Rolul Sistemului de Control Intern Managerial(SCIM) asupra implementării Regulamentului General

privind Protecția Datelor în sistemul public

Daniela AVRAM

I. Elemente comune – SCIM & GDPR - pe linie de securitate și confidențialitate a datelor

1. Sistemul de control intern managerial în instituțiile publice. Repere evolutive privind
controlul managerial în instituțiile publice. În anul 2000 când, odată cu intrarea în Uniunea
Europeană a noi țări membre s-a dorit punerea în aplicare a cadrului unitar de control intern, în
vederea respectării principiilor stabilite prin Cartea Albă 1 a Comisiei Europene privind Guvernanța.
Dezbaterea lansată de Comisia Europeană a urmărit adoptarea a noi forme de guvernanță, care să ducă
la îmbunătățirea modului de organizare și funcționare a instituțiilor din sectorul public. Principiile
incluse în Cartea Albă au transformat în timp cultura organizațională europeană. În acest sens,
principiul responsabilităţii a clarificat rolul fiecărei instituții în procesul legislativ și executiv,
deschiderea instituțiilor către societatea civilă s-a realizat printr-o comunicare activă, eficiența
concretizată prin măsuri bazate pe obiective precise, iar principiul coerenței s-a materializat prin
politici și acțiuni inteligibile, valabile în context european.
Legislaţia comunitară privind controlul intern cuprinde principii generale de bună practică,
recomandate pe plan internațional, însă forma de transpunere în sistemele de control intern este
specifică fiecărei ţări, în funcţie de condiţiile legislative, administrative etc. În România a existat o
preocupare pentru existența unui cadru de bază care să asigure sisteme proprii de control. Astfel, prin
adoptarea Ordonanţei Guvernului nr. 119/19992 s-a demarat reglementarea controlului intern în
instituţiile publice din ţara noatră, iar din anul 2005, implementarea standardelor de control intern
managerial a devenit obligatorie, conform Ordinului Ministerului Finanţelor Publice nr. 946/2005 3.
Sistemul de management al unei instituții cuprinde elemente organizatorice, decizionale, flux de
informații, cu ajutorul cărora procesele și relațiile de management au loc, pentru a realiza
performanțe. Controlul intern4, ca și totalitate a formelor de control de la nivelul instituției publice,
inclusiv auditul intern, stabilite de management, în raport cu obiectivele generale si specifice, precum
şi cu reglementările legale este instrumentul prin care se asigură eficacitatea, eficienţa şi
economicitatea administrării fondurilor publice.
Politicile şi procedurile implementate de către instituțiile publice au ca scop furnizarea dovezilor
privind atingerea obiectivelor, respectarea politicilor şi standardelor privind calitatea documentelor şi
a informaţiilor şi creşterea performanţei organizaţionale. Conform Ordinului Secretariatului General
al Guvernului 600/20185, obligatoriu pentru instituţiile publice din România, standardele de control
intern sunt grupate în cinci componente, astfel:

1
Cartea Albă a Guvernanţei Europene, COM (2001) 428 din 25.07.2001.
2
Ordonanţa Guvernului României nr. 119 din 1999 privind controlul intern şi controlul financiar
preventiv, publicat în Monitorul Oficial, nr. 430 din 31 august 1999, modificată şi republicată în M.Of.
nr.799/2003.
3
Ordinul Ministerului Finanţelor Publice nr. 946 din 2005 pentru aprobarea Codului controlului intern,
cuprinzând standardele de management/control intern la entitatile publice şi pentru dezvoltarea sistemelor de
control managerial, publicat în M. Of., nr. 675 din 28 iulie 2005.
4
Ordonanţa Guvernului României nr. 119 din 1999 privind controlul intern şi controlul financiar
preventiv, publicat în M. Of, nr. 430 din 31 august 1999, modificată şi republicată în M.Of. nr.799/2003, art. 2.
5
Ordinul Secretariatului General al Guvernului nr. 600 din 28 aprilie 2018 privind aprobarea Codului
controlului intern managerial al entităţilor publice, publicat în Monitorul Oficial nr. 387 din 7 mai 2018.
 05 Evaluare şi Audit

