Sunteți pe pagina 1din 5

REGULAMENT

pentru asigurarea securitii prelucrrilor datelor cu caracter personal utilizate n cadrul proiectelor
finanate din fonduri europene nerambursabile de ctre SC ???????????????? SRL
CAPITOLUL I. PREAMBUL
Art. 1. n vederea elaborrii prezentului Regulament, s-a avut n vedere respectarea dispoziiilor legale referitoare la protecia
dreptului la viaa intim, familial i privat, n ceea ce privete prelucrarea datelor cu caracter personal, n conformitate cu
dispoziiile Legii nr. 677/2001, coroborate cu dispoziiile Ordinului nr. 52/2002 privind aprobarea Cerinelor minime de securitate a
prelucrrilor de date cu caracter personal, precum i n conformitate cu dispoziiilor Legii 1/2011.
CAPITOLUL II: DISPOZIII GENERALE
A. SCOPUL I SFERA DE APLICARE
Art. 2. Prezentul Regulament are ca scop stabilirea unor norme de conduit pentru asigurarea unui nivel satisfctor de protecie a
datelor cu caracter personal prelucrate de ctre SC ???????????????? SRL n cadrul proiectelor finantate din fonduri europene
nerambursabile.
Art. 3. Normele de conduit stabilesc exercitarea drepturilor i obligaiilor pe care SC ???????????????? SRL le are n domeniul
proteciei persoanelor n privina datelor cu caracter personal, n relaiile instituiei cu persoanele vizate, cu alte instituii de formare
profesionala, precum i cu alte persoane fizice sau juridice.
Art. 4. Normele cuprinse n prezentul Regulament nu aduc atingere altor obligaii legale imperative sau deontologice ce revin
SC ???????????????? SRL.
B. DEFINIREA TERMENILOR
Art. 5. Termenii folosii au urmtorul sens:
a) persoana vizat - persoana fizic ale crei date cu caracter personal sunt prelucrate.
b) a colecta - a strnge, a aduna, a primi date cu caracter personal.
c) a dezvlui - a transmite, a disemina, a face disponibile n orice alt mod date cu caracter personal, n afara operatorului;
d) a utiliza - a se folosi datele cu caracter personal de ctre i n interiorul operatorului;
e) consimmnt - acordul neviciat al persoanei vizate de a-i fi prelucrate datele cu caracter personal, care trebuie s fie ntotdeauna
expres i neechivoc;
f) nivel de protecie i de securitate adecvat al prelucrrilor de date cu caracter personal nivelul de securitate proporional riscului, pe care l comport prelucrarea fa de datele cu caracter personal respectiv i fa de
drepturile i libertile persoanelor i conform cerinelor minime de securitate a prelucrrilor de date cu caracter personal, elaborate
de autoritatea de supraveghere i actualizate corespunztor stadiului dezvoltrii tehnologice i costurilor implementarii acestor
msuri;
Art. 6. Termeni precum: date cu caracter personal, prelucrarea datelor cu caracter personal, stocare, operator, ter, destinatar, date
anonime, autoritate de supraveghere, dreptul de informare, dreptul de acces, dreptul de intervenie, dreptul de opoziie au sensurile
definite de Legea nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera
circulaie a acestor date.
CAPITOLUL III. PRINCIPIILE I CADRUL INSTITUIONAL PRIVIND PRELUCRAREA DE DATE CU CARACTER
PERSONAL
A. Legalitatea i transparenta
Art. 7. SC ???????????????? SRL recunoate i respect dreptul la via intim, familial i privat, prelucrarea datelor cu caracter
personal desfurndu-se n conformitate cu prevederile legale n vigoare, precizate la art. 1 din prezentul Regulament.
B. Responsabilitatea
Art. 8. SC ???????????????? SRL utilizeaz datele cu caracter personal ale persoanelor vizate prin intermediul unei baze de date
alctuite din informaii obinute direct de la persoanele vizate prin consimmntul acestora i informaii furnizate de orice surs
extern autorizat de lege.
Art. 9. SC ???????????????? SRL este responsabil pentru datele cu character personal, aflate sub controlul su, precum i pentru
datele transferate ctre teri.
Art. 10. Persoanele care vor rspunde pentru respectarea dispoziiilor legale din domeniul proteciei persoanelor i a datelor cu
caracter personal, precum i a principiilor prevzute n prezentul Regulament sunt numai persoane angajate n cadrul
SC ???????????????? SRL i care au printre atribuiile principale i colectarea, utilizarea, prelucrarea, datelor cu caracter personal.

