PPDCP

CONSILIUL LOCAL SATU MARE SERVICIUL PUBLIC SIGURANA TRAFICULUI Satu Mare, str. Prahova nr.18, jud.
SATU MARE Tel: +40-261-706802; Fax: +40-361-418409; spstsm@gmail.com
SECURITATEA PRELUCRRILOR DE DATE CU CARACTER PERSONAL

Verificat: ef Birou Juridic Cj. Lucian BODEA
COD: PDCP-02 Versiune: 1.0 Revizie: 2
Pagina 1 din 9
ntocmit: Consilier Sorin NADO VALABIL DIN DATA: 13.02.2012
Aprobat: ef Serviciu Consilier Adrian NEACU
1. Scopul procedurii 2. Domeniul de aplicare al procedurii 3. Definiii i prescurtri 4. Documente de referin 5. Responsabiliti 6. Descrierea activitii 7. nregistrri/Documente/Formulare 8. Diagrama de flux a procesului 1. Scopul procedurii Procedura descrie condiiile i modul de desfurare a activitii privind securitatea prelucrrilor de date cu caracter personal. 2. Domeniul de aplicare al procedurii Procedura se aplic n cadrul SERVICIULUI PUBLIC SIGURANA TRAFICULUI SATU MARE. 3. Definiii i prescurtri Definiiile termenilor utilizai in cadrul acestei proceduri sunt conform standardelor SR EN ISO 9001:2001 - Sisteme de management al calitii. Cerine., respectiv SR EN ISO 9000:2006 - Sisteme de management al calitii. Principii fundamentale i vocabular, respectiv SR EN ISO 9011:2003 - Ghid pentru auditarea sistemelor de management al calitii.

procedur - mod specificat de efectuare a unei activiti sau a unui proces procedurile pot fi documentate (scrise) sau nu. procedur de lucru - document care descrie modul de desfurare detaliat a unor procese specifice activitii din cadrul SPST.
Prescurtri: SPST SERVICIUL PUBLIC SIGURANA TRAFICULUI SATU MARE
Procedur privind securitatea prelucrrii de date cu caracter personal S.P.S.T. Satu Mare, 2012
CONSILIUL LOCAL SATU MARE SERVICIUL PUBLIC SIGURANA TRAFICULUI Satu Mare, str. Prahova nr.18, jud. SATU MARE Tel: +40-261-706802; Fax: +40-361-418409; spstsm@gmail.com
Pagina 2 din 9
4. Documente de referin

