Comunica experienta
MonitorulJuridic.ro
──────────
Aprobate prin ORDINUL nr. 722 din 23 martie 2020, publicat în Monitorul Oficial, Partea I, nr. 555 din 26 iunie 2020.
──────────
^1) Prezentele norme nu se referă şi nu se aplică datelor statistice care intră sub incidenţa actelor normative privind unele măsuri în legătură cu informaţiile clasificate sau ale altor acte normative în acest domeniu.
1. Cadrul legal, definiţii şi principii privind confidenţialitatea datelor statistice
Prezentele norme sunt elaborate în scopul asigurării respectării principiului confidenţialităţii datelor statistice deţinute de Institutul Naţional de Statistică pe întregul flux de colectare, procesare, stocare, diseminare şi arhivare a lor.
1.1. Cadrul legal
În conformitate cu legislaţia naţională şi europeană în vigoare, confidenţialitatea datelor individuale culese în scopuri statistice este protejată potrivit prevederilor din:
- Regulamentul (CE) nr. 223/2009 al Parlamentului European şi al Consiliului din 11 martie 2009 privind statisticile europene şi de abrogare a Regulamentului (CE, Euratom) nr. 1.101/2008 al Parlamentului European şi al Consiliului privind transmiterea de date statistice confidenţiale Biroului Statistic al Comunităţilor Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare şi a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunităţilor Europene astfel cum a fost modificat prin Regulamentul (UE) 2015/759 al Parlamentului European şi al Consiliului din 29 aprilie 2015;
– Regulamentul (UE) nr. 557/2013 al Comisiei din 17 iunie 2013 de punere în aplicare a Regulamentului (CE) nr. 223/2009 al Parlamentului European şi al Consiliului privind statisticile europene în ceea ce priveşte accesul la date confidenţiale în scopuri ştiinţifice şi de abrogare a Regulamentului (CE) nr. 831/2002 al Comisiei;
– Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) - RGPD;
– Legea organizării şi funcţionării statisticii oficiale în România nr. 226/2009, cu modificările şi completările ulterioare;
– Legea nr. 682/2001 privind ratificarea Convenţiei pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981, cu modificările ulterioare;
– Legea nr. 455/2001 privind semnătura electronică, republicată;
– Codul de bune practici al statisticilor europene pentru autorităţile naţionale de statistică şi Eurostat (autoritatea statistică a Uniunii Europene), adoptat de Comitetul Sistemului Statistic European (CSSE) la 16 noiembrie 2017.
1.2. Definiţii şi principii
Principiul confidenţialităţii este reglementat de Legea organizării şi funcţionării statisticii oficiale în România nr. 226/2009, cu modificările şi completările ulterioare, care prin art. 5 alin. (1) lit. e) garantează confidenţialitatea informaţiilor pe care le furnizează respondenţii (gospodării, întreprinderi, administraţii etc.) şi utilizarea lor numai în scopuri statistice.
Potrivit principiului confidenţialităţii serviciile de statistică oficială şi personalul statistic au obligaţia să adopte şi să asigure pe parcursul întregii perioade a cercetărilor statistice şi a recensămintelor - de la înregistrare până la publicare - măsuri de protecţie a datelor individuale care se referă la subiecţii statistici individuali - persoane fizice sau juridice, date obţinute direct prin cercetări statistice totale sau parţiale sau indirect, din surse administrative ori din alte surse.
Confidenţialitatea informaţiilor statistice presupune protejarea datelor confidenţiale referitoare la unităţile statistice individuale, care sunt obţinute direct în scopuri statistice sau indirect din surse administrative ori din alte surse şi implică interzicerea utilizării datelor în alte scopuri decât cele statistice şi a divulgării ilegale a acestora.
Capitolul X din Legea organizării şi funcţionării statisticii oficiale în România nr. 226/2009, cu modificările şi completările ulterioare, referitor la confidenţialitatea şi protecţia datelor statistice, stipulează condiţiile şi regulile de confidenţialitate şi de protecţie a datelor statistice.
