de la contrasenya en presència de tercers, de la captura mitjançant programaris d'escolta, o en altres ocasions, es descobreixen per causa de "logins falits", ja que de vegades, els usuaris s'equivoquen i escriuen la contrasenya en comptes del Login. L’Entitat no té fixada una política al respecte. Considerem que s’haurien d’implementar polítiques de seguretat en aquest sentit. Per minimitzar aquests riscos, les polítiques de seguretat haurien de contemplar les següents característiques bàsiques: - La caducitat de la contrasenya hauria de ser de 3 mesos màxim. - Ha de tenir entre 6 i 30 Caràcters (al menys 2 numèrics). - No ha de contenir el Login (i viceversa). - S'ha de diferenciar del Login en almenys 3 caràcters. - No hi ha de coincidir amb cap de les 4 contrasenyes anteriors (ni viceversa). - S'ha de diferenciar de la contrasenya anterior en almenys 3 caràcters. 2 Implementació de solucions “DOBLE OPT-IN” El procés de registre/subscripció en un sol pas, anomenat “OPT-IN”, on els nous subscriptors emplenen un formulari i se'ls afegeix immediatament a una lista de correu genera inconvenients com corrompre la qualitat del fitxer amb adreces no vàlides o falses, queixes i reclamacions per enviaments de comunicacions no desitjades a subscriptors que no recorden o no s’han subscrit. Per mitigar aquest risc s’ha de implementar als formularis de subscripció el procés de doble confirmació o “doble opt-in” abans d'afegir els subscriptors a la lista. Els principals avantatges que suposarà són: - Protecció contra els robots de “spam”, correus fraudulents i falsos subscriptors - Incrementar la qualitat i seguretat de les dades del fitxer al verificar les adreces de correu electrònic, i saber que els subscriptors volen rebre les comunicacions, i de comptar amb un registre arxivat del consentiment del subscriptor. - Menor índex de devolucions i de cancel·lacions de subscripcions. Relació d’usuaris, perfils i equips informàtics amb accés als fitxers Per complir amb l’article 91 del RLOPD es recomanable que s’encarregui a GIROSYSTEMS la confecció i manteniment d’una relació actualitzada d’usuaris i perfils d’usuaris, i els accessos autoritzats per a cada un d’ells. Aquesta relació formarà part del document de seguretat com Annex K. També és necessari mantenir un inventari dels equips informàtics amb accés a les dades. Alotjament en el núvol Cal obtenir la garantia que CDMON, proveïdors d’alotjament web, mantindrà ubicades les dades dels servidors a la Unió Europea. També és necessari assegurar-se que les dades tractades per OMITSIS estan en la mateixa situació. Normativa aplicable a la BOTIGA ONLINE L’Entitat té el domini https://shopmies.com/es/. A través d’aquesta botiga Online s’ofereixen els mateixos productes que es poden adquirir a la botiga física. Cal que la Fundació compleixi amb la “Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de 3 comercio electrónico” i la “Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”. Per altra banda, cal revisar l’ortografia de l’apartat “TERMINOS Y CONDICIONES”. A modo d’exemple, .. “FUNCACIÓ”. També s’ha d’arreglar el vincle de www.miesarch.com en el relatiu a “PRIVACY POLICY” que no funciona. Llei de Serveis de la Societat de la Informació i del Comerç Electrònic Hem comprovat que a l’hora de completar una transacció mitjançant la botiga online, per a l’adquisició d’uns productes oferts a la web, en el diferents passos a completar no s’inclou informació detalada sobre les obligacions en contractar electrònicament: El prestador de serveis relacionats amb Internet que dugui a terme un procés de contractació electrònica tindrà, en síntesi, les següents obligacions: Abans d'iniciar el procediment de contractació Haurà de posar a disposició de l'usuari de forma permanent, fàcil i gratuïta la següent informació clara, comprensible i inequívoca sobre: Les condicions generals de contractació que, si escau, regeixin el contracte. Els tràmits o passos que ha de seguir per celebrar el contracte. Si arxiva el document electrònic del contracte i si és accessible. Els mitjans tècnics que posa a la seva disposició per identificar i corregir els errors en la introducció de les dades abans de confirmar-los. La lengua o lengües en què pot formalitzar-se el contracte. Aquesta obligació es donarà per complerta si el prestador la inclou en la seva pàgina o loc web. A més, quan s'accedeixi als serveis mitjançant dispositius que disposin de pantales de format reduït (per exemple un telèfon mòbil) es donarà per complerta aquesta obligació si es facilita l'adreça d'Internet on es trobi aquesta informació. Després d'haver-se celebrat el contracte: Confirmar la recepció de l'acceptació per algun dels següents mitjans: Per mitjà d'un justificant de recepció per correu electrònic o altre mitjà de comunicació electrònica equivalent a l'adreça que el contractant hagi assenyalat en el termini de les 24 hores següents a la recepció. 4 Mitjançant un mitjà equivalent al que s'hagi utilitzat en el procediment de contractació. Excepcions: Les anteriors obligacions (abans i després del contracte) queden exceptuades en dos supòsits: Quan hi hagués un acord entre les parts en aquest sentit i cap d'eles tingués la condició de consumidor. Quan el contracte s'hagi celebrat exclusivament mitjançant l'intercanvi de correu electrònic o un altre mitjà de comunicació electrònica equivalent. A la següent pàgina web es pot seguir els requisits específics http://www.lssi.gob.es . Procediment per resoldre sobre els drets ARCO S’han d’establir procediments que garanteixin el compliment dels terminis establerts al RDLOPD en relació a les resolucions a emetre per part del Responsable del Fitxer sobre les sol·licituds de: 1. D’accés: en el termini màxim d’un mes a contar des de la recepció de la sol·licitud. 2. De rectificació, cancel·lació i d’oposició: en el termini màxim de deu dies a comptar des de la recepció de la sol·licitud. En el cas de que no es disposi de dades de caràcter personal de l’afectat s’ha de comunicar igualment en el mateixos terminis. 5 Document de Seguretat de Fundació Mies van der Rohe Núm. d’inscripció Nom del fitxer PERSONAL, NÒMINES I RRHH GENERAL D'ADMINISTRACIÓ BASE DE DADES DEL PREMI NEWSLETTER BOTIGA ONLINE Busquet Economistes i Preparat: Auditors, S.L. Revisat: 13-01-2017 Aprovat: DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 2 de 35 Contingut del document: 1. OBJECTE DEL DOCUMENT ______________________________________________ 3 2. ÀMBIT D'APLICACIÓ _____________________________________________________ 3 3. RECURSOS PROTEGITS ________________________________________________ 4 4. FUNCIONS I OBLIGACIONS DEL PERSONAL ______________________________ 4 5. NORMES I PROCEDIMENTS DE SEGURETAT _____________________________ 5 6. GESTIÓ D'INCIDÈNCIES _________________________________________________ 8 7. GESTIÓ DE SUPORTS I DOCUMENTS ____________________________________ 8 8. PROCEDIMENTS DE SUPORT I RECUPERACIÓ ___________________________ 9 9. CONTROLS PERIÒDICS DE VERIFICACIÓ DEL COMPLIMENT _____________ 10 Annex A. Documents de Notificació i Decrets _________________________________ 11 Annex B. Descripció detalada de l'estructura del Fitxer o la Base de Dades. ______ 12 Annex C. Descripció del sistema d'accés als fitxers ____________________________ 16 Annex D. Entorn de Sistema Operatiu i de Comunicacions del Fitxer _____________ 18 Annex E. Locals i equipament _______________________________________________ 20 Annex F. Personal autoritzat per a accedir al Fitxer ____________________________ 21 Annex G. Procediments de control de seguretat, suport i recuperació i gestió ______ 28 Annex H. Procediment de Notificació i gestió d’incidències ______________________ 31 Annex I. Controls periòdics _________________________________________________ 32 Annex J. Contractes i convenis amb entitats col·laboradores ____________________ 33 Annex K. Organigrama del personal i definició de privilegis _____________________ 34 Annex L. Inventari d’equips informàtics _______________________________________ 35 DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 3 de 35 1. OBJECTE DEL DOCUMENT Considerant el que es disposa a la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal, i el que es disposa al Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de Desenvolupament de la Llei Orgànica 15/1999 anterior; i considerant el nivel de protecció exigit per a les dades de caràcter personal que gestiona l'entitat, especialment el disposat a l’article 8 del Reial decret 1720/2007, anteriorment citat, i la necessitat d'elaborar i implantar les mesures de seguretat mitjançant un document d'obligat compliment per al personal amb accés a les dades de caràcter personal i als sistemes d'informació; es redacta el present DOCUMENT DE SEGURETAT. El present document respon a l'obligació establerta a l’article 88 del Reial decret 1720/2007 de 21 de desembre en el que es regulen les mesures de seguretat de tots els fitxers que continguin dades de caràcter personal. Els fitxers de dades, des d’ara els Fitxers, descrits en els documents de Notificació a l'Agència Estatal de Protecció de Dades, que s'adjunten a l’Annex A, atenent a les condicions descrites a l’article 81 del Reial decret citat, sent per tant aplicable a els totes les mesures de seguretat coresponents al seu nivel que s'estableixen en el Títol VII, Capítol II i Capítol IV del citat decret, es troben oficialment classificats com de nivel de seguretat: Nivel de seguretat Nom del fitxer BÀSIC PERSONAL, NÒMINES I RRHH BÀSIC GENERAL D'ADMINISTRACIÓ BÀSIC BASE DE DADES DEL PREMI BÀSIC NEWSLETTER BÀSIC BOTIGA ONLINE 2. ÀMBIT D'APLICACIÓ Aquest document ha estat elaborat sota la responsabilitat de les persones descrites en l'apartat (1) del document adjunt a l’Annex A qui, com responsables dels Fitxers, es comprometen a implantar i actualitzar aquesta Normativa de Seguretat d'obligat compliment per a tot el personal amb accés a les dades protegides o als sistemes d'informació que permeten l'accés a les mateixes. Totes les persones que tinguin accés a les dades dels Fitxers, bé a través del sistema informàtic habilitat per a accedir al mateix, o bé a través de qualsevol altre mitjà d'accés als Fitxers, es troben obligades per lei a complir el què s’estableix en aquest document i subjectes a les conseqüències que poguessin incórer en cas d'incompliment. Així mateix, les normes i instruccions de seguretat contingudes en aquest document són d'obligat compliment per a totes aqueles persones que tinguin accés a les dades de caràcter personal i als sistemes d'informació que gestioni o utilitzi l’entitat. A cada persona autoritzada a accedir a les dades del Fitxer li serà liurada una còpia d'aquest document amb la part que li afecti, perquè en prengui coneixement, essent requisit obligatori per a poder accedir a aquestes dades haver signat la recepció del mateix. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 4 de 35 3. RECURSOS PROTEGITS La protecció de les dades dels Fitxers enfront d'accessos no autoritzats s’haurà de realitzar mitjançant el control, al seu torn, de totes les vies per les que es pugui tenir accés a aquesta informació. Els recursos que, per servir de mitjà directe o indirecte per a accedir als Fitxers, hauran de ser controlats per aquesta normativa són: 1. Els centres de tractament i locals on es trobin situats els fitxers o s'emmagatzemin els suports que els continguin, la seva descripció figura a l’Annex E. 2. Els locs de trebal, bé locals o remots, des dels que es pugui tenir accés als Fitxers. La relació d'aquests locs de trebal està descrita a l’Annex E. 3. Els servidors, i l'entorn de sistema operatiu i de comunicacions en el que es troben situats els Fitxers, que està descrit a l’Annex D. 4. Els sistemes informàtics, o aplicacions establerts per a accedir a les dades, descrits a l’Annex C. 4. FUNCIONS I OBLIGACIONS DEL PERSONAL El personal afectat per aquesta normativa es classifica en dues categories: 1. Administradors del sistema, encaregats d'administrar o mantenir l'entorn operatiu dels Fitxers. Aquest personal haurà d’estar explícitament relacionat a l’Annex F, ja que per les seves funcions poden utilitzar eines d'administració que permetin l'accés a les dades protegides saltant-se les barreres d'accés de l'Aplicació. 2. Usuaris dels Fitxers, o personal que usualment utilitza el sistema informàtic d'accés als Fitxers, i que també han d’estar explícitament relacionats a l’Annex F. El Responsable del Fitxer podrà delegar en un Responsable de Seguretat la coordinació i control de les mesures definides al document, sense que això impliqui en cap cas una delegació de la responsabilitat que corespongui. Aquest document és d'obligat compliment per a tots els. Les funcions i obligacions del personal estan descrites al present document de seguretat. Tanmateix, els administradors del sistema han de seguir aqueles normes més extenses i estrictes que es refereixen, entre altres, al tractament dels suports de seguretat, normes per l’alta d’usuaris i contrasenyes, així com altres normes d’obligat compliment a la unitat administrativa a la que pertanyen els Fitxers. Obligacions del responsable dels Fitxers ▪ Implantar les mesures de seguretat establertes en aquest document. ▪ Garantir la difusió d’aquest document entre tot el personal que hagi d’utilitzar-lo. ▪ Mantenir actualitzat el document de seguretat sempre que es produeixin canvis relevants al sistema d’informació o a l’organització del mateix, segons els articles 88 i 89 del RD 1720/2007 de 21 de desembre. ▪ Adaptar en tot moment el contingut del mateix a les disposicions vigents en matèria de seguretat de dades. ▪ S’encaregarà de verificar la definició i corecta aplicació de les còpies de suport i recuperació de les dades. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 5 de 35 5. NORMES I PROCEDIMENTS DE SEGURETAT 5.1. Centres de tractament i locals Els locals on se situen els ordinadors o altres mitjans d’emmagatzematge que contenen els Fitxers són objecte d'especial protecció per a garantir la disponibilitat i confidencialitat de les dades, especialment en aquest cas on part dels Fitxers estan situats en servidors als quals s’accedeix a través d'una xarxa. En aquest sentit, els locals compten amb els mitjans mínims de seguretat per evitar els riscos d’indisponiblitat dels Fitxers que poguessin produir-se com a conseqüència d'incidències fortuïtes o intencionades. La descripció d'aquests mitjans es troba a l’Annex E. 5.2. Llocs de trebal Són tots aquels dispositius des dels quals es pot accedir a les dades dels Fitxers ja siguin terminals o ordinadors personals o els propis armaris per la custòdia dels arxius no automatitzats. 1. Cada loc de trebal estarà sota la responsabilitat d'una persona de les autoritzades a l’Annex F, que garantirà que la informació que mostra no pugui ser vista per persones no autoritzades. 2. Això implica que tant les pantales com les impressores o altre tipus de dispositius connectats al loc de trebal estiguin físicament situats en locs que garanteixin aquesta confidencialitat. 3. Quan el responsable d'un loc de trebal l'abandoni, bé temporalment o bé al finalitzar el seu torn de trebal, haurà de deixar-lo en un estat que impedeixi la visualització de les dades protegides. Això podrà realitzar-se a través d'un protector de pantala que impedeixi la visualització de les dades en el cas dels fitxers automatitzats i a través de la custòdia en armaris i altres espais segurs en el cas de fitxers manuals. 4. En el cas de les impressores, haurà d’assegurar-se que no queden documents impresos en la safata de sortida que continguin dades protegides. Si les impressores fossin compartides amb altres usuaris no autoritzats per a accedir a les dades, els responsables de cada loc retiraran els documents a mesura que vagin sent impresos. 5. Queda expressament prohibida la connexió des de xarxes o sistemes exteriors dels locs de trebal des dels que es realitza l'accés als fitxers. La revocació d'aquesta prohibició serà autoritzada pel responsable dels fitxers, quedant constància d'aquesta modificació en el Llibre d'incidències. En el cas que aquesta connexió externa fos habitual, s’anotarà únicament en el Llibre d’incidències el permís inicial del responsable dels Fitxers. 6. Els locs de trebal des dels quals es té accés al fitxer tindran una configuració fixa en les seves aplicacions i sistemes operatius que només podrà ser canviada sota l'autorització del responsable del fitxer o pels administradors del sistema autoritzats de l'Annex F. 5.3. Entorn de Sistema Operatiu i de Comunicacions En relació a la part automatitzada dels Fitxers, el mètode establert per a accedir-hi és el sistema informàtic referenciat a l'Annex C, tot i que seria possible, per a les persones que coneguin entorns de xarxa, accedir a les dades protegides sense passar pels procediments de control d'accés amb els que pugui comptar l'aplicació. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 6 de 35 Aquesta normativa ha de regular, per tant, l'ús i accés de les parts del sistema operatiu, eines o programes d'utilitat, o de l'entorn de comunicacions, de forma que s'impedeixi l'accés no autoritzat a les dades dels Fitxers. 1. El sistema operatiu i de comunicacions té almenys un responsable que, com administrador del sistema, haurà d’ estar relacionat a l’Annex F. 2. Cap eina o programa d'utilitat que permeti l'accés als Fitxers haurà de ser accessible a cap usuari o administrador no autoritzat a l’Annex F. 3. L'administrador del sistema haurà de responsabilitzar-se de guardar en loc protegit les còpies de seguretat i suport dels Fitxers, de forma que cap persona no autoritzada tingui accés a les mateixes. 4. Si l'ordinador en el que estan situats els fitxers està integrat en una xarxa de comunicacions de forma que des d'altres ordinadors connectats a la mateixa sigui possible el seu accés, l'administrador responsable del sistema s’assegurarà que aquest accés no es permet a persones no autoritzades. 5.4. Sistema Informàtic o aplicacions d'accés als Fitxers Són tots aquels sistemes informàtics, programes o aplicacions amb els que es pot accedir a les dades dels Fitxers, i que són usualment utilitzats pels usuaris per a accedir a els. Aquests sistemes poden ser aplicacions informàtiques expressament dissenyades per a accedir als Fitxers, o sistemes preprogramats d'ús general com aplicacions o paquets disponibles en el mercat informàtic. 1. Els sistemes informàtics d'accés als Fitxers hauran de tenir el seu accés restringit mitjançant un codi d'usuari i una contrasenya. 2. Tots els usuaris autoritzats per a accedir als Fitxers, relacionats a l’Annex F, hauran de tenir un codi d'usuari que serà únic, i que estarà associat a la contrasenya coresponent, que només serà coneguda pel propi usuari. 3. Si l'aplicació informàtica que permet l'accés als Fitxers no compta amb un control d'accés, haurà de ser el sistema operatiu, on s'executa aquesta aplicació, el que impedeixi l'accés no autoritzat, mitjançant el control de contrasenyes. 4. En qualsevol cas, es controlaran, quan sigui tècnicament possible, els intents d’accés fraudulent als Fitxers, limitant el número màxim d’intents eronis. 5. Si durant les proves anteriors a la implantació o modificació de l’aplicació d’accés al fitxer es fessin servir dades reals, s’haurà d’aplicar a aquests fitxer de prova el mateix tractament de seguretat que s’aplica al mateix fitxer, i es relacionarien aquest fitxer de prova a l’Annex B. 5.5. Salvaguarda i protecció de les contrasenyes personals Les contrasenyes personals constitueixen un dels components bàsics de la seguretat de les dades i, per tant, han d’estar especialment protegides. Com claus d'accés al sistema, les contrasenyes han de ser estrictament confidencials i personals, i qualsevol incidència que comprometi la seva confidencialitat haurà de ser immediatament comunicada a l'administrador del sistema i esmenada en el menor termini de temps possible. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 7 de 35 1. Només les persones relacionades a l’Annex F podran tenir accés a les dades dels Fitxers. 