C. Legitimitatea scopului colectrii


Art. 11. n cadrul proiectelor derulate de ctre SC ???????????????? SRL, colectarea de date cu caracter personal prin mijloace
frauduloase, neloiale sau ilegale este interzis.
Art. 12. Persoanele vizate vor fi informate asupra categoriilor de date care sunt prelucrate, scopul prelucrrii, precum i consecinele
refuzului acestora de a furniza catre SC ???????????????? SRL datele solicitate.
Art. 13. Scopurile pentru care se colecteaz date se precizeaz n scris, ntr-un limbaj uor accesibil pentru persoanele vizate.
D. Consimmntul
Art. 14. n cazul prelucrrii datelor cu caracter personal, se cere consimmntul persoanelor vizate.
Art. 15. Consimmntul de colectare a datelor cu caracter personal se exprim prin completarea de Declaraii vrubrici, nsoite de
note de informare a persoanelor vizate n legtur cu prelucrarea datelor cu caracter personal.
Art. 16. Persoana vizata i poate retrage consimmntul n orice moment, sub condiia avizrii prealabile a operatorului. Acesta va
informa persoana vizata n legatura cu procedura i efectele retragerii consimmntului.
E. Legitimitatea dezvluirii
Art. 17. SC ???????????????? SRL va prelucra datele cu caracter personal numai pentru scopurile pentru care au fost colectate, cu
excepia cazului n care persoana vizata i da anterior consimmntul i pentru prelucrarea n alte scopuri sau n alte cazuri permise
de lege.
Art. 18. Accesul la datele prelucrate va fi permis numai angajailor SC ???????????????? SRL, n ndeplinirea obligaiilor de serviciu.
F. Legitimitatea stocrii
Art. 19. SC ???????????????? SRL se oblig s ia toate msurile necesare pentru pstrarea datelor cu caracter personal de o manier
exact, completat i actualizat, pentru a ndeplini scopurile pentru care acestea au fost colectate.
Art. 20. Datele inexacte sau incomplete vor fi rectificate sau eliminate din evidena curent.
Art. 21. Datele cu caracter personal vor fi pstrate numai pe perioada necesar ndeplinirii scopurilor stabilite, cu respectarea
drepturilor persoanei vizate, n special a dreptului de acces, de intervenie i de opoziie.
Art. 22. n urma verificrilor periodice datele cu caracter personal deinute de operator, care nu mai servesc realizrii scopurilor sau
ndeplinirii unor obligaii legale, vor fi distruse sau transformate n date anonime ntr-un interval de timp rezonabil, potrivit
procedurilor stabilite de lege.
G. Securitatea prelucrarilor
Art.23. SC ???????????????? SRL are obligaia de a lua toate msurile tehnice i organizatorice necesare pentru asigurarea unui nivel
de protecie i de securitate adecvat, n cadrul operaiunilor efectuate asupra datelor cu caracter personal, n acest scop la bazele de
date vor avea acces numai persoane autorizate, iar copierea datelor se va putea face numai la locul n care sunt gestionate.
H. Dreptul de informare
Art. 24. La cerere, atunci cnd legea nu interzice, SC ???????????????? SRL va comunica informaii referitoare la: categoriile de date
cu caracter personal pe care le prelucreaz, sursele de la care au fost colectate datele cu caracter personal, scopurile prelucrrii,
precum i dac, respectiv unui ter i-au fost dezvluite aceste date.
Art. 25. n cazul n care dezvaluirea datelor este impus de lege (de exemplu, n vederea executrii unei hotrri judectoreti),
SC ???????????????? SRL se va asigura ca terul care solicita dezvaluirea acioneaz n conformitate cu dispoziiile legale incidente,
iar cererea privete numai datele cu caracter personal neexcesive prin raportare la scopul prelucrrii. Persoana vizata va fi informat
n legatura cu dezvaluirea, numai dac legea permite.
I. Dreptul de acces
Art. 26. Pesoanele vizate au dreptul s se informeze cu privire la datele personale proprii deinute de SC ???????????????? SRL,
utiliznd n acest scop diverse ci comunicare (email, fax, cerere scris).
Art. 27. O persoan vizat nu are dreptul de a accesa datele cu caracter personal ale altei persoane vizate.
