52 din 18 aprilie 2002 privind aprobarea Cerinelor minime de
securitate a prelucrrilor de date cu caracter personal Avocatul Poporului, n temeiul Hotrrii Senatului Romniei nr. 33 din 4 octombrie 2001 pentru numirea Avocatului Poporului, vznd prevederile art. 13 din Legea nr. 35/ 1997 privind organizarea i funcionarea instituiei Avocatul Poporului i ale art. 7 din Regulamentul de organizare i funcionare a instituiei Avocatul Poporului, n aplicarea prevederilor art. 20 alin. (2) din Legea nr. 677/ 2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date, conform crora cerinele minime de securitate a prelucrrilor de date cu caracter personal vor fi elaborate de autoritatea de supraveghere i vor fi actualizate periodic, corespunztor progresului tehnic i experienei acumulate, avnd n vedere Nota privind cerinele minime de securitate a prelucrrilor de date cu caracter personal, nregistrat sub nr. 4.327 din 18 aprilie 2002, a adjunctului Avocatului Poporului, avnd n vedere exigena elaborrii cerinelor minime de securitate a prelucrrilor de date cu caracter personal, care stau la baza adoptrii de ctre operatorii de date cu caracter personal a msurilor tehnice i organizatorice adecvate, prin care se garanteaz un nivel corespunztor i legal de securitate a prelucrrii de date cu caracter personal, precum i a publicrii cerinelor respective n Monitorul Oficial al Romniei, Partea I, n scopul ca acestea s poat fi cunoscute n mod corespunztor de ctre operatorii menionai, emite prezentul ordin.
Art. 1 Se aprob Cerinele minime de securitate a prelucrrilor de date cu caracter personal, prevzute n anexa la prezentul ordin.
Art. 2 Prezentul ordin va fi publicat n Monitorul Oficial al Romniei, Partea I.
Art. 3 - Anexa face parte integrant din prezentul ordin. -****- AVOCATUL POPORULUI, prof. univ dr. IOAN MURARU
ANEX: CERINELE MINIME DE SECURITATE a prelucrrilor de date cu caracter personal Prezentele cerine minime de securitate a prelucrrilor de date cu caracter personal trebuie s stea la baza adoptrii i implementrii de ctre operator a msurilor teh-nice i organizatorice necesare pentru pstrarea confidenialitii i integritii datelor cu caracter personal. n concordan cu acestea operatorii i vor stabili propriile politici i proceduri de securitate.
Cerinele minime de securitate a prelucrrilor de date cu caracter personal acoper urmtoarele aspecte: 1.Identificarea i autentificarea utilizatorului Prin utilizator se nelege orice persoan care acioneaz sub autoritatea operatorului, a persoanei mputernicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal. Utilizatorii, pentru a cpta acces la o baz de date cu caracter personal, trebuie s se identifice. Identificarea se poate face prin mai multe metode, cum ar fi: introducerea codului de identificare de la tastatur (un ir de caractere), folosirea unei cartele cu cod de bare, folosirea unei cartele inteligente (smart card) sau a unei cartele magnetice. Fiecare utilizator are propriul su cod de identificare. Niciodat mai muli utilizatori nu trebuie s aib acelai cod de identificare. Codurile de identificare (sau conturi de utilizator) nefolosite o perioad mai ndelungat trebuie dezactivate i distruse dup un control prealabil intern al operatorului. Perioada dup care codurile trebuie dezactivate i distruse se stabilete de operator. Orice cont de utilizator este nsoit de o modalitate de autentificare. Autentificarea poate fi fcut prin introducerea unei parole sau prin mijloace biometrice: amprenta dactiloscopic, amprenta vocal, angiografia retinian etc. Parolele sunt iruri de caractere. Cu ct irul de caractere este mai lung, cu att parola este mai greu de aflat. La introducerea parolelor acestea nu trebuie s fie afiate n clar pe monitor. Parolele trebuie schimbate periodic n funcie de politicile de securitate ale entitii (operator sau persoan mputernicit). Schimbarea periodic a parolelor se face numai de ctre utilizatori autorizai de operator. Operatorul trebuie s solicite realizarea unui sistem informaional care s refuze automat accesul unui utilizator dup 5 introduceri greite ale parolei. Orice utilizator care primete un cod de identificare i un mijloc de autentificare trebuie s pstreze confidenialitatea acestora i s rspund n acest sens n faa opera-torului. Fiecare entitate va stabili o procedur proprie de administrare i gestionare a conturilor de utilizator. Operatorii autorizeaz anumii utilizatori pentru a revoca sau a suspenda un cod de identificare i autentificare, dac utilizatorul acestora i-a dat demisia ori a fost concediat, i-a ncheiat contractul, a fost transferat la alt serviciu i noile sarcini nu i solicit accesul la date cu caracter personal, a abuzat de codurile primite sau dac va absenta o perioad ndelungat stabilit de entitate. Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se va face pe baza unei liste apro-bate de conducerea entitii.
