TEHNICI DE

PREVENIREA
incidentelor
de securitate
fizică și
cibernetică

2023
 SECURITATEA CIBERNETICĂ

În fiecare zi, suntem expuşi, atât acasă cât şi la locul de muncă, la ameninţări
ce îşi au originea în spaţiul virtual. În majoritatea cazurilor nici măcar nu
suntem conştienţi de acest lucru, sau dacă-l realizăm, nu reacţionăm la aceste
ameninţări într-o manieră adecvată.
 ACŢIUNILE OSTILE VIZEAZĂ, ÎN PRINCIPAL:

 perturbarea, blocarea, distrugerea, degradarea sau controlarea în mod

maliţios a unui sistem/infrastructură informaţională;
 afectarea integrităţii disponibilităţii, confidenţialităţii, și autenticităţii datelor
sau sustragerea informaţiilor cu acces restricţionat.
De exemplu, date sensibile (contracte, proiecte etc.) pot fi introduse de atacatori
informatici sau recuperate de aceștia cu ajutorul unor programe în cazul
pierderii sau furtului unui dispozitiv portabil (telefon inteligent, tabletă, laptop
etc.)
EXEMPLE DE PROGRAME MALIȚIOASE:

 virusul informatic: program care se poate autoreplica în cadrul

unui sistem şi propaga în alte calculatoare din reţea fără ştiinţa
utilizatorului. Acesta poate afecta negativ funcţionalitatea,
integritatea, disponibilitatea sistemului sau a datelor conţinute de
acesta;
 viermele informatic: un malware ce dispune de capacitatea de a
se autoreplica şi propaga într-o reţea de calculatoare şi dincolo de
aceasta (alte sisteme sau reţele), folosind resursele reţelei, fără a
se ataşa unui alt program sau proces.
REGULI PENTRU O NAVIGARE MAI SIGURĂ:
 utilizează ultima versiune de browser;
 având în vedere că cele mai multe aplicaţii maliţioase
afectează Microsoft Internet Explorer (utilizat de peste
50% dintre utilizatori), orientează-te şi spre alte tipuri
de browser (ex. Google Chrome, Opera, Firefox, Safari
etc.), mai ales când accesezi pagini web posibil
nesigure (încearcă să foloseşti opţiunea NotScript sau
NoScript);
 verifică secţiunea de contact a site-urilor web (adresă,
număr de telefon, e-mail);
REGULI PENTRU O NAVIGARE MAI SIGURĂ:
 verifică destinaţia reală a link-urilor prin trecerea
cursorului mouse-lui peste acesta şi vizualizarea adresei
reale în partea stângă-jos a browser-ului;
 atenţie la ce plugin-uri instalezi, de multe ori acestea vin
însoţite de software maliţios;
 nu apăsa pe link-urile din cadrul ferestrelor de tip pop-
up;
 verifică existenţa „https://” în partea de început a adresei
web, înainte de a introduce informaţii personale.
CONEXIUNEA LA INTERNET

 Dacă folosești un router pentru a te conecta la Internet, asigură-te că ai

schimbat parolele implicite ale acestuia (de cele mai multe ori, astfel de
dispozitive au parole standard de genul „1234”, „0000”, „admin”,
„root”).
 Asigură-te că router-ul este configurat să ofere conexiuni criptate.
 Tehnologia de criptare WPA2 este cea mai puternică formulă disponibilă
în majoritatea routerelor moderne.
 De asemenea, o regulă general valabilă subliniază faptul că nu se
utilizează aceleaşi credenţiale de acces pentru router, mesagerie
electronică, reţele de socializare etc(nu folosim aceeași parolă pentru
mai multe aplicații/dispozitive).
PROTECŢIE ANTI-MALWARE MULTIPLĂ

Combinarea mecanismelor de filtrare web cu

aplicaţii antivirus, firewall-uri, anti-malware, politici
de securitate respectiv o instruire adecvată a
utilizatorilor, reduce considerabil riscul unei
infectări.
Utilizează produse antivirus/antispyware dezvoltate
de companii diferite și actualizează frecvent atât
sistemul de operare, cât şi celelalte aplicaţii utilizate.
PROGRAM FIREWALL

Programele firewall sunt destinate protejării calculatorului/

serverului/router-ului/telefonului/tabletei împotriva atacu-rilor
informatice, încercării de pătrundere neautorizată, instalării de aplicaţii
software maliţioase.
Firewall-ul poate bloca accesul persoanelor neautorizate la informaţiile
stocate pe echipamentul conectat la Internet.
Un firewall poate fi un dispozitiv hardware sau o aplicaţie software.
DATELE

