ORDIN nr. 52 din 18 aprilie 2002privind aprobarea Cerinţelor minime de securitate a prelucrarilor de date cu caracter personal
Publicat în
MONITORUL OFICIAL nr. 383 din 5 iunie 2002
Avocatul Poporului,în temeiul Hotărârii Senatului României nr. 33 din 4 octombrie 2001 pentru numirea Avocatului Poporului,vazand prevederile art. 13 din Legea nr. 35/1997 privind organizarea şi funcţionarea instituţiei Avocatul Poporului şi ale art. 7 din Regulamentul de organizare şi funcţionare a instituţiei Avocatul Poporului,în aplicarea prevederilor art. 20 alin. (2) din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, conform cărora cerinţele minime de securitate a prelucrarilor de date cu caracter personal vor fi elaborate de autoritatea de supraveghere şi vor fi actualizate periodic, corespunzător progresului tehnic şi experienţei acumulate,având în vedere Nota privind cerinţele minime de securitate a prelucrarilor de date cu caracter personal, înregistrată sub nr. 4.327 din 18 aprilie 2002, a adjunctului Avocatului Poporului,având în vedere exigenta elaborării cerinţelor minime de securitate a prelucrarilor de date cu caracter personal, care stau la baza adoptării de către operatorii de date cu caracter personal a măsurilor tehnice şi organizatorice adecvate, prin care se garantează un nivel corespunzător şi legal de securitate a prelucrării de date cu caracter personal, precum şi a publicării cerinţelor respective în Monitorul Oficial al României, Partea I, în scopul ca acestea să poată fi cunoscute în mod corespunzător de către operatorii menţionaţi,emite prezentul ordin. + Articolul 1Se aprobă Cerinţele minime de securitate a prelucrarilor de date cu caracter personal, prevăzute în anexa la prezentul ordin. + Articolul 2Prezentul ordin va fi publicat în Monitorul Oficial al României, Partea I. + Articolul 3Anexa face parte integrantă din prezentul ordin.AVOCATUL POPORULUI,prof. univ dr. IOAN MURARU + Anexa 1 CERINŢELE MINIME DE SECURITATEa prelucrarilor de date cu caracter personalPrezentele cerinţe minime de securitate a prelucrarilor de date cu caracter personal trebuie să stea la baza adoptării şi implementarii de către operator a măsurilor tehnice şi organizatorice necesare pentru păstrarea confidenţialităţii şi integrităţii datelor cu caracter personal. În concordanta cu acestea operatorii îşi vor stabili propriile politici şi proceduri de securitate.Cerinţele minime de securitate a prelucrarilor de date cu caracter personal acoperă următoarele aspecte:1. Identificarea şi autentificarea utilizatoruluiPrin utilizator se înţelege orice persoană care acţionează sub autoritatea operatorului, a persoanei împuternicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal.Utilizatorii, pentru a capata acces la o baza de date cu caracter personal, trebuie să se identifice. Identificarea se poate face prin mai multe metode, cum ar fi: introducerea codului de identificare de la tastatura (un şir de caractere), folosirea unei cartele cu cod de bare, folosirea unei cartele inteligente (smart card) sau a unei cartele magnetice.Fiecare utilizator are propriul sau cod de identificare. Niciodată mai mulţi utilizatori nu trebuie să aibă acelaşi cod de identificare.Codurile de identificare (sau conturi de utilizator) nefolosite o perioadă mai îndelungată trebuie dezactivate şi distruse după un control prealabil intern al operatorului. Perioada după care codurile trebuie dezactivate şi distruse se stabileşte de operator.Orice cont de utilizator este însoţit de o modalitate de autentificare. Autentificarea poate fi facuta prin introducerea unei parole sau prin mijloace biometrice: amprenta dactiloscopica, amprenta vocala, angiografia retiniana etc.Parolele sunt siruri de caractere. Cu cat sirul de caractere este mai lung, cu atât parola este mai greu de aflat. La introducerea parolelor acestea nu trebuie să fie afişate în clar pe monitor. Parolele trebuie schimbate periodic în funcţie de politicile de securitate ale entitatii (operator sau persoana imputernicita). Schimbarea periodică a