Aspecte generale privind activitatea de operator date cu caracter personal Răspunde


wwwActivitatea de operator de date cu caracter personal se desfasoara cu respectarea prevederilor Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare. Prezenta lege se aplica prelucrarilor de date cu caracter personal, efectuate in tot sau in parte, prin mijloace automate, precum si a prelucrarii prin alte mijloace decat cele automate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta sau care sunt destinate sa fie incluse intr-un asemenea sistem.

Institutia care supervizeaza aceasta activitate este Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, care monitorizeaza si controleaza din punct de vedere legal, prelucrarea de date cu caracter personal prevazute de  Legea nr. 677/2001.

Persoanele care doresc sa se autorizeze ca operatori de date cu caracter personal trebuie sa depuna o notificare la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Prersonal, care poate fi descarcata impreuna cu ghidul de notificare accesand linkul http://www.dataprotection.ro/?page=ghid_notificare_10062010&lang=ro

Formularul de notificare se poate transmite online de la adresa http://www.dataprotection.ro/notificare/, completata conform instructiunilor din ghidul de notificare.  Pentru completarea online a notificarii este necesara o adresa de email valida si acces la imprimanta.

In cazul in care nu exista posuibilitatea completarii on line a formularului, acesta poate fi descarcat, completat si transmis prin posta autoritatii de supraveghere. Fiecare operator primeste un numar de inregistrare. Numarul de inregistrare trebuie mentionat pe orice act prin care datele sunt colectate, staocate sau dezvaluite.

Aspecte generale privind desfasurarea activitatii de operator de date cu caracter personal

Operatorul de date cu caracter personal poate fi orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritaţile publice, institutiile si structurile teritoriale ale acestora, care stabileste scopul si mijloacele de prelucrare a datelor cu caracter personal.

Operatorul poate imputernici o persoana sa prelucreze datelele pe seama sa. Aceasta poate fi  o persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, care prelucreaza date cu caracter personal pe seama operatorului.

Tert  poate fi  orice persoana fizica sau juridica, de drept privat ori de drept public, alta decat persoana vizata, operatorul ori persoana imputernicita sau persoanele care, sub autoritatea directa a operatorului sau a persoanei imputernicite, sunt autorizate sa prelucreze date.

Prelucrarea datelor cu caracter personal , cu exceptia prelucrarilor care vizeaza date despre CNP, etnie, religie, rasa, infractiuni, poate fi efectuata numai daca persoana vizata si-a dat consimtamantul in mod expres si neechivoc pentru acea prelucrare. 

Operatorul este obligat sa aplice masurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvaluirii sau accesului neautorizat, in special daca prelucrarea respectiva comporta transmisii de date in cadrul unei retele, precum si impotriva oricărei alte forme de prelucrare ilegala.

Aceste masuri trebuie sa asigure, potrivit stadiului tehnicii utilizate in procesul de prelucrare si de costuri, un nivel de securitate adecvat in ceea ce priveste riscurile pe care le reprezintă prelucrarea, precum si in ceea ce priveste natura datelor care trebuie protejate.

Cerintele minime de securitate vor fi elaborate de autoritatea de supraveghere si vor fi actualizate periodic, corespunzător progresului tehnic si experienţei acumulate:

1. Identificarea si autentificarea utilizatorului – orice persoana care acţionează sub autoritatea operatorului, a persoanei imputernicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal.

Acestia, pentru a capata acces la o baza de date cu caracter personal, trebuie să se identifice. Identificarea se poate face prin mai multe metode, cum ar fi: introducerea codului de identificare de la tastatură (un şir de caractere), folosirea unei cartele cu cod de bare, folosirea unei cartele inteligente (smart card) sau a unei cartele magnetice. Fiecare utilizator are propriul sau cod de identificare. Niciodata mai mulţi utilizatori nu trebuie sa aiba acelaşi cod de identificare.

2. Tipul de acces

Utilizatorii trebuie sa acceseze numai datele cu caracter personal necesare pentru indeplinirea atributiilor lor de serviciu. Pentru aceasta, operatorii trebuie sa stabileasca tipurile de acces dupa functionalitate (cum ar fi: administrare, introducere, prelucrare, salvare etc.) si dupa actiuni aplicate asupra datelor cu caracter personal (cum ar fi: scriere, citire, stergere), precum si procedurile privind aceste tipuri de acces.

Programatorii sistemelor de prelucrare a datelor cu caracter personal nu vor avea acces la datele cu caracter personal. Compartimentul care asigura suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea unor cazuri excepţionale….