 Nu completa formulare primite via e-mail, prin care ți se cer date cu caracter personal,
parole, coduri secrete sau PIN-uri.
 Când vine vorba de date sensibile, instituțiile publice, băncile sau marile companii sunt
mai... „conservatoare” și nu solicită să le fie transmise prin banalul e-mail. Așa că, cel
mai probabil, acel mesaj prin care ți se spune că banca ta dorește să actualizeze datele
clienților și are nevoie și de ale tale, inclusiv numărul cardului bancar, codul PIN și
parola de conectare la contul de Internet Banking... NU este de la bancă!
 cumpărăturile să se realizeze doar de pe site-uri web recunoscute şi securizate;
DATELE

 contravaloarea unui produs achiziţionat nu trebuie transmisă înainte de

verificarea existenţei şi funcţionalităţii acestuia, prin folosirea unui
serviciu de escrow recunoscut;
 nu se folosesc servicii financiare de transfer rapid WesternUnion sau
MoneyGram înainte de recepţionarea produsului achiziţionat, mai ales
când această operaţiune este solicitată de vânzător;
 verificarea site-ului web (există magazine online fictive care au ca scop
atragerea de clienţi şi reţinerea datelor bancare ale acestora);
 respectarea unei simple metode de verificare, respectiv compararea link-
urilor receptate prin mesaje de tip „spam“ cu cele legitime ale instituţiilor
bancare.
SECURITATEA E-MAILULUI:

 evită transmiterea sau recepţionarea de informaţii sensibile prin e-mail;

 evită încercările de inginerie socială sau phishing (tehnică utilizată de
infractorii cibernetici pentru a obţine informaţii sensibile care implică de
regulă existenţa unui link maliţios în cadrul mesajului, odată accesat,
acesta trimite utilizatorul spre un site web de unde se va descărca automat
un malware);
 orientează-te spre un provider de e-mail ce oferă o filtrare puternică anti-
spam;
 nu răspunde la spam şi evită e-mail-urile în cascadă sau piramidale;
 configurează corect clientul de e-mail;
 nu folosi acelaşi nume pentru contul de e-mail personal şi pentru cel de
serviciu
SECURITATEA E-MAILULUI:

În momentul în care primești un e-mail, acordă atenție următoarelor:

 identitatea expeditorului nu este garantată: verifică relația dintre
expeditor și conținutul mesajului;
 în cazul e-mailurilor care conţin link-uri, nu accesa direct acel link
din corpul mesajului; eventual, poate fi copiat acel link şi deschis din
altă filă (tab) a browser-ului;
 nu răspunde e-mailurilor conținând solicitări de date personale sau
confidențiale (de exemplu codul PIN și numărul cardului bancar);
SECURITATEA E-MAILULUI:

În momentul în care primești un e-mail, acordă atenție următoarelor:

 nu deschide atașamente provenind de la persoane necunoscute sau
asociate unor conturi legitime, dar având mesaje cu subiect şi
conţinut suspect. Acestea pot conține software maliţios (malicious
software sau malware, cum ar fi viermi, troieni, spyware, forme de
adware etc.);
 dacă este absolut necesară deschiderea unui ataşament, chiar şi din e-
mailuri legitime, acesta trebuie, în prealabil, descărcat şi scanat cu
soluţia antivirus instalată şi, ulterior, deschis cu aplicaţia asociată.
ALEGEREA UNEI PAROLE

UTILIZEAZĂ PAROLE PUTERNICE ŞI PĂSTREAZĂ-LE ÎN

SIGURANŢĂ:

 utilizează ID-uri şi parole unice şi nu le comunica altor utilizatori;

 lungimea parolei şi complexitatea acesteia trebuie alese astfel încât să fie
dificil de ghicit dar uşor de ţinut minte;
 schimba periodic parolele (la un interval de 1-3 luni);
 utilizeaza parole diferite, pentru aplicaţii diferite;
ALEGEREA UNEI PAROLE

UTILIZEAZĂ PAROLE PUTERNICE ŞI PĂSTREAZĂ-LE ÎN

SIGURANŢĂ:

 evita utilizarea unor parole similare acasă şi la locul de muncă.

 folosește o parolă unică pentru fiecare serviciu sensibil.
Parolele care protejează conținut sensibil (internet banking, e-mail
profesional etc.) nu trebuie niciodată refolosite pentru alte destinații. Este
preferabil să nu folosești instrumentele de reținere a parolelor, cel puțin nu
pe aceeași stație de lucru sau nu afișate la vedere.
ACTUALIZARE SOFTWARE PERIODICĂ