J. Dreptul de intervenie
Art. 28. Persoanele vizate au dreptul de a solicita verificarea exactitii i a caracterului complet al datelor cu caracter personal care le
privesc, precum i de a solicita rectificarea datelor inexacte.
Art. 29. SC ???????????????? SRL va pstra o eviden a contestaiilor privind caracterul exact sau complet al datelor, precum i o
eviden a datelor transferate ctre ali operatori. Evidenele vor conine datele care au fost rectificate i datele care au fost
transferate.
Art. 30. Actualizarea bazelor de date se face prin intermediul informaiilor transmise de persoanele vizate, precum i prin informaiile
furnizate de orice surs extern autorizata de lege.

K. Dreptul de opoziie
Art. 31. Persoana vizat are dreptul de a se opune n orice moment, din motive ntemeiate i legitime legate de situaia sa particular,
ca date care o vizeaz s fac obiectul unei prelucrri, cu excepia cazurilor n care exist dispoziii legale contrare. n caz de opoziie
justificat prelucrarea nu mai poate viza datele n cauz.
Art. 32. Persoana vizat are dreptul de a se opune n orice moment, n mod gratuit i fr nici o justificare, ca datele care o vizeaz s
fie prelucrate n scop de marketing direct, n numele operatorului sau al unui ter, sau s fie dezvluite unor teri ntr-un asemenea
scop.
Art. 33. n vederea exercitrii drepturilor prevzute la art. 31 i la art. 32, persoana vizat va nainta operatorului o cerere ntocmit n
form scris, datat i semnat. n cerere solicitantul poate arta dac dorete ca informaiile s i fie comunicate la o anumit adres,
care poate fi i de pot electronic, sau printr-un serviciu de coresponden care s asigure c predarea i se va face numai
personal.
Art. 34. Operatorul este obligat s comunice persoanei vizate msurile luate n temeiul art.31 sau art.32, precum i, dac este cazul,
numele terului cruia i-au fost dezvluite datele cu character personal referitoare la persoana vizat, n termen de 15 zile de la data
primirii cererii, cu respectarea eventualei opiuni a solicitantului exprimate potrivit art. 33.
L. Soluionarea plangerilor
Art. 35. SC ???????????????? SRL este obligat s rezolve plngerile i orice alte cereri legate de prelucrarea datelor cu caracter
personal, n termenele i condiiile prevzute de lege.
CAPITOLUL IV. CERINELE MINIME DE SECURITATE A PRELUCRRILOR DE DATE CU CARACTER
PERSONAL
Art. 36. Identificarea i autentificarea utilizatorului
(1) Prin utilizator se nelege orice persoan care acioneaz sub autoritatea operatorului, a persoanei mputernicite sau a
reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal.
(2) Utilizatorii, pentru a cpta acces la o baz de date cu caracter personal, trebuie s se identifice. Identificarea se poate face prin
mai multe metode, cum ar fi: introducerea codului de identificare de la tastatur (un ir de caractere), folosirea unei cartele cu cod de
bare, folosirea unei cartele inteligente (smart card) sau a unei cartele magnetice.
(3) Fiecare utilizator are propriul su cod de identificare. Niciodat mai muli utilizatori nu trebuie s aib acelai cod de identificare.
(4) Codurile de identificare (sau conturi de utilizator) nefolosite o perioad mai ndelungat trebuie dezactivate i distruse dup un
control prealabil intern al operatorului. Perioada dup care codurile trebuie dezactivate i distruse se stabilete de operator.
(5) Orice cont de utilizator este nsoit de o modalitate de autentificare. Autentificarea poate fi fcut prin introducerea unei parole
sau prin mijloace biometrice: amprenta dactiloscopic, amprenta vocal, angiografia retinian etc.
(6) Parolele sunt iruri de caractere. Cu ct irul de caractere este mai lung, cu att parola este mai greu de aflat. La introducerea
parolelor acestea nu trebuie s fie afiate n clar pe monitor. Parolele trebuie schimbate periodic n funcie de politicile de securitate
ale entitii (operator sau persoan mputernicit). Schimbarea periodic a parolelor se face numai de ctre utilizatori autorizai de
operator.
(7) Operatorul trebuie s solicite realizarea unui sistem informaional care s refuze automat accesul unui utilizator dup 5 introduceri
greite ale parolei.
