|
In temeiul prevederilor art. 3 alin. (5) si (6) din Legea nr. 102/2005 privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, cu modificarile ulterioare, si ale art. 6 alin. (2) lit. b) din Regulamentul de organizare si functionare a Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, aprobat prin Hotararea Biroului Permanent al Senatului nr. 16/2005,
in aplicarea prevederilor art. 20 alin. (2) din Legea nr. 677/2001 pentru
protectia persoanelor cu privire la prelucrarea datelor cu caracter persoanal si
libera circulatie a acestor date, cu modificarile si completarile ulterioare,
luand in considerare faptul ca cerintele minime de securitate a prelucrarilor
de date cu caracter personal vor fi elaborate de autoritatea de supraveghere si vor
fi actualizate periodic, corespunzator progresului tehnic si experientei acumulate,
vazand referatul de aprobare nr. ... din .... privind propunerea emiterii unei
decizii de stabilire a cerintelor minime de securitate a prelucrarilor de date cu
caracter personal,
presedintele Autoritatii Nationale de Supraveghere a Prelucrarii
Datelor cu Caracter Personal emite prezenta
DECIZIE
Art. 1
Se aproba Cerintele minime de securitate a prelucrarilor de date cu caracter
personal, prevazute in anexa care face parte integranta din prezenta decizie.
Art. 2
Prezenta decizie intra in vigoare in termen de 30 zile de la publicare in Monitorul
Oficial al Romaniei, Partea I.
Art. 3
Pe data intrarii in vigoare a prezentei decizii, Ordinul Avocatului Poporului nr.
52/2002 privind aprobarea Cerintelor minime de securitate a prelucrarilor de date
cu caracter, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 383 din 5
iunie 2002, isi inceteaza aplicabilitatea.
Presedintele Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu
Caracter Personal,
Georgeta BASARABESCU
Anexa
Cerintele minime de securitate a prelucrarilor de date cu caracter personal
Prezentele cerinte minime de securitate a prelucrarilor de date cu caracter personal
trebuie sa stea la baza adoptarii si implementarii de catre operator a masurilor
tehnice si organizatorice necesare pentru pastrarea confidentialitatii si integritatii
datelor cu caracter personal. in concordanta cu acestea, operatorii isi vor stabili
propriile politici si proceduri de securitate, in forma scrisa, ce vor fi puse la
dispozitie autoritatii de supraveghere, la solicitarea acesteia.
Prin cerinte minime de securitate este avut in vedere un complex de masuri
tehnice, informatice, organizatorice, logistice, proceduri si politici de securitate
prin care sa se asigure nivelul minim de securitate prevazut in art. 20 din Legea nr.
677/2001.
Prin utilizator este avuta in vedere orice persoana fizica care actioneaza sub
autoritatea operatorului, a persoanei imputernicite sau a reprezentantului, cu drept
recunoscut de acces la bazele de date cu caracter personal.
Cerintele minime de securitate acopera urmatoarele categorii de prelucrari de date
cu caracter personal se refera la:
1. Prelucrari automate de date cu caracter personal
Accesul utilizatorilor la bazele de date ce contin date cu caracter personal se va
efectua prin coduri personale de acces (nume de logare, nume de utilizator).
Codurile de acces sunt protejate prin metode de autentificare (parole, certificate).
Codurile de acces (conturi utilizator) sunt alocate individual pentru fiecare
utilizator pe baza unei proceduri specifice. Conturile de utilizator nefolosite o
perioada mai indelungata sunt sterse sau dezactivate permanent dupa un control
prealabil intern al operatorului. Codurile de acces se vor dezactiva automat dupa
un numar rezonabil de incercari nereusite. Perioada si numarul de incercari
nereusite dupa care codurile trebuie dezactivate sau sterse se stabileste de operator.
Codurile de acces vor permite doar nivelul minim de acces la datele cu caracter
personal ce sunt necesare pentru indeplinirea atributiilor de serviciu.
Programatorii care dezvolta aplicatiile care prelucreaza datele cu caracter personal
nu au acces la datele cu caracter personal. Operatorul va permite accesul
programatorilor la datele cu caracter personal dupa ce acestea au fost transformate
in date anonime.
Pentru activitatea de pregatire a utilizatorilor sau pentru realizarea de prezentari se
vor folosi date anonime. Angajatii care predau cursurile de pregatire nu vor folosi
date cu caracter personal pe parcursul propriei lor pregatiri.
Computerele vor fi instalate in incaperi cu acces restrictionat. Daca nu pot fi
asigurate aceste conditii, computerele se vor instala in incaperi care se pot incuia
sau se vor lua masuri ca accesul la computere sa se faca cu ajutorul unor chei ori
cartele magnetice.
Orice accesare a bazei de date cu caracter personal, inclusiv orice incercare de
acces neautorizat, va fi inregistrata intr-un fisier de acces. Fisierele de acces
trebuie sa faca posibila identificarea de catre operator, reprezentant sau de catre
persoana imputernicita a persoanelor care au accesat date cu caracter personal fara
un motiv legitim, in vederea aplicarii unor sanctiuni sau a sesizarii organelor
competente.