În cadrul fiecărui sistem de operare (Windows, Linux, IOS, MacOS, Android

etc.) există vulnerabilități.
Acestea pot fi corectate de producător, care, după identificarea acestora, poate
emite actualizări de securitate ale softului. Cunoscând faptul că mulți
utilizatori nu actualizează software-ul, atacatorii exploatează aceste
vulnerabilități, reușind să deruleze activități pe sistemul țintă mult după
descoperirea și corectarea vulnerabilităților de către producător.
ASTFEL, SE IMPUNE APLICAREA UNEI SERII DE REGULI:

 definirea și aplicarea unei politici privind actualizările periodice;

 configurarea softurilor ce au capabilităţi de actualizare automată;
 utilizarea exclusivă a site-urilor web ale producătorului pentru
operarea actualizărilor.
BACK-UP LA INTERVALE PERIODICE

Pentru a asigura securitatea datelor tale, este recomandat să efectuezi

back-up la intervale periodice (zilnic sau săptămânal) astfel încât să poți
reveni la date în cazul unei probleme în funcționarea sistemului de operare
sau al unui atac.
Pentru a salva datele, pot fi folosiți suporți de memorie (hard-disk extern
dedicat, stick-uri de memorie sau CD/DVD).
PROTECŢIA SISTEMELOR MOBILE:

Smartphone-urile sunt practic niște minicalculatoare la purtător.

Le folosim nu numai pentru a efectua apeluri, ci și pentru
operațiuni bancare, cumpărături online, poștă electronică,
navigare pe Internet, etc. Cei mai mulți dintre utilizatori
păstrează o mare parte dintre datele importante sau personale
pe telefonul mobil. Telefoanele inteligente au un nivel de
securizare scăzut. Prin urmare trebuie aplicate o serie de reguli
elementare de securitate informatică:
-nu instala decât aplicații necesare și verifică la ce date au
acces înainte de le descărca (poziționare geografică, contacte,
apeluri telefonice etc.).
PROTECŢIA SISTEMELOR MOBILE:

Evită instalarea aplicațiilor care solicită acces la informaţii care

nu le sunt necesare pentru a funcționa
 în plus față de codul PIN care protejează cartela SIM,
folosește o parolă sau un cod pentru a securiza accesul la
telefon și configurează-l astfel încât să se blocheze automat
după (re)pornire sau la un interval de timp cât mai scurt în
cazul inactivităţii;
 instalează software-uri de securitate special concepute
pentru dispozitive mobile; acestea pot detecta şi elimina
viruşii, bloca mesajele spam multimedia sau alte ameninţări
cibernetice;
PROTEJEAZĂ DATELE CÂND EȘTI PLECAT ÎN DEPLASARE

 păstrează dispozitivele (echipamentele și suporții de memorie)

permanent asupra ta;
 dezactivează funcțiile Wi-Fi și Bluetooth;
 îndepărtează cartela SIM și bateria dacă trebuie să lași telefonul
nesupravegheat;
 informează reprezentanții organizației de care aparții în caz de inspecție
a bagajelor sau de confiscare a dispozitivelor de către autorități străine;
 nu folosi echipamente primite cadou dacă nu le poți verifica înainte;
ACȚIUNI DE PROTECȚIE A DATELOR ATUNC CÂND TE ÎNTORCI
DIN DEPLASRE

 șterge istoricul apelurilor și al navigației GPS;

 schimbă parolele folosite pe durata delegației;
 predă echipamentele la verificare, dacă este posibil;
 nu folosi/scana/verifica stick-uri de memorie/telefoane/
laptop-uri/tablete/cd-uri cu prezentări/servicii VPN/VPS care ți-au fost
oferite pe durata delegației deoarece ar putea conține software malițios.
 dacă se impune, pentru o mai mare siguranţă, foloseşte funcţia de resetare
a dispozitivului mobil, care permite ca toate datele existente / aplicaţii
software instalate ulterior, să fie şterse şi distruse, cu revenire la setările
iniţiale ale producătorului.
PLATFORMELE SOCIALE ȘI COPIII

Cu toții utilizăm platformele sociale, în special Facebook și

TikTok un mediu preferat de infractori pentru a culege date
despre țintele lor.
Dacă adulții sunt, în general, mai prudenți în activitatea online,
copiii nu conștientizează anumite necesități de autoprotecție.
SE RECOMANDĂ:

 evitarea publicării informațiilor personale, precum ziua de naștere, adresa

de e-mail sau adresa fizică;
 atunci când postezi fotografii, asigură-te că o faci doar cu persoanele
cunoscute, iar acestea nu surprind locații exacte (ex.: adrese de
domiciliu);
 nu dezvălui niciodată informații referitoare la perioadele în care părăsiți
locuința;
 în cazul în care ai copii care au voie să folosească calculatorul familiei,
nu le oferi privilegii de administrator asupra respectivului computer;
 instalează o soluție antivirus cu control parental, filtru de conținut și filtru
pentru rețelele sociale. Dată fiind ponderea conținutului pornografic și a
violenței online, este de datoria părinților să își păstreze copilul în
siguranță;
 informează-te despre cyber-bullying şi poartă discuții cu copilul tău.
SECURITATEA INFORMAȚIEI PRESUPUNE:

 comunicare sigură şi responsabilă;

 utilizarea înţeleaptă a reţelelor de socializare;
 transferul conţinutului digital într-o manieră sigură;
 utilizarea adecvată a parolelor;
 evitarea pierderii informaţiilor importante;
 asigurarea că doar anumite persoane au acces la
informaţii;
 protecţia împotriva viruşilor sau a altor aplicaţii
malware.
SECURITATEA FIZICĂ
 Terenul în proprietate sau folosință
 Drumuri de acces
 Garduri perimetrale, pereți exterior, porți și alte categorii de bariere
 Alte categorii de accese înspre și dinspre obiectiv/ proprietate
 Clădiri și posibilități de acces în interior
 Spații de parcare
 Sisteme de iluminat
 Supraveghere video
 Sisteme de alarmă
 Sisteme mecanice de închidere
 Spații în interiorul obiectivului, camere, containere și seifuri
 Controlul accesului
 Agentul de securitate
TERENUL ÎN PROPRIETATE SAU FOLOSINȚĂ

 Zona de teren poate exista sau nu, iar acolo unde există
destinațiile pot fi multiple:
 Zona decorativă
 Zona functională cu diverse destinații
 Zona de protecție impotrivă accesului neautorizat
 Zona de observare
DRUMURI DE ACCES

Drumurile de acces sunt un element necesar în

desfășurarea normală a activității dar pot creea în același
timp și probleme de securitate

Categorii de drumuri:
 Drumuri publice (pe care se aplica legislatia specifica
în vigoare)
 Drumuri private.
GARDURI PERIMETRALE, PEREȚI EXTERIOR,
PORȚI ȘI ALTE CATEGORII DE BARIERE

 Există două categorii de bariere utilizate pentru protecția

perimetrului proprietății:
 Bariere naturale, râuri, lacuri, zone de teren cu diferite
soluții de acoperire, liziere, păduri, s.a
 Bariere artificiale, diferite categorii de drumuri rutiere,
bariere, porți, garduri
Aceste categorii de bariere nu asigură o protecție completă
împotriva accesului neautorizat, de regula ele trebuie
completate și cu alte elemente de securitate fizică
ALTE CATEGORII DE ACCESE ÎNSPRE ȘI DINSPRE
OBIECTIV/ PROPRIETATE

Aceste categorii de accese nu sunt destinate accesului persoanelor

și autovehiculelor. Totuși ele reprezintă o problemă de protecție a
propietății și trebuie avute în atenție.
Tipuri de astfel de accese:
 Canale de deversare
 Guri de aerisire
 Canale pentru utilități
 Trasee de ventilație, aerisire și aer condiționat
Aceste accese se protejază prin sisteme de blocare mecanică sau
sisteme tehnice monitorizate
CLĂDIRI ȘI POSIBILITATI DE ACCES ÎN
INTERIOR

Aceste elemente de securitate fizică definesc zona în care

elementele de protecție exterioare se opresc fiind continuate
de elementele de protecție interioare
Cerințe de securitate:
 Zona exterioară din imediata apropiere nu trebuie
ocupată de diverse materiale care să impiedice buna
vizibilitate
 Vizibilitatea pentru zona exterioară trebuie să fie de
minim 2 – 5 metri
Vizibilitate este necesara pentru:
 Personalul de pază
 Sistemele tehnice de protecție (efracție, cctv, s.a)
SPATII DE PARCARE

Acest element de securitate fizică poate deveni un subiect “sensibil” pentru

protecția proprietății
Utilizatorii spațiilor de parcare pot fi angajații obiectivului, clienții,
vizitatorii, contractorii ori terțe persoane
De regula, spațiile de parcare nu trebuie să fie în interiorul proprietății, din
câteva rațiuni de securitate, astfel:
 Furtul de/și din autovehicule
 Facilitatea de a ascunde în autovehicule bunuri sustrase din obiectiv
 Facilitatea de a aduce în interiorul obiectivului bunuri interzise a fi
introduse.
SISTEME DE ILUMINAT

Sistemele de iluminat au cateva utilizari importante ca elemente de securitate

fizica, astfel:
 Reducerea numarului de agresiuni si accidente
 Element de descurajare in comiterea de fapte ilegale
 Reglementarea accesului persoanelor si autovehiculelor
 Element aditional pentru alte categorii de sisteme tehnice de securitate
(efractie, cctv)
SUPRAVEGHEREA VIDEO