2. Cada usuari serà responsable de la confidencialitat de la seva contrasenya i, en cas que la mateixa sigui coneguda fortuïtament o fraudulenta per persones no autoritzades, s’haurà d’enregistrar com incidència i procedir immediatament al seu canvi. 3. Les contrasenyes s'assignaran i es canviaran mitjançant el mecanisme i periodicitat que es determina a l’Annex G. 4. L'arxiu on s'emmagatzemen les contrasenyes està protegit i sota la responsabilitat de l'administrador del sistema. 5.6. Accés autoritzat Constitueix una de les principals preocupacions de l'entitat restringir l'accés del personal a les dades de caràcter personal, de manera que únicament siguin utilitzats per a portar a terme les tasques pròpies i per a les que van ser confiats a la mateixa. 1. Els usuaris tindran accés autoritzat únicament a aqueles dades, aplicacions i recursos que precisin pel desenvolupament de les seves funcions. 2. El responsable del fitxer procurarà que existeixi una relació actualitzada d’usuaris i perfils d’usuaris, i els accesos autoritzats per a cada un d’els. 3. Cada una de les terminals d'ordinador tindrà instal·lats aquels recursos que únicament utilitzin els respectius usuaris, sense que els sigui possible accedir a la resta. 4. Únicament l’administrador del sistema, a petició d'algun dels membres de l'òrgan de direcció de la Fundació, podrà concedir, alterar o anul·lar l'accés autoritzat sobre les dades i recursos de la fundació, efectuant la coresponent diligència en el Registre d'Incidències. 5.7. Confidencialitat en la recolida de dades de caràcter personal La confidencialitat en el tractament de dades de caràcter personal únicament pot assegurar-se des de la pròpia confidencialitat dels actes de comunicació i recepció de les mateixes. Per aquest motiu, el present capítol, pel que fa la confidencialitat del procés d'obtenció de dades de caràcter personal, mereix especial atenció. 1. Qualsevol sol·licitud de dades de caràcter personal que es realitzi per part del personal de l'entitat a tercers, haurà d’ envoltar-se de les màximes garanties de confidencialitat. 2. La sol·licitud de dades de caràcter personal es realitzarà de manera que es pugui assegurar la privacitat a la transmissió de les dades. 3. Una vegada recaptades, a aquestes dades se'ls donarà la destinació coresponent, integrant-les en el fitxer automatitzat o arxivant-les en la seva ubicació corecta. 4. El personal de l'entitat està obligat, de forma prèvia i inequívoca, d'advertir a l'interessat dels següents extrems en la fase de recolida de dades: de l'existència d'un fitxer, de la finalitat del mateix, dels destinataris de la informació, del caràcter obligatori o facultatiu de les seves respostes a les preguntes plantejades, de les conseqüències de l'obtenció de les dades o de la negativa a subministrar-les, de la possibilitat d'exercitar els drets d'accés, rectificació, cancel·lació i oposició; i de la identitat i adreça del Responsable del Fitxer. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 8 de 35 6.GESTIÓ D'INCIDÈNCIES Una incidència és qualsevol esdeveniment que pugui produir-se esporàdicament i que pugui suposar un peril per a la seguretat dels Fitxers, entesa sota els seus tres vessants de confidencialitat, integritat i disponibilitat de les dades. El manteniment d’un registre de les incidències que comprometin la seguretat dels Fitxers és una eina imprescindible per a la prevenció de possibles atacs a aquesta seguretat, així com per a la persecució dels responsables dels mateixos. 1. El responsable habilitarà un Llibre d'Incidències a la disposició de tots els usuaris i administradors amb la finalitat de què s'enregistri en el qualsevol incidència que pugui suposar un peril per a la seguretat del mateix. 2. Qualsevol usuari que tingui coneixement d'una incidència és responsable del registre de la mateixa en el Llibre d'Incidències o, si s’escau, de la comunicació per escrit al Responsable dels Fitxers. 3. El coneixement i la no notificació o registre d'una incidència per part d'un usuari serà considerat com una falta contra la seguretat dels Fitxers per part d'aquest usuari. 4. La notificació o registre d'una incidència haurà de constar almenys de les següents dades: tipus d'incidència, data i hora que es va produir, persona que realitza la notificació, persona a qui es comunica, efectes que pot produir, descripció detalada de la mateixa. El procediment està descrit a l’Annex H. 7.GESTIÓ DE SUPORTS I DOCUMENTS Suports informàtics són tots aquels mitjans d'enregistrament i recuperació de dades que s'utilitzen per a realitzar còpies o passos intermedis en els processos de l'aplicació que gestiona els Fitxers. Atès que la major part dels suports que s'utilitzen són digitals i fàcilment transportables, reproduïbles i/o copiables, és evident la importància que per a la seguretat de les dades dels Fitxers té el control d'aquests mitjans. 1. Els suports, ja siguin informàtics o no, que continguin dades dels Fitxers hauran d’estar clarament identificats amb una etiqueta externa que indiqui de quin fitxer es tracta, quin tipus de dades conté, procés que els ha originat i data de creació. 2. Aquels mitjans que siguin reutilitzables, i que hagin contingut còpies de dades dels Fitxers hauran de ser esborrats físicament abans de la seva reutilització, de forma que les dades que contenien no siguin recuperables. 3. Els suports que continguin dades dels Fitxers hauran de ser emmagatzemats en locs als que no tinguin accés persones no autoritzades per a l'ús dels Fitxers que no estiguin, per tant, relacionades a l’Annex F. 4. La sortida de suports informàtics o en paper que continguin dades dels Fitxers fora dels locals on està situat haurà de ser expressament autoritzada pel responsable, utilitzant per a això el document adjunt a l’Annex G. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 9 de 35 5. El responsable del Fitxer mantindrà un Llibre de Registre d’entrades i sortides on es guardaran els formularis d’entrades i sortides de suports descrits a l’Annex G, amb indicació del tipus de suport, data i hora, emissor, número de suports, tipus d’informació que contenen, forma d’enviament, destinatari o persona responsable de la recepció que hauran d’estar degudament autoritzades. 6. Quan els suports hagin de sortir fora dels locals on es troben ubicats els fitxers com a conseqüència d’operacions de manteniment o altres, s’adoptaran les mesures necessàries per evitar qualsevol recuperació indeguda de la informació emmagatzemada en els. 7. Per la seva banda, els suports de fitxers en paper que deixin de ser necessaris per a les tasques encaregades seran destruïts, procurant, en tot cas, que no es puguin reproduir les dades recopilades en els mateixos. Referent a això, existeixen diverses màquines trituradores de paper que hauran de ser utilitzades per a la destrucció d'aquels suports que continguin dades de caràcter personal i deixin de ser útils per a la finalitat encomanada. 8. PROCEDIMENTS DE SUPORT I RECUPERACIÓ La seguretat de les dades personals del Fitxer no sols suposa la confidencialitat de les mateixes sinó que també comporta la integritat i la disponibilitat d'aquestes dades. Per a garantir aquests dos aspectes fonamentals de la seguretat és necessari que existeixin uns processos de suport i de recuperació que, en cas de falada del sistema informàtic, permetin recuperar i, si escau, reconstruir les dades del Fitxer. 1. Existirà una persona, bé sigui l'administrador del sistema o bé altre usuari expressament designat, que serà responsable d'obtenir periòdicament una còpia de seguretat del fitxer, a efectes de suport i possible recuperació en cas de falada del sistema. 2. Aquestes còpies es realitzaran setmanalment, seguint el procediment que s’indica a l’Annex G. 3. En cas de falada del sistema amb pèrdua total o parcial de les dades dels Fitxers existeix un procediment, informàtic o manual, que partint de l'última còpia de suport i del registre de les operacions realitzades des del moment de la còpia, reconstrueixi les dades a l'estat que es trobaven en el moment de la falada. Aquest procediment està descrit a l’Annex G. 4. En el cas d’execució dels procediments de recuperació de les dades i haurà de deixar-se constància al registre d’incidències de les manipulacions que hagin hagut de realitzar-se per aquestes recuperacions, incloent la persona que ha realitzat el procés, les dades restaurades i les dades que hagin hagut de ser gravades manualment en el procés de recuperació. 5. Haurà de conservar-se una còpia de suport i dels procediments de recuperació de les dades en un loc diferent d’aquel en que es troben els equips informàtics que els tracten. 6. El responsable dels fitxers s’encaregarà de verificar cada sis mesos el corecte funcionament dels procediments de còpies de suports i recuperació de dades. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 10 de 35 9. CONTROLS PERIÒDICS DE VERIFICACIÓ DEL COMPLIMENT La veracitat de les dades contingudes als Annexes d’aquest document, així com el compliment de les normes que conté hauran de ser periòdicament comprovades, de forma que es puguin detectar i esmenar anomalies. Es comprovarà el següent: CONTROL RESPONSABLE L’existència de còpies de suport que permetin la recuperació Responsable del Fitxer segons l’apartat 8 del document. Comunicació de canvis a les dades tècniques d’aquest document Administrador com nou hardware o software.. Revisió de les incidències registrades al libre per adoptar Responsable del Fitxer mesures corectores Aquestes mesures de control es realitzaran amb una periodicitat semestral. Els resultats de tots aquests control periòdics s’adjuntaran a aquest document de seguretat a l’Annex I. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 11 de 35 Annex A. Documents de Notificació i Decrets Document de Notificació a l'Agència de Protecció de Dades del Registre dels Fitxers. [S'adjuntarà aquí una còpia dels documents de notificació de la creació, i si escau de les possibles modificacions dels Fitxers.] [En aquest mateix apartat es recolirà una còpia de la publicació de la disposició de creació, i si és procedent de les modificacions.] DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 12 de 35 Annex B. Descripció detalada de l'estructura del Fitxer o la Base de Dades. DESCRIPCIÓ, FINALITAT I UBICACIÓ FÍSICA DEL FITXER La FUNDACIÓ MIES VAN DER ROHE, té per objecte: la conservació, l’ús i l’administració del Paveló Alemany de l’Exposició Internacional de 1929, situat al Parc de Montjuïc de la ciutat de Barcelona. L’impuls i la difusió del debat cultural sobre els problemes de l’arquitectura contemporània, des de la perspectiva de la seva condició urbana. L’organització i foment de premis, cursos, cicles, simposis, exposicions, publicacions, estudis i totes aqueles activitats que puguin contribuir a la consecució dels objectius culturals i ciutadans esmentats. El present document de seguretat fa referència als fitxers ubicats al domicili social de la Fundació i notificats en l’apartat anterior: ▪ Fitxers PERSONAL, NÒMINES I RRHH: Conjunt de dades per tal de poder gestionar els RRHH de l’Entitat. La seva finalitat és la gestió del Recursos Humans: selecció, control d’assistències, prevenció de riscos laborals, i la gestió de nòmines i tràmits de contractació amb la Seguretat Social o altres Organismes Públics. La part manual del fitxer: NÒMINES, PERSONAL I RRHH, coresponent a la documentació de gestió (baixes mèdiques, tràmits a la seguretat social, contractes, nòmines, riscos laborals, comunicats als trebaladors..) estan ubicats al departament d’Administració de la Seu Social. La documentació que es rep en format físic (paper) s’arxiva i s’identifica, sent custodiada dins l’expedient de cada trebalador. Els fitxers informàtics estan ubicats a la Ethernet, en carpetes d’accés restringit. L’Entitat té externalitzat la gestió laboral amb Gemma Martínez i Gimeno amb la que s’ha signat un contracte de prestació de serveis, adjunt a l’Annex J. . ▪ Fitxer GENERAL D’ADMINISTRACIÓ: Fitxer per a la gestió administrativa de l’Entitat. La finalitat d’aquest fitxer és el compliment de la normativa comptable, fiscal i administrativa de l’Entitat. El fitxer manual esta ubicat a la seu social de l’Entitat. Pel què fa als fitxers automàtic SAP, es troba en el servidor de l’Ajuntament de Barcelona. ▪ Fitxer BOTIGA ONLINE: La finalitat del fitxer és la gestió operativa de la Botiga Online. Els usos previstos són la recepció de comandes dels usuaris registrats, el liurament i facturació de les mercaderies sol•licitades. El fitxer automàtic es troba ubicat al servidor de l’Entitat. ▪ Fitxer NEWSLETTER: Base de dades d’usuaris o persones interessades en les activitats de l’Entitat. La finalitat és la gestió promocional i comercial, difondre les diverses activitats i de mitjans de comunicació social. El fitxer automatitzat es troba alotjat al servidor de l’Entitat. L’Entitat té externalitzada les tasques d’agència de comunicació amb LABOH CONSULTANCY, S.L. amb el que s’ha signat un contracte de prestació de serveis, adjunt a l’Annex J. ▪ Fitxer BASE DE DADES DEL PREMI: Conté les dades identificatives i de contacte del guardonats i participants en el concurs. La finalitat és permetre la consulta de les propostes que concursen al premi EU PRIZE FOR CONTEMPORARY ARCHITECTURE que pretén promoure i comprendre la importància de la qualitat i reflectir la complexitat del propi significat de l'arquitectura en termes d'èxits tecnològics, constructius, socials, econòmics, culturals i DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 13 de 35 estètics. L’Entitat té externalitzada les tasques de manteniment amb OMITSIS CONSULTING S.L. amb el que s’ha signat un contracte de prestació de serveis, adjunt a l’Annex J. DESCRIPCIÓ DE LES DADES QUE CONTENEN ELS FITXERS Fitxer PERSONAL, NÒMINES I RRHH: El fitxer automatitzat que conté dades personals està gestionat per la gestoria externa que té encomanat la confecció de contractes, nòmines i d’altres tràmits amb l’administració pública per compte de la Fundació. Les dades que conté són: Períodes contractats Contractes Categoria Preus acordats Assegurança social Situació familiar IRPF Dades bancàries Dades d’afiliació a la S.S. Dades personals de trebalador Dades de contacte Dades del representant legal Dies de descompte (baixes, acomiadament..) La documentació, en paper, es troba ubicada a un armari al despatx d’Administració que es tanca amb clau. Els expedients dels trebaladors poden contenir la informació següent: Contractes i modificacions del contracte Documentació de la Seguretat Social relacionada amb els contractes: bonificacions.. Fotocòpia de DNI, Targeta Seguretat Social Currículum vitae Comunicats mèdics d’alta i baixa Permís de trebal, en el cas d’estrangers Fitxa de dades personals Fotocòpia del títol acadèmic Certificat d’accions formatives posteriors Model 145 de comunicacions de dades al pagador a efectes del càlcul de l’IRPF. Escrits de l’entitat dirigits al trebalador: amonestacions.. Escrits dels trebaladors Declaració signada d’informació sobre la LOPD. Una part d’aquestes dades són tractades per la societat externa Gemma Martínez i Gimeno per la confecció de les nòmines, d’acord amb el contracte adjunt a l’Annex J. L’entitat actualment no guarda els curículums. En cas de rebre algun, automàticament s’eliminen, i pels rebuts de forma electrònica s’eliminen de forma permanent. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 14 de 35 Fitxer GENERAL D’ADMINISTRACIÓ: La majoria de dades que conté són de persones jurídiques, clients i proveïdors, tot i que pot contenir dades de nivel bàsic del personal de l’entitat, del membres dels Òrgans de Govern, i creditors persones físiques diverses. El fitxer automatitzat que conté dades personals està gestionat a través del programari SAP. Amb el SAP, es gestiona administrativament, comptable i fiscalment l’operativa de la Fundació, que inclou gestió del pressupost, introducció i validació de factures, gestió dels ingressos, manteniment de proveïdors. L’entitat disposa d’armaris típics d’oficina, on s’arxiva la documentació com les factures rebudes, albarans, comandes, etc., per ordre cronològic. Tota la documentació roman en la armaris tancats sota clau. En relació al fitxer automatitzat a través del qual es du a terme la gestió administrativa i comptable, el programa de comptabilitat, pot contenir dades de caràcter personal d’algun empleat el qual es dona d’alta al sistema com un creditor. Pel que fa a clients i proveïdors, en general són dades de persones jurídiques o dades de persones físiques que actuen com a professionals, les quals no estarien subjectes amb la legislació vigent. Una part d’aquestes dades són accessibles per la societat externa GIROSYSTEMS, S.L. que gestiona l’àrea de IT, d’acord amb el contracte adjunt a l’Annex J. Fitxer BOTIGA ONLINE: Els usuaris registrats omplen el formulari amb les dades de caràcter identificatiu: Nom i cognoms Adreça postal Adreça electrònica Sector d’ocupació Data de naixement DNI/NIF Número de telèfon Les Dades econòmiques: Dades bancàries. Per a cada usuari existeix un historial de compres realitzades. Una part d’aquestes dades són accessibles per la societat externa GIROSYSTEMS, S.L. que gestiona l’àrea de IT, d’acord amb el contracte adjunt a l’Annex J. Fitxer NEWSLETTER Base de dades en “Access”, on es recopilen les dades de caràcter personal dels usuaris o persones interessades que han donat consentiment al tractament. Les dades que és recopilen són: - Núm Registre - Nom i cognoms DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 15 de 35 - Gènere - Institució - Adreça (Carer, codi postal, ciutat, País) - Telèfon - Direcció de coreu electrònic Els formularis en paper amb el consentiment informat dels interessats s’arxiven per ordre cronològic en armari tancat amb clau al qual només té accés la gestora del fitxer. L’Entitat periòdicament realitza un “e-mailing” als usuaris subscrits utilitzant l’aplicació web MPZMail.com. Per a connectar-se a l’aplicació cal identificar-se amb un nom d’usuari i contrasenya que només coneix l’Administradora/Usuària del fitxer. Fitxer BASE DE DADES DEL PREMI: Base de dades dels guardonats i participants al concurs bianual que des de l’any 1988 atorga la Fundació. El Paveló va ser declarat BIC (Bé d’Interès Cultural) el 08-01-2003, A.R.I. - 51 - 0010902 – 00000 i, per tant, les dades relatives el manteniment del legat cal considerar-les de caràcter històric d’acord a a l’article 9 del RLOPD. Les dades de caràcter personal són introduïdes directament pels propis participants mitjançant l’habilitació d’un usuari i una contrasenya que la Fundació els hi facilita. Les dades de caràcter personal són les següents: - Denominació de l’obra - Plaça al concurs - Any de participació - Ubicació de l’obra - Any finalització de l’obra - Despatx/Estudi professional - Autors i any de naixement - Col·laboradors L’empresa Omitsis Consulting S.L és l’encaregada del tractament de dades. S’ha signat un contracte, adjunt a l’Annex J. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 16 de 35 Annex C. Descripció del sistema d'accés als fitxers El sistema informàtic o aplicació d’accés als Fitxers és el conjunt de programes amb els que normalment s’accedeix per a consultar o actualitzar les dades del Fitxer. La gestió de les dades dels Fitxers es realitza a partir de diverses aplicacions: ▪ Paquet Microsoft Ofice, bàsicament Word, Excel i Access. ▪ Tots els terminals informàtics per accedir a la xarxa han d’estar autenticats: 1.- L’autentificació d’usuaris, és a dir, la verificació i la confirmació de a quina persona coresponen les credencials presentades per un usuari quan vol accedir. 2.