În înţelesul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor):
a) „date cu caracter personal“ înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă - „persoană vizată“; o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
b) „prelucrare“ înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;
c) „sistem de evidenţă a datelor“ înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice;
d) „operator“ înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii Europene sau în dreptul intern;
e) „operator statistic“ înseamnă persoană atrasă temporar, pe bază de contract încheiat în temeiul Codului civil, pentru colectarea datelor în scop statistic de la gospodăriile populaţiei şi de la persoanele juridice cuprinse în cercetările statistice, sub autoritatea unui producător de statistici oficiale;
f) „pseudonimizare“ înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informaţii suplimentare, cu condiţia ca aceste informaţii suplimentare să fie stocate separat şi să facă obiectul unor măsuri de natură tehnică şi organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
g) „date anonime“ înseamnă informaţiile care nu sunt legate de o persoană fizică identificată sau identificabilă sau datele cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă^2.
^2 Considerentul (26) din RGPD.
Accesul în scopuri ştiinţifice la datele statistice individuale colectate de serviciile de statistică oficială este reglementat atât de legislaţia naţională în domeniul statisticii, cât şi de Regulamentul (UE) nr. 557/2013 al Comisiei din 17 iunie 2013 de punere în aplicare a Regulamentului (CE) nr. 223/2009 al Parlamentului European şi al Consiliului privind statisticile europene în ceea ce priveşte accesul la date confidenţiale în scopuri ştiinţifice şi poate fi acordat, cu aprobarea preşedintelui Institutului Naţional de Statistică sau la nivel local cu aprobarea directorului executiv al direcţiei regionale/judeţene de statistică.
În Principiile fundamentale ale statisticii oficiale elaborate de ONU, potrivit Principiului 6, se stipulează: „datele individuale colectate de oficiile de statistică în vederea prelucrării, fie că se referă sau nu la persoane fizice sau juridice, trebuie să rămână confidenţiale şi trebuie să fie utilizate doar în scopuri statistice“.
În Regulamentul (CE) nr. 223/2009 al Parlamentului European şi al Consiliului se prevede definiţia confidenţialităţii informaţiilor statistice ca fiind protejarea datelor confidenţiale referitoare la unităţile statistice individuale, care sunt obţinute direct în scopuri statistice sau indirect din surse administrative sau din alte surse şi implică interzicerea utilizării datelor în alte scopuri decât cele statistice şi a divulgării ilegale a acestora.
În Codul de bune practici al statisticilor europene pentru autorităţile naţionale şi europene de statistică adoptat de CSSE, prin principiile 5 şi 15 sunt specificaţi indicatorii ce trebuie respectaţi pentru păstrarea confidenţialităţii şi a accesibilităţii la datele confidenţiale pentru activităţi de cercetare ştiinţifică, şi anume:
Principiul 5 Confidenţialitatea statistică şi protecţia datelor - Confidenţialitatea furnizorilor de date, confidenţialitatea informaţiilor pe care aceştia le furnizează, utilizarea datelor respective numai în scopuri statistice şi securitatea datelor sunt pe deplin garantate.
Indicatori:
- confidenţialitatea statistică este garantată prin lege;
– personalul semnează angajamente de confidenţialitate la numirea în funcţie;
– sunt prevăzute sancţiuni pentru orice încălcare deliberată a confidenţialităţii statistice;
– se pun la dispoziţia personalului orientări şi instrucţiuni privind protecţia confidenţialităţii statistice pe întregul parcurs al proceselor statistice. Politica de confidenţialitate este adusă la cunoştinţa publicului larg;
– sunt instituite măsurile de reglementare, administrative, tehnice şi organizatorice necesare pentru protejarea securităţii şi integrităţii datelor statistice şi a transmiterii acestora, în conformitate cu cele mai bune practici, cu standardele internaţionale, precum şi cu legislaţia europeană şi naţională;
– există protocoale stricte care se aplică utilizatorilor externi care accesează microdatele statistice în scopuri de cercetare.
Principiul 15 Accesibilitate şi claritate - Statisticile europene sunt prezentate într-o formă clară şi uşor de înţeles, sunt publicate într-un mod adecvat şi convenabil, sunt disponibile şi accesibile respectându-se imparţialitatea şi sunt însoţite de metadate şi orientări.