Activitatea de supraveghere video este un element important al

efortului depus pentru protecția proprietății.
Cel mai frecvent este folosită integrarea dintre serviciile de pază
umană și sistemele de înregistrare și supraveghere video.
Construirea unui sistem de supraveghere video trebuie să aibă în
vedere:
 Scopul urmărit, respectiv, prevenire și/sau observare
 Identificarea punctelor sau zonelor de risc
 Înțegrarea cu serviciul de pază umană
 Amplasarea camerelor video
 Caracteristicile funcționale ale sistemului
 Capacitatea de stocare a datelor
 Nevoia de camere video disimulate
SISTEME DE ALARMĂ

Acest element de securitate fizică, este unul dintre cele mai uzitate în
domeniul protecției proprietății.
Sistemele de alarmă pot fi un element complementar în diverse aplicații:
 Asigură informații pentru servicul de pază umană
 Modalitate operativă de anunțare în situații de urgență
 Element complementar atât pentru perimetrul exterior cât și interior al
proprietății
Sistemele de alarmă sunt eficiente numai în condițiile în care semnalele
transmise sunt recepționate și reacționează adecvat în raport de natura
acestora
SISTEME MECANICE DE ÎNCHIDERE

Aceste sisteme sunt cele mai simple și ieftine elemente de

securitate fizică menite să impiedice accesul neautorizat pe
proprietate.

Caracteristici principale:
 Facilitatea în montaj
 Proces de achizitie simplu
 Mentenanță redusă
 Diversitatea mare pe piața a unor astfel de produse
PROTECTIA ACOPERISULUI OBIECTIVULUI

Acoperișul poate fi un element exterior cât și interior de securitate fizică.

Considerente de Securitate privind acoperișul:
 Exitența unor diverse accese
 Acces pentru mentenanță
 Acces pentru cablaje de diverse categorii
 Acces pentru instalații de ventilație și aer condiționat
 Securizarea accesului la nivelul acoperișului:
 Controlul acceselor în exterior
 Controlul scărilor exterioare
sau scărilor metalice care acced
către acoperiș.
SPAȚII ÎN INTERIORUL OBIECTIVULUI, CAMERE,
CONTAINERE ȘI SEIFURI

În interiorul obiectivului pot fi amenajate spații deschise cu

diferite destinații, birouri individuale, spații de depozitare,
camere de păstrare a valorilor, s.a
Considerente de securitate privind accesul în aceste spații:
 De regula nu este necesar un control suplimentar la acest
nivel, controlul fiind deja efectuat la pătrunderea în obiectiv
 Spațiile interioare “sensibile”, necesită măsuri suplimentare
de control
 Pentru protecția informațiilor clasificate ori
neclasificate/confidentiale este necesara utilizarea de seifuri.
CONTROLUL ACCESULUI

Menținerea controlului asupra accesului pe proprietate este un

element critic pentru protecția proprietății.
Un concept eficient pentru controlul accesului presupune
integrarea următoarelor elemente:
 Agenți de securitate
 Sisteme mecanice de închidere
 Sistem electronic de control acces
 Dezvoltarea unui sistem de control acces presupune:
 Identificarea amenințărilor
 Stabilirea vulnerabilităților
 Identificarea specificului existent
 PROTECȚIA DATELOR CU CARACTER PERSONAL

Protecția datelor cu caracter personal și respectarea vieții

private constituie drepturi fundamentale europene. Parlamentul
European a insistat întotdeauna asupra necesității de a menține un
echilibru între îmbunătățirea securității și protejarea drepturilor
omului, inclusiv în ceea ce privește protecția datelor și viața privată.

În mai 2018 au intrat în vigoare noi norme ale UE în materie

de protecție a datelor, care consolidează drepturile cetățenilor și
simplifică normele aplicabile întreprinderilor în era digitală.
 Cercetările pregătite pentru Parlamentul
referitoare la reglementarea fluxurilor de date
contribuie anual cu 51,6 miliarde EUR la PIB-ul
Uniunii Europene.

Cercetările pregătite pentru Comisia de

anchetă a Parlamentului European în vederea
investigării utilizării Pegasus și a unor programe spion
de supraveghere echivalente (Comisia PEGA) confirmă
importanța protecției datelor pentru apărarea
democrației și a libertăților individuale în UE
Articolul 16 din Tratatul privind funcționarea Uniunii Europene
(TFUE) Articolele 7 și 8 din Carta drepturilor fundamentale a UE.

OBIECTIVE Uniunea trebuie să asigure aplicarea consecventă a

dreptului fundamental la protecția datelor, care este consacrat în Carta
drepturilor fundamentale a UE.