- L’autorització a usuaris, és a dir, una vegada confirmada la identitat de l’usuari, i verificat que és un usuari registrat facilitar l’accés. ▪ En tots els programes l’accés està protegit amb una contrasenya, i a més, un cop dins del programa cada usuari, segons el seu perfil professional té uns permisos concrets que li permeten l’accés a lectura i/o escriptura, segons el cas. Aquests permisos, predefinits en el programa, els decideix la direcció de l’Entitat. Cada usuari disposa d’un nom i una contrasenya que limita els privilegis en el sistema. No obstant, quan fa 15 minuts que s’ha deixat de trebalar, es bloqueja el sistema i per tornar a entrar demana de nou el nom i contrasenya. El sistema limita la possibilitat d’intentar reiteradament accedir al sistema, de manera que si s’introdueix la contrasenya erròniament 3 vegades, cal comunicar-ho a l’administrador per desbloquejar-la. Amb el visor d'esdeveniments del sistema operatiu, s’audita els logins d'usuari i els erors de login. Si l'usuari no està autoritzat no veu les carpetes ni els fitxers no autoritzats. No s'identifica l'accés ni modificacions als fitxers. L’administrador és el responsable de la regeneració de les contrasenyes, donar d’alta i baixa aquestes, prèviament autoritzades per la direcció. Així doncs, en el cas de finalització de la relació laboral, es procedeix a l’anul·lació de la contrasenya d’entrada al sistema. Les contrasenyes d’entrada al sistema es modifiquen amb una periodicitat anual. ▪ L’entitat trebala amb un sistema de servidors virtuals alotjats al CPD de CDMON amb el qual s’ha signat un contracte de prestació de serveis que s’incorpora a l’Annex J. ▪ En el servidor de coreu electrònic s'hi poden emmagatzemar dades de caràcter personal de trebaladors, enviats o rebuts a través dels e-mail, dades d’algun usuari o client, algun proveïdor o inclús d’algun patró de la Fundació. La protecció sobre aquestes dades es realitza a través del recolzament continu dels proveïdors d’alotjament dels servidors que garanteixen la recuperabilitat de les dades. L’accés als comptes de coreu electrònic està limitat al titular del coreu electrònic, donat que únicament es pot accedir a aquest coreu a través de l'ordinador personal i introduint les claus d'accés individualitzades. ▪ L’estructura del servidor és un entorn multi usuari on és possible el compartiment d’arxius i de recursos. Existeix una carpeta personal per usuari i una comuna per cada departament. Cada usuari només té permís a la seva carpeta personal i a les comunes a les que estigui autoritzat. Aquestes autoritzacions depenen del responsable. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 17 de 35 ▪ El control d’accessos als fitxers manuals queda definit, a través del control d’accés a les instal·lacions i als diferents espais de magatzem de dades, tal com s’indica a l’Annex E, i pels fitxers automatitzats a través de les contrasenyes per accedir a la base de dades o a les còpies de seguretat. ▪ La Fundació té a la seva disposició els manuals bàsics de les aplicacions per a fer qualsevol consulta, donat que adquireix les licències d’ús de les aplicacions. ▪ Accés al fitxer General d’Administració: “SAP” es l’aplicació per a la gestió administrativa, comptable i fiscal de l’Entitat. L’accés s’ha de fer des d’un ordinador amb el programari instal·lat i validat a la xarxa. Posteriorment s’ha de tornar a validar per executar el programa amb un nom d’usuari i una contrasenya específics pel “SAP”. Aquest programari bloqueja a l’usuari si repetidament s’equivoca en la introducció del password i és l’Administrador qui desbloqueja l’usuari a petició seva. Deixa registre de l’usuari que realitza operacions. Existeixen 3 perfils d’usuaris amb diferents privilegis o accessos: o Administrador: Té accés a totes les dades, actuals com històriques. Pot concedir, modificar i anular l’accés d’altres usuaris. o Usuari: (Personal del departament d’Administració): Té accés a aqueles dades que l’Administrador ha donat privilegi. En funció de les tasques de l’usuari, l’Administrador habilita els menús escaients. Aquests usuaris no tenen permisos per modificar l’accés d’altres usuaris. o Consulta: Tenen accés a les dades que l’Administrador habilita. L’accés és limitat doncs només té privilegi de lectura sobre les dades habilitades i no poden modificar- les. ▪ Accés al fitxer Base de dades del Premi: és mitjançant la web htp:/www.miesarch.com/archive. Les dades de caràcter personal són introduïdes directament pels propis participants mitjançant l’habilitació d’un usuari i una contrasenya que la Fundació els hi proporciona. Aquest perfil només permet editar les pròpies dades i no consultar les dades privades dels demes participants. El perfil d’administrador pot consultar i editar totes les dades. ▪ Accés al fitxer Newsleter: la ubicació del fitxer “ACCES” a una carpeta restringida del servidor permet només als usuaris autoritzats l’accés. Només realitza edicions de dades l’administradora del sistema. ▪ Accés al fitxer botiga online: El sistema informàtic o aplicació d’accés al Fitxer és mitjançant l’adreça htps:/shopmies.com. El programari s’anomena Prestashop. Els usuaris registrats disposen de les seves credencials d’accés (usuari i contrasenya). L’Administrador també disposa de credencials d’accés privilegiat. Només és possible accedir- hi si s’ha autenticat prèviament a la xarxa. DESCRIPCIÓ DELS ACCESSOS EXTERNS En general, els accessos externs no estan autoritzats per evitar riscos en la protecció de les dades, i s’han d’autoritzar pel responsable, i deixar-ne constància com una sortida de suports. Les connexions remotes autoritzades es realitzen de forma encriptada i sempre a l’equip personal i mai als servidors. El departament d’IT manté la relació actualitzada. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 18 de 35 Annex D. Entorn de Sistema Operatiu i de Comunicacions del Fitxer ENTORN DE SISTEMA OPERATIU El sistema operatiu utilitzat als equips informàtics de la Fundació és Windows 7 Professional, Windows 10 i IOS, depenent del model d’equip. Als Servidors és Windows 2003 Server i Windows 2012 Server. RESPONSABLES DEL MANTENIMENT El responsable del manteniment informàtic és GIROSYSTEM, S.L. que fa funcions de direcció de IT de la Fundació. S’ha subscrit contracte de prestació de serveis, incorporats a l’Annex J. Amb l’empresa OMITSIS CONSULTING S.L. s’ha signat contracte de prestació de servei pel programari específic del fitxer BASE DE DADES DEL PREMI, incorporat a l’Annex J. SISTEMA DE TELECOMUNICACIONS L’organització disposa d’una xarxa local Ethernet amb compartiment d’arxius en carpetes situades al servidors, amb els privilegis descrits a l’Annex C. Queda expressament prohibida l’extracció de dades dels centres de trebal sense una autorització prèvia del responsable del fitxer, que quedarà registrada en el registre d’entrades i sortides de suports, i l’ús a Internet i l’e-mail queda restringit a comunicacions de tipus professional. L’entitat té els següents dominis web: www.miesbcn.com htp:/www.miesarch.com htp:/www.simonprize.org/ htps:/shopmies.com ytaa.miesbcn.com intranet.ytaaward.com ytaaward.com youngtalentarchitectureaward.com mies.barcelona Hi ha funcionalitats de venda de productes al domini: htps:/shopmies.com En les pàgines que es pot transaccionar, s’informa al client d’acord amb la “Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico”. La resta de dominis són purament informatius i a través dels quals no es fan transaccions ni es transmeten dades susceptibles de ser protegides. Hi ha la possibilitat de contactar amb l’entitat via e-mail o omplint un formulari de contacte, per aquest motiu, s’informa en la mateixa pàgina de l’existència del Fitxer, els drets adquirits i la manera d’exercir-los. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 19 de 35 Tots els ordinadors i terminals tenen instal·lat el programari Antivirus NOD32. S'actualitza automàticament cada cop que es publica una actualització del producte o base de dades de virus. La consola online de l'antivirus envia una alerta quan existeixen sospites d’infecció a l’Administrador del sistema. L'antivirus escaneja l'equip i l'aïla de la xarxa, si no el pot netejar, en espera que l’Administrador actuï directament. El Sistema Operatiu de totes les estacions de trebal s’actualitzen automàticament cada vegada que existeixen updates disponibles. Les actualitzacions són supervisades per l’administrador. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 20 de 35 Annex E. Locals i equipament DESCRIPCIÓ DE LA UBICACIÓ FÍSICA DEL LOCAL Els terminals d’accés als fitxers, ja siguin automatitzats o no, estan situats al Carer Provença, 318, pral. 2b, Barcelona. Addicionalment, al paveló hi ha un ordinador que té accés a la xarxa. SEGURETAT ACTIVA I PASSIVA Els accessos a les dependències administratives de la FUNDACIÓ MIES VAN DER ROHE es realitza pel carer provença, Barcelona. L’accés físic a les instal·lacions es realitza per la porta principal d’entrada que roman tancada i només s’obre amb la clau d’accés. A més existeix un timbre per a què obri la porta el personal, en casos de visites. L’horari és de 9.00 a 18.00 h. L’accés al paveló està controlat, tot i que es tracta d’un espai obert, per vigilants 24 hores. La dependència de la botiga té porta que es tanca amb clau. L’ordinador ubicat està protegit amb usuari i contrasenya, el usuari del terminal mai permetrà l’accés voluntari o accidental a les dades a terceres persones, per lo qual disposa d’eines informàtiques per tancar l’accés en cas d’absència temporal del loc de trebal. Tots els documents en paper que no s’han d’utilitzar són destruïts i una empresa especialitzada s’encarega de l’eliminació definitiva. Hi ha extintors corectament senyalitzats repartits per les instal·lacions, d’acord amb la normativa vigent d’activitat de l’Entitat. La Fundació disposa de sistemes d'alimentació ininterrompuda als que estan connectats els equips crítics pels casos de tals del subministrament elèctric que garanteixen la continuïtat del subministrament al equips. LLOCS DE TREBALL A l’Annex K, s’incorpora un organigrama departamental amb la relació de les persones de cadascun d’els i els accessos i privilegis que tenen sobre els fitxers. DESCRIPCIÓ DELS EQUIPS A l’Annex L s’incorpora un inventari dels equips informàtics de l’entitat i la seva ubicació. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 21 de 35 Annex F. Personal autoritzat per a accedir al Fitxer Fitxers: PERSONAL, NÒMINES I RRHH GENERAL D'ADMINISTRACIÓ BASE DE DADES DEL PREMI NEWSLETTER BOTIGA ONLINE Responsable: FUNDACIÓ MIES VAN DER ROHE, representada per XXXXXXXX Data d’alta: 01/12/2016 Data de baixa: Firma DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 22 de 35 Fitxer: GENERAL D'ADMINISTRACIÓ Administrador del sistema Declaració de recepció i acceptació del document Declaro haver legit el document de seguretat adjunt i accepto el compliment de les normes de seguretat expressades en el, assumint les conseqüències que en cas contrari poguessin derivar-se per lei. XXXXXXX Data d’alta: 01/12/2016 Data de baixa: Firma DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 23 de 35 Fitxer: PERSONAL, NÒMINES I RRHH Administrador del sistema Declaració de recepció i acceptació del document Declaro haver legit el document de seguretat adjunt i accepto el compliment de les normes de seguretat expressades en el, assumint les conseqüències que en cas contrari poguessin derivar-se per lei. XXXXXXXX Data d’alta: 01/12/2016 Data de baixa: Firma DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 24 de 35 Fitxer: BASE DE DADES DEL PREMI Administrador del sistema Declaració de recepció i acceptació del document Declaro haver legit el document de seguretat adjunt i accepto el compliment de les normes de seguretat expressades en el, assumint les conseqüències que en cas contrari poguessin derivar-se per lei. XXXXXXXX Data d’alta: 01/12/2016 Data de baixa:.......... Firma DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 25 de 35 Fitxer: NEWSLETTER Administrador del sistema Declaració de recepció i acceptació del document Declaro haver legit el document de seguretat adjunt i accepto el compliment de les normes de seguretat expressades en el, assumint les conseqüències que en cas contrari poguessin derivar-se per lei. XXXXXX Data d’alta: 01/12/2016 Data de baixa: Firma DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 26 de 35 Fitxer: BOTIGA ONLINE Administrador del sistema Declaració de recepció i acceptació del document Declaro haver legit el document de seguretat adjunt i accepto el compliment de les normes de seguretat expressades en el, assumint les conseqüències que en cas contrari poguessin derivar-se per lei. XXXXXXXXX Data d’alta: 01/12/2016 Data de baixa: Firma DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 27 de 35 Usuaris dels Fitxers L’obligació d’informació del present document de seguretat als usuaris, queda limitada a aquela informació que utilitza cadascun d’els. És per això, que s’ha definit un document informatiu signat per tots els usuaris, en el què queda definides les obligacions i informacions que han de conèixer. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 28 de 35 Annex G. Procediments de control de seguretat, suport i recuperació i gestió PROCEDIMENTS GENERALS DE CONTROL I SEGURETAT La principal mesura de protecció dels equips informàtics és a través del seu antivirus, a més, s’estableix certa normativa interna per evitar pèrdues accidentals d’informació: ▪ L’ús del coreu electrònic corporatiu està expressament reservat a aqueles transmissions necessàries per a la realització d’aqueles tasques assignades a cada trebalador, quedant excloses les comunicacions personals. ▪ Respecte a les comunicacions rebudes per e-mail, el personal de la fundació no està autoritzat a obrir coreus de fonts desconegudes/sospitoses d’estar infectades amb virus o arxius coruptes. ▪ Els e-mails rebuts que contenen dades de caràcter personal un cop legits i impresos, si és necessari, són eliminats del sistema o arxivats a la carpeta coresponent per tal de situar-los en el nivel de seguretat adient. PROCEDIMENT DE SUPORT I RECUPERACIÓ. Es realitzen còpies de seguretat diàries del servidor. Les dades ubicades a servidors externs és el proveïdor del CPD (CDMON) qui assegura les dades en tot moment. Procediment per recuperar una còpia de seguretat En el cas que fos necessari la recuperació d’una còpia de seguretat, caldria posar-se en contacte amb l’administrador del sistema per realitzar la recuperació i restauració de les dades. PROCEDIMENT DE GESTIÓ DE SUPORTS Quan es vol traspassar informació, s’utilitza la transferència de dades per la xarxa de la fundació, sense recórer a suports externs. Tot i que aquest és el procediment habitual, és possible que encara s’usi algun CD o DVD, o algun perifèric tipus USB per operacions esporàdiques. Només els usuaris autoritzats tenen accés a les unitats locals CD, USB, floppy disk,… En aquest cas, s’etiqueta corectament el suport, informant del fitxer, la informació que conté i la data de creació. Un cop els suports han complert la seva finalitat, es procedirà a eliminar les dades que contenien per tal que no siguin recuperables abans de tornar-los a utilitzar. Els fitxers de dades manuals s’enviaran als responsables del tractament de fitxers en sobre tancat i amb justificant de recepció per a garantir i identificar la seva recepció. Qualsevol sortida de suports haurà de ser autoritzada pel Responsable del fitxer, d’acord amb el document adjunt. No caldrà autorització pels enviaments recurents que serien els següents: ▪ Enviament de dades del fitxer NEWSLETTER a l’empresa que realitza les funcions d’Agència de comunicació. Tractament previst segons contracte a l’Annex J. ▪ Enviament de dades del fitxer PERSONAL, NÒMINES I RRHH a l’empresa que confecciona les nòmines. Tractament previst segons contracte a l’Annex J. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 29 de 35 AUTORITZACIÓ DE SORTIDA DE SUPORTS Data de sortida del suport SUPORT Identificació Contingut Fitxers dels quals provenen les dades Data de creació FINALITAT I DESTÍ Finalitat Destí Destinatari FORMA DE LLIURAMENT Mètode de liurament Precaucions pel transport AUTORITZACIÓ Persona que autoritza Càrrec / Lloc Observacions Signatura DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 30 de 35 REGISTRE D’ACCESSOS S’ha creat un registre per controlar l’accés a les dades dels fitxers de qualsevol persona no contemplada com usuari habitual d’acord a aquest document de seguretat mitjançant el següent formulari: REGISTRE D'ACCESSOS Data i hora d'accés al fitxer SUPORT Identificació Fitxer Temps estimat FINALITAT I ORIGEN Finalitat Origen Destinatari TIPUS D'ACCÉS Mitjà d’accés Precaucions i privilegis AUTORITZACIÓ Persona que autoritza Motiu de la denegació, si aplica Observacions Signatura DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 31 de 35 Annex H. Procediment de Notificació i gestió d’incidències Quan succeeixi una incidència, els usuaris hauran de comunicar-la al Responsable del Fitxer mitjançant el següent formulari: FORMULARI DE NOTIFICACIÓ D’INCIDÈNCIES Incidència nº: |_______| Data de notificació: /__/__/____/ Tipus d’incidència: Descripció detalada de la incidència (Anotar tots els detals d’interès de la incidència) Data i hora en què es va produir la incidència Persona(es) que realitza(en) la notificació: (Especificar si són usuaris o no del Fitxer) Persona(es) a qui s’ha comunicat: Efectes que pot produir: (En cas de no subsanació o fins i tot independentment d’ela) Persona que realitza la comunicació: Nom i cognoms:___________________________ DNI:___________________ Firmat.:___________________________ DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 32 de 35 Annex I. Controls periòdics Contindrà els resultats del controls periòdics descrits a l’apartat 9, i si s’escau, les accions corectives a aplicar. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 33 de 35 Annex J. Contractes i convenis amb entitats col·laboradores ▪ Contracte d’encaregat del tractament degut als serveis de manteniment software i hardware amb GYROSISTEMS, S.L. ▪ Contracte d’encaregat del tractament degut als serveis de personal i nòmines amb GEMMA MARTÍNEZ I GIMENO. ▪ Contracte d’encaregat del tractament degut als serveis d’Agència de comunicació amb LABOH CONSULTANCY, S.L. ▪ Contracte d’encaregat del tractament degut als serveis de desenvolupament de la Base de Dades del Premi amb OMITSIS CONSULTING S.L. ▪ Contracte de prestació de serveis d’alotjament virtual de dades amb CDMON. DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 34 de 35 Annex K. Organigrama del personal i definició de privilegis DOCUMENT INTERN Edició V-1.0 2016 DOCUMENT DE SEGURETAT EN MATÈRIA DE PROTECCIÓ DE DADES Pàgina 35 de 35 Annex L. Inventari d’equips informàtics Service Tag / Equip Marca Model Usuari Cognom Nom Centre Ubicació Departament Nº sèrie Avís legal a formularis en paper, pagina web, etc.. En compliment de la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal, l'informem que les dades personals que ens subministra seran tractats de forma confidencial i passaran a formar part d'un fitxer anomenat XXX, titularitat de FUNDACIÓ MIES VAN DER ROHE. Les dades personals que ens facilita tenen per finalitat XXX. L'informem que pot exercir els drets d'accés, rectificació, cancel·lació i oposició d'acord amb el que preveu la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal, enviant un escrit juntament amb la fotocòpia del seu DNI, a la següent adreça: FUNDACIÓ MIES VAN DER ROHE REF: PROTECCIÓ DE DADES Carrer de Provença, 318, pral. 2b 08037 Barcelona O a l’adreça electrònica lopd@miesbcn.com. Full de conseniment Nom i cognoms: DNI: Adreça: Codi Postal: Població: Data de naixement: Correu Telèfon: electrònic: En compliment de la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal, l'informem que les dades personals que ens subministra seran tractats de forma confidencial i passaran a formar part d'un fitxer anomenat xxx, titularitat de FUNDACIÓ MIES VAN DER ROHE. Les dades personals que ens facilita tenen per finalitat XXX. L'informem que pot exercir els drets d'accés, rectificació, cancel·lació i oposició d'acord amb el que preveu la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal, enviant un escrit juntament amb la fotocòpia del seu DNI, a la següent adreça: FUNDACIÓ MIES VAN DER ROHE REF: PROTECCIÓ DE DADES Carrer de Provença, 318, pral. 2b 08037 Barcelona O a l’adreça electrònica lopd@miesbcn.com. Fundació Mies Van der Rohe ACORD Mitjançant acord del Consell d’Administració de data xx de desembre de 2016 en ordre allò que disposa l'art. 20 de la vigent Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, i davant la necessitat de la creació de diversos fitxers manuals i automatitzats que continguin dades de caràcter personal obtinguts a partir de la informació que subministren voluntàriament els usuaris/es dels serveis que presten a diverses àrees de la Fundació Mies Van der Rohe, els clients, els treballadors i d’altres persones físiques, S'ACORDA: Primer.