Comunica experienta
MonitorulJuridic.ro
Avocatul Poporului,
în temeiul <>Hotãrârii Senatului României nr. 33 din 4 octombrie 2001 pentru numirea Avocatului Poporului,
vazand prevederile <>art. 13 din Legea nr. 35/1997 privind organizarea şi funcţionarea instituţiei Avocatul Poporului şi ale art. 7 din Regulamentul de organizare şi funcţionare a instituţiei Avocatul Poporului,
în aplicarea prevederilor <>art. 20 alin. (2) din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, conform cãrora cerinţele minime de securitate a prelucrarilor de date cu caracter personal vor fi elaborate de autoritatea de supraveghere şi vor fi actualizate periodic, corespunzãtor progresului tehnic şi experienţei acumulate,
având în vedere Nota privind cerinţele minime de securitate a prelucrarilor de date cu caracter personal, înregistratã sub nr. 4.327 din 18 aprilie 2002, a adjunctului Avocatului Poporului,
având în vedere exigenta elaborãrii cerinţelor minime de securitate a prelucrarilor de date cu caracter personal, care stau la baza adoptãrii de cãtre operatorii de date cu caracter personal a mãsurilor tehnice şi organizatorice adecvate, prin care se garanteazã un nivel corespunzãtor şi legal de securitate a prelucrãrii de date cu caracter personal, precum şi a publicãrii cerinţelor respective în Monitorul Oficial al României, Partea I, în scopul ca acestea sa poatã fi cunoscute în mod corespunzãtor de cãtre operatorii mentionati,
emite prezentul ordin.
ART. 1
Se aproba Cerinţele minime de securitate a prelucrarilor de date cu caracter personal, prevãzute în anexa la prezentul ordin.
ART. 2
Prezentul ordin va fi publicat în Monitorul Oficial al României, Partea I.
ART. 3
Anexa face parte integrantã din prezentul ordin.
AVOCATUL POPORULUI,
prof. univ dr. IOAN MURARU
ANEXA 1
CERINŢELE MINIME DE SECURITATE
a prelucrarilor de date cu caracter personal
Prezentele cerinţe minime de securitate a prelucrarilor de date cu caracter personal trebuie sa stea la baza adoptãrii şi implementarii de cãtre operator a mãsurilor tehnice şi organizatorice necesare pentru pãstrarea confidenţialitãţii şi integritãţii datelor cu caracter personal. În concordanta cu acestea operatorii îşi vor stabili propriile politici şi proceduri de securitate.
Cerinţele minime de securitate a prelucrarilor de date cu caracter personal acoperã urmãtoarele aspecte:
1. Identificarea şi autentificarea utilizatorului
Prin utilizator se înţelege orice persoana care acţioneazã sub autoritatea operatorului, a persoanei împuternicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal.
Utilizatorii, pentru a capata acces la o baza de date cu caracter personal, trebuie sa se identifice. Identificarea se poate face prin mai multe metode, cum ar fi: introducerea codului de identificare de la tastatura (un şir de caractere), folosirea unei cartele cu cod de bare, folosirea unei cartele inteligente (smart card) sau a unei cartele magnetice.
Fiecare utilizator are propriul sau cod de identificare. Niciodatã mai mulţi utilizatori nu trebuie sa aibã acelaşi cod de identificare.
Codurile de identificare (sau conturi de utilizator) nefolosite o perioada mai îndelungatã trebuie dezactivate şi distruse dupã un control prealabil intern al operatorului. Perioada dupã care codurile trebuie dezactivate şi distruse se stabileşte de operator.
Orice cont de utilizator este însoţit de o modalitate de autentificare. Autentificarea poate fi facuta prin introducerea unei parole sau prin mijloace biometrice: amprenta dactiloscopica, amprenta vocala, angiografia retiniana etc.
Parolele sunt siruri de caractere. Cu cat sirul de caractere este mai lung, cu atât parola este mai greu de aflat. La introducerea parolelor acestea nu trebuie sa fie afişate în clar pe monitor. Parolele trebuie schimbate periodic în funcţie de politicile de securitate ale entitatii (operator sau persoana imputernicita). Schimbarea periodicã a parolelor se face numai de cãtre utilizatori autorizaţi de operator.