Indicatori:
- statisticile şi metadatele corespunzătoare sunt prezentate şi arhivate într-o formă care facilitează interpretarea corectă şi comparaţiile semnificative;
– serviciile de difuzare a statisticilor utilizează tehnologii ale informaţiei şi comunicaţiilor, metode şi platforme moderne şi standarde în materie de date deschise;
– atunci când este fezabil, se realizează analize personalizate şi se asigură informarea publicului;
– accesul la microdate este permis în scopuri de cercetare şi se supune unor norme sau protocoale specifice;
– metadatele referitoare la rezultate sunt administrate şi difuzate de către autoritatea statistică conform standardelor europene;
– utilizatorii sunt informaţi în legătură cu metodologia proceselor statistice, inclusiv cu utilizarea şi integrarea datelor administrative şi a altor tipuri de date;
– utilizatorii sunt informaţi cu privire la calitatea rezultatelor statistice în raport cu criteriile de calitate ale statisticilor europene.
2. Reguli de protecţie a datelor statistice confidenţiale
Regulile generale şi cele specifice privind prelucrarea datelor cu caracter personal enunţate în Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), precum şi în legislaţia naţională în domeniu trebuie respectate întocmai.
În vederea asigurării securităţii prelucrării datelor, Institutul Naţional de Statistică implementează măsurile tehnice şi organizatorice concretizate în regulile prezentate mai jos, care trebuie însuşite şi respectate de către toţi salariaţii din serviciile de statistică oficială implicaţi în realizarea de cercetări statistice, indiferent de poziţia acestora în fluxul statistic, de la colectarea datelor în scop statistic, recepţionarea formularelor, introducerea, transmiterea, procesarea, stocarea, diseminarea şi arhivarea datelor.
2.1. Colectarea datelor în scop statistic
Colectarea datelor individuale în scop statistic, direct de către angajaţii direcţiilor regionale/judeţene de statistică şi Institutul Naţional de Statistică prin formulare statistice offline sau online se efectuează conform procedurilor în vigoare, cu respectarea următoarelor reguli privind protecţia datelor confidenţiale:
a) personalul specializat cuprins în activitatea serviciilor statisticii oficiale, care, potrivit statutului său legal, participă la acţiunile de culegere de date statistice individuale, este obligat să respecte cu stricteţe principiul confidenţialităţii. Aceeaşi obligaţie revine şi persoanelor angajate temporar în activitatea de culegere sau de procesare a datelor şi informaţiilor statistice;
b) formularele de tipul „raport statistic“ sau „chestionar statistic“ pe suport hârtie sau electronic, care conţin date individuale referitoare la persoanele fizice, gospodării sau persoane juridice, sunt considerate confidenţiale;
c) caracterul „Confidenţial“ trebuie menţionat pe formularele tipărite prin care se culeg aceste date în cadrul cercetărilor statistice organizate de Institutul Naţional de Statistică; pe formular va fi înscrisă prevederea legală de garantare a utilizării datelor individuale numai în scopuri statistice şi faptul că Institutul Naţional de Statistică asigură confidenţialitatea acestora.
2.2. Recepţionarea chestionarelor/formularelor statistice de către direcţiile regionale/judeţene de statistică şi Institutul Naţional de Statistică
Pentru primirea formularelor cu date statistice individuale se va crea la sediul direcţiilor regionale/judeţene de statistică şi la sediul Institutului Naţional de Statistică un spaţiu special de acces al operatorilor economici. Acolo unde acest lucru nu este posibil se vor lua alte măsuri prin care să se asigure recepţionarea în condiţiile respectării confidenţialităţii datelor, în care aceştia vor preda chestionarele/formularele statistice expertului responsabil al cercetării statistice, conform procedurilor în vigoare, prevăzute pentru recepţionarea chestionarelor/formularelor statistice.
Pentru informaţiile în format electronic, transmise prin poşta electronică, se creează infrastructura necesară preluării datelor, cu asigurarea procedurilor IT în vigoare, pentru:
a) autentificarea surselor de date externe (raportorii);
b) autentificarea direcţiilor teritoriale de statistică şi criptarea datelor transmise de la/spre acestea;
c) autentificarea utilizatorilor interni în cadrul reţelelor locale;
d) autentificarea accesărilor utilizatorilor interni (de la direcţiile regionale/judeţene de statistică şi Institutul Naţional de Statistică) la resursele confidenţiale;
e) monitorizarea permanentă a accesărilor (de la direcţiile regionale/judeţene de statistică şi Institutul Naţional de Statistică) la resursele confidenţiale.
Pentru informaţiile colectate prin chestionare electronice se creează infrastructura necesară transmiterii datelor online cu asigurarea procedurilor IT în vigoare:
a) autentificarea operatorilor statistici şi a responsabililor din direcţiile regionale/judeţene de statistică;
b) securizarea datelor stocate pe tabletele utilizate pentru colectarea datelor;
c) securizarea operaţiunilor de comunicare şi transfer de date între tablete şi servere şi între servere şi computerele locale.
