ORDIN nr.

52 din 18 aprilie 2002 privind aprobarea Cerinelor minime de

securitate a prelucrrilor de date cu caracter personal
Avocatul Poporului,
n temeiul Hotrrii Senatului Romniei nr. 33 din 4 octombrie 2001 pentru
numirea Avocatului Poporului,
vznd prevederile art. 13 din Legea nr. 35/ 1997 privind organizarea i
funcionarea instituiei Avocatul Poporului i ale art. 7 din Regulamentul de
organizare i funcionare a instituiei Avocatul Poporului,
n aplicarea prevederilor art. 20 alin. (2) din Legea nr. 677/ 2001 pentru
protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i
libera circulaie a acestor date, conform crora cerinele minime de securitate a
prelucrrilor de date cu caracter personal vor fi elaborate de autoritatea de
supraveghere i vor fi actualizate periodic, corespunztor progresului tehnic i
experienei acumulate,
avnd n vedere Nota privind cerinele minime de securitate a prelucrrilor de
date cu caracter personal, nregistrat sub nr. 4.327 din 18 aprilie 2002, a
adjunctului Avocatului Poporului,
avnd n vedere exigena elaborrii cerinelor minime de securitate a prelucrrilor
de date cu caracter personal, care stau la baza adoptrii de ctre operatorii de
date cu caracter personal a msurilor tehnice i organizatorice adecvate, prin
care se garanteaz un nivel corespunztor i legal de securitate a prelucrrii de
date cu caracter personal, precum i a publicrii cerinelor respective n Monitorul
Oficial al Romniei, Partea I, n scopul ca acestea s poat fi cunoscute n mod
corespunztor de ctre operatorii menionai,
emite prezentul ordin.

Art. 1
Se aprob Cerinele minime de securitate a prelucrrilor de date cu caracter
personal, prevzute n anexa la prezentul ordin.

Art. 2
Prezentul ordin va fi publicat n Monitorul Oficial al Romniei, Partea I.

Art. 3
- Anexa face parte integrant din prezentul ordin.
-****-
AVOCATUL POPORULUI,
prof. univ dr. IOAN MURARU

ANEX: CERINELE MINIME DE SECURITATE a prelucrrilor de date cu caracter
personal
Prezentele cerine minime de securitate a prelucrrilor de date cu caracter
personal trebuie s stea la baza adoptrii i implementrii de ctre operator a
msurilor teh-nice i organizatorice necesare pentru pstrarea confidenialitii i
integritii datelor cu caracter personal. n concordan cu acestea operatorii i
vor stabili propriile politici i proceduri de securitate.

Cerinele minime de securitate a prelucrrilor de date cu caracter personal
acoper urmtoarele aspecte:
1.Identificarea i autentificarea utilizatorului
Prin utilizator se nelege orice persoan care acioneaz sub autoritatea
operatorului, a persoanei mputernicite sau a reprezentantului, cu drept
recunoscut de acces la bazele de date cu caracter personal.
Utilizatorii, pentru a cpta acces la o baz de date cu caracter personal, trebuie
s se identifice. Identificarea se poate face prin mai multe metode, cum ar fi:
introducerea codului de identificare de la tastatur (un ir de caractere), folosirea
unei cartele cu cod de bare, folosirea unei cartele inteligente (smart card) sau a
unei cartele magnetice.
Fiecare utilizator are propriul su cod de identificare. Niciodat mai muli
utilizatori nu trebuie s aib acelai cod de identificare.
Codurile de identificare (sau conturi de utilizator) nefolosite o perioad mai
ndelungat trebuie dezactivate i distruse dup un control prealabil intern al
operatorului. Perioada dup care codurile trebuie dezactivate i distruse se
stabilete de operator.
Orice cont de utilizator este nsoit de o modalitate de autentificare.
Autentificarea poate fi fcut prin introducerea unei parole sau prin mijloace
biometrice: amprenta dactiloscopic, amprenta vocal, angiografia retinian etc.
Parolele sunt iruri de caractere. Cu ct irul de caractere este mai lung, cu att
parola este mai greu de aflat. La introducerea parolelor acestea nu trebuie s fie
afiate n clar pe monitor. Parolele trebuie schimbate periodic n funcie de
politicile de securitate ale entitii (operator sau persoan mputernicit).
Schimbarea periodic a parolelor se face numai de ctre utilizatori autorizai de
operator.
Operatorul trebuie s solicite realizarea unui sistem informaional care s refuze
automat accesul unui utilizator dup 5 introduceri greite ale parolei.
Orice utilizator care primete un cod de identificare i un mijloc de autentificare
trebuie s pstreze confidenialitatea acestora i s rspund n acest sens n
faa opera-torului.
Fiecare entitate va stabili o procedur proprie de administrare i gestionare a
conturilor de utilizator.
Operatorii autorizeaz anumii utilizatori pentru a revoca sau a suspenda un cod
de identificare i autentificare, dac utilizatorul acestora i-a dat demisia ori a
fost concediat, i-a ncheiat contractul, a fost transferat la alt serviciu i noile
sarcini nu i solicit accesul la date cu caracter personal, a abuzat de codurile
primite sau dac va absenta o perioad ndelungat stabilit de entitate.
Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se
va face pe baza unei liste apro-bate de conducerea entitii.

