Comunica experienta
MonitorulJuridic.ro

Trimite prin Yahoo Messenger pagina: INSTRUCTIUNI nr. 27 din 3 februarie 2010 privind masurile de natura organizatorica si tehnica pentru asigurarea securitatii prelucrarilor de date cu caracter personal efectuate de catre structurile/unitatile Ministerului Administratiei si Internelor

Cautare document

Termen: Tipul actului: Anul publicarii actului:

Cautare document

Termen: Tipul actului: Anul publicarii actului:

Copierea de continut din prezentul site este supusa regulilor precizate in Termeni si conditii! Click aici.
Prin utilizarea siteului sunteti de acord, in mod implicit cu Termenii si conditiile! Orice abatere de la acestea constituie incalcarea dreptului nostru de autor si va angajeaza raspunderea!

INSTRUCTIUNI nr. 27 din 3 februarie 2010 privind masurile de natura organizatorica si tehnica pentru asigurarea securitatii prelucrarilor de date cu caracter personal efectuate de catre structurile/unitatile Ministerului Administratiei si Internelor

EMITENT: MINISTERUL ADMINISTRATIEI SI INTERNELOR
PUBLICAT: MONITORUL OFICIAL nr. 98 din 12 februarie 2010

Comenteaza legea

Având în vedere dispoziţiile <>Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificãrile şi completãrile ulterioare, ale <>Legii nr. 238/2009 privind reglementarea prelucrãrii datelor cu caracter personal de cãtre structurile/unitãţile Ministerului Administraţiei şi Internelor în activitãţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice,
ţinând cont de faptul cã dispoziţiile <>Legii nr. 238/2009 şi, în consecinţã, dispoziţiile corespunzãtoare cuprinse în prezentul act normativ se aplicã exclusiv în cazul prelucrãrilor de date cu caracter personal efectuate în cursul activitãţilor de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice,
în temeiul <>art. 7 alin. (4) din Ordonanţa de urgenţã a Guvernului nr. 30/2007 privind organizarea şi funcţionarea Ministerului Administraţiei şi Internelor, aprobatã cu modificãri prin <>Legea nr. 15/2008 , cu modificãrile şi completãrile ulterioare,

ministrul administraţiei şi internelor emite urmãtoarele instrucţiuni:

TITLULUL I
Mãsuri organizatorice

CAP. I
Dispoziţii generale

ART. 1
Prezentele instrucţiuni se aplicã activitãţilor de prelucrare a datelor cu caracter personal efectuate de structurile şi unitãţile Ministerului Administraţiei şi Internelor, denumit în continuare MAI, în calitatea acestora de operatori sau împuterniciţi ai operatorilor.
ART. 2
(1) La nivelul MAI, prelucrarea datelor cu caracter personal se realizeazã cu respectarea regulilor generale şi speciale prevãzute de <>Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificãrile şi completãrile ulterioare, de <>Legea nr. 238/2009 privind reglementarea prelucrãrii datelor cu caracter personal de cãtre structurile/unitãţile Ministerului Administraţiei şi Internelor în activitãţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, a prevederilor deciziilor şi instrucţiunilor cu caracter normativ emise de Autoritatea Naţionalã de Supraveghere a Prelucrãrii Datelor cu Caracter Personal, denumitã în continuare Autoritatea naţionalã de supraveghere, a prevederilor prezentelor instrucţiuni şi a procedurilor proprii elaborate de operatori potrivit legii.
(2) Operatorii şi împuterniciţii acestora utilizeazã sisteme de evidenţã şi/sau mijloace automate şi neautomate de prelucrare a datelor cu caracter personal cu aplicarea principiilor respectãrii drepturilor omului, legalitãţii, necesitãţii, confidenţialitãţii şi proporţionalitãţii şi numai dacã, prin utilizarea acestora, este asiguratã protecţia datelor prelucrate.
(3) În cadrul activitãţii de prelucrare a datelor cu caracter personal, operatorii şi împuterniciţii acestora se supun activitãţilor de control prealabil sau de investigare efectuate de Autoritatea naţionalã de supraveghere şi, la cerere, acordã acesteia sprijin deplin pentru exercitarea atribuţiilor sale.
ART. 3
(1) Au calitatea de operator structurile şi unitãţile MAI, precum şi MAI, dacã:
a) stabilesc scopul şi mijloacele de prelucrare a datelor cu caracter personal; sau
b) scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt stabilite printr-un act normativ sau în baza unui act normativ; sau
c) sunt desemnate ca operator printr-un/în baza unui act normativ.
(2) Au calitatea de împuterniciţi ai operatorului structurile care prelucreazã date cu caracter personal pe seama operatorului.
(3) Are calitatea de utilizator al datelor cu caracter personal, denumit în continuare utilizator, personalul operatorului sau al împuternicitului acestuia ale cãrui atribuţii de serviciu presupun operaţiuni de prelucrare a datelor cu caracter personal.

CAP. II
Organizarea activitãţii de prelucrare a datelor cu caracter personal în MAI