parolelor se face numai de către utilizatori autorizaţi de operator.Operatorul trebuie să solicite realizarea unui sistem informaţional care să refuze automat accesul unui utilizator după 5 introduceri gresite ale parolei.Orice utilizator care primeşte un cod de identificare şi un mijloc de autentificare trebuie să păstreze confidenţialitatea acestora şi sa răspundă în acest sens în faţa operatorului.Fiecare entitate va stabili o procedură proprie de administrare şi gestionare a conturilor de utilizator.Operatorii autorizeaza anumiti utilizatori pentru a revoca sau a suspenda un cod de identificare şi autentificare, dacă utilizatorul acestora şi-a dat demisia ori a fost concediat, şi-a încheiat contractul, a fost transferat la alt serviciu şi noile sarcini nu îi solicita accesul la date cu caracter personal, a abuzat de codurile primite sau dacă va absenta o perioadă îndelungată stabilită de entitate.Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se va face pe baza unei liste aprobate de conducerea entitatii.2. Tipul de accesUtilizatorii trebuie să acceseze numai datele cu caracter personal necesare pentru îndeplinirea atribuţiilor lor de serviciu. Pentru aceasta operatorii trebuie să stabilească tipurile de acces după funcţionalitate (cum ar fi: administrare, introducere, prelucrare, salvare etc.) şi după acţiuni aplicate asupra datelor cu caracter personal (cum ar fi: scriere, citire, ştergere), precum şi procedurile privind aceste tipuri de acces.Programatorii sistemelor de prelucrare a datelor cu caracter personal nu vor avea acces la datele cu caracter personal. Operatorul va permite accesul programatorilor la datele cu caracter personal după ce acestea au fost transformate în date anonime.Compartimentul care asigura suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea unor cazuri excepţionale.Pentru activitatea de pregătire a utilizatorilor sau pentru realizarea de prezentări se vor folosi date anonime. Angajaţii care predau cursurile de pregătire vor folosi date cu caracter personal pe parcursul propriei lor pregatiri.Operatorul va stabili modalităţile stricte prin care se vor distruge datele cu caracter personal. Autorizarea pentru aceasta prelucrare de date cu caracter personal trebuie limitată la cativa utilizatori.3. Colectarea datelorOperatorul desemnează utilizatori autorizaţi pentru operaţiile de colectare şi introducere de date cu caracter personal într-un sistem informaţional.Orice modificare a datelor cu caracter personal se poate face numai de către utilizatori autorizaţi desemnaţi de operator.Operatorul va lua măsuri pentru ca sistemul informaţional sa înregistreze cine a făcut modificarea, data şi ora modificării. Pentru o mai buna administrare operatorul va lua măsuri ca sistemul informaţional sa menţină datele şterse sau modificate.4. Execuţia copiilor de siguranţăOperatorul va stabili intervalul de timp la care se vor executa copiile de siguranţă ale bazelor de date cu caracter personal, precum şi ale programelor folosite pentru prelucrarile automatizate. Utilizatorii care executa aceste copii de siguranţă vor fi numiţi de operator, într-un număr restrâns. Copiile de siguranţă se vor stoca în alte camere, în fisete metalice cu sigiliu aplicat, şi, dacă este posibil, chiar în camere din alta clădire.Operatorul va lua măsuri ca accesul la copiile de siguranţă să fie monitorizat.5. Computerele şi terminalele de accesComputerele şi alte terminale de acces vor fi instalate în încăperi cu acces restrictionat. Dacă nu pot fi asigurate aceste condiţii, computerele se vor instala în încăperi care se pot incuia sau se vor lua măsuri ca accesul la computere să se facă cu ajutorul unor chei ori cartele magnetice.Dacă pe ecran apar date cu caracter personal asupra cărora nu se acţionează o perioadă dată, stabilită de operator, sesiunea de lucru trebuie închisă automat. Mărimea acestei perioade se determina în funcţie de operaţiile care trebuie executate.Terminalele de acces folosite în relaţia cu publicul, pe care apar date cu caracter personal, vor fi