Operatorul trebuie sa solicite realizarea unui sistem informaţional care sa refuze automat accesul unui utilizator dupã 5 introduceri gresite ale parolei.
Orice utilizator care primeşte un cod de identificare şi un mijloc de autentificare trebuie sa pãstreze confidenţialitatea acestora şi sa rãspundã în acest sens în fata operatorului.
Fiecare entitate va stabili o procedura proprie de administrare şi gestionare a conturilor de utilizator.
Operatorii autorizeaza anumiti utilizatori pentru a revoca sau a suspenda un cod de identificare şi autentificare, dacã utilizatorul acestora şi-a dat demisia ori a fost concediat, şi-a încheiat contractul, a fost transferat la alt serviciu şi noile sarcini nu îi solicita accesul la date cu caracter personal, a abuzat de codurile primite sau dacã va absenta o perioada îndelungatã stabilitã de entitate.
Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se va face pe baza unei liste aprobate de conducerea entitatii.
2. Tipul de acces
Utilizatorii trebuie sa acceseze numai datele cu caracter personal necesare pentru îndeplinirea atribuţiilor lor de serviciu. Pentru aceasta operatorii trebuie sa stabileascã tipurile de acces dupã funcţionalitate (cum ar fi: administrare, introducere, prelucrare, salvare etc.) şi dupã acţiuni aplicate asupra datelor cu caracter personal (cum ar fi: scriere, citire, ştergere), precum şi procedurile privind aceste tipuri de acces.
Programatorii sistemelor de prelucrare a datelor cu caracter personal nu vor avea acces la datele cu caracter personal. Operatorul va permite accesul programatorilor la datele cu caracter personal dupã ce acestea au fost transformate în date anonime.
Compartimentul care asigura suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea unor cazuri excepţionale.
Pentru activitatea de pregãtire a utilizatorilor sau pentru realizarea de prezentãri se vor folosi date anonime. Angajaţii care predau cursurile de pregãtire vor folosi date cu caracter personal pe parcursul propriei lor pregatiri.
Operatorul va stabili modalitãţile stricte prin care se vor distruge datele cu caracter personal. Autorizarea pentru aceasta prelucrare de date cu caracter personal trebuie limitatã la cativa utilizatori.
3. Colectarea datelor
Operatorul desemneazã utilizatori autorizaţi pentru operaţiile de colectare şi introducere de date cu caracter personal într-un sistem informaţional.
Orice modificare a datelor cu caracter personal se poate face numai de cãtre utilizatori autorizaţi desemnaţi de operator.
Operatorul va lua mãsuri pentru ca sistemul informaţional sa înregistreze cine a fãcut modificarea, data şi ora modificãrii. Pentru o mai buna administrare operatorul va lua mãsuri ca sistemul informaţional sa menţinã datele şterse sau modificate.
4. Execuţia copiilor de siguranta
Operatorul va stabili intervalul de timp la care se vor executa copiile de siguranta ale bazelor de date cu caracter personal, precum şi ale programelor folosite pentru prelucrarile automatizate. Utilizatorii care executa aceste copii de siguranta vor fi numiţi de operator, într-un numãr restrâns. Copiile de siguranta se vor stoca în alte camere, în fisete metalice cu sigiliu aplicat, şi, dacã este posibil, chiar în camere din alta clãdire.
Operatorul va lua mãsuri ca accesul la copiile de siguranta sa fie monitorizat.
5. Computerele şi terminalele de acces
Computerele şi alte terminale de acces vor fi instalate în încãperi cu acces restrictionat. Dacã nu pot fi asigurate aceste condiţii, computerele se vor instala în încãperi care se pot incuia sau se vor lua mãsuri ca accesul la computere sa se facã cu ajutorul unor chei ori cartele magnetice.
Dacã pe ecran apar date cu caracter personal asupra cãrora nu se acţioneazã o perioada data, stabilitã de operator, sesiunea de lucru trebuie închisã automat. Mãrimea acestei perioade se determina în funcţie de operaţiile care trebuie executate.
Terminalele de acces folosite în relaţia cu publicul, pe care apar date cu caracter personal, vor fi pozitionate astfel încât sa nu poatã fi vazute de public şi dupã o perioada scurta, stabilitã de operator, în care nu se acţioneazã asupra lor, acestea trebuie ascunse.