ART. 4
(1) La nivelul fiecãrei structuri/unitãţi a MAI, centrale sau teritoriale, care are calitatea de operator, funcţioneazã o structurã specializatã în domeniul protecţiei datelor cu caracter personal, denumitã în continuare structurã responsabilã cu protecţia datelor cu caracter personal. În cadrul acestei structuri este obligatoriu ca cel puţin o persoanã sã aibã specializare IT.
(2) Prin derogare de la prevederile alin. (1), pentru structurile/unitãţile MAI care au un numãr de cel mult 500 de înregistrãri ori interogãri pe zi sau care au un numãr de pânã la 30 de utilizatori ori gestioneazã numai în mod sporadic date cu caracter personal, se desemneazã o persoanã ca responsabil cu protecţia datelor cu caracter personal, în directa subordonare a conducãtorului operatorului. Personalul care urmeazã sã ocupe o astfel de funcţie trebuie sã aibã cunoştinţe IT.
ART. 5
Structurile/unitãţile MAI, în calitate de operator, au în principal urmãtoarele obligaţii:
a) sã notifice Autoritatea naţionalã de supraveghere potrivit <>art. 22 din Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare;
b) sã asigure informarea persoanelor vizate şi sã respecte drepturile acestora;
c) sã ia mãsurile necesare pentru a asigura securitatea prelucrãrii datelor cu caracter personal;
d) sã elaboreze Proceduri privind mãsurile de protecţie a persoanelor cu privire la prelucrarea datelor cu caracter personal, denumite în continuare proceduri proprii, conform legislaţiei şi normelor interne în domeniul standardizãrii în vigoare la nivelul MAI;
e) sã întocmeascã şi sã transmitã, anual, Autoritãţii naţionale de supraveghere raportul de activitate privind protecţia persoanelor în privinţa prelucrãrii datelor cu caracter personal;
f) sã punã la dispoziţia Oficiului Responsabilului cu Protecţia Datelor Personale, denumit în continuare Oficiu, în condiţiile legii, prin intermediul structurii responsabile/responsabilului cu protecţia datelor cu caracter personal şi la solicitarea reprezentanţilor acestuia, informaţiile şi documentele în legãturã cu prelucrarea datelor cu caracter personal pe care le deţin, în vederea exercitãrii atribuţiilor de coordonare, îndrumare şi monitorizare a aplicãrii unitare a legislaţiei în domeniul protecţiei persoanelor cu privire la prelucrarea datelor cu caracter personal.
ART. 6
(1) Conducãtorii operatorului au urmãtoarele atribuţii principale:
a) stabilesc scopul şi mijloacele de prelucrare a datelor cu caracter personal atunci când acestea sunt necesare pentru exercitarea unor competenţe legale;
b) numesc/stabilesc responsabilul/structura responsabilã cu protecţia datelor personale;
c) asigurã elaborarea procedurilor proprii şi, dupã avizarea acestora de cãtre Oficiu, le aprobã;
d) asigurã implementarea şi vegheazã la respectarea normelor procedurale în materia prelucrãrii datelor cu caracter personal de cãtre utilizatori;
e) asigurã desfãşurarea pregãtirii de specialitate şi instruirea utilizatorilor în acest domeniu;
f) dispun mãsuri de completare sau, dupã caz, de modificare a fişei posturilor utilizatorilor;
g) analizeazã şi dispun în ceea ce priveşte suspendarea sau revocarea dreptului de acces al utilizatorilor la sisteme de evidenţã a datelor cu caracter personal, în condiţiile legii;
h) informeazã Oficiul în legãturã cu orice încãlcare a normelor de protecţie a datelor cu caracter personal de naturã a prejudicia drepturile persoanei vizate, cu privire la mãsurile dispuse pentru identificarea persoanei responsabile şi limitarea efectelor unei diseminãri neautorizate a datelor, precum şi cu privire la situaţiile în care au fost emise recomandãri sau aplicate sancţiuni de cãtre Autoritatea naţionalã de supraveghere sau când aceasta a dispus efectuarea unui control prealabil ori a unor investigaţii;
i) analizeazã periodic activitatea responsabilului/structurii responsabile cu protecţia datelor cu caracter personal.
(2) Conducãtorii împuterniciţilor operatorului au atribuţiile prevãzute la alin. (1) lit. b), d)-g) şi i); în cazul în care este incidentã una dintre situaţiile prevãzute la alin. (1) lit. h), conducãtorii împuterniciţilor au obligaţia de a informa operatorul.
ART. 7
(1) Responsabilul/Structura responsabilã cu protecţia datelor cu caracter personal se subordoneazã nemijlocit conducãtorului operatorului sau, dupã caz, împuternicitului acestuia, şi are urmãtoarele atribuţii principale:
a) coordoneazã elaborarea şi implementarea procedurilor proprii, pe care le supune aprobãrii conducerii operatorului;
b) elaboreazã ghidul pentru exercitarea drepturilor de cãtre persoana vizatã;
c) consiliazã conducerea operatorului sau a împuternicitului acestuia şi sprijinã instruirea personalului care prelucreazã date cu caracter personal referitoare la normele şi regulile de protecţie a datelor cu caracter personal;
d) informeazã operativ conducerea operatorului sau a împuternicitului acestuia despre vulnerabilitãţile şi riscurile semnalate în sistemul de securitate a prelucrãrii datelor cu caracter personal al structurii şi propune mãsuri pentru înlãturarea acestora;
e) coordoneazã şi monitorizeazã activitatea personalului pe linia protecţiei datelor cu caracter personal la nivelul operatorului sau al împuternicitului acestuia şi propune conducerii operatorului sau, dupã caz, a împuternicitului, în condiţiile legii, mãsuri privind modificarea, suspendarea ori revocarea drepturilor de acces în situaţiile prevãzute la art. 10 şi 11, dupã caz;
f) efectueazã, prin sondaj, verificãri privind modul de aplicare a mãsurilor legale de protecţie a datelor cu caracter personal, întocmeşte rapoarte şi face propuneri pentru remedierea deficienţelor constatate, pe care le înainteazã spre aprobare conducerii operatorului sau, dupã caz, a împuternicitului;
g) asigurã relaţionarea, solicitã asistenţã de specialitate şi participã la convocãrile şi activitãţile organizate de Oficiu în domeniul prelucrãrii datelor cu caracter personal;
h) coordoneazã soluţionarea cererilor persoanelor vizate;
i) ţine evidenţa cererilor persoanelor vizate.