2.Tipul de acces
Utilizatorii trebuie s acceseze numai datele cu caracter personal necesare pentru
ndeplinirea atribuiilor lor de serviciu. Pentru aceasta operatorii trebuie s
stabileasc tipurile de acces dup funcionalitate (cum ar fi: administrare,
introducere, prelucrare, salvare etc.) i dup aciuni aplicate asupra datelor cu
caracter personal (cum ar fi: scriere, citire, tergere), precum i procedurile
privind aceste tipuri de acces.
Programatorii sistemelor de prelucrare a datelor cu caracter personal nu vor avea
acces la datele cu caracter personal. Operatorul va permite accesul
programatorilor la datele cu caracter personal dup ce acestea au fost
transformate n date anonime.
Compartimentul care asigur suportul tehnic poate avea acces la datele cu
caracter personal pentru rezolvarea unor cazuri excepionale.
Pentru activitatea de pregtire a utilizatorilor sau pentru realizarea de prezentri
se vor folosi date anonime. Angajaii care predau cursurile de pregtire vor folosi
date cu caracter personal pe parcursul propriei lor pregtiri.
Operatorul va stabili modalitile stricte prin care se vor distruge datele cu
caracter personal. Autorizarea pentru aceast prelucrare de date cu caracter
personal trebuie limitat la civa utilizatori.

3.Colectarea datelor
Operatorul desemneaz utilizatori autorizai pentru operaiile de colectare i
introducere de date cu caracter personal ntr-un sistem informaional.
Orice modificare a datelor cu caracter personal se poate face numai de ctre
utilizatori autorizai desemnai de operator.
Operatorul va lua msuri pentru ca sistemul informaional s nregistreze cine a
fcut modificarea, data i ora modificrii. Pentru o mai bun administrare
operatorul va lua msuri ca sistemul informaional s menin datele terse sau
modificate.

4.Execuia copiilor de siguran
Operatorul va stabili intervalul de timp la care se vor executa copiile de siguran
ale bazelor de date cu caracter personal, precum i ale programelor folosite
pentru prelucrrile automatizate. Utilizatorii care execut aceste copii de
siguran vor fi numii de operator, ntr-un numr restrns. Copiile de siguran
se vor stoca n alte camere, n fiete metalice cu sigiliu aplicat, i, dac este
posibil, chiar n camere din alt cldire.
Operatorul va lua msuri ca accesul la copiile de siguran s fie monitorizat.

5.Computerele i terminalele de acces
Computerele i alte terminale de acces vor fi instalate n ncperi cu acces
restricionat. Dac nu pot fi asigurate aceste condiii, computerele se vor instala
n ncperi care se pot ncuia sau se vor lua msuri ca accesul la computere s se
fac cu ajutorul unor chei ori cartele magnetice.
Dac pe ecran apar date cu caracter personal asupra crora nu se acioneaz o
perioad dat, stabilit de operator, sesiunea de lucru trebuie nchis automat.
Mrimea acestei perioade se determin n funcie de operaiile care trebuie
executate.
Terminalele de acces folosite n relaia cu publicul, pe care apar date cu caracter
personal, vor fi poziionate astfel nct s nu poat fi vzute de public i dup o
perioad scurt, stabilit de operator, n care nu se acioneaz asupra lor,
acestea trebuie ascunse.