2.3. Prelucrarea datelor statistice individuale
Operaţiunile de prelucrare a datelor individuale în scop statistic de către Institutul Naţional de Statistică şi unităţile sale subordonate se realizează de personal instruit în respectarea confidenţialităţii datelor statistice individuale, prin aplicaţii informatice care au prevăzut accesul la acestea pe bază de „user name“ şi „parolă“.
Indiferent de mediul de programare utilizat, pentru accesul la aplicaţiile de introducere a datelor şi la bazele de date, care conţin date individuale, trebuie proiectate aplicaţii informatice cu funcţii prevăzute pentru identificarea şi autentificarea operatorilor/utilizatorilor pe bază de parolă. Pentru identificarea operatorilor/utilizatorilor trebuie proiectate funcţii pentru:
a) verificarea identităţii;
b) autentificarea utilizatorului (userului);
c) actualizarea listei de identităţi;
d) asigurarea confidenţialităţii şi a integrităţii acestei liste de către un administrator/supervizor al aplicaţiei informatice.
Pentru controlul accesului, după stabilirea identităţii unui utilizator se utilizează funcţii care permit accesul restricţionat la anumite resurse ale sistemului. Aceste funcţii includ:
a) administrarea drepturilor şi nivelurilor de acces;
b) monitorizarea accesului la resurse.
2.4. Transmiterea datelor statistice individuale
Teletransmisia (transmisia electronică de date între direcţiile regionale/judeţene de statistică şi Institutul Naţional de Statistică şi invers) se face utilizând proceduri informatice specializate pentru:
a) autentificarea obligatorie a ambelor părţi, fiecare în funcţie de cealaltă;
b) criptarea bidirecţională obligatorie a mediului de transmisie.
Prin teletransmisie se schimbă numai date anonimizate şi prelucrate. Nu se transmit microdate sau date din care se pot identifica date legate de respondenţi.
Huburile şi/sau routerele care transportă parole sau alte detalii sensibile sunt amplasate în zone securizate, de protecţie maximă.
Se evită administrarea de la distanţă a serverelor şi firewallurilor, oricare ar fi motivul.
2.5. Diseminarea datelor statistice individuale
În vederea prevenirii diseminării de date statistice confidenţiale sunt respectate definiţiile şi principiile enunţate la subpct. 1.2, precum şi următoarele reguli:
a) nu se diseminează decât date statistice agregate pentru trei sau mai multe persoane fizice sau juridice (n>2), dacă datele astfel obţinute nu mai permit identificarea datelor individuale şi dacă se respectă regula de dominanţă în funcţie de domeniul statistic; pentru această regulă sunt excepţii prevăzute în regulamente europene pentru unele cercetări statistice;
b) nu pot fi diseminate date statistice individuale despre o persoană fizică sau juridică decât dacă aceasta îşi dă acordul scris în acest sens;
c) prin excepţie de la regulile prevăzute la lit. a) şi b), nu sunt considerate confidenţiale datele individuale ale persoanelor juridice referitoare la denumire, adresă, profilul activităţii, capitalul social, cifra de afaceri şi numărul de personal, date ce îşi păstrează caracterul public potrivit prevederilor legale;
d) confidenţialitatea nu se extinde asupra datelor individuale ale instituţiilor finanţate de la bugetul de stat care desfăşoară activităţi de interes public, cu excepţia celor care sunt protejate prin legi şi normative speciale.
Datele statistice rezultate din prelucrarea datelor individuale confidenţiale pot fi publicate şi/sau diseminate numai în condiţiile în care identificarea directă sau indirectă a persoanelor fizice sau juridice nu este posibilă.
Identificatorii unici: cod numeric personal, cod fiscal, nume şi adresă, localitate şi alte informaţii, care nu pot fi depersonalizate - anonimizate, nu se vor include în fişiere de date individuale pentru utilizare publică.