(2) Atribuţiile specifice responsabilului/personalului din cadrul structurii responsabile cu protecţia datelor cu caracter personal se stabilesc prin fişa postului.
ART. 8
(1) Utilizatorii au urmãtoarele obligaţii specifice:
a) sã cunoascã şi sã aplice prevederile actelor normative din domeniul prelucrãrii datelor cu caracter personal, precum şi normele interne în materie emise la nivelul MAI;
b) sã informeze persoana vizatã atunci când datele cu caracter personal sunt colectate direct de la aceasta, în condiţiile legii, cu privire la: identitatea operatorului, scopul în care se face prelucrarea datelor, destinatarii sau categoriile de destinatari ai datelor, obligativitatea furnizãrii tuturor datelor cerute şi consecinţele refuzului de a le pune la dispoziţie, drepturile prevãzute de lege, în special drepturile de acces, de intervenţie asupra datelor şi de opoziţie, condiţiile în care pot fi exercitate aceste drepturi, respectiv sã ofere orice alte informaţii a cãror furnizare este impusã prin dispoziţii ale Autoritãţii naţionale de supraveghere, ţinând seama de specificul prelucrãrii;
c) sã prelucreze numai datele cu caracter personal necesare îndeplinirii atribuţiilor de serviciu şi sã acorde sprijin responsabilului/structurii responsabile cu protecţia datelor cu caracter personal pentru realizarea activitãţilor specifice ale acestuia/acesteia;
d) sã pãstreze confidenţialitatea datelor prelucrate, a contului de utilizator, a parolei/codului de acces la sistemele informatice/baze de date prin care sunt gestionate date cu caracter personal;
e) sã respecte mãsurile de securitate, precum şi celelalte reguli stabilite de operator, inclusiv cele stabilite prin proceduri proprii;
f) sã informeze de îndatã conducerea operatorului sau, dupã caz, a împuternicitului şi responsabilul/structura responsabilã cu protecţia datelor cu caracter personal despre împrejurãri de naturã a conduce la o diseminare neautorizatã de date cu caracter personal sau despre o situaţie în care au fost accesate/prelucrate date cu caracter personal prin încãlcarea normelor legale, despre care a luat la cunoştinţã.
(2) Pentru fiecare utilizator, fişa postului se completeazã în mod corespunzãtor cu atribuţiile prevãzute la alin. (1).
ART. 9
(1) Înainte de începerea activitãţilor de prelucrare a datelor cu caracter personal, utilizatorul trebuie sã semneze o declaraţie pe propria rãspundere privind respectarea normelor de protecţie a acestor date, conform modelului prevãzut în anexa nr. 1.
(2) Utilizatorul poate prelucra date cu caracter personal doar pe perioada în care ocupã funcţia respectivã.
(3) Operatorii pot permite, în condiţiile legii, prelucrarea datelor cu caracter personal de cãtre funcţionarii unui alt operator din afara ori din cadrul MAI, pe perioada necesarã îndeplinirii unor atribuţii de serviciu. În acest sens, este obligatorie încheierea unui protocol de cooperare între operatori care sã prevadã cã prelucrarea datelor cu caracter personal se face cu respectarea drepturilor persoanelor vizate, respectiv condiţiile de securitate stabilite de cãtre operatorul care gestioneazã sau administreazã sistemul de evidenţã a datelor cu caracter personal.
ART. 10
Extinderea sau restrângerea atribuţiilor de prelucrare a datelor cu caracter personal se dispune de operator atunci când utilizatorul se aflã în una dintre urmãtoarele situaţii:
a) la modificarea raporturilor de muncã;
b) la modificarea atribuţiilor privind prelucrarea datelor cu caracter personal, prevãzute în fişa postului.
ART. 11
(1) Dreptul de acces al utilizatorului la sistemul de evidenţã a datelor cu caracter personal se suspendã pe perioada în care acesta se aflã în una dintre urmãtoarele situaţii:
a) urmeazã un curs sau o specializare cu scoatere din program, pentru o perioadã mai mare de 3 luni;
b) se aflã în concediu fãrã platã, concediu medical, concediu pentru creşterea sau îngrijirea copilului minor, pentru o perioadã mai mare de 3 luni;
c) se aflã în concediu de maternitate sau concediu pentru incapacitate temporarã de muncã;
d) pe perioada cercetãrii administrative, în situaţia în care faţã de utilizator se efectueazã cercetãri referitoare la prelucrarea datelor cu caracter personal cu încãlcarea dispoziţiilor legale.
e) alte cazuri prevãzute de lege.
(2) La propunerea responsabilului/structurii responsabile cu protecţia datelor cu caracter personal, conducãtorul operatorului dispune revocarea contului unic de cãtre administratorul aplicaţiei atunci când utilizatorul se aflã în una dintre urmãtoarele situaţii:
a) la încetarea raporturilor de muncã/de serviciu;
b) a intervenit o modificare a raporturilor de muncã/de serviciu, iar noile atribuţii nu impun accesul la date cu caracter personal.
ART. 12
(1) La nivelul Oficiului se constituie Registrul de evidenţã a operatorilor din cadrul Ministerului Administraţiei şi Internelor, al cãrui model este prevãzut în anexa nr. 2.
(2) La nivelul operatorilor se constituie Registrul de evidenţã a sistemelor de evidenţã a datelor cu caracter personal. Sistemele informatice de la nivelul structurilor/unitãţilor MAI care prelucreazã date cu caracter personal ţin evidenţa automatã a utilizatorilor.
(3) Registrele prevãzute la alin. (1) şi (2) se pot constitui, dupã caz, şi în format electronic.
ART. 13
(1) Planurile anuale de pregãtire continuã la nivelul operatorilor trebuie sã conţinã teme privind cunoaşterea legislaţiei naţionale şi a acquis-lui comunitar în materia prelucrãrii datelor cu caracter personal, precum şi teme specifice privind riscurile pe care le comportã prelucrarea datelor şi mãsurile minime de securitate, în funcţie de specificul activitãţii fiecãrui operator.
(2) Pregãtirea utilizatorilor se realizeazã în perioada tutelei profesionale.
(3) Periodic se realizeazã instructaje cu utilizatorii pentru cunoaşterea procedurilor specifice de lucru instituite la nivelul fiecãrui operator.
(4) Instructajele se efectueazã în mod obligatoriu la modificarea cadrului legal în materie, iar prelucrarea incidentelor se va realiza cu întregul personal al operatorului.
(5) Utilizatorii trebuie sã fie instruiţi periodic cu privire la riscurile generate de vulnerabilitãţi şi ameninţãri informatice.