Poziția UE cu privire la protecția datelor cu caracter

personal trebuie consolidată în contextul tuturor politicilor UE,
inclusiv al aplicării legii și al prevenirii criminalității, precum și în
relațiile internaționale, în special într-o societate globală caracterizată
prin schimbări tehnologice rapide.
REALIZĂRI
A. Cadrul instituțional
1. Tratatul de la Lisabona Înainte de intrarea în vigoare a Tratatului de la
Lisabona, legislația privind protecția datelor în spațiul de libertate,
securitate și justiție (SLSJ) a fost împărțită între primul pilon (protecția
datelor în scopuri private și comerciale, pentru care era utilizată metoda
comunitară) și cel de al treilea pilon (protecția datelor în scopul aplicării
legii, la nivel interguvernamental). În consecință, procesele decizionale
din cele două domenii au urmat reguli diferite. Structura pe bază de piloni
a dispărut odată cu Tratatul de la Lisabona, care consolidează temeiul
juridic necesar pentru dezvoltarea unui sistem mai clar și mai eficace de
protecție a datelor și prevede totodată noi competențe pentru Parlament,
care devine colegislator.
Articolul 16 din TFUE prevede că Parlamentul și Consiliul
stabilesc normele privind protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal de către instituțiile, organismele,
oficiile și agențiile Uniunii, precum și de către statele membre, în
exercitarea activităților care fac parte din domeniul de aplicare al
dreptului Uniunii.
B. Principalele instrumente legislative în materie de protecție a datelor
1. Carta drepturilor fundamentale a UE
2. Consiliul Europei
a. Convenția 108 din 1981
Convenția 108 din 28 ianuarie 1981 a Consiliului Europei pentru protejarea
persoanelor față de prelucrarea automatizată a datelor cu caracter personal a
fost primul instrument internațional cu forță juridică obligatorie adoptat în
domeniul protecției datelor.
Scopul său este de a garanta tuturor persoanelor fizice respectarea
drepturilor și libertăților lor fundamentale, și, în special, a dreptului la viața
privată, în legătură cu prelucrarea automatizată a datelor cu caracter personal.
Protocolul de modificare a convenției urmărește să extindă domeniul său de
aplicare, să crească nivelul de protecție a datelor și să-i îmbunătățească
eficacitatea.
b. Convenția europeană a drepturilor omului (CEDO)
Articolul 8 din Convenția pentru apărarea drepturilor omului și a
libertăților fundamentale din 4 noiembrie 1950 stabilește dreptul la respectarea
vieții private și a vieții de familie, a căminului și a corespondenței tuturor
persoanelor.
3. Actualele instrumente legislative ale UE în vigoare în
materie de protecție a datelor

a. Regulamentul general privind protecția datelor (RGPD)

b. Directiva privind protecția datelor în materie de asigurare
a respectării legii
c. Directiva asupra confidențialității și comunicațiilor
electronice
date cu caracter personal: orice informații privind o
persoană fizică identificată sau identificabilă („persoana
vizată”); o persoană fizică identificabilă este o persoană
care poate fi identificată, direct sau indirect, în special
prin referire la un element de identificare, cum ar fi un
nume, un număr de identificare, date de localizare, un
identificator online, sau la unul sau mai multe elemente
specifice, proprii identității sale fizice, fiziologice,
genetice, psihice, economice, culturale sau sociale;
date personale sensibile: date personale care dezvăluie originea rasială sau
etnică, opinii politice, credințe religioase sau filosofice sau apartenența la
sindicate, date genetice și date biometrice prelucrate în scopul identificării
unice a unei persoane fizice, date privind sănătatea sau date referitoare la
viața sexuală a unei persoane fizice sau la sex;

prelucrare: orice operațiune sau set de operațiuni efectuate asupra datelor

cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau
fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea,
organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea,
consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea
la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea,
ștergerea sau distrugerea;
sistem de evidență a datelor: orice set structurat de date cu
caracter personal accesibile conform unor criterii specifice,
fie ele centralizate, descentralizate sau repartizate după
criterii funcționale sau geografice;

operator: persoana fizică sau juridică, autoritatea publică,

agenția sau alt organism care, singur sau împreună cu altele,
stabilește scopurile și mijloacele de prelucrare a datelor cu
caracter personal; atunci când scopurile și mijloacele
prelucrării sunt stabilite prin dreptul Uniunii sau dreptul
intern, operatorul sau criteriile specifice pentru desemnarea
acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul
intern;
persoană împuternicită de operator: persoana fizică sau juridică,
autoritatea publică, agenția sau alt organism care prelucrează
datele cu caracter personal în numele operatorului;
destinatar: persoana fizică sau juridică, autoritatea publică,
agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu
caracter personal, indiferent dacă este sau nu o parte terță. Cu toate
acestea, autoritățile publice cărora li se pot comunica date cu
caracter;
parte terță: o persoană fizică sau juridică, autoritate publică,
agenție sau organism altul decât persoana vizată, operatorul,
persoana împuternicită de operator și persoanele care,sub directa
autoritate a operatorului sau a persoanei împuternicite de operator,
suntautorizate să prelucreze date cu caracter personal;
consimțământ: orice manifestare de voință liberă, specifică,
informată și lipsită de ambiguitate a persoanei vizate prin
care aceasta acceptă, printr-o declarație sau printr-o acțiune
fără echivoc, ca datele cu caracter personal care o privesc să
fie prelucrate;