- APROVAR els següents fitxers de caràcter personal amb la denominació i característiques que a continuació es relacionen a l'annex. Segon.- APROVAR les fitxes adjuntes a l'expedient. Tercer.- PUBLICAR el present acord en el Butlletí Oficial de la Província. Quart.- NOTIFICAR a l'Agència Catalana de Protecció de Dades la creació d'aquests fitxers i bases de dades de caràcter personal. ANNEX FUNDACIÓ MIES VAN DER ROHE. INSCRIPCIÓ DE FITXERS AL REGISTRE DE PROTECCIÓ DE DADES DE CATALUNYA. Nom del fitxer: PERSONAL, NÒMINES I RRHH. Finalitat i usos previstos: La finalitat és gestionar el personal adscrit a la Fundació. Els usos són els derivats de la gestió de recursos humans, situació laboral, obtenció d’estadístiques i impresos necessaris per a la gestió de personal. Persones o col·lectius dels que s'obtenen les dades personals: Treballadors de la Fundació. Procedència: Dels propis interessats. Procediment de recollida de les dades: Els treballadors aporten els documents escaients per a la formalització del contracte, percepció de les remuneracions i tota la documentació que legalment és exigible. Estructura del fitxer i descripció dels tipus de dades: Dades identificatives: nom i cognoms, DNI/NIF, número de registre personal, adreça postal i electrònica, telèfon, número de la Seguretat Social. Dades de característiques personals: gènere, estat civil, nacionalitat, edat, data i lloc de naixement, dades familiars. Dades de circumstàncies socials: dates d’altes i baixes, llicències, permisos, autoritzacions. Dades acadèmiques i professionals: titulacions, formació i experiència professional. Sistema del tractament: Manual i automatitzat. Cessions: No es preveuen cessions. Transferència internacional de dades: No se'n preveuen. Òrgan responsable del fitxer: Fundació Mies Van der Rohe, Carrer de Provença, 318, pral. 2b, 08037 Barcelona o a l’adreça de correu electrònic lopd@miesbcn.com. Servei o unitat on es poden exercir els drets d'accés, rectificació, cancel·lació i oposició: Els drets dels afectats es poden exercir davant el mateix òrgan responsable del fitxer. Nivell de mesures de seguretat: Nivell bàsic. Nom del fitxer: GENERAL D'ADMINISTRACIÓ. Finalitat i usos previstos: La finalitat del fitxer és el compliment de la normativa comptable, fiscal i administrativa de l’Entitat. Persones o col·lectius dels que s'obtenen les dades personals: Persones que utilitzen els serveis de la Fundació i són registrades per facturar, membres dels Òrgans de govern de la Fundació i creditors que actuen com persones físiques en el tràfic mercantil. Procedència: Dels propis interessats. Procediment de recollida de les dades: Mitjançant el Formulari informat que proporcionen els clients i altres persones que operen amb la Fundació. Estructura del fitxer i descripció dels tipus de dades: Dades de caràcter identificatiu: nom i cognoms, DNI/NIF, adreça postal i electrònica. Dades econòmiques: Dades bancàries. Sistema del tractament: Manual i automatitzat. Cessions: No es preveuen cessions. Transferència internacional de dades: No se'n preveuen. Òrgan responsable del fitxer: Fundació Mies Van der Rohe, Carrer de Provença, 318, pral. 2b, 08037 Barcelona o a l’adreça de correu electrònic lopd@miesbcn.com. Servei o unitat on es poden exercir els drets d'accés, rectificació, cancel·lació i oposició: Els drets dels afectats es poden exercir davant el mateix òrgan responsable del fitxer. Nivell de mesures de seguretat: Nivell bàsic. Nom del fitxer: BASE DE DADES DEL PREMI. Finalitat i usos previstos: La finalitat del fitxer és la recopilació de informació per a presentar davant el jurat i que aquest prengui decisions. Els usos previstos són la consulta històrica dels guardonats i participants i les obres presentades. Persones o col·lectius dels que s'obtenen les dades personals: Persones o despatxos d’arquitectura que són proposats per participar-hi al certamen als que se’ls proporciona les claus d’accés a la base de dades.. Procedència: Dels propis interessats. Procediment de recollida de les dades: Els interessats en rebre les claus d’accés omplen els formularis amb les seves dades. Estructura del fitxer i descripció dels tipus de dades: Base de dades dels guardonats i participants al concurs bianual que des de l’any 1988 atorga la Fundació. El sistema informàtic o aplicació d’accés al Fitxer és mitjançant la web http://www.miesarch.com/archive. Les dades de caràcter personal són introduïdes directament pels propis participants mitjançant l’habilitació d’un usuari i una contrasenya que la Fundació els hi proporciona. Les dades de caràcter personal són les següents: Denominació de l’obra, Plaça al concurs, Any de participació, Ubicació de l’obra, Any finalització de l’obra, Despatx/Estudi professional, Autors i any de naixement, Col·laboradors. Sistema del tractament: Automatitzat. Cessions: A l’Agència de comunicació. Transferència internacional de dades: No se'n preveuen. Òrgan responsable del fitxer: Fundació Mies Van der Rohe, Carrer de Provença, 318, pral. 2b, 08037 Barcelona o a l’adreça de correu electrònic lopd@miesbcn.com. Servei o unitat on es poden exercir els drets d'accés, rectificació, cancel·lació i oposició: Els drets dels afectats es poden exercir davant el mateix òrgan responsable del fitxer. Nivell de mesures de seguretat: Nivell bàsic. Nom del fitxer: NEWSLETTER. Finalitat i usos previstos: La finalitat del fitxer és la difusió d’informació relativa a les activitats que du a terme la Fundació. Els usos del fitxer són els derivats de la gestió de la difusió i la comunicació de la informació. Persones o col·lectius dels que s'obtenen les dades personals: Professionals, responsables d’empreses i entitats i particulars interessats en rebre la informació. Procedència: Dels propis interessats. Procediment de recollida de les dades: Els interessats omplen un formulari amb les seves dades, o envien un mail demanant informació. Estructura del fitxer i descripció dels tipus de dades: Dades identificatives: nom, cognoms, gènere, adreça postal, adreça electrònica i telèfon. Sistema del tractament: Manual i automatitzat. Cessions: A l’Agència de comunicació. Transferència internacional de dades: No se'n preveuen. Òrgan responsable del fitxer: Fundació Mies Van der Rohe, Carrer de Provença, 318, pral. 2b, 08037 Barcelona o a l’adreça de correu electrònic lopd@miesbcn.com. Servei o unitat on es poden exercir els drets d'accés, rectificació, cancel·lació i oposició: Els drets dels afectats es poden exercir davant el mateix òrgan responsable del fitxer. Nivell de mesures de seguretat: Nivell bàsic. Nom del fitxer: BOTIGA ONLINE. Finalitat i usos previstos: La finalitat del fitxer és la gestió operativa de la Botiga Online. Els usos previstos són la recepció de comandes dels usuaris registrats, el lliurament i facturació de les mercaderies sol·licitades. Persones o col·lectius dels que s'obtenen les dades personals: Persones que omplen el formulari electrònic de la pàgina web. Procedència: Dels propis interessats. Procediment de recollida de les dades: Els interessats en comprar productes online es registren a la pàgina web amb les seves dades. Estructura del fitxer i descripció dels tipus de dades: Dades de caràcter identificatiu: nom i cognoms, DNI/NIF, adreça postal i electrònica. Dades econòmiques: Dades bancàries. Sistema del tractament: Automatitzat. Cessions: No es preveuen cessions. Transferència internacional de dades: No se'n preveuen. Òrgan responsable del fitxer: Fundació Mies Van der Rohe, Carrer de Provença, 318, pral. 2b, 08037 Barcelona o a l’adreça de correu electrònic lopd@miesbcn.com. Servei o unitat on es poden exercir els drets d'accés, rectificació, cancel·lació i oposició: Els drets dels afectats es poden exercir davant el mateix òrgan responsable del fitxer. Nivell de mesures de seguretat: Nivell bàsic. Barcelona, xx de desembre de 2016 El president, PROTOCOL PER A LA PROTECCIÓ DE DADES DE CARÀCTER PERSONAL PER A ENTITATS EXTERNES A la ciutat de Barcelona, a 1 de desembre de 2016. REUNITS: D’una part: La Sra. XXXXXX, major d’edat, veïna de Barcelona amb domicili professional a Carrer Provença, 318, pral. 2b, de Barcelona i titular del D.N.I. número XXXXXXXX. Intervé en nom i representació de l’entitat “FUNDACIO MIES VAN DER ROHE”, amb domicili a Carrer Provença, 318, pral. 2b, de Barcelona i titular del C.I.F. número G-59.125.369. I de l’altra part: La Sra. XXXXXXX, major d’edat, veïna de Barcelona, amb domicili professional al XXXXXXXXXXX i titular del D.N.I. número XXXXXXXXXXXXX. Intervé en nom propi. 1 MANIFESTEN: I.- Que FUNDACIO MIES VAN DER ROHE gestiona un fitxer que conté dades de caràcter personal anomenat PERSONAL, NÒMINES I RRHH. II.- Que la Sra. XXXXXXX, es dedica, entre altres, a la prestació de serveis de confecció i gestió de la documentació relativa a l’àmbit laboral i fiscal dels treballadors, com és la confecció de nòmines, butlletins de cotització i comunicats d’alta dels mateixos a la seguretat social, en termes amplis. III.- Que FUNDACIO MIES VAN DER ROHE BARCELONA ha encarregat a la Sra. XXXXXXXXXX la realització dels serveis mencionats en el punt anterior. IV.- Que per tal de que la Sra. XXXXXXXXX pugui procedir al correcte desenvolupament de les seves tasques, precisa les dades contingudes al fitxer que gestiona FUNDACIO MIES VAN DER ROHE. V.