CAP. III
Notificarea

ART. 14
(1) Operatorii notificã Autoritatea naţionalã de supraveghere cu cel puţin 30 de zile calendaristice înainte de efectuarea primei prelucrãri, în condiţiile prevãzute de <>art. 22 din Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare.
(2) În situaţia în care operatorul efectueazã mai multe categorii de prelucrãri, iar acestea nu au acelaşi scop sau scopuri corelate, notificarea prevãzutã la alin. (1) se face separat pentru fiecare dintre aceste prelucrãri.
(3) Notificarea Autoritãţii naţionale de supraveghere se realizeazã pe baza formularului tipizat al notificãrilor prevãzute de <>Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare, aprobat prin Decizia preşedintelui Autoritãţii Naţionale de Supraveghere a Prelucrãrii Datelor cu Caracter Personal nr. 95/2008 privind stabilirea formularului tipizat al notificãrilor prevãzute de <>Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
(4) Notificarea prelucrãrii datelor cu caracter personal prin sisteme de evidenţã întocmite în anumite cazuri numai pentru perioada necesarã realizãrii unor activitãţi de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice se face cu respectarea regulilor prevãzute la alin. (1)-(3), numai dacã prelucrarea nu a fãcut obiectul unei notificãri anterioare.
ART. 15
(1) Structurile şi unitãţile MAI cu personalitate juridicã care se încadreazã în una dintre situaţiile prevãzute la art. 3 alin. (1) şi care prelucreazã date cu caracter personal incluse în categoria celor pentru care notificarea este obligatorie conform legii se notificã la Autoritatea naţionalã de supraveghere prin şeful/conducãtorul structurii/unitãţii ca reprezentant legal, pentru prelucrãrile efectuate de operator direct sau prin împuternicit.
(2) Structurile şi unitãţile M.A.I. fãrã personalitate juridicã care se încadreazã în una dintre situaţiile prevãzute la art. 3 alin. (1) şi care prelucreazã date cu caracter personal incluse în categoria celor pentru care notificarea este obligatorie conform legii se notificã la Autoritatea naţionalã de supraveghere, prin şeful/conducãtorul structurii/unitãţii ca reprezentant legal, menţionând la denumirea operatorului titulatura structurii MAI care are personalitate juridicã şi cãreia i se subordoneazã sau titulatura MAI pentru structurile din aparatul central al ministerului, urmatã de titulatura structurii/unitãţii MAI interesate.
(3) Notificarea prevãzutã la alin. (2) se face numai cu avizul structurii MAI care are personalitate juridicã, în subordinea cãreia se aflã structura/unitatea MAI interesatã sau, pentru structurile din aparatul central al MAI, numai cu avizul Oficiului.
ART. 16
(1) Notificarea prelucrãrii datelor cu caracter personal de cãtre structurile/unitãţile MAI se efectueazã în formã simplificatã în situaţiile prevãzute de Decizia preşedintelui Autoritãţii Naţionale de Supraveghere a Prelucrãrii Datelor cu Caracter Personal nr. 91/2006 privind cazurile în care este permisã notificarea simplificatã a prelucrãrii datelor cu caracter personal.
(2) Notificarea prelucrãrii datelor cu caracter personal de cãtre structurile/unitãţile MAI se poate efectua în formã simplificatã şi în alte cazuri stabilite prin decizii ale Autoritãţii naţionale de supraveghere.
ART. 17
(1) Numãrul de înregistrare a notificãrii comunicat de Autoritatea naţionalã de supraveghere structurilor/unitãţilor MAI se menţioneazã în orice document prin care se colecteazã, stocheazã sau dezvãluie date cu caracter personal.
(2) Începerea operaţiunilor de prelucrare se realizeazã numai dupã împlinirea termenului de 5 zile de la data notificãrii, dacã Autoritatea naţionalã de supraveghere nu dispune efectuarea unui control prealabil sau dupã comunicarea rezultatului favorabil al controlului şi emiterea deciziei.
ART. 18
(1) Notificarea nu este necesarã în situaţia prevãzutã la <>art. 22 alin. (2) din Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare, precum şi în situaţiile prevãzute de Decizia preşedintelui Autoritãţii Naţionale de Supraveghere a Prelucrãrii Datelor cu Caracter Personal nr. 90/2006 privind cazurile în care nu este necesarã notificarea prelucrãrii unor date cu caracter personal şi Decizia preşedintelui Autoritãţii Naţionale de Supraveghere a Prelucrãrii Datelor cu Caracter Personal nr. 100/2007 privind stabilirea cazurilor în care nu este necesarã notificarea prelucrãrii unor date cu caracter personal.
(2) Notificarea prelucrãrii datelor cu caracter personal de cãtre structurile/unitãţile MAI nu este necesarã în alte cazuri prevãzute de lege sau stabilite prin decizii ale Autoritãţii naţionale de supraveghere.
ART. 19
(1) Transferul de date cu caracter personal cãtre un alt stat se face, în condiţiile legii, numai dupã notificarea prealabilã a Autoritãţii naţionale de supraveghere.
(2) Notificarea Autoritãţii naţionale de supraveghere prevãzutã la alin. (1) nu este necesarã dacã transferul datelor se face în baza prevederilor unei legi speciale sau ale unui acord internaţional ratificat de România.