04 Informare şi Comunicare

03 Activităţi de control

02 Performanţe şi management al riscurilor

01 Mediul de Control

Figura 1. Standarde de control intern managerial (sursă proprie)

2. Componentele sistemului de control. În fiecare instituţie publică, sistemul de control intern
managerial se implementează şi se dezvoltă în funcţie de specificul organizaţional, de resursele pe
care le are şi de prevederile legale. Astfel, organizarea controlului intern managerial este în
responsabilitatea managementului fiecărei instituții şi cuprinde conform Ordinului 600/2018 6, 16
standarde de control. Mediul de control include patru standarde respectiv: Etica şi integritatea -
pentru care managementul instituției va adopta un cod de conduită; Atribuţii, funcţii, sarcini – ce va
include misiunea instituției publice, regulamentele interne şi fişele posturilor, Competenţă,
performanţă – prin care managementul se asigură că posturile sunt ocupate de persoane competente şi
le asigură acestora pregătirea profesională continuă, conform legislației în vigoare, iar standardul 4,
include structura organizatorică a instituției. Performanțele şi managementul riscului, a doua
componentă a SCIM, vizează atribuțiile managementului referitoare la fixarea obiectivelor,
planificarea multianuală, planul de management, monitorizarea performanțelor și gestionarea
riscurilor.
A treia componentă include trei standarde privind activităţile de control din cadrul unei instituţii
publice şi se concentrează pe elaborarea de proceduri, continuitatea derulării proceselor şi
activităţilor, separarea atribuţiilor, şi realizarea supravegherii. A patra componentă a SCIM este
informarea şi comunicarea şi include crearea unui sistem informaţional adecvat funcţionării instituţiei,
realizarea sistemului de raportare referitoare la execuţia planului de management, a bugetului şi a
utilizării resurselor. Un alt standard foarte important la această componentă este gestionarea
documentelor, monitorizarea întregului proces de înregistrare sau expediere, evidența acestora, cum
sunt implementate măsuri de securitate pentru protejarea acestora, precum şi măsuri de respectare a
reglementărilor privind protecţia datelor cu caracter personal. Ultima componentă, evaluarea şi auditul
include proceduri privind auditul şi asigurarea continuităţii procesului de perfecţionare a acestuia a
sistemului de control intern managerial.
3. Sprijinul Sistemului de control managerial pentru implementarea procedurilor GDPR. Legea
nr. 190 din 20187 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al
6
Ibidem, Anexa.
7
Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al
Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind
Parlamentului European şi al Consiliului din 27 aprilie 2016, precizează la art. 2 alin. (1) lit. a) care
sunt autoritățile și organismele publice din România. Aceste instituții publice au o foarte mare
responsabilitate în calitate de operatori de date cu caracter personal, deoarece prelucrează un volum
ridicat de date, care pot fi stocate, dar şi transferate, în anumite situaţii 8.
Grupul de lucru pentru protecţia datelor, instituit în temeiul „Articolului 29” 9, denumit în continuare
„grupul de lucru”, recomanda în Avizul nr. 3/201010 privind principiul responsabilității, instituirea
unor proceduri interne, anterior inițierii unor noi operațiuni de prelucrare a datelor cu caracter
personal, ca măsuri comune de responsabilitate pentru operatori, făcând referire la proceduri de
control intern, evaluare etc.
Este important faptul că instituţiile publice, având un sistem de control intern managerial dezvoltat, au
avut beneficiul unui cadru instituţional eficient, unde măsurile identificate pentru o conformare
GDPR, caracterizată de acurateţe s-au realizat la un nivel calitativ.
II. Implementarea de măsuri tehnice si organizatorice de asigurare a securității prelucrării
datelor cu caracter personal
Instituțiile publice, în calitate de operatori de date cu caracter personal, au obligativitatea asigurării
prelucrării datelor cu caracter personal într-un mod care asigură securitatea adecvată a datelor cu
caracter personal, conform Regulamentului şi legilor de transpunere. Un model de bune practici,
întâlnim la Autoritatea de Supraveghere din Franţa care a publicat Ghidul 11„Securitatea datelor
personale”, ce include recomandări referitoare la ce măsuri tehnice sunt necesare, pentru un grad
ridicat de securitate.
Instituţiile publice în calitate de operatori de date cu caracter personal vor aplica măsuri tehnice şi
organizatorice privind: creşterea gradului de conştientizare şi de implicarea resursei umane, în
protecţia datelor personale prin sesiuni de instruire lunare, informarea cu privire la riscurile privind
încălcarea confidenţialităţii, măsurile implementate în instituţie privind gestionarea riscurilor asociate
prelucrărilor şi potenţialele consecinţe ale încălcării GDPR; implementarea de politici de clasificare a
informaţiilor, definirea nivelurilor de acces şi marcarea documentelor care conţin date confidenţiale;
permiterea accesului doar la categoriile de date personale de care salariatul are nevoie în îndeplinirea
atribuţiilor şi revizuirea periodică politicii de control a accesului, pentru a realiza proporţionalizarea
cu celelalte proceduri din instituţie; asigurarea integrităţii datelor prin crearea de copii de siguranţă,
backup-uri frecvente ale datelor, stocarea copiilor de siguranţă într-o locaţie externă, în seifuri