Legea nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date; ORDIN al Guvernului Romniei nr. 52/2002 privind aprobarea Cerinelor minime de securitate a prelucrrilor de date cu caracter personal; SR EN ISO 9001 :2001 - Sisteme de management al calitii. Cerine. Manualul Calitii, cod MC 01, ediia i revizia n vigoare. Codul Muncii
5. Responsabiliti Responsabilitile sunt conforme cu diagrama de flux a procesului. (8)
6. Descrierea activitii 6.1. Cerinele minime de securitate a prelucrrilor de date cu caracter personal Prezentele cerine minime de securitate a prelucrrilor de date cu caracter personal trebuie s stea la baza adoptrii i implementrii de ctre operator a msurilor tehnice i organizatorice necesare pentru pstrarea confidenialitii i integritii datelor cu caracter personal. n concordan cu acestea, operatorii i vor stabili propriile politici i proceduri de securitate. Cerinele minime de securitate a prelucrrilor de date cu caracter personal acoper urmtoarele aspecte:
6.1.1. Identificarea i autentificarea utilizatorului Prin utilizator se nelege orice persoan care acioneaz sub autoritatea operatorului (SPST), a persoanei mputernicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal. Utilizatorii, pentru a cpta acces la o baz de date cu caracter personal, trebuie s se identifice. Identificarea se poate face prin mai multe metode, cum ar fi: introducerea codului de identificare de la tastatur (un ir de caractere), folosirea unei cartele cu cod de bare,
Pagina 3 din 9
folosirea unei cartele inteligente (smart card) sau a unei cartele magnetice. Fiecare utilizator are propriul su cod de identificare. Niciodat mai muli utilizatori nu trebuie s aib acelai cod de identificare. Codurile de identificare (sau conturi de utilizator) nefolosite o perioad mai ndelungat trebuie dezactivate i distruse dup un control prealabil intern al operatorului. Perioada dup care codurile trebuie dezactivate i distruse se stabilete de operator (SPST). n acest sens, se va autoriza o persoan (uzual din cadrul compartimentului I.T. sau responsabilul I.T.) Orice cont de utilizator este nsoit de o modalitate de autentificare. Autentificarea poate fi fcut prin introducerea unei parole sau prin mijloace biometrice: amprenta dactiloscopic, amprenta vocal, angiografia retinian etc. Parolele sunt iruri de caractere. Cu ct irul de caractere este mai lung, cu att parola este mai greu de aflat. La introducerea parolelor acestea nu trebuie s fie afiate n clar pe monitor. Parolele trebuie schimbate periodic n funcie de politicile de securitate ale entitii (operator sau persoan mputernicit). Schimbarea periodic a parolelor se face numai de ctre utilizatori autorizai de operator (SPST). Operatorul (SPST) trebuie s solicite realizarea unui sistem informaional care s refuze automat accesul unui utilizator dup 5 introduceri greite ale parolei. Orice utilizator care primete un cod de identificare i un mijloc de autentificare trebuie s pstreze confidenialitatea acestora i s rspund n acest sens n faa operatorului. Fiecare operator va stabili o procedur proprie de administrare i gestionare a conturilor de utilizator. Operatorii autorizeaz anumii utilizatori pentru a revoca sau a suspenda un cod de identificare i autentificare, dac utilizatorul acestora i-a dat demisia ori a fost concediat, i-a ncheiat contractul, a fost transferat la alt serviciu i noile sarcini nu i solicit accesul la date cu caracter personal, a abuzat de codurile primite sau dac va absenta o perioad ndelungat stabilit de entitate. Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se va face pe baza unei liste aprobate de conducerea entitii.
6.1.2. Tipuri de acces Utilizatorii trebuie s acceseze numai datele cu caracter personal necesare pentru ndeplinirea atribuiilor lor de serviciu. Pentru aceasta, operatorii trebuie s stabileasc
Pagina 4 din 9
tipurile de acces dup funcionalitate (cum ar fi: administrare, introducere, prelucrare, salvare etc.) i dup aciuni aplicate asupra datelor cu caracter personal (cum ar fi: scriere, citire, tergere), precum i procedurile/regulile privind aceste tipuri de acces. Operatorul (SPST) va stabili prin regulament intern accesul compartimentelor i persoanelor la datele cu caracter personal, precizndu-le nominal. Astfel, casieria va prelucra datele culese de la contribuabili (cari de identitate, acte ale societilor comerciale, certificate de handicap, etc.). Aceste date vor putea fi ulterior prelucrate i de compartimentul Financiar-Contabilitate. Importul datelor de la operatori externi se va face de ctre compartimentul Juridic, conform 6.1.3. Compartimentul Operativ, inclusiv agenii cu activitate n teren, vor avea acces la baza de date pentru ntocmirea proceselor verbale i altor acte, indiferent de sursa acestora. Programatorii sistemelor de prelucrare a datelor cu caracter personal nu vor avea acces la datele cu caracter personal, dac nu sunt angajai ai operatorului. Operatorul (SPST) va permite accesul programatorilor externi la datele cu caracter personal dup ce acestea au fost transformate n date anonime. Compartimentul care asigur suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea unor cazuri excepionale. Pentru activitatea de pregtire a utilizatorilor sau pentru realizarea de prezentri se vor folosi date anonime. Angajaii care predau cursurile de pregtire vor folosi date cu caracter personal pe parcursul propriei lor pregtiri. Operatorul va stabili modalitile stricte prin care se vor distruge datele cu caracter personal. Autorizarea pentru aceast prelucrare de date cu caracter personal trebuie limitat la civa utilizatori.
6.1.3. Colectarea datelor Operatorul desemneaz utilizatori autorizai pentru operaiile introducere de date cu caracter personal ntr-un sistem informaional. de colectare i
Orice modificare a datelor cu caracter personal se poate face numai de ctre utilizatori autorizai desemnai de operator. Utilizatorii desemnai vor efectua importul datelor de la operatori externi numai pe baz de delegaie aprobat de conducerea SPST. Operatorul va lua msuri pentru ca sistemul informaional s nregistreze cine a fcut
Pagina 5 din 9
modificarea, data i ora modificrii. Pentru o mai bun administrare operatorul va lua msuri ca sistemul informaional s menin datele terse sau modificate. n cazul importului datelor de la un alt operator, se vor folosi medii de stocare (CD, DVD, memorie USB) criptate prin algoritmi cu cheie privat de cel puin 128 de bii lungime. Persoanele care manipuleaz aceste medii de stocare cad sub incidena sanciunilor prevzute de Legea nr. 677/2001, n cazul n care le pierd, nstrineaz, dezvluie date, etc. Persoanele n cauz trebuie s cunoasc prevederile acestei legi i de asemenea s anune conducerea SPST de ndat ce apare un eveniment de natur s impieteze caracterul datelor cu caracter personal, n sensul prevzut de lege.
6.1.4. Execuia copiilor de siguran Operatorul va stabili intervalul de timp la care se vor executa copiile de siguran ale bazelor de date cu caracter personal, precum i ale programelor folosite pentru prelucrrile automatizate. Utilizatorii care execut aceste copii de siguran vor fi numii de operator, ntr-un numr restrns. Copiile de siguran se vor stoca n alte camere, n fiete metalice cu sigiliu aplicat, i, dac este posibil, chiar n camere din alt cldire. Operatorul va lua msuri ca accesul la copiile de siguran s fie monitorizat.
6.1.5. Computerele i terminalele de acces Computerele i alte terminale de acces vor fi instalate n ncperi cu acces restricionat. Dac nu pot fi asigurate aceste condiii, computerele se vor instala n ncperi care se pot ncuia sau se vor lua msuri ca accesul la computere s se fac cu ajutorul unor chei ori cartele magnetice. Dac pe ecran apar date cu caracter personal asupra crora nu se acioneaz o perioad dat, stabilit de operator, sesiunea de lucru trebuie nchis automat. Mrimea acestei perioade se determin n funcie de operaiile care trebuie executate. Terminalele de acces folosite n relaia cu publicul, pe care apar date cu caracter personal, vor fi poziionate astfel nct s nu poat fi vzute de public i dup o perioad scurt, stabilit de operator, n care nu se acioneaz asupra lor, acestea trebuie ascunse.
6.1.6. Fiierele de acces Operatorul este obligat s ia msuri ca orice accesare a bazei de date cu caracter personal s fie nregistrat ntr-un fiier de acces (numit log la prelucrrile automate) sau
Pagina 6 din 9
ntr-un registru pentru prelucrrile manuale de date cu caracter personal, stabilit de operator. Informaiile nregistrate n fiierul de acces sau n registru vor fi: - codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale);
-
numele fiierului accesat; numrul nregistrrilor efectuate;
- tipul de acces;
-
codul operaiei executate sau programul folosit; data accesului (an, lun, zi); timpul (ora, minutul, secunda).
Pentru prelucrrile automate aceste informaii vor fi stocate ntr-un fiier de acces general sau n fiiere separate pentru fiecare utilizator. Orice ncercare de acces neautorizat va fi, de asemenea, nregistrat. Operatorul este obligat s pstreze fiierele de acces cel puin 2 ani, pentru a fi folosite ca probe n cazul unor investigaii. Dac investigaiile se prelungesc, aceste fiiere se vor pstra att timp ct se va considera necesar. Fiierele de acces trebuie s fac posibil identificarea de ctre operator sau de ctre persoana mputernicit a persoanelor care au accesat date cu caracter personal fr un motiv anume, n vederea aplicrii unor sanciuni sau a sesizrii organelor competente.
6.1.7. Sistemele de telecomunicaii Operatorul (SPST) este obligat s fac periodic controlul autentificrilor i tipurilor de acces pentru detectarea unor disfuncionaliti n ceea ce privete folosirea sistemelor de telecomunicaii. Operatorii sunt obligai s conceap sistemul de telecomunicaii astfel nct datele cu caracter personal s nu poat fi interceptate sau transmise de oriunde. Dac sistemul de telecomunicaii nu poate fi astfel securizat, operatorul este obligat s impun folosirea metodei de criptare pentru transmisia datelor cu caracter personal. Criptarea se va face prin algoritmi cu cheie privat, cu o lungime a cheii de criptare de minimum 128 bii. Prin sistemele de telecomunicaii se vor transmite numai datele cu caracter personal
Pagina 7 din 9
strict necesare.
6.1.8. Instruirea personalului n cadrul cursurilor de pregtire a utilizatorilor, operatorul (SPST) este obligat s fac informarea acestora cu privire la prevederile Legii nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date, la cerinele minime de securitate a prelucrrilor de date cu caracter personal, precum i cu privire la riscurile pe care le comport prelucrarea datelor cu caracter personal, n funcie de specificul activitii utilizatorului. De asemenea, utilizatorii vor fi informai cu privire obligaiile ce le revin conform Codului Muncii. Utilizatorii care au acces la date cu caracter personal vor fi instruii de ctre operator asupra confidenialitii acestora i vor fi avertizai prin mesaje care vor aprea pe monitoare n timpul activitii. Utilizatorii sunt obligai s i nchid sesiunea de lucru atunci cnd prsesc locul de munc.
6.1.9. Folosirea computerelor Pentru meninerea securitii prelucrrii datelor cu caracter personal (n special mpotriva viruilor informatici) operatorul va lua msuri care vor consta n:
a) interzicerea folosirii de ctre utilizatori a programelor software care provin din surse externe sau dubioase; b) c)
informarea utilizatorilor n privina pericolului privind viruii informatici;
implementarea unor sisteme automate de devirusare i de securitate a sistemelor informatice;