CAP. IV
Prelucrarea datelor cu caracter personal

ART. 20
(1) Operatorii şi împuterniciţii acestora prelucreazã date cu caracter personal care pot face ulterior obiectul unui sistem de evidenţã, automat sau neautomat, ori care sunt destinate sã fie incluse într-un asemenea sistem, în mod distinct, pentru realizarea activitãţilor de prevenire, cercetare şi reprimare a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, pentru scopuri administrative proprii ori pentru scopuri de administraţie publicã, dupã caz, conform specificului activitãţii.
(2) Structura/Unitatea MAI care, în calitate de operator, prelucreazã date cu caracter personal prin împuterniciţi trebuie sã încheie un contract sau, dupã caz, un document de cooperare cu instituţia ori autoritatea publicã sau entitatea de drept privat care prelucreazã datele pe seama sa.
(3) Documentul prevãzut la alin. (2) trebuie sã conţinã obligaţiile împuternicitului de a acţiona doar în baza instrucţiunilor primite de la operator, precum şi de a aplica mãsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificãrii, dezvãluirii ori accesului neautorizat, în special dacã prelucrarea respectivã presupune transferul de date on-line, precum şi împotriva oricãrei alte forme de prelucrare ilegalã.
ART. 21
Prelucrarea datelor cu caracter personal se poate realiza prin mijloace automate sau neautomate în cadrul unor operaţiuni ori seturi de operaţiuni, fãrã a fi limitate la acestea, dupã cum urmeazã:
a) colectarea - strângerea, adunarea ori primirea datelor cu caracter personal prin orice mijloace legale şi din orice sursã;
b) înregistrarea - consemnarea datelor cu caracter personal într-un sistem de evidenţã automat ori neautomat, care poate fi registru, fişier automat, bazã de date sau orice altã formã de evidenţã organizatã, structuratã ori ad-hoc sau într-un text, înşiruire de date ori document, indiferent de modalitatea în care se înscriu datele;
c) organizarea - ordonarea, structurarea sau sistematizarea datelor cu caracter personal, conform unor criterii prestabilite, potrivit atribuţiilor legale ale operatorului, în scopul eficientizãrii/optimizãrii activitãţilor de prelucrare a acestora;
d) stocarea - pãstrarea pe orice fel de suport a datelor cu caracter personal culese, inclusiv prin efectuarea copiilor de siguranţã;
e) adaptarea - transformarea datelor cu caracter personal colectate iniţial, conform criteriilor prestabilite şi scopurilor pentru care au fost colectate;
f) modificarea - actualizarea, completarea, schimbarea, corectarea ori refacerea datelor cu caracter personal, în scopul menţinerii caracteristicilor de exactitate, realitate, actualitate;
g) extragerea - scoaterea unei pãrţi din categoria specificã de date cu caracter personal, în scopul utilizãrii acesteia, separat şi distinct de prelucrarea iniţialã;
h) consultarea - examinarea, vizualizarea, interogarea ori cercetarea datelor cu caracter personal, fãrã a fi limitate la acestea, în scopul efectuãrii unei operaţiuni sau set de operaţiuni de prelucrare ulterioarã;
i) utilizarea - folosirea datelor cu caracter personal, în tot sau în parte, de cãtre şi în interiorul operatorului, împuterniciţilor operatorului ori destinatarului, dupã caz, inclusiv prin tipãrire, copiere, multiplicare, scanare sau orice alte procedee similare;
j) dezvãluirea - a face disponibile date cu caracter personal cãtre terţi prin comunicare, transmitere, diseminare sau în orice alt mod;
k) alãturarea - adãugarea, alipirea sau anexarea unor date cu caracter personal la cele deja existente, pe care nu le modificã;
l) combinarea - îmbinarea, unirea sau asamblarea unor date cu caracter personal separate iniţial, într-o formã nouã, pe baza unor criterii prestabilite, pentru scopuri anume determinate;
m) blocarea - întreruperea prelucrãrii datelor cu caracter personal;
n) ştergerea - eliminarea sau înlãturarea, în tot sau în parte, a datelor cu caracter personal din evidenţe sau înregistrãri, prin împlinirea termenului de pãstrare, la atingerea scopului pentru care au fost introduse, caducitatea, inexistenţa, inexactitatea;
o) transformarea - operaţiunea efectuatã asupra datelor cu caracter personal având ca scop anonimizarea ori utilizarea acestora în scopuri exclusiv statistice;
p) distrugerea - aducerea la stare de neîntrebuinţare, în condiţiile legii, definitivã şi irecuperabilã, prin mijloace mecanice sau termice, a suportului fizic pe care au fost prelucrate date cu caracter personal.
ART. 22
(1) Prelucrarea datelor cu caracter personal se realizeazã de cãtre operatori şi împuterniciţi ai acestora în exercitarea atribuţiilor expres stabilite printr-un act normativ sau atunci când acesta prevede constituirea unor sisteme de evidenţã la nivel naţional/teritorial, în scopul realizãrii unor activitãţi/servicii de interes public.
(2) Colectarea datelor cu caracter personal se poate face direct de la persoana vizatã sau prin surse specifice, care pot fi, dar fãrã a se limita la: activitatea proprie a operatorului sau a împuterniciţilor acestuia, consultarea directã a unor sisteme de evidenţã a datelor cu caracter personal constituite de alţi operatori ori schimbul de date şi informaţii cu alţi operatori, naţionali sau internaţionali, cu respectarea drepturilor persoanelor vizate şi instituirea unor mãsuri adecvate de securitate a prelucrãrilor.
(3) Informarea persoanei vizate se realizeazã în condiţiile şi cu excepţiile prevãzute de lege, cu privire la cel puţin urmãtoarele informaţii:
a) identitatea operatorului, a împuternicitului acestuia şi, dacã este cazul, numãrul atribuit de Autoritatea naţionalã de supraveghere;
b) scopul în care se face prelucrarea datelor cu caracter personal;
c) destinatarii sau categoriile de destinatari ai datelor;
d) dacã furnizarea tuturor datelor cerute este obligatorie şi consecinţele refuzului de a le furniza;
e) existenţa drepturilor persoanei vizate, în special a drepturilor de acces, de intervenţie asupra datelor şi de opoziţie, precum şi condiţiile de exercitare a acestor drepturi;
f) orice alte informaţii a cãror furnizare este impusã prin decizii/instrucţiuni ale Autoritãţii naţionale de supraveghere, ţinând seama de specificul prelucrãrii.
(4) Stocarea datelor cu caracter personal se realizeazã în condiţiile stabilite prin actul normativ care reglementeazã scopul prelucrãrii şi potrivit regulilor generale de arhivare a documentelor.
ART. 23
(1) Operatorii şi împuterniciţii acestora prelucreazã date cu caracter personal în scopuri de organizare, gestiune economico-financiarã şi administrativã privind proprii angajaţi şi membrii de familie ai acestora, în cadrul activitãţii de management resurse umane, asigurarea asistenţei medicale sau pentru desfãşurarea unor activitãţi cultural-artistice, jurnalistice ori sportive.
(2) Operatorii şi împuterniciţii acestora care prelucreazã date cu caracter personal cu ocazia organizãrii unor concursuri sau examene stabilesc condiţiile concrete de asigurare a securitãţii prelucrãrilor, precum şi de informare a persoanelor vizate privind drepturile acestora. Datele cu caracter personal astfel prelucrate se şterg sau se distrug dupã realizarea scopului în care au fost prelucrate. Stocarea acestor date pentru o perioadã mai mare decât cea necesarã realizãrii scopului se poate efectua numai pentru interes statistic, dupã ce au fost transformate în date anonime.
(3) Supravegherea prin mijloace audio şi/sau video, fixe sau mobile, a unor spaţii publice perimetrale ori adiacente propriilor sedii, precum şi a spaţiilor interioare ale acestora constituie o prelucrare a datelor cu caracter personal doar dacã aceasta este însoţitã de un sistem de stocare a datelor care permite identificarea ulterioarã, prin orice mijloace, a persoanei vizate. În acest caz este obligatorie avertizarea personalului propriu şi a publicului privind existenţa sistemului de supraveghere, precum şi informarea acestuia privind identitatea operatorului, scopul prelucrãrii, categoriile de date prelucrate, destinatarii datelor sau alte date suplimentare, dupã caz, conform legii. Instalarea acestor mijloace se realizeazã astfel încât, pe cât posibil, sã nu fie vizualizat interiorul altor imobile sau cãile de acces la acestea, aflate în zona adiacentã echipamentelor de supraveghere.