rezistente la incendii şi inundaţii; măsuri de asigurare a continuităţii activităţilor IT, un plan de
gestionare care să includă inclusiv lista cu numele persoanelor responsabile; Arhivarea datelor
personale conform procedurilor de gestionare a arhivei, la datele arhivate accesul să fie permis doar
persoanelor autorizate special pentru această activitate; asigurarea securităţii datelor în orice moment
din existenţa acestora, implementarea de proceduri de mentenanţă a echipamentelor IT, în contractele
de mentenanţă externalizată, includerea de clauze de securitate şi de confidenţialitate; aplicarea de
proceduri sigure de ştergere a datelor şi evitarea aplicaţiilor pentru întreţinerea la distanţă cu
libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul General privind protecţia datelor), publicată în
Monitorul Oficial nr.651 din 26 iulie 2018.
8
A se vedea Nicolae-Dragpș Ploeșteanu, Andrei Mariș, „Viziunea Regulamentului General privind Protecția Datelor personale
679/2016(RGPD) într-o societate digitală”, publicat în Protecția Datelor cu Caracter Personal, coord. Irina Alexe, Nicolae Ploeșteanu,
Mihail Șandru, ed. Universitară, 2017, pp.77-128
9
Grupul de Lucru privind protecţia persoanelor în ceeea ce priveşte prelucrarea datelor cu caracter personal a fost instituit, la
nivel european, în temeiul art. 29 din Directiva 95/46/CE. Aceasta şi-a continuat activitatea şi după intrarea în vigoare a Regulamentului,
acţionează independent şi are caracter consultativ. Grupul de lucu poate transmite recomandări, privind orice problemă referitoare la
protecţia persoanelor în ceea ce priveşte prelucrarea datelor cu caracter personal din Uniunea Europeană. Grupul de lucru a fost înlocuit,
începând cu data de 25 mai 2018, de Comitetul European privind protecţia datelor.
10
Avizul 3/2010 al Grupului de lucru instituit în temeiul articolului 29 privind principiul responsabilităţii, adoptat la 13 iulie
2010 (WP173).
11
Securitatea datelor personale , Ghid emis de Autoritatea Naţională de Supraveghere a Prelucrării Datelor din Franţa, Ediţia
2018.
vulnerabilităţi cunoscute; asigurarea respectării securităţii fizice a spaţiilor în care sunt staţionate
serverele şi echipamentele de reţea sau în care se prelucrează date cu caracter personal, prin alarme
anti-intrus, detectoare de fum, resurse de stingere a incendiilor în perioadă de valabilitate, utilizarea de
liste actualizate cu categoriile de persoane autorizate privind accesul; protejarea fizică a
echipamentelor IT prin sisteme dedicate de prevenire a incendiilor, redundanţa sistemelor de aer
condiţionat etc; Jurnale de acces IT în spaţiile care găzduiesc echipamente ce conţin date personale;
întocmirea documentaţiei necesare pentru respectarea drepturilor persoanelor fizice, raspunderea la
solicitări, obţinerea consimţămintelor (când e necesar); instituirea la nivel de instituţie a unui set de
politici şi proceduri privind accesul, gestionarea, protectia si protejarea datelor cu caracter personal;
măsuri privind securitatea fizică a spaţiilor unde sunt păstrate documente în format letrice, utilizarea
codurilor de acces sau a cheilor fizice, atât pentru spaţii, birouri individuale sau dulapuri; liste de
acces cu persoanele autorizate, ajustate şi actualizate sistematic în funcţie de fişele de post şi de
deciziile interne; desemnarea şi specializarea unei persoane ca DPO al instituţiei sau alegerea unui
dpo extern; întocmirea si păstrarea unor registre de evidenţă a activităţilor de prelucrare a datelor cu
caracter personal, a solicitărilor din partea persoanelor vizate, a consimţămintelor, lia, dpia, breşe de
securitate etc; măsuri de securitate obligatorii 12 pentru angajaţi de a nu divulga, niciodată, parolele de
acces sau codul de acces personal către terţi, măsuri referitoare la informarea de urgenţă a
operatorului, DPO şi a specialistului IT privind orice breşă de securitate a datelor cu caracter personal
sau a oricărei încercări de a se încălca securitatea datelor de către persoane neautorizate sau în cazul
accesării neautorizate a contului individual de utilizator; realizarea auditului privind respectarea
prevederilor RGPD.
Procedurile şi politicile de securitate IT13, aplicabile în instituţiile publice pentru resursa umană vor
include sesiuni de instruire, referitoare la:
- Utilizarea aplicațiilor cu care este permis accesul;
- Autentificarea pe sistemele de operare şi aplicațiile software;
- Filtrarea email-ului și motivele acestei filtrări;
- Monitorizarea activităților pe calculator și de ce se realizează această monitorizare: securitate,
productivitate și conformare GDPR;
- Monitorizarea imprimantelor și motivele aceste monitorizări;
- Supravegherea video, pentru care este obligatorie notificarea angajaților cu privire la scopul şi
temeiul legal în baza căruia se efectuează monitorizarea. Se va avea în vedere şi notificarea
persoanelor vizate prin semnalizarea corespunzătoare a monitorizării video.
- Monitorizare convorbirilor telefonice şi a discuțiilor pe chat ale angajaților cu persoanele vizate;
- Politica de parole, cât de des se schimbă;
- Politica de folosire a usb-urilor, dacă este permisă folosirea acestor dispozitive și în ce condiții
- Politica de lock a stațiilor de lucru, cum se face în mod automat și procedura manuală pe care ei
trebuie să o urmeze în momentul în care părăsesc stația de lucru
- Politica de utilizare Bluetooth , dacă este permisă folosirea acestor dispozitive și în ce condiții;