6.Fiierele de acces
Operatorul este obligat s ia msuri ca orice accesare a bazei de date cu caracter
personal s fie nregistrat ntr-un fiier de acces (numit log la prelucrrile
automate) sau ntr-un registru pentru prelucrrile manuale de date cu caracter
personal, stabilit de operator. Informaiile nregistrate n fiierul de acces sau n
registru vor fi:
- codul de identificare (numele utilizatorului pentru bazele de date cu caracter
personal manuale);
- numele fiierului accesat (fiei);
- numrul nregistrrilor efectuate;
- tipul de acces;
- codul operaiei executate sau programul folosit;
- data accesului (an, lun, zi);
- timpul (ora, minutul, secunda).
Pentru prelucrrile automate aceste informaii vor fi stocate ntr-un fiier de
acces general sau n fiiere separate pentru fiecare utilizator. Orice ncercare de
acces neautorizat va fi, de asemenea, nregistrat.
Operatorul este obligat s pstreze fiierele de acces cel puin 2 ani, pentru a fi
folosite ca probe n cazul unor investigaii. Dac investigaiile se prelungesc,
aceste fiiere se vor pstra att timp ct se va considera necesar.
Fiierele de acces trebuie s fac posibil identificarea de ctre operator sau de
ctre persoana mputernicit a persoanelor care au accesat date cu caracter
personal fr un motiv anume, n vederea aplicrii unor sanciuni sau a sesizrii
organelor competente.

7.Sistemele de telecomunicaii
Operatorul este obligat s fac periodic controlul autentificrilor i tipurilor de
acces pentru detectarea unor disfuncionaliti n ceea ce privete folosirea
sistemelor de telecomunicaii.
Operatorii sunt obligai s conceap sistemul de telecomunicaii astfel nct
datele cu caracter personal s nu poat fi interceptate sau transmise de oriunde.
Dac sistemul de telecomunicaii nu poate fi astfel securizat, operatorul este
obligat s impun folosirea metodei de criptare pentru transmisia datelor cu
caracter personal.
Prin sistemele de telecomunicaii se vor transmite numai datele cu caracter
personal strict necesare.

8.Instruirea personalului
n cadrul cursurilor de pregtire a utilizatorilor operatorul este obligat s fac
informarea acestora cu privire la prevederile Legii nr. 677/ 2001 pentru
protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i
libera circulaie a acestor date, la cerinele minime de securitate a prelucrrilor
de date cu caracter personal, precum i cu privire la riscurile pe care le comport
prelucrarea datelor cu caracter personal, n funcie de specificul activitii
utilizatorului.
Utilizatorii care au acces la date cu caracter personal vor fi instruii de ctre
operator asupra confidenialitii acestora i vor fi avertizai prin mesaje care vor
aprea pe monitoare n timpul activitii. Utilizatorii sunt obligai s i nchid
sesiunea de lucru atunci cnd prsesc locul de munc.

9.Folosirea computerelor
Pentru meninerea securitii prelucrrii datelor cu caracter personal (n special
mpotriva viruilor informatici) operatorul va lua msuri care vor consta n:
a)interzicerea folosirii de ctre utilizatori a programelor software care provin din
surse externe sau dubioase;
b)informarea utilizatorilor n privina pericolului privind viruii informatici;
c)implementarea unor sisteme automate de devirusare i de securitate a
sistemelor informatice;
d)dezactivarea, pe ct posibil, a tastei "Print screen", atunci cnd sunt afiate pe
monitor date cu caracter personal, interzicndu-se astfel scoaterea la imprimant
a acestora.

10.Imprimarea datelor
Scoaterea la imprimant a datelor cu caracter personal se va realiza numai de
utilizatori autorizai pentru aceast operaiune de ctre operator. Operatorii sunt
obligai s aprobe proceduri interne specifice privind folosirea i distrugerea
acestor materiale.
Fiecare entitate i va aproba propriul sistem de securitate, innd seama de
aceste cerine minime de securitate a prelucrrilor de date cu caracter personal,
iar n funcie de importana datelor cu caracter personal prelucrate, i va impune
msuri de securitate suplimentare.
Publicat n Monitorul Oficial cu numrul 383 din data de 5 iunie 2002