3. Colectarea datelor

Operatorul desemnează utilizatori autorizati pentru operatiile de colectare si introducere de date cu caracter personal intr-un sistem informational.

4. Executia copiilor de siguranta

Operatorul va stabili intervalul de timp la care se vor executa copiile de siguranta ale bazelor de date cu caracter personal, precum si ale programelor folosite pentru prelucrarile automatizate. Utilizatorii care executa aceste copii de siguranta vor fi numiti de operator, intr-un numar restrans. Copiile de siguranta se vor stoca in alte camere, in fisete metalice cu sigiliu aplicat, si, daca este posibil, chiar in camere din altă clădire.

5. Computerele si terminalele de acces

Computerele si alte terminale de acces vor fi instalate in incaperi cu acces restrictionat. Daca nu pot fi asigurate aceste condiţii, computerele se vor instala în încăperi care se pot încuia sau se vor lua măsuri ca accesul la computere să se facă cu ajutorul unor chei ori cartele magnetice. …

6. Fisiere de acces

Operatorul este obligat sa ia masuri ca orice accesare a bazei de date cu caracter personal sa fie inregistrata intr-un fisier de acces (numit log la prelucrarile automate) sau intr-un registru pentru prelucrarile manuale de date cu caracter personal, stabilit de operator.

Pentru prelucrarile automate aceste informatii vor fi stocate intr-un fisier de acces general sau in fisiere separate pentru fiecare utilizator. Orice incercare de acces neautorizat va fi, de asemenea, inregistrata.Fisierele de acces se pastreaza cel putin 2 ani.

7. Sisteme de telecomunicatii

Operatorul este obligat sa faca periodic controlul autentificarilor si tipurilor de acces pentru detectarea unor disfuncţionalitaţi in ceea ce priveşte folosirea sistemelor de telecomunicaţii.

Operatorii sunt obligati sa conceapa sistemul de telecomunicatii astfel incat datele cu caracter personal sa nu poata fi interceptate sau transmise de oriunde. Daca sistemul de telecomunicatii nu poate fi astfel securizat, operatorul este obligat sa impuna folosirea metodei de criptare pentru transmisia datelor cu caracter personal.

8. Instruirea personalului

In cadrul cursurilor de pregatire a utilizatorilor operatorul este obligat sa faca informarea acestora cu privire la prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulaţie a acestor date, la cerintele minime de securitate a prelucrarilor de date cu caracter personal, precum si cu privire la riscurile pe care le comporta prelucrarea datelor cu caracter personal, in functie de specificul activitătii utilizatorului.

9. Folosirea computerelor

Pentru menţinerea securitatii prelucrării datelor cu caracter personal (in special impotriva virusilor informatici) operatorul va lua măsuri.

10. Imprimarea datelor

Scoaterea la imprimanta a datelor cu caracter personal se va realiza numai de utilizatori autorizaţi pentru aceasta operaţiune de catre operator. Operatorii sunt obligaţi sa aprobe proceduri interne specifice privind folosirea şi distrugerea acestor materiale.

Fiecare entitate isi va aproba propriul sistem de securitate, tinand seama de aceste cerinte minime de securitate a prelucrarilor de date cu caracter personal, iar in funcţie de importanta datelor cu caracter personal prelucrate, isi va impune masuri de securitate suplimentare.

Efectuarea prelucrarilor de date prin persoane imputernicite trebuie sa se desfasoare in baza unui contract incheiat in forma scrisa.

Operatorul este obligat sa notifice autoritatii de supraveghere, personal sau prin reprezentant, inainte de efectuarea oricarei prelucrari ori a oricarui ansamblu de prelucrari avand acelasi scop sau scopuri corelate, care va cuprinde anumite informatii prevazute de art. 22, alin 3 din Lege.

Autoritatea de supraveghere pastreaza un registru de evidenta a prelucrarilor de date cu caracter personal, notificate in conformitate cu prevederile art. 22. Registrul va cuprinde toate informatiile prevazute la art. 22 alin. (3).

Orice schimbare de natura sa afecteze exactitatea informatiilor inregistrate va fi comunicata autoritatii de supraveghere in termen de 5 zile. Autoritatea de supraveghere va dispune de indata efectuarea mentiunilor corespunzatoare in registru.

 

Lasă un răspuns

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Schimbă )

Twitter picture

You are commenting using your Twitter account. Log Out / Schimbă )

Facebook photo

You are commenting using your Facebook account. Log Out / Schimbă )

Google+ photo

You are commenting using your Google+ account. Log Out / Schimbă )

Connecting to %s