încălcarea securității datelor cu caracter personal: o

încălcare a securității care duce, în mod accidental sau
intenționat la distrugerea, pierderea, modificarea, sau
divulgarea neautorizată a datelor cu caracter personal
transmise, stocate sau prelucrate într-un alt mod, sau la
accesul neautorizat la acestea;
date genetice: datele cu caracter personal
referitoare la caracteristicile genetice moștenite
sau dobândite ale unei persoane fizice, care oferă
informații unice privind fiziologia sau sănătatea
persoanei respective și care rezultă în special în
urma unei analize a unei mostre de material
biologic recoltate de la persoana în cauză;
 DEFINIȚII ȘI ABREVIERI

DPO: Data Protection Officer (Responsabil de Protecția

Datelor cu Caracter Personal);
GDPR: Regulamentul General de Protecție a Datelor cu
caracter personal, Regulamentul European 679/2016
privind protecția persoanelor fizice in ceea ce privește
prelucrarea datelor cu caracter personal si privind libera
circulație a acestor date;
SEE: Spațiul Economic European
REGULI DE PRELUCRARE A DATELOR CU CARACTER
PERSONAL
Legalitatea, corectitudinea și transparența: trebuie să aibă o bază legitimă pentru
prelucrarea datelor cu caracter personal.
• poate procesa datele cu caracter personal numai pe baza unuia dintre motivele oferite
într-o manieră delimitată de către GDPR, în special:
• consimțământul explicit și lipsit de ambiguitate al persoanei vizate căreia aparțin datele;
• prelucrarea este necesară pentru a încheia un contract (de exemplu contractul de muncă)
sau pentru a lua măsuri la cererea persoanei vizate înainte de a încheia un contract (de
exemplu, analizarea unui CV depus de un candidat care solicită un loc de muncă cu );
• prelucrarea este necesară pentru respectarea unei obligații legale la care este supus;
• procesarea este necesară pentru scopurile intereselor legitime ale ; cu toate acestea, dacă
acest lucru ar aduce atingere drepturilor, libertăților sau intereselor legitime ale
persoanelor vizate la care se referă datele, nu va prelucra datele cu caracter personal
exclusiv în scopul propriilor interese legitime sau al intereselor legitime ale unei terțe
părți.
Minimizarea datelor: datele cu caracter personal prelucrate ar trebui să fie adecvate,
relevante și limitate la ceea ce este necesar în legătură cu scopurile; asta înseamnă că
nu trebuie să proceseze date care nu sunt necesare pentru scopurile legitime urmărite.

Acuratețe: are obligația de a se asigura că datele cu caracter personal sunt exacte și

actualizate, atunci când este necesar; trebuie să ia măsuri rezonabile pentru a se
asigura că datele inexacte sunt șterse sau rectificate fără întârziere.

Limitarea stocării: nu trebuie să păstreze datele cu caracter personal pentru o

perioadă mai lungă decât este necesar pentru scopurile pentru care au fost colectate și
prelucrate ulterior. trebuie să stabilească perioade de retenție pentru datele cu
caracter personal care sunt prelucrate.

Integritate și confidențialitate: trebuie să dispună de controale de Securitate

adecvate pentru a proteja datele cu caracter personal împotriva prelucrării
neautorizate și/ sau ilegale și împotriva pierderii accidentale, a distrugerii sau a
deteriorării acestora
 CE ESTE CONSIMȚĂMÂNTUL?

Consimțământul este „orice manifestare de voință liberă,

specifică, informată și lipsită de ambiguitate a persoanei vizate prin care
aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele
cu caracter personal care o privesc să fie prelucrate”.

