Documente Academic
Documente Profesional
Documente Cultură
Daniela AVRAM
1
Cartea Albă a Guvernanţei Europene, COM (2001) 428 din 25.07.2001.
2
Ordonanţa Guvernului României nr. 119 din 1999 privind controlul intern şi controlul financiar
preventiv, publicat în Monitorul Oficial, nr. 430 din 31 august 1999, modificată şi republicată în M.Of.
nr.799/2003.
3
Ordinul Ministerului Finanţelor Publice nr. 946 din 2005 pentru aprobarea Codului controlului intern,
cuprinzând standardele de management/control intern la entitatile publice şi pentru dezvoltarea sistemelor de
control managerial, publicat în M. Of., nr. 675 din 28 iulie 2005.
4
Ordonanţa Guvernului României nr. 119 din 1999 privind controlul intern şi controlul financiar
preventiv, publicat în M. Of, nr. 430 din 31 august 1999, modificată şi republicată în M.Of. nr.799/2003, art. 2.
5
Ordinul Secretariatului General al Guvernului nr. 600 din 28 aprilie 2018 privind aprobarea Codului
controlului intern managerial al entităţilor publice, publicat în Monitorul Oficial nr. 387 din 7 mai 2018.
05 Evaluare şi Audit
04 Informare şi Comunicare
03 Activităţi de control
01 Mediul de Control
12
Securitatea datelor personale , Ghid emis de Autoritatea Naţională de Supraveghere a Prelucrării
Datelor din Franţa, Ediţia 2018.
13
I. ORZA, Proceduri şi politici de securitate IT, pentru conformarea la GDPR, accesat în data de 20
ianuarie 2023, disponibil la adresa https://gdprcomplet.ro/proceduri-politici-de-securitate-it-conformare-gdpr/.
- Politica de parole, cât de des se schimbă;
- Politica de backup care li se aplica direct și indirect;
Nu este recomandat să se permită folosirea acelorași credențiale de către mai mulți utilizatori ai
instituției.
Pentru conformarea GDPR a infrastructurii IT14, utilizată într-o instituție publice, sunt necesare
următoarele măsuri:
- Website-urile securizate şi aplicarea de teste care permit scanarea site-urile web și evidențierea
vulnerabilităților
- Distincție clară între autentificare și autorizare.
- Statisticile web trebuie sa respecte prevederile GDPR.
- Asigurarea că rețeaua interna nu este accesibila din exterior şi monitorizarea conexiunilor externe.
- Folosirea unui antivirus actualizat pentru a minimiza riscurile.
Inventarul hardware și software:
În fiecare instituție publică este important să existe o inventariere atât pentru rețeaua internă, cât şi
pentru cea externă, pentru a identifica aplicațiile și sistemele utilizate pentru prelucrarea sau stocarea
datelor cu caracter personal.
Măsurile referitoare la echipamente ( server, computer, router, telefon, imprimanta etc) -Sistemul de
operare, precizarea modalității de realizare a actualizării echipamentului, cine are acces şi dacă
concretizarea accesului utilizatorului este prin parola sau 2 autentificarea cu doi factori. Asigurarea
conformării GDPR prin configurare şi monitorizare, când se procesează sau stochează date cu caracter
personal, actualizarea la zi a sistemului de operare şi autentificare obligatorie. Utilizarea de conturi cu
privilegii reduse pentru operaţiunile obişnuite şi instalarea de a actualizări critice 15 (up date), atât
pentru sistemele de operare, cât şi pentru aplicaţii.
Măsuri referitoare la softurile care permit acces la date cu caracter personal:
- Politici referitoare la modul de utilizare şi raportare a eventualelor deficienţe ale aplicațiilor;
- Politici de criptare a tuturor dispozitivelor mobile prin care se accesează date cu caracter personal,
pentru securizarea acestora.
- Implementarea unui sistem care permite vizibilitatea şi alertarea în timp real, tuturor evenimentelor
din rețea care pot produce breșe de securitate.
- Email-ul poate declanşa o breșă de securitate majoră, prin transmiterea sau primirea de date cu
caracter personal într-un mod neconform cu GDPR. Spre exemplificare, situația în care nu se
folosește corect funcția de CC/BCC, la transmiterea unui email către un grup de destinatari sau există
posibilitatea să transmitem un email cu date cu caracter personal la un alt destinatar. Preferabilă este
utilizarea confirmării de transmitere/citire, de fiecare data când utilizăm poşta electronică, iar în
situaţia în care transmitem documente, să ne asigurăm că sunt protejate prin parolă, arhivate şi
criptate. În ceea ce priveşte filtrarea traficului de email şi pentru a reduce spam-ul și tentativele de
Phishing este indicat să utilizăm programe, ce vor reduce mesajele nesolicitate şi un antivirus pentru
14
I. ORZA, Proceduri şi politici de securitate IT, pentru conformarea la GDPR, accesat în data de 20
ianuarie 2023, disponibil la adresa https://gdprcomplet.ro/proceduri-politici-de-securitate-it-conformare-gdpr/
15
Securitatea datelor personale , Ghid emis de Autoritatea Naţională de Supraveghere a Prelucrării
Datelor din Franţa, Ediţia 2018.
serverul de email. Alte măsuri recomandate sunt instruirea angajaţilor care utilizează email-ului,
politici clare de folosire a acestuia şi implementarea de politici privind folosirea email-ului personal la
locul de munca. Cea mai eficientă soluţie ar fi să nu se permită accesul la email-ul personal de pe
dispozitive pe care sunt stocate date ale persoanelor vizate.