2.Tipul de acces Utilizatorii trebuie s acceseze numai datele cu caracter personal necesare pentru ndeplinirea atribuiilor lor de serviciu. Pentru aceasta operatorii trebuie s stabileasc tipurile de acces dup funcionalitate (cum ar fi: administrare, introducere, prelucrare, salvare etc.) i dup aciuni aplicate asupra datelor cu caracter personal (cum ar fi: scriere, citire, tergere), precum i procedurile privind aceste tipuri de acces. Programatorii sistemelor de prelucrare a datelor cu caracter personal nu vor avea acces la datele cu caracter personal. Operatorul va permite accesul programatorilor la datele cu caracter personal dup ce acestea au fost transformate n date anonime. Compartimentul care asigur suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea unor cazuri excepionale. Pentru activitatea de pregtire a utilizatorilor sau pentru realizarea de prezentri se vor folosi date anonime. Angajaii care predau cursurile de pregtire vor folosi date cu caracter personal pe parcursul propriei lor pregtiri. Operatorul va stabili modalitile stricte prin care se vor distruge datele cu caracter personal. Autorizarea pentru aceast prelucrare de date cu caracter personal trebuie limitat la civa utilizatori.
3.Colectarea datelor Operatorul desemneaz utilizatori autorizai pentru operaiile de colectare i introducere de date cu caracter personal ntr-un sistem informaional. Orice modificare a datelor cu caracter personal se poate face numai de ctre utilizatori autorizai desemnai de operator. Operatorul va lua msuri pentru ca sistemul informaional s nregistreze cine a fcut modificarea, data i ora modificrii. Pentru o mai bun administrare operatorul va lua msuri ca sistemul informaional s menin datele terse sau modificate.
4.Execuia copiilor de siguran Operatorul va stabili intervalul de timp la care se vor executa copiile de siguran ale bazelor de date cu caracter personal, precum i ale programelor folosite pentru prelucrrile automatizate. Utilizatorii care execut aceste copii de siguran vor fi numii de operator, ntr-un numr restrns. Copiile de siguran se vor stoca n alte camere, n fiete metalice cu sigiliu aplicat, i, dac este posibil, chiar n camere din alt cldire. Operatorul va lua msuri ca accesul la copiile de siguran s fie monitorizat.
5.Computerele i terminalele de acces Computerele i alte terminale de acces vor fi instalate n ncperi cu acces restricionat. Dac nu pot fi asigurate aceste condiii, computerele se vor instala n ncperi care se pot ncuia sau se vor lua msuri ca accesul la computere s se fac cu ajutorul unor chei ori cartele magnetice. Dac pe ecran apar date cu caracter personal asupra crora nu se acioneaz o perioad dat, stabilit de operator, sesiunea de lucru trebuie nchis automat. Mrimea acestei perioade se determin n funcie de operaiile care trebuie executate. Terminalele de acces folosite n relaia cu publicul, pe care apar date cu caracter personal, vor fi poziionate astfel nct s nu poat fi vzute de public i dup o perioad scurt, stabilit de operator, n care nu se acioneaz asupra lor, acestea trebuie ascunse.