CAP. V
Dezvãluirea datelor cu caracter personal

ART. 24
(1) Datele cu caracter personal se pot comunica între operatori şi împuterniciţii acestora sau între operatori sau împuterniciţi ai acestora şi alte instituţii ori organisme publice sau entitãţi de drept public sau privat în una dintre urmãtoarele situaţii:
a) dacã persoana vizatã şi-a dat consimţãmântul expres şi neechivoc pentru comunicarea datelor sale;
b) fãrã consimţãmântul persoanei vizate în cazurile prevãzute de <>art. 5 alin. (2) din Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare;
c) în cazul prelucrãrii datelor cu caracter personal în activitãţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, în condiţiile prevãzute de <>art. 6 din Legea nr. 238/2009 .
(2) Comunicarea datelor cu caracter personal în situaţiile prevãzute la alin. (1) se poate face dacã este îndeplinitã una dintre urmãtoarele condiţii:
a) comunicarea se efectueazã pe baza unui contract sau, dupã caz, a unui document de cooperare care trebuie sã cuprindã cel puţin: numãrul de înregistrare a notificãrii, temeiul legal al prelucrãrii şi scopul acesteia, termenul maxim de prelucrare, drepturile şi obligaţiile pãrţilor, modalitãţile de asigurare a securitãţii prelucrãrilor şi de respectare a drepturilor persoanei vizate, precum şi menţiunea cã datele pot fi utilizate doar de structura beneficiarã şi numai în scopul pentru care au fost solicitate;
b) comunicarea se efectueazã în baza unei solicitãri scrise, care trebuie sã cuprindã temeiul legal, scopul prelucrãrii şi datele solicitate, precum şi, dacã este cazul, numãrul atribuit beneficiarului de Autoritatea naţionalã de supraveghere.
(3) Comunicarea datelor cu caracter personal de cãtre operatori şi împuterniciţii acestora se poate face şi on-line, cu respectarea dispoziţiilor alin. (1) şi (2) şi asigurarea securitãţii sistemelor de comunicaţii a datelor cu caracter personal.
(4) Datele cu caracter personal asupra cãrora persoanele vizate au exercitat şi li s-a recunoscut dreptul de opoziţie nu pot face obiectul prelucrãrii.
(5) Comunicarea de date cu caracter personal se poate efectua şi din oficiu, în condiţiile legii.
ART. 25
(1) Cererile pentru comunicarea datelor cu caracter personal adresate operatorilor şi împuterniciţilor acestora trebuie sã conţinã datele de identificare a solicitantului, precum şi motivarea şi scopul cererii, conform prevederilor legale sau obligaţiilor cuprinse în tratate la care România este parte.
(2) Cererile care nu conţin elementele prevãzute la alin. (1) se restituie pentru completare, iar cele care nu se încadreazã în condiţiile prevãzute de lege sau de tratatele la care România este parte se resping, menţionându-se motivele pentru care comunicarea datelor cu caracter personal nu este posibilã.
(3) Înainte de comunicarea datelor cu caracter personal, operatorii şi împuterniciţii acestora verificã dacã acestea sunt exacte şi, dacã este cazul, actualizate.
(4) În situaţia în care se constatã cã au fost transmise date incorecte sau neactualizate, operatorii au obligaţia de a informa destinatarii respectivelor date asupra neconformitãţii acestora, cu menţionarea datelor care au fost modificate.
(5) La comunicarea datelor cu caracter personal operatorii şi împuterniciţii acestora atenţioneazã destinatarii asupra interdicţiei de a prelucra datele pentru alte scopuri decât cele specificate în cererea de comunicare.

CAP. VI
Transferul de date cu caracter personal

ART. 26
(1) Datele cu caracter personal gestionate de operatori pot fi transferate cãtre instituţiile competente ale altor state sau organisme de cooperare poliţieneascã şi judiciarã internaţionalã, în condiţiile legii, fãrã autorizarea Autoritãţii naţionale de supraveghere, numai dacã existã o prevedere legalã expresã în legislaţia naţionalã sau comunitarã ori într-un tratat ratificat de România.
(2) Operatorii pot transmite date cu caracter personal cãtre instituţiile competente ale altor state sau organisme de cooperare poliţieneascã şi judiciarã din state non-UE numai dacã legislaţia statului în cauzã prevede un nivel de protecţie cel puţin egal cu cel oferit de legea românã sau organizaţia asigurã un nivel adecvat de protecţie pentru prelucrarea datelor, cu respectarea condiţiei prevãzute la <>art. 29 alin. (3) din Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare.
(3) Transmiterea de date cu caracter personal cãtre instituţiile competente ale altor state sau cãtre organisme de cooperare poliţieneascã şi judiciarã din state non-UE a cãror legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea românã poate fi efectuatã numai cu autorizarea Autoritãţii naţionale de supraveghere, în condiţiile prevãzute la <>art. 29 alin. (4) din Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare.
(4) În cazul prelucrãrilor efectuate în activitãţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, transmiterea de date cu caracter personal cãtre instituţiile prevãzute la alin. (1)-(3) este întotdeauna permisã dacã transferul este necesar pentru prevenirea unui pericol grav şi iminent asupra vieţii, integritãţii corporale sau sãnãtãţii unei persoane ori a proprietãţii acesteia, precum şi pentru combaterea unei infracţiuni grave prevãzute de lege, cu respectarea legii române.
ART. 27
(1) Transferul de date cu caracter personal cãtre entitãţi de drept public sau privat, altele decât cele prevãzute la art. 26, se face în condiţiile legii române şi numai cu autorizarea Autoritãţii naţionale de supraveghere.
(2) Autorizarea Autoritãţii naţionale de supraveghere prevãzutã la alin. (1) nu este necesarã în situaţiile în care datele urmeazã sã fie folosite exclusiv în scopuri jurnalistice, literare sau artistice, au fost fãcute publice în mod manifest de cãtre persoana vizatã sau sunt strâns legate de calitatea de persoanã publicã a persoanei vizate ori de caracterul public al faptelor în care este implicatã.
(3) În cadrul documentului pe baza cãruia se realizeazã transferul datelor cu caracter personal, se menţioneazã drepturile recunoscute persoanelor vizate, precum şi condiţiile necesare asigurãrii confidenţialitãţii datelor. În acest sens, operatorii avertizeazã beneficiarii datelor cu caracter personal privind obligativitatea utilizãrii acestora conform scopurilor specificate în documentele care stau la baza transferului.
(4) Datele cu caracter personal asupra cãrora persoanele vizate au exercitat şi li s-a recunoscut dreptul de opoziţie nu pot face obiectul transferului.
(5) Datele cu caracter personal transferate altor organisme publice, entitãţi de drept privat sau autoritãţi strãine nu pot fi folosite pentru alte scopuri decât cele specificate în cererea de comunicare a datelor cu caracter personal.
ART. 28
Transferul datelor cu caracter personal cãtre un alt stat este întotdeauna permis în condiţiile <>art. 30 din Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare, cu notificarea prealabilã a Autoritãţii naţionale de supraveghere.