6. Fişierele de acces
Operatorul este obligat sa ia mãsuri ca orice accesare a bazei de date cu caracter personal sa fie înregistratã într-un fisier de acces (numit log la prelucrarile automate) sau într-un registru pentru prelucrarile manuale de date cu caracter personal, stabilit de operator. Informaţiile înregistrate în fisierul de acces sau în registru vor fi:
- codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale);
- numele fisierului accesat (fisei);
- numãrul înregistrãrilor efectuate;
- tipul de acces;
- codul operatiei executate sau programul folosit;
- data accesului (an, luna, zi);
- timpul (ora, minutul, secunda).
Pentru prelucrarile automate aceste informaţii vor fi stocate într-un fisier de acces general sau în fisiere separate pentru fiecare utilizator. Orice încercare de acces neautorizat va fi, de asemenea, înregistratã.
Operatorul este obligat sa pãstreze fişierele de acces cel puţin 2 ani, pentru a fi folosite ca probe în cazul unor investigaţii. Dacã investigaţiile se prelungesc, aceste fisiere se vor pãstra atât timp cat se va considera necesar.
Fişierele de acces trebuie sa facã posibila identificarea de cãtre operator sau de cãtre persoana imputernicita a persoanelor care au accesat date cu caracter personal fãrã un motiv anume, în vederea aplicãrii unor sancţiuni sau a sesizãrii organelor competente.
7. Sistemele de telecomunicaţii
Operatorul este obligat sa facã periodic controlul autentificarilor şi tipurilor de acces pentru detectarea unor disfunctionalitati în ceea ce priveşte folosirea sistemelor de telecomunicaţii.
Operatorii sunt obligaţi sa conceapa sistemul de telecomunicaţii astfel încât datele cu caracter personal sa nu poatã fi interceptate sau transmise de oriunde. Dacã sistemul de telecomunicaţii nu poate fi astfel securizat, operatorul este obligat sa impunã folosirea metodei de criptare pentru transmisia datelor cu caracter personal.
Prin sistemele de telecomunicaţii se vor transmite numai datele cu caracter personal strict necesare.
8. Instruirea personalului
În cadrul cursurilor de pregãtire a utilizatorilor operatorul este obligat sa facã informarea acestora cu privire la prevederile <>Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, la cerinţele minime de securitate a prelucrarilor de date cu caracter personal, precum şi cu privire la riscurile pe care le comporta prelucrarea datelor cu caracter personal, în funcţie de specificul activitãţii utilizatorului.
Utilizatorii care au acces la date cu caracter personal vor fi instruiti de cãtre operator asupra confidenţialitãţii acestora şi vor fi avertizati prin mesaje care vor aparea pe monitoare în timpul activitãţii. Utilizatorii sunt obligaţi sa îşi inchida sesiunea de lucru atunci când pãrãsesc locul de munca.
9. Folosirea computerelor
Pentru menţinerea securitãţii prelucrãrii datelor cu caracter personal (în special impotriva virusilor informatici) operatorul va lua mãsuri care vor consta în:
a) interzicerea folosirii de cãtre utilizatori a programelor software care provin din surse externe sau dubioase;
b) informarea utilizatorilor în privinta pericolului privind virusii informatici;
c) implementarea unor sisteme automate de devirusare şi de securitate a sistemelor informatice;
d) dezactivarea, pe cat posibil, a tastei "Print screen", atunci când sunt afişate pe monitor date cu caracter personal, interzicandu-se astfel scoaterea la imprimanta a acestora.
10. Imprimarea datelor
Scoaterea la imprimanta a datelor cu caracter personal se va realiza numai de utilizatori autorizaţi pentru aceasta operaţiune de cãtre operator. Operatorii sunt obligaţi sa aprobe proceduri interne specifice privind folosirea şi distrugerea acestor materiale.
Fiecare entitate îşi va aproba propriul sistem de securitate, ţinând seama de aceste cerinţe minime de securitate a prelucrarilor de date cu caracter personal, iar în funcţie de importanta datelor cu caracter personal prelucrate, îşi va impune mãsuri de securitate suplimentare.
-----------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