pozitionate astfel încât sa nu poată fi vazute de public şi după o perioadă scurta, stabilită de operator, în care nu se acţionează asupra lor, acestea trebuie ascunse.6. Fişierele de accesOperatorul este obligat sa ia măsuri ca orice accesare a bazei de date cu caracter personal să fie înregistrată într-un fisier de acces (numit log la prelucrarile automate) sau într-un registru pentru prelucrarile manuale de date cu caracter personal, stabilit de operator. Informaţiile înregistrate în fisierul de acces sau în registru vor fi:- codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale);- numele fisierului accesat (fisei);- numărul înregistrărilor efectuate;- tipul de acces;- codul operaţiei executate sau programul folosit;- data accesului (an, luna, zi);- timpul (ora, minutul, secunda).Pentru prelucrarile automate aceste informaţii vor fi stocate într-un fisier de acces general sau în fisiere separate pentru fiecare utilizator. Orice încercare de acces neautorizat va fi, de asemenea, înregistrată.Operatorul este obligat sa păstreze fişierele de acces cel puţin 2 ani, pentru a fi folosite ca probe în cazul unor investigaţii. Dacă investigaţiile se prelungesc, aceste fisiere se vor păstra atât timp cat se va considera necesar.Fişierele de acces trebuie să facă posibila identificarea de către operator sau de către persoana imputernicita a persoanelor care au accesat date cu caracter personal fără un motiv anume, în vederea aplicării unor sancţiuni sau a sesizării organelor competente.7. Sistemele de telecomunicaţiiOperatorul este obligat să facă periodic controlul autentificarilor şi tipurilor de acces pentru detectarea unor disfunctionalitati în ceea ce priveşte folosirea sistemelor de telecomunicaţii.Operatorii sunt obligaţi sa conceapa sistemul de telecomunicaţii astfel încât datele cu caracter personal sa nu poată fi interceptate sau transmise de oriunde. Dacă sistemul de telecomunicaţii nu poate fi astfel securizat, operatorul este obligat sa impună folosirea metodei de criptare pentru transmisia datelor cu caracter personal.Prin sistemele de telecomunicaţii se vor transmite numai datele cu caracter personal strict necesare.8. Instruirea personaluluiÎn cadrul cursurilor de pregătire a utilizatorilor operatorul este obligat să facă informarea acestora cu privire la prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, la cerinţele minime de securitate a prelucrarilor de date cu caracter personal, precum şi cu privire la riscurile pe care le comporta prelucrarea datelor cu caracter personal, în funcţie de specificul activităţii utilizatorului.Utilizatorii care au acces la date cu caracter personal vor fi instruiti de către operator asupra confidenţialităţii acestora şi vor fi avertizati prin mesaje care vor aparea pe monitoare în timpul activităţii. Utilizatorii sunt obligaţi să îşi inchida sesiunea de lucru atunci când părăsesc locul de muncă.9. Folosirea computerelorPentru menţinerea securităţii prelucrării datelor cu caracter personal (în special împotriva virusilor informatici) operatorul va lua măsuri care vor consta în: a) interzicerea folosirii de către utilizatori a programelor software care provin din surse externe sau dubioase; b) informarea utilizatorilor în privinta pericolului privind virusii informatici; c) implementarea unor sisteme automate de devirusare şi de securitate a sistemelor informatice; d) dezactivarea, pe cat posibil, a tastei "Print screen", atunci când sunt afişate pe monitor date cu caracter personal, interzicandu-se astfel scoaterea la imprimanta a acestora.10. Imprimarea datelorScoaterea la imprimanta a datelor cu caracter personal se va realiza numai de utilizatori autorizaţi pentru aceasta operaţiune de către operator. Operatorii sunt obligaţi sa aprobe proceduri interne specifice privind folosirea şi distrugerea acestor materiale.Fiecare entitate îşi va aproba propriul sistem de securitate, ţinând seama de aceste cerinţe minime de securitate a prelucrarilor de date cu caracter personal, iar în funcţie de importanţa datelor cu caracter personal prelucrate, îşi va impune măsuri de securitate suplimentare.-----------