CAP. VII
Mãsuri de asigurare a exercitãrii drepturilor persoanelor vizate

ART. 29
(1) Informarea persoanei vizate se face în condiţiile <>art. 12 din Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare.
(2) Operatorii şi împuterniciţii acestora dispun mãsuri pentru existenţa, în spaţiile accesibile publicului, a mijloacelor de informare a persoanelor vizate care sã cuprindã drepturile conferite de lege, precum şi a ghidului pentru exercitarea drepturilor de cãtre persoana vizatã; ghidul trebuie sã conţinã detalierea drepturilor persoanei vizate, dar şi modalitatea practicã pentru depunerea cererilor de cãtre persoana vizatã, structurile responsabile cu analizarea acestora, datele de contact ale acestor structuri şi modalitatea de transmitere a rãspunsurilor; ghidul se afişeazã, dupã caz, şi pe pagina de internet a operatorului.
(3) Operatorii afişeazã, dupã caz, pe pagina de internet formulare-tip de cereri pentru exercitarea drepturilor de cãtre persoana vizatã.
(4) Exercitarea drepturilor persoanei vizate poate fi limitatã doar în condiţiile prevãzute la <>art. 16 alin. (1) din Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare, sau, respectiv, la <>art. 11 din Legea nr. 238/2009 .
(5) În orice situaţie, persoana vizatã trebuie sã fie informatã cu privire la dreptul de a se adresa Autoritãţii naţionale de supraveghere sau instanţei de judecatã.
(6) Operatorii ţin evidenţa cazurilor în care, în aplicarea dispoziţiilor <>art. 16 din Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare, a fost limitatã exercitarea drepturilor persoanei vizate. Operatorii informeazã anual Autoritatea naţionalã de supraveghere cu privire la cazurile apãrute şi modul de soluţionare a acestora.
ART. 30
În cadrul procedurilor proprii operatorii stabilesc modalitãţile prin care, în exercitarea dreptului de acces la date, la cererea persoanei vizate, comunicã informaţiile prevãzute de lege, atunci când prelucreazã date cu caracter personal care o privesc pe aceasta. Comunicarea se efectueazã în termen de cel mult 15 zile de la data primirii cererii, cu excepţiile prevãzute de lege.
ART. 31
(1) Exercitarea dreptului de acces se face gratuit o singurã datã pe an.
(2) Pentru toate celelalte situaţii când drepturile prevãzute de lege nu pot fi exercitate în mod gratuit, structurile/unitãţile MAI stabilesc, potrivit art. 5 lit. b), mãsuri adecvate pentru asigurarea unui nivel rezonabil al cheltuielilor, în sarcina persoanei vizate.
(3) Cuantumul cheltuielilor se rezumã la acoperirea costurilor suportate de operator.
ART. 32
(1) Dreptul de intervenţie al persoanei vizate se exercitã în condiţiile <>art. 14 din Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare.
(2) Persoana vizatã se poate adresa operatorului printr-o cerere scrisã, datatã şi semnatã.
(3) În termen de 15 zile de la primirea cererii, operatorul comunicã persoanei vizate mãsurile luate, dupã caz.
ART. 33
(1) În exercitarea dreptului de opoziţie, persoana vizatã se poate adresa operatorului, prin cerere motivatã, cu respectarea condiţiilor prevãzute de <>art. 15 alin. (3) din Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare.
(2) În termen de 15 zile de la primirea cererii, operatorul comunicã persoanei vizate mãsurile luate, precum şi terţul cãruia i-au fost dezvãluite anterior datele cu caracter personal, dupã caz, cu respectarea eventualei opţiuni a solicitantului privind comunicarea la o anumitã adresã, care poate fi şi de poştã electronicã, sau printr-un serviciu de corespondenţã care sã asigure cã predarea i se va face numai personal.
(3) Dreptul de opoziţie nu poate fi exercitat pentru prelucrãrile prevãzute de lege.
ART. 34
Orice persoanã are dreptul de a nu fi supusã unei decizii individuale de cãtre structurile/unitãţile MAI şi de a se adresa Autoritãţii naţionale de supraveghere sau justiţiei, potrivit legii.
ART. 35
(1) Operatorul informeazã persoana vizatã asupra procedurii de primire a cererilor, prin afişare la sediu, publicare pe pagina WEB sau prin alte mijloace.
(2) În cazul cererilor transmise fãrã a fi îndeplinite condiţiile prevãzute de lege, solicitantul va fi informat în scris cu privire la condiţiile de exercitare a drepturilor prevãzute de <>Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare.
(3) Odatã cu soluţionarea cererii, se aduce la cunoştinţa persoanelor vizate cã au dreptul de a se adresa Autoritãţii naţionale de supraveghere sau justiţiei pentru apãrarea drepturilor garantate de lege.