Principii fundamentale
• Consimțământul trebuie să fie dat în mod liber: consimțământul ar trebui
să reflecte libertatea de alegere reală și liberă a persoanei vizate fără niciun
element de constrângere sau presiune nejustificată asupra acesteia, evitând
orice consecințe negative în cazul refuzului.
• Consimțământul trebuie să fie
specific: trebuie să explice în mod
clar și precis domeniul de aplicare și
consecințele procesării datelor pentru
care se solicit consimțământul.
trebuie să obțină consimțământul
persoanei vizate separat pentru fiecare
activitate de prelucrare efectuată în
același scop sau în scopuri diferite.
Consimțământul trebuie să fie informat: natura prelucrării ar trebui explicată într-o
formă inteligibilă și ușor accesibilă, folosind un limbaj clar și simplu, care nu conține
clause abuzive. Persoana vizată ar trebui să cunoască cel puțin următoarele aspecte,
astfel încât consimțământul să poată fi considerat informat:
identitatea în calitate de operator de date;
scopurile pentru care datele vor fi prelucrate
tipul de date care trebuie prelucrate;
existența dreptului de retragere a consimțământului;
unde este cazul, dacă datele ar fi utilizate pentru luarea deciziei automate care
produce efecte juridice sau care afectează în mod similar persoana vizată;
riscurile posibile ale transferurilor de date în afara UE/ SEE din cauza lipsei unei
decizii de adecvare și a garanțiilor adecvate.

Consimțământul trebuie să fie explicit: utilizează formulare de hârtie, răspunsuri e-

mail și căsuțe de bifat (checkbox).
Consimțământul explicit este necesar numai
atunci când se prelucrează categorii de date
sensibile (de exemplu: datele biometrice, originea
rasială sau etnică, opiniile politice, credințele
religioase sau filosofice, datele privind sănătatea
fizică sau psihică, calitatea de membru al
sindicatelor și prelucrarea datelor privind sănătatea
sau viața sexuală).

Înregistrarea consimțământului
Ca orice alt operator de date, are obligația de a
păstra evidențele ce demonstrează faptul că a fost
acordat un consimțământ valabil și că persoana
vizată a fost informată
 UTILIZAREA DATELOR CU CARACTER PERSONAL

Activitățile de utilizare a datelor cu caracter personal pot rezulta în materializarea

riscurilor legate de pierderea, modificarea sau furtul datelor.
Având în vedere ca datele cu caracter personal nu au nicio valoare dacă
organizația nu le poate utiliza, trebuie implementate măsurile necesare pentru prevenirea
materializării riscurilor mai sus enunțate, astfel:
• angajații vor utiliza funcționalitatea de blocare a stațiilor de lucru ori de cate ori nu le
folosesc și nu se află în apropierea acestora;
• datele cu caracter personal nu vor fi dezvăluite în mod informal;
• datele cu caracter personal trebuie să fie criptate înainte de a fi transferate electronic;
Managerul IT poate explica modul de trimitere a datelor terților autorizați;
• datele cu caracter personal nu trebuie să fie dezvăluite persoanelor neautorizate, nici în
cadrul organizației, nici în cadrul unor terțe părți;
• datele cu caracter personal trebuie revizuite și actualizate în mod regulat, dacă se constată
că sunt inactuale; dacă aceste date nu mai sunt necesare, acestea trebuie șterse și eliminate ;
• angajații trebuie să solicite asistență din partea
directorului departamentului sau a DPO dacă nu sunt
siguri cu privire la orice aspect al protecției datelor;
• singurele persoane capabile să acceseze datele acoperite
de această politică trebuie să fie cele care au nevoie de ele
pentru a-și desfășura activitățile zilnice;
• datele cu caracter personal trebuie să fie împărtășite într-o
manieră formală; atunci când accesul la informații
confidențiale este necesar, angajații pot solicita acest lucru
din partea managerilor departamentului. va oferi instruire
tuturor angajaților pentru a crește gradul de conștientizare
a responsabilităților lor în ceea ce privește prelucrarea
datelor cu caracter personal și a dispozițiilor prezentei
politici.
 STOCAREA DATELOR CU CARACTER
PERSONAL
Măsurile de securitate pentru datele electronice sunt detaliate în
politica de securitate a informațiilor și procedurile anexate acesteia.

Măsuri de securitate pentru datele pe suport de hârtie:

• utilizatorii care lucrează în departamente care manipulează documente ce conțin
date cu caracter personal trebuie să blocheze și să asigure toate informațiile
atunci când părăsesc incinta biroului;
• sunt implementate controale de acces pentru a monitoriza și a restricționa
accesul la persoanele care necesită un astfel de acces pentru a-și desfășura
activitățile de afaceri; aceste restricții sunt aplicate după cum este necesar de
către angajații , inclusiv furnizori, vizitatori și alte terțe părți identificate ca
fiind relevante;
• stabilește programe de păstrare sau de depozitare pentru anumite categorii de
înregistrări pentru a asigura respectarea legală și, de asemenea, pentru a
îndeplini alte obiective, cum ar fi păstrarea proprietății intelectuale și
gestionarea costurilor.
VĂ MULȚUMIM!