EMITENT |
Avocatul Poporului,în temeiul Hotărârii Senatului României nr. 33 din 4 octombrie 2001 pentru numirea Avocatului Poporului,vazand prevederile art. 13 din Legea nr. 35/1997 privind organizarea şi funcţionarea instituţiei Avocatul Poporului şi ale art. 7 din Regulamentul de organizare şi funcţionare a instituţiei Avocatul Poporului,în aplicarea prevederilor art. 20 alin. (2) din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, conform cărora cerinţele minime de securitate a prelucrarilor de date cu caracter personal vor fi elaborate de autoritatea de supraveghere şi vor fi actualizate periodic, corespunzător progresului tehnic şi experienţei acumulate,având în vedere Nota privind cerinţele minime de securitate a prelucrarilor de date cu caracter personal, înregistrată sub nr. 4.327 din 18 aprilie 2002, a adjunctului Avocatului Poporului,având în vedere exigenta elaborării cerinţelor minime de securitate a prelucrarilor de date cu caracter personal, care stau la baza adoptării de către operatorii de date cu caracter personal a măsurilor tehnice şi organizatorice adecvate, prin care se garantează un nivel corespunzător şi legal de securitate a prelucrării de date cu caracter personal, precum şi a publicării cerinţelor respective în Monitorul Oficial al României, Partea I, în scopul ca acestea să poată fi cunoscute în mod corespunzător de către operatorii menţionaţi,emite prezentul ordin. + Articolul 1Se aprobă Cerinţele minime de securitate a prelucrarilor de date cu caracter personal, prevăzute în anexa la prezentul ordin. + Articolul 2Prezentul ordin va fi publicat în Monitorul Oficial al României, Partea I. + Articolul 3Anexa face parte integrantă din prezentul ordin.AVOCATUL POPORULUI,prof. univ dr. IOAN MURARU + Anexa 1 CERINŢELE MINIME DE SECURITATEa prelucrarilor de date cu caracter personalPrezentele cerinţe minime de securitate a prelucrarilor de date cu caracter personal trebuie să stea la baza adoptării şi implementarii de către operator a măsurilor tehnice şi organizatorice necesare pentru păstrarea confidenţialităţii şi integrităţii datelor cu caracter personal. În concordanta cu acestea operatorii îşi vor stabili propriile politici şi proceduri de securitate.Cerinţele minime de securitate a prelucrarilor de date cu caracter personal acoperă următoarele aspecte:1. Identificarea şi autentificarea utilizatoruluiPrin utilizator se înţelege orice persoană care acţionează sub autoritatea operatorului, a persoanei împuternicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal.Utilizatorii, pentru a capata acces la o baza de date cu caracter personal, trebuie să se identifice. Identificarea se poate face prin mai multe metode, cum ar fi: introducerea codului de identificare de la tastatura (un şir de caractere), folosirea unei cartele cu cod de bare, folosirea unei cartele inteligente (smart card) sau a unei cartele magnetice.Fiecare utilizator are propriul sau cod de identificare. Niciodată mai mulţi utilizatori nu trebuie să aibă acelaşi cod de identificare.Codurile de identificare (sau conturi de utilizator) nefolosite o perioadă mai îndelungată trebuie dezactivate şi distruse după un control prealabil intern al operatorului. Perioada după care codurile trebuie dezactivate şi distruse se stabileşte de operator.Orice cont de utilizator este însoţit de o modalitate de autentificare. Autentificarea poate fi facuta prin introducerea unei parole sau prin mijloace biometrice: amprenta dactiloscopica, amprenta vocala, angiografia retiniana etc.Parolele sunt siruri de caractere. Cu cat sirul de caractere este mai lung, cu atât parola este mai greu de aflat. La introducerea parolelor acestea nu trebuie să fie afişate în clar pe monitor. Parolele trebuie schimbate periodic în funcţie de politicile de securitate ale entitatii (operator sau persoana imputernicita). Schimbarea periodică a parolelor se face numai de către utilizatori autorizaţi de operator.Operatorul trebuie