d) dezactivarea, pe ct posibil, a tastei "Print screen", atunci cnd sunt afiate pe monitor date cu caracter personal, interzicndu-se astfel tiprirea la imprimant a acestora.
6.1.10. Imprimarea datelor Tiprirea la imprimant a datelor cu caracter personal se va realiza numai de ctre utilizatori autorizai pentru aceast operaiune de ctre operator. Operatorii sunt obligai s aprobe proceduri interne specifice privind folosirea i distrugerea acestor materiale.
Pagina 8 din 9
7. nregistrri / Documente / Formulare La arhivarea datelor, care se va face la intervale stabilite conform 6.1.4., se va elabora un document cu urmtorul cap de tabel:
Perioada de
Elaborator Pstrare (ani) Cf.legii Arhivare (ani) Cf.legii
Denumire nregistrare (document)
Locul de
Pstrare (ani) Cf.legii Arhivare (ani) Cf.legii
Cod
Suport
Date personale
S.P.S.T. Satu Mare
Electronic hrtie
Pagina 9 din 9
9. Diagrama de flux
Operator Extern
Baz de date
I.T. ef Serviciu
Arhiv
Birou Juridic
Birou Operativ
Casierie
Birou Financiar - Contabilitate
Ageni
Contravenieni
Contribuabili
ntocmit consilier Sorin NADO
Verificat ef Birou Juridic Cj. Lucian BODEA
Aprobat ef Serviciu consilier Adrian NEACU