12
Securitatea datelor personale , Ghid emis de Autoritatea Naţională de Supraveghere a Prelucrării
Datelor din Franţa, Ediţia 2018.
13
I. ORZA, Proceduri şi politici de securitate IT, pentru conformarea la GDPR, accesat în data de 20
ianuarie 2023, disponibil la adresa https://gdprcomplet.ro/proceduri-politici-de-securitate-it-conformare-gdpr/.
- Politica de parole, cât de des se schimbă;
- Politica de backup care li se aplica direct și indirect;
Nu este recomandat să se permită folosirea acelorași credențiale de către mai mulți utilizatori ai
instituției.
Pentru conformarea GDPR a infrastructurii IT14, utilizată într-o instituție publice, sunt necesare
următoarele măsuri:
- Website-urile securizate şi aplicarea de teste care permit scanarea site-urile web și evidențierea
vulnerabilităților
- Distincție clară între autentificare și autorizare.
- Statisticile web trebuie sa respecte prevederile GDPR.
- Asigurarea că rețeaua interna nu este accesibila din exterior şi monitorizarea conexiunilor externe.
- Folosirea unui antivirus actualizat pentru a minimiza riscurile.
Inventarul hardware și software:
În fiecare instituție publică este important să existe o inventariere atât pentru rețeaua internă, cât şi
pentru cea externă, pentru a identifica aplicațiile și sistemele utilizate pentru prelucrarea sau stocarea
datelor cu caracter personal.
Măsurile referitoare la echipamente ( server, computer, router, telefon, imprimanta etc) -Sistemul de
operare, precizarea modalității de realizare a actualizării echipamentului, cine are acces şi dacă
concretizarea accesului utilizatorului este prin parola sau 2 autentificarea cu doi factori. Asigurarea
conformării GDPR prin configurare şi monitorizare, când se procesează sau stochează date cu caracter
personal, actualizarea la zi a sistemului de operare şi autentificare obligatorie. Utilizarea de conturi cu
privilegii reduse pentru operaţiunile obişnuite şi instalarea de a actualizări critice 15 (up date), atât
pentru sistemele de operare, cât şi pentru aplicaţii.
Măsuri referitoare la softurile care permit acces la date cu caracter personal:
- Politici referitoare la modul de utilizare şi raportare a eventualelor deficienţe ale aplicațiilor;
- Politici de criptare a tuturor dispozitivelor mobile prin care se accesează date cu caracter personal,
pentru securizarea acestora.
- Implementarea unui sistem care permite vizibilitatea şi alertarea în timp real, tuturor evenimentelor
din rețea care pot produce breșe de securitate.
- Email-ul poate declanşa o breșă de securitate majoră, prin transmiterea sau primirea de date cu
caracter personal într-un mod neconform cu GDPR. Spre exemplificare, situația în care nu se
folosește corect funcția de CC/BCC, la transmiterea unui email către un grup de destinatari sau există
posibilitatea să transmitem un email cu date cu caracter personal la un alt destinatar. Preferabilă este
utilizarea confirmării de transmitere/citire, de fiecare data când utilizăm poşta electronică, iar în
situaţia în care transmitem documente, să ne asigurăm că sunt protejate prin parolă, arhivate şi
criptate. În ceea ce priveşte filtrarea traficului de email şi pentru a reduce spam-ul și tentativele de
Phishing este indicat să utilizăm programe, ce vor reduce mesajele nesolicitate şi un antivirus pentru
14
I. ORZA, Proceduri şi politici de securitate IT, pentru conformarea la GDPR, accesat în data de 20
ianuarie 2023, disponibil la adresa https://gdprcomplet.ro/proceduri-politici-de-securitate-it-conformare-gdpr/