să solicite realizarea unui sistem informaţional care să refuze automat accesul unui utilizator după 5 introduceri gresite ale parolei.Orice utilizator care primeşte un cod de identificare şi un mijloc de autentificare trebuie să păstreze confidenţialitatea acestora şi sa răspundă în acest sens în faţa operatorului.Fiecare entitate va stabili o procedură proprie de administrare şi gestionare a conturilor de utilizator.Operatorii autorizeaza anumiti utilizatori pentru a revoca sau a suspenda un cod de identificare şi autentificare, dacă utilizatorul acestora şi-a dat demisia ori a fost concediat, şi-a încheiat contractul, a fost transferat la alt serviciu şi noile sarcini nu îi solicita accesul la date cu caracter personal, a abuzat de codurile primite sau dacă va absenta o perioadă îndelungată stabilită de entitate.Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se va face pe baza unei liste aprobate de conducerea entitatii.2. Tipul de accesUtilizatorii trebuie să acceseze numai datele cu caracter personal necesare pentru îndeplinirea atribuţiilor lor de serviciu. Pentru aceasta operatorii trebuie să stabilească tipurile de acces după funcţionalitate (cum ar fi: administrare, introducere, prelucrare, salvare etc.) şi după acţiuni aplicate asupra datelor cu caracter personal (cum ar fi: scriere, citire, ştergere), precum şi procedurile privind aceste tipuri de acces.Programatorii sistemelor de prelucrare a datelor cu caracter personal nu vor avea acces la datele cu caracter personal. Operatorul va permite accesul programatorilor la datele cu caracter personal după ce acestea au fost transformate în date anonime.Compartimentul care asigura suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea unor cazuri excepţionale.Pentru activitatea de pregătire a utilizatorilor sau pentru realizarea de prezentări se vor folosi date anonime. Angajaţii care predau cursurile de pregătire vor folosi date cu caracter personal pe parcursul propriei lor pregatiri.Operatorul va stabili modalităţile stricte prin care se vor distruge datele cu caracter personal. Autorizarea pentru aceasta prelucrare de date cu caracter personal trebuie limitată la cativa utilizatori.3. Colectarea datelorOperatorul desemnează utilizatori autorizaţi pentru operaţiile de colectare şi introducere de date cu caracter personal într-un sistem informaţional.Orice modificare a datelor cu caracter personal se poate face numai de către utilizatori autorizaţi desemnaţi de operator.Operatorul va lua măsuri pentru ca sistemul informaţional sa înregistreze cine a făcut modificarea, data şi ora modificării. Pentru o mai buna administrare operatorul va lua măsuri ca sistemul informaţional sa menţină datele şterse sau modificate.4. Execuţia copiilor de siguranţăOperatorul va stabili intervalul de timp la care se vor executa copiile de siguranţă ale bazelor de date cu caracter personal, precum şi ale programelor folosite pentru prelucrarile automatizate. Utilizatorii care executa aceste copii de siguranţă vor fi numiţi de operator, într-un număr restrâns. Copiile de siguranţă se vor stoca în alte camere, în fisete metalice cu sigiliu aplicat, şi, dacă este posibil, chiar în camere din alta clădire.Operatorul va lua măsuri ca accesul la copiile de siguranţă să fie monitorizat.5. Computerele şi terminalele de accesComputerele şi alte terminale de acces vor fi instalate în încăperi cu acces restrictionat. Dacă nu pot fi asigurate aceste condiţii, computerele se vor instala în încăperi care se pot incuia sau se vor lua măsuri ca accesul la computere să se facă cu ajutorul unor chei ori cartele magnetice.Dacă pe ecran apar date cu caracter personal asupra cărora nu se acţionează o perioadă dată, stabilită de operator, sesiunea de lucru trebuie închisă automat. Mărimea acestei perioade se determina în funcţie de operaţiile care trebuie executate.Terminalele de acces folosite în relaţia cu publicul, pe care apar date cu caracter personal, vor fi pozitionate astfel încât sa nu poată fi vazute de public şi după o perioadă scurta, stabilită