(8) Orice utilizator care primete un cod de identificare i un mijloc de autentificare trebuie s pstreze confidenialitatea acestora i
s rspund n acest sens n faa operatorului.
(9) Fiecare entitate va stabili o procedur proprie de administrare i gestionare a conturilor de utilizator.
(10) Operatorii autorizeaz anumii utilizatori pentru a revoca sau a suspenda un cod de identificare i autentificare, dac utilizatorul
acestora i-a dat demisia ori a fost concediat, i-a ncheiat contractul, a fost transferat la alt serviciu i noile sarcini nu i solicit
accesul la date cu caracter personal, a abuzat de codurile primite sau dac va absenta o perioad ndelungat stabilit de entitate.
(11) Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se va face pe baza unei liste aprobate de
conducerea entitii.
Art. 37. Tipul de acces:
(1) Utilizatorii trebuie s acceseze numai datele cu caracter personal necesare pentru ndeplinirea atribuiilor lor de serviciu. Pentru
aceasta operatorii trebuie s stabileasc tipurile de acces dup funcionalitate (cum ar fi: administrare, introducere, prelucrare, salvare
etc.) i dup aciuni aplicate asupra datelor cu caracter personal (cum ar fi: scriere, citire, tergere), precum i procedurile privind
aceste tipuri de acces.
(2) Programatorii sistemelor de prelucrare a datelor cu caracter personal nu vor avea acces la datele cu caracter personal. Operatorul
va permite accesul programatorilor la datele cu character personal dup ce acestea au fost transformate n date anonime.
(3) Compartimentul care asigur suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea unor cazuri
excepionale.
(4) Pentru activitatea de pregtire a utilizatorilor sau pentru realizarea de prezentri se vor folosi date anonime. Angajaii care predau
cursurile de pregtire vor folosi date cu caracter personal pe parcursul propriei lor pregtiri.
(5) Operatorul va stabili modalitile stricte prin care se vor distruge datele cu caracter personal.

Autorizarea pentru aceast prelucrare de date cu caracter personal trebuie limitat la civa utilizatori.
Art. 38. Colectarea datelor
(1) Operatorul desemneaz utilizatori autorizai pentru operaiile de colectare i introducere de date cu caracter personal ntr-un
sistem informaional.
(2) Orice modificare a datelor cu caracter personal se poate face numai de ctre utilizatori autorizai desemnai de operator.
(3) Operatorul va lua msuri pentru ca sistemul informaional s nregistreze cine a fcut modificarea, data i ora modificrii. Pentru
o mai bun administrare operatorul va lua msuri ca sistemul informaional s menin datele terse sau modificate.
Art. 39. Execuia copiilor de siguran
(1) Operatorul va stabili intervalul de timp la care se vor executa copiile de siguran ale bazelor de date cu caracter personal, precum
i ale programelor folosite pentru prelucrrile automatizate. Utilizatorii care execut aceste copii de siguran vor fi numii de
operator, ntr-un numr restrns. Copiile de siguran se vor stoca n alte camere, n fiete metalice cu sigiliu aplicat, i, dac este
posibil, chiar n camere din alt cldire.
(2) Operatorul va lua msuri ca accesul la copiile de siguran s fie monitorizat.
Art. 40. Computerele i terminalele de acces
(1) Computerele i alte terminale de acces vor fi instalate n ncperi cu acces restricionat. Dac nu pot fi asigurate aceste condiii,
computerele se vor instala n ncperi care se pot ncuia sau se vor lua msuri ca accesul la computere s se fac cu ajutorul unor chei
ori cartele magnetice.
(2) Dac pe ecran apar date cu caracter personal asupra crora nu se acioneaz o perioad dat, stabilit de operator, sesiunea de
lucru trebuie nchis automat. Mrimea acestei perioade se determin n funcie de operaiile care trebuie executate.
(3) Terminalele de acces folosite n relaia cu publicul, pe care apar date cu caracter personal, vor fi poziionate astfel nct s nu
poat fi vzute de public i dup o perioad scurt, stabilit de operator, n care nu se acioneaz asupra lor, acestea trebuie ascunse.
Art. 41. Fiierele de acces
(1) Operatorul este obligat s ia msuri ca orice accesare a bazei de date cu caracter personal s fie nregistrat ntr-un fiier de acces
(numit log la prelucrrile automate) sau ntr-un registru pentru prelucrrile manuale de date cu caracter personal, stabilit de operator.