15
Securitatea datelor personale , Ghid emis de Autoritatea Naţională de Supraveghere a Prelucrării
Datelor din Franţa, Ediţia 2018.
serverul de email. Alte măsuri recomandate sunt instruirea angajaţilor care utilizează email-ului,
politici clare de folosire a acestuia şi implementarea de politici privind folosirea email-ului personal la
locul de munca. Cea mai eficientă soluţie ar fi să nu se permită accesul la email-ul personal de pe
dispozitive pe care sunt stocate date ale persoanelor vizate.
- Rețelele WiFi - În situaţia în care rețeaua Wifi a instituţiei este puţin securizată, aceasta poate fi
accesată pentru a colecta anumite informații despre echipamentele cu care este conectată. Este
important să existe o politică în care să se menţioneze modul în care se pot folosi dispozitivele
personale, deoarece datele pot fi expuse în caz de furt sau pierdere.
III. Persoane vizate din sectorul public și asigurarea respectării drepturilor acestora la
protecția datelor personale
Categoriile de persoane vizate din sectorul public. Operaţiunile de prelucrare16 a datelor cu caracter
personal, în condiţiile reglementate la art. 6, art. 9 şi art. 10 din normativul european, pot include
următoarele categorii de persoane, enumerarea fiind neexhaustivă: persoanele beneficiare ale
serviciului public; persoanele care sunt angajate în instituţii şi aparţinătorii acestora; persoanele cele
fac obiectul demersurilor de încadrare în instituţiile publice;
persoanele implicate in procedurile de achiziţii sau care intră/se află aflate în relaţii contractuale, de
orice natură, cu sistemul public; persoane care fac obiectul comunicărilor de presă; persoane care fac
parte din delegaţiile interne şi externe; persoane care participă la evenimentele organizate de instituţii;
persoane care au acces în sediile şi obiectivele instituţiilor publice; persoanele care accesează site-
urile din sistemul public, în baza consimţământului; persoanele care fac parte din categoriile speciale
de date: originea rasială sau etnică, opiniile politice, confesiunea religioasă, convingerile filozofice,
apartenența la sindicate, date genetice, date biometrice pentru identificarea unică a unei persoane
fizice, date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală; persoanele
pentru care sunt prelucrate date cu privire la condamnări penale și infracțiuni 17; persoanele care fac
parte din categoria celor menționate în Legea nr. 248/2018 18 etc.
IV. Concluzii
Conformarea GDPR este un proces căruia i se acordă o tot mai mare importanță, însă nivelul de
conformare al instituțiilor publice la SCIM este scăzut, cu impact şi asupra prelucrărilor de date cu
caracter personal, aşa cum o demonstrează amenzile şi sancţiunile ANSPDCP. Managementul
organizațiilor are marea responsabilitate, atât a implementării eficiente a SCIM, cât şi a aplicării
măsurilor privind protecția persoanelor fizice, în ceea ce priveşte prelucrarea datelor cu caracter
personal.
Scopul acestei analize a fost de a scoate în evidenţă legăturile dintre cele două concepte plecând de la
principiile şi obligaţiile operatorului de date cu caracter personal, a persoanei împuternicite de
operator şi cum sistemul de control intern managerial ne pune la dispoziţie mecanismele potrivite,
pentru a garanta prelucrarea datelor în condiţii de siguranţă, cu respectarea în integralitate a
drepturilor persoanei vizate. Corelaţiile sunt logice, iar relaţia care se dezvoltă între SCIM şi GDPR
este de oglindire, pentru a pune în evidenţă aceste conexiuni.