6.Fiierele de acces Operatorul este obligat s ia msuri ca orice accesare a bazei de date cu caracter personal s fie nregistrat ntr-un fiier de acces (numit log la prelucrrile automate) sau ntr-un registru pentru prelucrrile manuale de date cu caracter personal, stabilit de operator. Informaiile nregistrate n fiierul de acces sau n registru vor fi: - codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale); - numele fiierului accesat (fiei); - numrul nregistrrilor efectuate; - tipul de acces; - codul operaiei executate sau programul folosit; - data accesului (an, lun, zi); - timpul (ora, minutul, secunda). Pentru prelucrrile automate aceste informaii vor fi stocate ntr-un fiier de acces general sau n fiiere separate pentru fiecare utilizator. Orice ncercare de acces neautorizat va fi, de asemenea, nregistrat. Operatorul este obligat s pstreze fiierele de acces cel puin 2 ani, pentru a fi folosite ca probe n cazul unor investigaii. Dac investigaiile se prelungesc, aceste fiiere se vor pstra att timp ct se va considera necesar. Fiierele de acces trebuie s fac posibil identificarea de ctre operator sau de ctre persoana mputernicit a persoanelor care au accesat date cu caracter personal fr un motiv anume, n vederea aplicrii unor sanciuni sau a sesizrii organelor competente.
7.Sistemele de telecomunicaii Operatorul este obligat s fac periodic controlul autentificrilor i tipurilor de acces pentru detectarea unor disfuncionaliti n ceea ce privete folosirea sistemelor de telecomunicaii. Operatorii sunt obligai s conceap sistemul de telecomunicaii astfel nct datele cu caracter personal s nu poat fi interceptate sau transmise de oriunde. Dac sistemul de telecomunicaii nu poate fi astfel securizat, operatorul este obligat s impun folosirea metodei de criptare pentru transmisia datelor cu caracter personal. Prin sistemele de telecomunicaii se vor transmite numai datele cu caracter personal strict necesare.
8.Instruirea personalului n cadrul cursurilor de pregtire a utilizatorilor operatorul este obligat s fac informarea acestora cu privire la prevederile Legii nr. 677/ 2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date, la cerinele minime de securitate a prelucrrilor de date cu caracter personal, precum i cu privire la riscurile pe care le comport prelucrarea datelor cu caracter personal, n funcie de specificul activitii utilizatorului. Utilizatorii care au acces la date cu caracter personal vor fi instruii de ctre operator asupra confidenialitii acestora i vor fi avertizai prin mesaje care vor aprea pe monitoare n timpul activitii. Utilizatorii sunt obligai s i nchid sesiunea de lucru atunci cnd prsesc locul de munc.
9.Folosirea computerelor Pentru meninerea securitii prelucrrii datelor cu caracter personal (n special mpotriva viruilor informatici) operatorul va lua msuri care vor consta n: a)interzicerea folosirii de ctre utilizatori a programelor software care provin din surse externe sau dubioase; b)informarea utilizatorilor n privina pericolului privind viruii informatici; c)implementarea unor sisteme automate de devirusare i de securitate a sistemelor informatice; d)dezactivarea, pe ct posibil, a tastei "Print screen", atunci cnd sunt afiate pe monitor date cu caracter personal, interzicndu-se astfel scoaterea la imprimant a acestora.
10.Imprimarea datelor Scoaterea la imprimant a datelor cu caracter personal se va realiza numai de utilizatori autorizai pentru aceast operaiune de ctre operator. Operatorii sunt obligai s aprobe proceduri interne specifice privind folosirea i distrugerea acestor materiale. Fiecare entitate i va aproba propriul sistem de securitate, innd seama de aceste cerine minime de securitate a prelucrrilor de date cu caracter personal, iar n funcie de importana datelor cu caracter personal prelucrate, i va impune msuri de securitate suplimentare. Publicat n Monitorul Oficial cu numrul 383 din data de 5 iunie 2002