PPDCP

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

PPDCP

Încărcat de

Drepturi de autor:

Formate disponibile

CONSILIUL LOCAL SATU MARE SERVICIUL PUBLIC SIGURANA TRAFICULUI Satu Mare, str. Prahova nr.18, jud.

SATU MARE Tel: +40-261-706802; Fax: +40-361-418409; spstsm@gmail.com

SECURITATEA PRELUCRRILOR DE DATE CU CARACTER PERSONAL

COD: PDCP-02 Versiune: 1.0 Revizie: 2

ntocmit: Consilier Sorin NADO VALABIL DIN DATA: 13.02.2012

Aprobat: ef Serviciu Consilier Adrian NEACU

Prescurtri: SPST SERVICIUL PUBLIC SIGURANA TRAFICULUI SATU MARE

SECURITATEA PRELUCRRILOR DE DATE CU CARACTER PERSONAL

COD: PDCP-02 Versiune: 1.0 Revizie: 2

5. Responsabiliti Responsabilitile sunt conforme cu diagrama de flux a procesului. (8)

SECURITATEA PRELUCRRILOR DE DATE CU CARACTER PERSONAL

COD: PDCP-02 Versiune: 1.0 Revizie: 2

SECURITATEA PRELUCRRILOR DE DATE CU CARACTER PERSONAL

COD: PDCP-02 Versiune: 1.0 Revizie: 2

SECURITATEA PRELUCRRILOR DE DATE CU CARACTER PERSONAL

COD: PDCP-02 Versiune: 1.0 Revizie: 2

SECURITATEA PRELUCRRILOR DE DATE CU CARACTER PERSONAL

COD: PDCP-02 Versiune: 1.0 Revizie: 2

numele fiierului accesat; numrul nregistrrilor efectuate;

SECURITATEA PRELUCRRILOR DE DATE CU CARACTER PERSONAL

COD: PDCP-02 Versiune: 1.0 Revizie: 2

informarea utilizatorilor n privina pericolului privind viruii informatici;

implementarea unor sisteme automate de devirusare i de securitate a sistemelor informatice;

SECURITATEA PRELUCRRILOR DE DATE CU CARACTER PERSONAL

COD: PDCP-02 Versiune: 1.0 Revizie: 2

Denumire nregistrare (document)

S.P.S.T. Satu Mare

SECURITATEA PRELUCRRILOR DE DATE CU CARACTER PERSONAL

COD: PDCP-02 Versiune: 1.0 Revizie: 2

Birou Financiar - Contabilitate

ntocmit consilier Sorin NADO

Verificat ef Birou Juridic Cj. Lucian BODEA

Aprobat ef Serviciu consilier Adrian NEACU

S-ar putea să vă placă și