16
A se vedea art. 4, pct. 2 din Regulament.
17
Legea 363/2018 privind protecţia persoanlor fizice referitor la prelucrarea datelor cu caracter
personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi
combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind
libera circulaţie a acestor date, M.Of. 13/7 ianuarie 2019, a transpus Directiva UE 2016/680.
18
Legea 284/2018 privind utilizarea datelor în registrul cu numele pasagerilor pentru prevenirea,
depistarea, investigarea şi urmărirea penală a infracţiunilor de terorism şi a infracţiunilor grave, precum şi pentru
prevenirea şi înlăturarea ameninţărilor la adresa securităţii naţionale M.Of. 1013/29 noiembrie 2018, a transpus
Directiva UE 2016/681.
Argumentarea din prezentarea lucrării referitoare la realizarea unei analize privind încadrarea
conceptelor esenţiale de protecţie a datelor personale, în procesul de monitorizare continuă şi
dezvoltare al SCIM, din sistemul public a trecut testul demonstraţiei. Comparaia dintre cele două
standarde, SCIM și GDPR evidențiază importanţa beneficiilor unei organizaţii unde calitatea unui
sistem de management bine aplicat, asigură baza validată pentru conformarea la protecţia datelor cu
caracter personal.
În concluzie, dacă operatorii de date care sunt instituţii publice ar avea implementate toate
mecanismele care sunt detaliate în SCIM şi pe care le dezvoltă SCIM-ul, atunci şi implementarea
GDPR s-ar realiza cu mai multă uşurinţă şi cu mai multă claritate, pentru că ar beneficia de un sistem
ordonat. Sistemul de control intern managerial este recomandat a fi dezvoltat în instituţiile publice, cu
recomandarea pentru cei care nu au implementat-o încă conform, să-l dezvolte cu maximă
conştientizare a importanţei şi beneficiilor pe care le poate aduce organizaţiei în ansamblu.