Operatorul este obligat sa pastreze fisierele de acces cel putin 2 ani, pentru a fi
folosite ca probe in cazul unor investigatii. Daca investigatiile se prelungesc,
aceste fisiere se vor pastra atat timp cat se va considera necesar.
Computerele si alte terminale de acces vor fi instalate in incaperi cu acces
restrictionat. Daca nu pot fi asigurate aceste conditii, acestea se vor instala in
incaperi care se pot incuia sau se vor lua masuri ca accesul la computere sa se faca
cu ajutorul unor chei ori cartele magnetice.
Computerele sau terminalele de acces folosite in relatia cu publicul, pe care sunt
afisate date cu caracter personal, vor fi pozitionate astfel incat acestea sa nu poata
fi dezvaluite publicului. Dupa o perioada scurta, stabilita de operator, in care nu se
actioneaza asupra lor, acestea trebuie ascunse.
Operatorii sunt obligati sa conceapa sistemul de telecomunicatii astfel incat datele
cu caracter personal sa nu poata fi interceptate sau transmise de oriunde. Daca
sistemul de telecomunicatii nu poate fi astfel securizat, operatorul este obligat sa
impuna folosirea unor metode de criptare pentru transmisia datelor cu caracter
personal. Prin sistemele de telecomunicatii se vor transmite numai datele cu
caracter personal strict necesare pentru realizarea scopului comunicatiei
respective.
Operatorul va stabili intervalul de timp rezonabil la care se vor executa copiile de
siguranta ale bazelor de date cu caracter personal, precum si ale programelor
folosite pentru prelucrarile automatizate. Copiile de siguranta se vor stoca in alte
camere decat cele destinate utilizarii computerelor, in fisete metalice cu sigiliu
aplicat, si, daca este posibil, chiar in camere din alta cladire.
2. Prelucrari manuale de date cu caracter personal
in cadrul prelucrarilor de date cu caracter personal efectuate manual, accesul
utilizatorilor se va realiza pe baza unei liste aprobate de conducerea entitatii.
Modalitatea de acces si datele care pot fi accesate de fiecare utilizator vor fi
stabilite de catre operator prin proceduri interne.
Documentele care contin date cu caracter personal vor fi tinute in fisete sau
dulapuri inchise cu cheie sau cu un alt mecanism de securizare.
Documentele care contin date cu caracter personal, folosite pentru realizarea
anumitor operatiuni se vor preda persoanelor abilitate sau se vor inchide imediat
dupa terminarea acestora.
3. Prelucrari automate de date cu caracter personal care fac parte din categoria
datelor cu caracter special (art. 7, art. 8, art. 9 si art. 10 din Legea nr. 677/2001)
Pe langa prevederile referitoare la prelucrarile automate de date cu caracter
personal (pct. 1) se vor impune suplimentar urmatoarele masuri:
- accesul utilizatorilor la computerele sau terminalele de acces va fi posibil prin
folosirea unor cartele magnetice sau a unor cartele inteligente („smart carduri”) de
preferinta sau se va impune schimbarea periodica automata a codului de acces
pentru autentificare. Perioada de schimbare automata a codului de acces pentru
autentificare va fi stabilita prin procedura interna de catre operator dar fara sa
depaseasca o luna calendaristica;
- nivelul de autorizare si acces la aceste date pentru fiecare utilizator se va stabili
de catre persoanele desemnate special pentru aceste sarcini;
- periodic, la intervale care nu vor depasi un an, se vor efectua verificari privind
accesul si nivelul de acces ale utilizatorilor la datele cu caracter personal.
4. Prelucrari manuale de date cu caracter personal care fac parte din categoria
datelor cu caracter special (art. 7, art. 8, art. 9 si art. 10 din Legea nr. 677/2001)
Pe langa prevederile referitoare la prelucrarile manuale ale datelor cu caracter
personal (pct. 2) se vor impune suplimentar urmatoarele masuri:
- prelucrarea datelor cu caracter personal se va efectua numai de catre utilizatorii
desemnati de operator prin proceduri interne;
- accesul utilizatorilor se va face pe baza unor proceduri emise de operator;
- orice accesare a datelor cu caracter personal va fi inregistrata intr-un registru de
acces.
5. Documente obligatorii pentru prelucrarea datelor personale care fac parte din
categoria datelor cu caracter special (art. 7, art. 8, art. 9 si art. 10 din Legea nr.
677/2001)
Operatorii care prelucreaza date cu caracter personal care fac parte din categoria
datelor cu caracter special vor intocmi obligatoriu urmatoarele documente:
- proceduri de control al accesului in aceste zone (masuri tehnice si organizatorice
privind securizarea zonei in care se prelucreaza aceste date);
- proceduri de asigurare a integritatii si disponibilitatii datelor;
- proceduri privind securitatea transmisiilor de date si accesul securizat la aceste
mijloace de transmitere a datelor.
Sursa: www.securizare.ro
|
Legislatie 