Informaiile nregistrate n fiierul de acces sau n registru vor fi:
codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal
manuale);
numele fiierului accesat (fiei);
numrul nregistrrilor efectuate;
tipul de acces;
codul operaiei executate sau programul folosit;
data accesului (an, lun, zi);
timpul (ora, minutul, secunda).
(2) Pentru prelucrrile automate aceste informaii vor fi stocate ntr-un fiier de acces general sau n fiiere separate pentru fiecare
utilizator. Orice ncercare de acces neautorizat va fi, de asemenea, nregistrat.
(3) Operatorul este obligat s pstreze fiierele de acces cel puin 2 ani, pentru a fi folosite ca probe n cazul unor investigaii. Dac
investigaiile se prelungesc, aceste fiiere se vor pstra att timp ct se va considera necesar.
(4) Fiierele de acces trebuie s fac posibil identificarea de ctre operator sau de ctre persoana mputernicit a persoanelor care au
accesat date cu caracter personal fr un motiv anume, n vederea aplicrii unor sanciuni sau a sesizrii organelor competente.
Art. 42. Sistemele de telecomunicaii
(1) Operatorul este obligat s fac periodic controlul autentificrilor i tipurilor de acces pentru detectarea unor disfuncionaliti n
ceea ce privete folosirea sistemelor de telecomunicaii.
(2) Operatorii sunt obligai s conceap sistemul de telecomunicaii astfel nct datele cu caracter personal s nu poat fi interceptate
sau transmise de oriunde. Dac sistemul de telecomunicaii nu poate fi astfel securizat, operatorul este obligat s impun folosirea
metodei de criptare pentru transmisia datelor cu caracter personal.
(3) Prin sistemele de telecomunicaii se vor transmite numai datele cu caracter personal strict necesare.
Art. 43. Instruirea personalului
(1) n cadrul cursurilor de pregtire a utilizatorilor operatorul este obligat s fac informarea acestora cu privire la prevederile Legii
nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date, la
cerinele minime de securitate a prelucrrilor de date cu caracter personal, precum i cu privire la riscurile pe care le comport
prelucrarea datelor cu caracter personal, n funcie de specificul activitii utilizatorului.
(2) Utilizatorii care au acces la date cu caracter personal vor fi instruii de ctre operator asupra confidenialitii acestora i vor fi
avertizai prin mesaje care vor aprea pe monitoare n timpul activitii. Utilizatorii sunt obligai s i nchid sesiunea de lucru
atunci cnd prsesc locul de munc.
Art. 44. Folosirea computerelor
(1) Pentru meninerea securitii prelucrrii datelor cu caracter personal (n special mpotriva viruilor informatici) operatorul va lua
msuri care vor consta n:
a) interzicerea folosirii de ctre utilizatori a programelor software care provin din surse externe sau dubioase;

b) informarea utilizatorilor n privina pericolului privind viruii informatici;


c) implementarea unor sisteme automate de devirusare i de securitate a sistemelor informatice;
d) dezactivarea, pe ct posibil, a tastei Print screen, atunci cnd sunt afiate pe monitor date cu caracter personal, interzicndu-se
astfel scoaterea la imprimant a acestora.
Art. 45.Imprimarea datelor
(1) Scoaterea la imprimant a datelor cu caracter personal se va realiza numai de utilizatori autorizai pentru aceast operaiune de
ctre operator. Operatorii sunt obligai s aprobe procedure interne specifice privind folosirea i distrugerea acestor materiale.
(2) Fiecare entitate i va aproba propriul sistem de securitate, innd seama de aceste cerine minime de securitate a prelucrrilor de
date cu caracter personal, iar n funcie de importana datelor cu caracter personal prelucrate, i va impune msuri de securitate
suplimentare.
CAPITOLUL V. DISPOZIII FINALE I TRANZITORII
Art. 46. Prezentul Regulament poate fi revizuit periodic, n funcie de modificrile i completrile legislative aplicabile, precum i de
nivelul de dezvoltare tehnologic.
Art. 47. Prezentul Regulament pentru asigurarea securitii prelucrrilor datelor cu caracter personal utilizate n cadrul proiectelor
finanate din fonduri europene nerambursabile de ctre SC ???????????????? SRL, se completeaz cu prevederile legale n domeniul
proteciei datelor cu caracter personal.