- Rețelele WiFi - În situaţia în care rețeaua Wifi a instituţiei este puţin securizată, aceasta poate fi
accesată pentru a colecta anumite informații despre echipamentele cu care este conectată. Este
important să existe o politică în care să se menţioneze modul în care se pot folosi dispozitivele
personale, deoarece datele pot fi expuse în caz de furt sau pierdere.
III. Persoane vizate din sectorul public și asigurarea respectării drepturilor acestora la
protecția datelor personale
Categoriile de persoane vizate din sectorul public. Operaţiunile de prelucrare16 a datelor cu caracter
personal, în condiţiile reglementate la art. 6, art. 9 şi art. 10 din normativul european, pot include
următoarele categorii de persoane, enumerarea fiind neexhaustivă: persoanele beneficiare ale
serviciului public; persoanele care sunt angajate în instituţii şi aparţinătorii acestora; persoanele cele
fac obiectul demersurilor de încadrare în instituţiile publice;
persoanele implicate in procedurile de achiziţii sau care intră/se află aflate în relaţii contractuale, de
orice natură, cu sistemul public; persoane care fac obiectul comunicărilor de presă; persoane care fac
parte din delegaţiile interne şi externe; persoane care participă la evenimentele organizate de instituţii;
persoane care au acces în sediile şi obiectivele instituţiilor publice; persoanele care accesează site-
urile din sistemul public, în baza consimţământului; persoanele care fac parte din categoriile speciale
de date: originea rasială sau etnică, opiniile politice, confesiunea religioasă, convingerile filozofice,
apartenența la sindicate, date genetice, date biometrice pentru identificarea unică a unei persoane
fizice, date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală; persoanele
pentru care sunt prelucrate date cu privire la condamnări penale și infracțiuni 17; persoanele care fac
parte din categoria celor menționate în Legea nr. 248/2018 18 etc.
IV. Concluzii
Conformarea GDPR este un proces căruia i se acordă o tot mai mare importanță, însă nivelul de
conformare al instituțiilor publice la SCIM este scăzut, cu impact şi asupra prelucrărilor de date cu
caracter personal, aşa cum o demonstrează amenzile şi sancţiunile ANSPDCP. Managementul
organizațiilor are marea responsabilitate, atât a implementării eficiente a SCIM, cât şi a aplicării
măsurilor privind protecția persoanelor fizice, în ceea ce priveşte prelucrarea datelor cu caracter
personal.
Scopul acestei analize a fost de a scoate în evidenţă legăturile dintre cele două concepte plecând de la
principiile şi obligaţiile operatorului de date cu caracter personal, a persoanei împuternicite de
operator şi cum sistemul de control intern managerial ne pune la dispoziţie mecanismele potrivite,
pentru a garanta prelucrarea datelor în condiţii de siguranţă, cu respectarea în integralitate a
drepturilor persoanei vizate. Corelaţiile sunt logice, iar relaţia care se dezvoltă între SCIM şi GDPR
este de oglindire, pentru a pune în evidenţă aceste conexiuni.
16
A se vedea art. 4, pct. 2 din Regulament.
17
Legea 363/2018 privind protecţia persoanlor fizice referitor la prelucrarea datelor cu caracter
personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi
combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind
libera circulaţie a acestor date, M.Of. 13/7 ianuarie 2019, a transpus Directiva UE 2016/680.
18
Legea 284/2018 privind utilizarea datelor în registrul cu numele pasagerilor pentru prevenirea,
depistarea, investigarea şi urmărirea penală a infracţiunilor de terorism şi a infracţiunilor grave, precum şi pentru
prevenirea şi înlăturarea ameninţărilor la adresa securităţii naţionale M.Of. 1013/29 noiembrie 2018, a transpus
Directiva UE 2016/681.
Argumentarea din prezentarea lucrării referitoare la realizarea unei analize privind încadrarea
conceptelor esenţiale de protecţie a datelor personale, în procesul de monitorizare continuă şi
dezvoltare al SCIM, din sistemul public a trecut testul demonstraţiei. Comparaia dintre cele două
standarde, SCIM și GDPR evidențiază importanţa beneficiilor unei organizaţii unde calitatea unui
sistem de management bine aplicat, asigură baza validată pentru conformarea la protecţia datelor cu
caracter personal.
În concluzie, dacă operatorii de date care sunt instituţii publice ar avea implementate toate
mecanismele care sunt detaliate în SCIM şi pe care le dezvoltă SCIM-ul, atunci şi implementarea
GDPR s-ar realiza cu mai multă uşurinţă şi cu mai multă claritate, pentru că ar beneficia de un sistem
ordonat. Sistemul de control intern managerial este recomandat a fi dezvoltat în instituţiile publice, cu
recomandarea pentru cei care nu au implementat-o încă conform, să-l dezvolte cu maximă
conştientizare a importanţei şi beneficiilor pe care le poate aduce organizaţiei în ansamblu.