2.5.1. Tehnici de protecţie a datelor pentru asigurarea confidenţialităţii
Tehnici posibile de protecţie a datelor individuale sunt:
a) reducerea nivelului de detaliere pentru anumite variabile;
b) recodificarea unor variabile continue, de exemplu, vârsta, localitatea, în intervale de grupare mai largi;
c) suprimarea unor celule din tabel, cele sub marja de confidenţialitate (1, 2) şi suprimarea adiţională a altor celule adiacente pentru a asigura corectitudinea totalurilor şi menţinerea utilizabilităţii datelor;
d) pseudonimizarea.
Dat fiind volumul mare de informaţii statistice, tehnica suprimării pentru tabelele statistice trebuie aplicată prin proceduri automatizate. Pe de altă parte, diversitatea agregărilor, precum şi a formatelor diferite ale fişierelor de ieşire - tipuri de fişiere impune necesitatea realizării unor aplicaţii IT standardizate sau folosirea software-ului Argus, folosit de Eurostat şi de alte oficii de statistică europene.
2.5.2. Accesul la microdatele statistice
Conform practicii europene la sediile institutelor de statistică din statele membre ale Comunităţii Europene, pentru accesul la microdate în scopuri de cercetare ştiinţifică există aşa-numitul „safe center“ - cameră securizată, o cameră unde accesul este permis pe bază de cod de acces sau cu cartelă magnetică, în care cercetătorul poate să acceseze pe calculator date individuale anonimizate şi să realizeze analizele pe care le doreşte, fără a avea posibilitatea copierii pe CD, stick de memorie sau a fotocopierii acestor date.
Institutul Naţional de Statistică trebuie să asigure alocarea unei astfel de „camere securizate“ în care să fie permis accesul cercetătorilor, în scopuri ştiinţifice, la date individuale anonimizate.
Se va interzice accesul persoanelor neautorizate în „camera securizată“.
Indiferent dacă există sau nu există un „safe center“, furnizarea se face numai în baza unui „contract de furnizare de microdate“, prin care utilizatorul se obligă să păstreze confidenţialitatea datelor statistice la care are acces şi se obligă să distrugă datele statistice la care a avut acces după încheierea proiectului de cercetare şi, după caz, să pună la dispoziţia Institutului Naţional de Statistică un exemplar al publicaţiei rezultate.
Fişierele cu microdate, cuprinzând informaţiile individuale ale persoanelor fizice sau ale gospodăriilor cuprinse în cercetările statistice exhaustive - totale - de tipul recensământului populaţiei şi locuinţelor, al recensământului agricol - sau în cercetările statistice exhaustive şi selective din domeniul social sau economic, nu cuprind informaţiile individuale privind adresa, numele şi prenumele şi codul numeric personal sau orice alte informaţii care ar putea conduce la identificarea acestora.
Totodată, la difuzarea unor fişiere de microdate către utilizatorii autorizaţi se va asigura şi depersonalizarea informaţiilor individuale din punctul de vedere al localizării lor geografice. Astfel, pentru fişierele cu datele cercetărilor exhaustive, localizarea geografică a informaţiilor trebuie realizată până la nivelul unei unităţi administrativ-teritoriale - municipiu, oraş, comună, iar pentru datele cercetărilor selective, localizarea trebuie asigurată numai până la nivelul de regiune de dezvoltare şi, eventual, judeţ - fără identificarea localizării centrelor de cercetare.
2.6. Stocarea şi arhivarea datelor statistice
Operaţiunile de stocare a datelor statistice confidenţiale care au intrat în posesia Institutului Naţional de Statistică şi a unităţilor sale subordonate se realizează cu asigurarea tuturor măsurilor de protecţie privind modul lor de arhivare sau stocare.
Aceste măsuri se referă la modul de arhivare a formularelor de tipul „raport statistic“ sau „chestionar“ pe suport hârtie sau electronic, la procesarea internă a datelor şi organizarea stocării acestora, la respectarea regulilor interne de acces şi la protecţia împotriva accesului din exterior la datele confidenţiale, stocarea şi difuzarea rezultatelor - inclusiv cele privind siguranţa şi securitatea transmisiei de date.
Arhivarea formularelor cu date statistice individuale care constituie date confidenţiale, termenele lor de păstrare, accesul la aceste formulare, precum şi modalităţile de distrugere a acestora sunt asigurate în conformitate cu prevederile legale în vigoare şi cu normele de arhivare specifice instituţiei, aprobate de către conducerea Institutului Naţional de Statistică.