de operator, în care nu se acţionează asupra lor, acestea trebuie ascunse.6. Fişierele de accesOperatorul este obligat sa ia măsuri ca orice accesare a bazei de date cu caracter personal să fie înregistrată într-un fisier de acces (numit log la prelucrarile automate) sau într-un registru pentru prelucrarile manuale de date cu caracter personal, stabilit de operator. Informaţiile înregistrate în fisierul de acces sau în registru vor fi:- codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale);- numele fisierului accesat (fisei);- numărul înregistrărilor efectuate;- tipul de acces;- codul operaţiei executate sau programul folosit;- data accesului (an, luna, zi);- timpul (ora, minutul, secunda).Pentru prelucrarile automate aceste informaţii vor fi stocate într-un fisier de acces general sau în fisiere separate pentru fiecare utilizator. Orice încercare de acces neautorizat va fi, de asemenea, înregistrată.Operatorul este obligat sa păstreze fişierele de acces cel puţin 2 ani, pentru a fi folosite ca probe în cazul unor investigaţii. Dacă investigaţiile se prelungesc, aceste fisiere se vor păstra atât timp cat se va considera necesar.Fişierele de acces trebuie să facă posibila identificarea de către operator sau de către persoana imputernicita a persoanelor care au accesat date cu caracter personal fără un motiv anume, în vederea aplicării unor sancţiuni sau a sesizării organelor competente.7. Sistemele de telecomunicaţiiOperatorul este obligat să facă periodic controlul autentificarilor şi tipurilor de acces pentru detectarea unor disfunctionalitati în ceea ce priveşte folosirea sistemelor de telecomunicaţii.Operatorii sunt obligaţi sa conceapa sistemul de telecomunicaţii astfel încât datele cu caracter personal sa nu poată fi interceptate sau transmise de oriunde. Dacă sistemul de telecomunicaţii nu poate fi astfel securizat, operatorul este obligat sa impună folosirea metodei de criptare pentru transmisia datelor cu caracter personal.Prin sistemele de telecomunicaţii se vor transmite numai datele cu caracter personal strict necesare.8. Instruirea personaluluiÎn cadrul cursurilor de pregătire a utilizatorilor operatorul este obligat să facă informarea acestora cu privire la prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, la cerinţele minime de securitate a prelucrarilor de date cu caracter personal, precum şi cu privire la riscurile pe care le comporta prelucrarea datelor cu caracter personal, în funcţie de specificul activităţii utilizatorului.Utilizatorii care au acces la date cu caracter personal vor fi instruiti de către operator asupra confidenţialităţii acestora şi vor fi avertizati prin mesaje care vor aparea pe monitoare în timpul activităţii. Utilizatorii sunt obligaţi să îşi inchida sesiunea de lucru atunci când părăsesc locul de muncă.9. Folosirea computerelorPentru menţinerea securităţii prelucrării datelor cu caracter personal (în special împotriva virusilor informatici) operatorul va lua măsuri care vor consta în: a) interzicerea folosirii de către utilizatori a programelor software care provin din surse externe sau dubioase; b) informarea utilizatorilor în privinta pericolului privind virusii informatici; c) implementarea unor sisteme automate de devirusare şi de securitate a sistemelor informatice; d) dezactivarea, pe cat posibil, a tastei "Print screen", atunci când sunt afişate pe monitor date cu caracter personal, interzicandu-se astfel scoaterea la imprimanta a acestora.10. Imprimarea datelorScoaterea la imprimanta a datelor cu caracter personal se va realiza numai de utilizatori autorizaţi pentru aceasta operaţiune de către operator. Operatorii sunt obligaţi sa aprobe proceduri interne specifice privind folosirea şi distrugerea acestor materiale.Fiecare entitate îşi va aproba propriul sistem de securitate, ţinând seama de aceste cerinţe minime de securitate a prelucrarilor de date cu caracter personal, iar în funcţie de importanţa datelor cu caracter personal prelucrate, îşi va impune măsuri de securitate suplimentare.-----------