- Que les entitats signants han implantat la normativa de protecció de dades de caràcter personal continguda a la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal i al Reial Decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de Mesures de Seguretat dels Fitxers que contenen Dades de Caràcter Personal. Com a conseqüència de la implantació de les mesures esmentades, disposen del corresponent document de seguretat, s’han informat de les línies bàsiques, per al seu coneixement, comprometent-se recíprocament a respectar els procediments i estàndards de seguretat establerts al mateix. En virtut de l’exposat i, considerant el que es disposa a la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal i al Reial Decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de Mesures de Seguretat dels Fitxers que contenen Dades de Caràcter Personal, ambdues parts, reconeixent-se mútuament la suficient capacitat legal i civil per a contractar i obligar-se, 2 PACTEN: Primer.- FUNDACIO MIES VAN DER ROHE cedeix el fitxer a que s’ha fet referència a la part d’expositiu d’aquest document a favor de la Sra. XXXXXXXXX, a fi i efecte de que aquesta darrera pugui prestar-li els serveis mencionats anteriorment. Segon.- La Sra. XXXXXXXXXXX únicament tractarà les dades d’acord amb les instruccions facilitades per part dels representants de FUNDACIO MIES VAN DER ROHE. De la mateixa manera, no les aplicarà o utilitzarà amb cap finalitat diferent a la que és objecte de les relacions contractuals existents entre les dues entitats sota-signants, ni les comunicarà a terceres persones per a cap finalitat, inclosa la seva conservació. Tercer.- La Sra. XXXXXXXXXX haurà d’adoptar les mesures de caire tècnic i organitzatiu necessàries per tal de garantir la seguretat de les dades de caràcter personal que es contenen a l’arxiu, així com aquelles que evitin la seva alteració, pèrdua, tractament o accés no autoritzat. Les mesures concretes que s’hauran d’aplicar són les que es contenen al document de seguretat de la mateixa. Quart.- L’incompliment d’alguna de les obligacions establertes a càrrec de la Sra. XXXXXXXXXXX, en el present document, facultarà a la FUNDACIO MIES VAN DER ROHE per a resoldre el vincle contractual que vincula a les parts sota-signants. 3 I en prova de conformitat amb tot el que precedeix, ambdues parts signen el present document per duplicat exemplar al lloc i data assenyalats a l’encapçalament. FUNDACIO MIES VAN DER ROHE 4 PROTOCOL PER A LA PROTECCIÓ DE DADES DE CARÀCTER PERSONAL PER A ENTITATS EXTERNES A la ciutat de Barcelona, a 11 de febrer de 2016. REUNITS: D’una part: La Sra. XXXXXXX, major d’edat, veïna de Barcelona amb domicili professional a XXXXXXXXX, de Barcelona i titular del D.N.I. número XXXXXX. Intervé en nom i representació de l’entitat “FUNDACIO MIES VAN DER ROHE”, amb domicili a Carrer Provença, 318, pral. 2b, de Barcelona i titular del C.I.F. número G-59.125.369. I de l’altra part: El Sr. XXXXXXXXXXXXXXX, major d’edat, veí de Girona, amb domicili professional XXXXXX i titular del D.N.I. número XXXXXXX. Intervé en nom i representació de l’entitat “GIROSYSTEM, S.L.”, amb domicili al XXXXXXXXXX i titular del C.I.F. número XXXXXXXX. 1 MANIFESTEN: I.- Que FUNDACIO MIES VAN DER ROHE gestiona fitxers que contenen dades de caràcter personal anomenats: PERSONAL, NÒMINES I RRHH GENERAL D'ADMINISTRACIÓ PREMI NEWSLETTER BOTIGA ONLINE. II.- Que la societat “GIROSYSTEM, S.L.”, es dedica, entre altres, a la prestació de tot tipus de serveis informàtics en sentit ampli. III.- Que FUNDACIO MIES VAN DER ROHE BARCELONA ha encarregat a la societat “GIROSYSTEM, S.L.” la realització dels serveis mencionats en el punt anterior. IV.- Que per tal de que la societat “GIROSYSTEM, S.L.” pugui procedir al correcte desenvolupament de les seves tasques, precisa les dades contingudes al fitxer que gestiona FUNDACIO MIES VAN DER ROHE. V.- Que les entitats signants han implantat la normativa de protecció de dades de caràcter personal continguda a la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal i al Reial Decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de Mesures de Seguretat dels Fitxers que contenen Dades de Caràcter Personal. Com a conseqüència de la implantació de les mesures esmentades, disposen del corresponent document de seguretat, s’han informat de les línies bàsiques, per al seu coneixement, comprometent-se recíprocament a respectar els procediments i estàndards de seguretat establerts al mateix. En virtut de l’exposat i, considerant el que es disposa a la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal i al Reial Decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de Mesures de Seguretat dels Fitxers que contenen Dades de Caràcter Personal, 2 ambdues parts, reconeixent-se mútuament la suficient capacitat legal i civil per a contractar i obligar-se, PACTEN: Primer.- FUNDACIO MIES VAN DER ROHE cedeix el fitxer a que s’ha fet referència a la part d’expositiu d’aquest document a favor de l’entitat “GIROSYSTEM, S.L.”, a fi i efecte de que aquesta darrera pugui prestar-li els serveis mencionats anteriorment. Segon.- La societat “GIROSYSTEM, S.L.” únicament tractarà les dades d’acord amb les instruccions facilitades per part dels representants de FUNDACIO MIES VAN DER ROHE. De la mateixa manera, no les aplicarà o utilitzarà amb cap finalitat diferent a la que és objecte de les relacions contractuals existents entre les dues entitats sota-signants, ni les comunicarà a terceres persones per a cap finalitat, inclosa la seva conservació. Tercer.- La societat “GIROSYSTEM, S.L.” haurà d’adoptar les mesures de caire tècnic i organitzatiu necessàries per tal de garantir la seguretat de les dades de caràcter personal que es contenen a l’arxiu, així com aquelles que evitin la seva alteració, pèrdua, tractament o accés no autoritzat. Les mesures concretes que s’hauran d’aplicar són les que es contenen al document de seguretat de la mateixa. Quart.- L’incompliment d’alguna de les obligacions establertes a càrrec de la societat “GIROSYSTEM, S.L.”, en el present document, facultarà a la FUNDACIO MIES VAN DER ROHE per a resoldre el vincle contractual que vincula a les empreses sota-signants. 3 I en prova de conformitat amb tot el que precedeix, ambdues parts signen el present document per duplicat exemplar al lloc i data assenyalats a l’encapçalament. FUNDACIO MIES VAN DER ROHE GIROSYSTEM, S.L. 4 PROTOCOL PER A LA PROTECCIÓ DE DADES DE CARÀCTER PERSONAL PER A ENTITATS EXTERNES A la ciutat de Barcelona, a 11 de febrer de 2016. REUNITS: D’una part: La Sra. XXXXXX, major d’edat, veïna de Barcelona amb domicili professional a Carrer Provença, 318, pral. 2b, de Barcelona i titular del D.N.I. número XXXXXXX. Intervé en nom i representació de l’entitat “FUNDACIO MIES VAN DER ROHE”, amb domicili a Carrer Provença, 318, pral. 2b, de Barcelona i titular del C.I.F. número G-59.125.369. I de l’altra part: La Sra. XXXXXXXXX, major d’edat, veïna de Barcelona, amb domicili professional al XXXXXX Barcelona i titular del D.N.I. número XXXXXX. Intervé en nom i representació de l’entitat “LABOH CONSULTANCY, S.L.”, amb domicili al XXXXXXXX de Barcelona i titular del C.I.F. número XXXXXXXXX. 1 MANIFESTEN: I.- Que FUNDACIO MIES VAN DER ROHE gestiona un fitxer que conté dades de caràcter personal anomenat PREMI i NEWSLETTER. II.- Que la societat “LABOH CONSULTANCY, S.L.”, es dedica, entre altres, a la prestació de serveis d’agència de comunicació. III.- Que FUNDACIO MIES VAN DER ROHE BARCELONA ha encarregat a la societat “LABOH CONSULTANCY, S.L.” la realització dels serveis mencionats en el punt anterior. IV.- Que per tal de que la societat “LABOH CONSULTANCY, S.L.” pugui procedir al correcte desenvolupament de les seves tasques, precisa les dades contingudes al fitxer que gestiona FUNDACIO MIES VAN DER ROHE. V.- Que les entitats signants han implantat la normativa de protecció de dades de caràcter personal continguda a la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal i al Reial Decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de Mesures de Seguretat dels Fitxers que contenen Dades de Caràcter Personal. Com a conseqüència de la implantació de les mesures esmentades, disposen del corresponent document de seguretat, s’han informat de les línies bàsiques, per al seu coneixement, comprometent-se recíprocament a respectar els procediments i estàndards de seguretat establerts al mateix. En virtut de l’exposat i, considerant el que es disposa a la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal i al Reial Decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de Mesures de Seguretat dels Fitxers que contenen Dades de Caràcter Personal, ambdues parts, reconeixent-se mútuament la suficient capacitat legal i civil per a contractar i obligar-se, 2 PACTEN: Primer.- FUNDACIO MIES VAN DER ROHE cedeix el fitxer a que s’ha fet referència a la part d’expositiu d’aquest document a favor de l’entitat “LABOH CONSULTANCY, S.L.”, a fi i efecte de que aquesta darrera pugui prestar-li els serveis mencionats anteriorment. Segon.- La societat “LABOH CONSULTANCY, S.L.” únicament tractarà les dades d’acord amb les instruccions facilitades per part dels representants de FUNDACIO MIES VAN DER ROHE. De la mateixa manera, no les aplicarà o utilitzarà amb cap finalitat diferent a la que és objecte de les relacions contractuals existents entre les dues entitats sota-signants, ni les comunicarà a terceres persones per a cap finalitat, inclosa la seva conservació. Tercer.- La societat “LABOH CONSULTANCY, S.L.” haurà d’adoptar les mesures de caire tècnic i organitzatiu necessàries per tal de garantir la seguretat de les dades de caràcter personal que es contenen a l’arxiu, així com aquelles que evitin la seva alteració, pèrdua, tractament o accés no autoritzat. Les mesures concretes que s’hauran d’aplicar són les que es contenen al document de seguretat de la mateixa. Quart.- L’incompliment d’alguna de les obligacions establertes a càrrec de la societat “LABOH CONSULTANCY, S.L.”, en el present document, facultarà a la FUNDACIO MIES VAN DER ROHE per a resoldre el vincle contractual que vincula a les empreses sota-signants. 3 I en prova de conformitat amb tot el que precedeix, ambdues parts signen el present document per duplicat exemplar al lloc i data assenyalats a l’encapçalament. FUNDACIO MIES VAN DER ROHE LABOH CONSULTANCY, S.L. Aquesta publicació està sota una llicència Creative Commons Reconeixement – No Comercial – No Derivades (BY-NC-ND) https://creativecommons.org/ 4