Arhivarea datelor statistice stocate pe suport magnetic sau optic, frecvenţa arhivărilor, termenele de păstrare a arhivei electronice - magnetice sau optice - şi modalităţile de asigurare a protecţiei datelor stocate împotriva degradării, distrugerii intenţionate sau neintenţionate sau modificării lor neautorizate se fac în conformitate cu regulile de protecţie prevăzute de legislaţia în vigoare.
Măsuri de protecţie a datelor statistice
Încăperile, camerele securizate, staţiile de lucru şi terminalele trebuie frecvent controlate, aplicând măsuri de protejare împotriva accesului neautorizat, împotriva furtului sau a deteriorării, respectiv copierii neautorizate pe suporţi magnetici a datelor statistice.
Resursele de calculator ce trebuie protejate sunt:
1. resursele partajate critice - servere, unităţi de backup, firewall-uri, routere, surse neîntreruptibile de curent - UPS ce deservesc pe precedentele. Acestea sunt amplasate într-o cameră separată, accesibilă doar personalului IT autorizat. Dacă sistemul de operare permite criptarea nativă a sistemului de fişiere, această facilitate va fi activată. Sursele neîntreruptibile de curent nu sunt comandate prin reţeaua de calculatoare din exteriorul camerei serverelor, împiedicând astfel închiderea neautorizată şi distructivă a acestora;
2. staţiile de lucru - acestea sunt accesate - deservite de personalul propriu autorizat al direcţiilor regionale/judeţene de statistică şi al direcţiilor de producţie statistică din Institutul Naţional de Statistică, pentru introducerea, validarea, prelucrarea şi diseminarea datelor statistice.
În cazul în care anumite staţii de lucru sunt destinate accesului la bazele de date de diseminare pentru uz public sau unui personal extern autorizat, definite ca activităţi de diseminare a datelor statistice, acestea vor fi amplasate în spaţiul amenajat pentru sala de consultare şi diseminare sau într-un sector separat special amenajat, respectându-se:
a) măsurile suplimentare de securitate a datelor statistice şi limitare a accesului la acestea, fiind dezactivate unităţile de floppy-disc, USB, CD-Writer sau alt dispozitiv de ieşire, pentru a împiedica copierea datelor statistice;
b) monitorizarea accesărilor.
Sistemele de operare cu proceduri native de criptare şi jurnalizare - evidenţa zilnică a accesărilor pe fiecare utilizator sunt amplasate pe:
a) servere - s-a optat pentru o schemă de securitate maximală: permisiuni ale utilizării minimale şi numai pe acele directoare/fişiere necesare aplicaţiei informatice, parole definite;
b) staţii de lucru - se utilizează o parolă de utilizator cu drepturi minimale, dar suficiente - în niciun caz o parolă de utilizator cu drepturi de administrare.
În ceea ce priveşte controlul accesului sunt asigurate măsurile care să permită verificarea accesului, respectiv monitorizarea activităţilor legate de folosirea datelor confidenţiale. S-au luat măsurile necesare pentru ca staţiile de lucru dedicate introducerii de date statistice, serverele centrale ce stochează date statistice individuale să fie protejate electronic printr-un modul de control al accesului.
Obligaţiile personalului şi sancţiuni privind încălcarea regulilor de păstrare a confidenţialităţii datelor statistice
Personalul cuprins în activitatea serviciilor de statistică oficială, care, potrivit statutului său legal, operează cu date statistice confidenţiale, este obligat să respecte legislaţia în domeniu, enunţată la capitolul I, şi implicit prezentele norme. Această obligaţie revine şi persoanelor angrenate temporar în activitatea de prelucrare a datelor statistice şi se extinde şi după încetarea activităţii personalului statistic angajat permanent sau temporar.
Pe baza prezentelor norme, la angajare şi ori de câte ori se impune, personalul compartimentului de resurse umane efectuează un instructaj al salariaţilor serviciilor de statistică oficială, care prin natura atribuţiilor de serviciu ce le revin au acces la date confidenţiale pentru a-şi putea îndeplini sarcinile de serviciu. Efectuarea instructajului, precum şi faptul că salariatul se obligă să respecte regimul confidenţialităţii datelor se consemnează în angajamentul de confidenţialitate, scris şi semnat de salariat, document ce face parte din dosarul personal al acestuia.
Încălcarea prezentelor norme poate atrage răspunderea contravenţională, disciplinară, civilă sau penală, după caz.
Răspunderea contravenţională intervine în următoarele cazuri:
Conform art. 45 lit. d)-f) din Legea nr. 226/2009, cu modificările şi completările ulterioare, constituie contravenţii următoarele fapte:
"d) utilizarea de către personalul angajat în Sistemul statistic naţional şi de către personalul atras temporar a datelor individuale ale persoanelor fizice sau juridice, în alte scopuri decât cele statistice;
e) încălcarea dispoziţiilor art. 31 alin. (4);
f) nerespectarea principiului confidenţialităţii datelor statistice de personalul angajat în Sistemul statistic naţional, de personalul atras temporar în realizarea activităţilor statistice sau de persoanele juridice prevăzute la art. 31 alin. (1)."
Contravenţiile prevăzute la art. 45 din Legea nr. 226/2009, cu modificările şi completările ulterioare, se sancţionează potrivit art. 46 lit. a) şi b) din aceeaşi lege, după cum urmează:
"a) cele prevăzute la lit. a), c), d) şi f), dacă sunt săvârşite de persoane fizice, cu amendă de la 500 lei la 2.000 lei;
b) cele prevăzute la lit. a), c), e) şi f), dacă sunt săvârşite de persoane juridice, cu amendă de la 2.000 lei la 50.000 lei;"
Constatarea contravenţiilor prevăzute la art. 45 din Legea nr. 226/2009, cu modificările şi completările ulterioare, şi aplicarea sancţiunilor se fac de către personalul producătorilor de statistici oficiale, împuternicit de conducătorul instituţiei publice respective sau de conducătorul instituţiei publice din care face parte unitatea cu profil statistic, prin ordin care se publică în Monitorul Oficial al României, Partea I, sau printr-un alt act de decizie specific producătorului de statistici oficiale, după caz.
Conform Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), cu modificările ulterioare, sancţiunile sunt stabilite în temeiul cap. VI Măsuri corective şi sancţiuni din lege.
Constatarea contravenţiilor şi aplicarea sancţiunilor în cazul contravenţiilor prevăzute în Legea nr. 190/2018, cu modificările ulterioare, se efectuează de către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, conform atribuţiilor prevăzute în Legea nr. 129/2018 pentru modificarea şi completarea Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum şi pentru abrogarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
Încălcarea de către funcţionarii publici, cu vinovăţie, a îndatoririlor de serviciu atrage răspunderea administrativă, civilă sau penală, în condiţiile legii şi ale Ordonanţei de urgenţă a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările şi completările ulterioare.
Răspunderea disciplinară a funcţionarilor publici intervine în cazul nerespectării confidenţialităţii lucrărilor ce au acest caracter, precum şi în cazul săvârşirii altor abateri disciplinare ce au legătură cu păstrarea confidenţialităţii datelor statistice. Sancţiunile aplicabile sunt cele prevăzute de art. 492 şi următoarele din Ordonanţa de urgenţă a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările şi completările ulterioare, coroborate cu dispoziţiile prevăzute în Hotărârea Guvernului nr. 1.344/2007 privind normele de organizare şi funcţionare a comisiilor de disciplină, cu modificările şi completările ulterioare.
Procedura aplicării sancţiunii disciplinare în cazul funcţionarilor publici este cea prevăzută în Ordonanţa de urgenţă a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările şi completările ulterioare, şi în Hotărârea Guvernului nr. 1.344/2007 privind normele de organizare şi funcţionare a comisiilor de disciplină, cu modificările şi completările ulterioare.
Răspunderea contravenţională în cazul funcţionarilor publici este cea prevăzută la art. 498 din Ordonanţa de urgenţă a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările şi completările ulterioare.
Răspunderea civilă a salariaţilor din cadrul Institutului Naţional de Statistică intervine în condiţiile art. 84 şi 85 din Ordonanţa de urgenţă a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările şi completările ulterioare, sau în condiţiile dreptului comun în materie, după caz.
Răspunderea disciplinară, patrimonială şi contravenţională a persoanelor încadrate cu contract individual de muncă intervine în condiţiile Legii nr. 53/2003 - Codul muncii, republicată, cu modificările şi completările ulterioare.
Răspunderea pentru infracţiunile săvârşite în timpul serviciului sau în legătură cu atribuţiile de serviciu se va angaja în conformitate cu prevederile legii penale potrivit art. 501 din Ordonanţa de urgenţă a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările şi completările ulterioare.
----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