TITLUL II
Mãsuri tehnice

CAP. I
Utilizatorii datelor cu caracter personal

ART. 36
(1) Pentru fiecare utilizator, administratorul aplicaţiei stabileşte un cont unic care sã permitã atât identificarea, cât şi configurarea categoriilor de prelucrãri la care are dreptul, asigurând totodatã şi jurnalizarea operaţiunilor efectuate.
(2) Identificarea în sistem a utilizatorului se poate realiza prin:
a) introducerea unui cod de identificare de la tastaturã - user name -, însoţitã de introducerea unei parole;
b) folosirea unei cartele inteligente - smart card - sau a unei cartele magnetice;
c) mijloace biometrice: amprenta dactiloscopicã, amprenta vocalã, angiografia retinianã sau prin alte mijloace;
d) certificat digital pe suport extern de memorie, token.
(3) Operatorii stabilesc modalitatea concretã de identificare şi autentificare folositã, în funcţie de importanţa datelor cu caracter personal deţinute, volumul acestora, numãrul de utilizatori, frecvenţa interogãrilor şi operaţiunile de prelucrare, precum şi mãsurile de protecţie fizicã a locaţiei.
(4) Codurile de identificare, parolele sau cartelele sunt unice, personale şi netransmisibile. Se interzice folosirea lor în comun de cãtre mai mulţi utilizatori.
(5) Parolele trebuie sã aibã minimum 6 caractere alfanumerice - cifre şi litere -, iar introducerea acestora nu trebuie sã fie afişatã în clar pe ecran.
(6) Parolele se schimbã ori de câte ori este nevoie, dar cel puţin o datã la 3 luni pentru utilizatori şi la 6 luni pentru administratorii aplicaţiei.
(7) La generarea contului unic utilizatorul primeşte în scris parola şi codul de identificare. Utilizatorul are obligaţia sã schimbe parola în urmãtoarele situaţii:
a) la prima accesare a contului unic;
b) în cazurile prevãzute de alin. (6);
c) ori de câte ori apreciazã ca fiind necesar pentru asigurarea securitãţii prelucrãrii datelor cu caracter personal.
(8) Administratorul sistemului de evidenţã a datelor cu caracter personal ia mãsurile necesare pentru activarea unui mesaj de avertizare dupã a treia introducere greşitã a parolei şi blocarea contului la a cincea introducere greşitã. Mesajul pentru utilizator va cuprinde urmãtorul text: "Atenţie, aţi introdus greşit parola de 3 ori. La a 5-a introducere greşitã, contul va fi blocat. Vã rugãm sã reverificaţi codul şi parola." Dupã cea de-a cincea introducere greşitã a parolei, pe ecran va fi afişat urmãtorul mesaj: "Atenţie! Contul este blocat. Vã rugãm sã contactaţi administratorul aplicaţiei."
ART. 37
(1) Cartela de acces sau tokenul în timpul programului de lucru se pãstreazã permanent asupra utilizatorului. În afara programului de lucru, cartela de acces sau tokenul se pãstreazã în fişet/casetã metalic/metalicã încuiat/încuiatã şi sigilat/sigilatã la care are acces numai utilizatorul acesteia.
(2) Se interzice transcrierea/pãstrarea parolei, respectiv a cartelei sau tokenului, la vedere sau în alt mod decât cel prevãzut mai sus ori diseminarea/transmiterea acestora cãtre alte persoane.
(3) Documentele care conţin coduri de identificare şi parole de acces vor fi arhivate numai dacã acestea nu se mai aflã în uz.
(4) Conducãtorul operatorului dispune mãsuri astfel încât conturile de utilizator sã fie suspendate sau revocate imediat pentru personalul aflat în situaţiile prevãzute la art. 11.
(5) Utilizatorul aflat în una dintre situaţiile prevãzute la art. 11 are obligaţia de a preda cartela de acces responsabilului/structurii responsabile cu protecţia datelor cu caracter personal.
(6) Dupã încetarea situaţiilor prevãzute la art. 10, operatorul dispune reactivarea contului de utilizator.
(7) Aplicaţia de gestiune a bazelor de date trebuie configuratã astfel încât sã asigure dezactivarea automatã a codurilor de identificare şi a cartelelor care nu au fost folosite o perioadã de pânã la 6 luni; acestea sunt menţinute în istoricul de utilizatori, dupã caz, de cãtre administratorul aplicaţiei.
(8) La apariţia unei situaţii de modificare a competenţelor sau raporturilor de serviciu, operatorii stabilesc modalitãţi concrete de revocare/suspendare a conturilor de acces, astfel încât prelucrarea datelor cu caracter personal sã se facã numai de cãtre personalul autorizat şi numai în exercitarea atribuţiilor de serviciu ale acestora.
(9) Revocarea/Suspendarea conturilor de acces se va face numai de cãtre administratorul aplicaţiei.
(10) Fiecare operator permite accesul utilizatorilor la sisteme de evidenţã a datelor cu caracter personal neautomate numai pe baza unei liste nominale aprobate de conducãtorul/şeful acestuia.
(11) Elaborarea şi actualizarea listei se asigurã de cãtre responsabilul/structura responsabilã cu protecţia datelor cu caracter personal, în baza comunicãrilor fãcute pe linie de resurse umane.
(12) Pentru accesul personalului la sistemele de evidenţã a datelor cu caracter personal deţinute de alţi operatori, conturile de utilizator se vor obţine în baza solicitãrii scrise şi motivate a structurii/unitãţii interesate sau pe baza unor protocoale încheiate în acest sens.
ART. 38
(1) Conducãtorul operatorului stabileşte fiecãrui utilizator tipurile de acces şi operaţiunile permise acestuia, strict necesare pentru îndeplinirea atribuţiilor de serviciu.
(2) Cu ocazia proiectãrii, întreţinerii, actualizãrii aplicaţiilor de gestiune a bazelor de date, se interzice accesul programatorilor/personalului de întreţinere a sistemelor informatice la orice fel de date cu caracter personal deţinute/create/accesate de personalul din structura/unitatea respectivã. În aceste situaţii, se pun la dispoziţia programatorilor/personalului de întreţinere numai date anonime.
(3) Pentru cazuri excepţionale, numai pe durata intervenţiei şi circumstanţiat limitativ la datele strict necesare, persoanele care asigurã suportul tehnic pot avea acces la datele cu caracter personal numai în prezenţa unui utilizator desemnat de operator. În aceastã situaţie, rãspunderea pentru pãstrarea confidenţialitãţii datelor aparţine persoanelor în cauzã, sens în care trebuie sã semneze un angajament de confidenţialitate.
(4) Conducãtorii operatorului desemneazã utilizatorii care au ca atribuţii de serviciu ştergerea sau distrugerea datelor cu caracter personal.
ART. 39
(1) În cadrul operatorului sau al împuterniciţilor acestuia, operaţiunile de colectare, introducere, modificare şi actualizare a datelor cu caracter personal se fac numai de personalul anume desemnat de cãtre conducãtorii acestora.
(2) Conducãtorii operatorilor sau ai împuterniciţilor acestora dispun mãsurile necesare care sã permitã identificarea utilizatorului care a introdus, modificat sau actualizat datele, precum şi a datei şi orei efectuãrii operaţiunilor. Datele şterse sau modificate vor fi pãstrate separat o perioadã de timp stabilitã de operator, dupã care se distrug sau se şterg.
ART. 40
(1) Bazele de date cu caracter personal deţinute/create şi programele folosite de operatori sau de împuterniciţii acestora sunt salvate, prin copii de siguranţã, la un interval de timp stabilit de conducãtorii operatorului sau ai împuterniciţilor acestuia, în funcţie de mãrimea, volumul şi importanţa acestor baze de date, care nu poate depãşi 6 luni. Operatorii şi împuterniciţii acestora ţin evidenţa copiilor de siguranţã.
(2) Conducãtorii operatorului sau ai împuterniciţilor acestuia desemneazã utilizatori care trebuie sã aibã ca atribuţie de serviciu şi executarea copiilor de siguranţã ale bazelor de date deţinute/create şi ale programelor folosite.
(3) Conducãtorii operatorului sau ai împuterniciţilor acestuia dispun mãsurile necesare pentru stocarea copiilor de siguranţã în camere special amenajate sau în fişete metalice, sigilate. Accesul în încãperea special amenajatã se acordã numai personalului anume desemnat şi se consemneazã într-un registru special. În exercitarea atribuţiilor legale, Autoritatea naţionalã de supraveghere are acces la copiile de siguranţã.
(4) Conducãtorii operatorilor sau ai împuterniciţilor acestuia pot institui mãsuri suplimentare de siguranţã, precum sisteme de monitorizare video, atât pentru accesul în încãpere, cât şi pentru operaţiunile derulate cu aceastã ocazie, dupã caz.
ART. 41
(1) Accesul în încãperile în care se aflã echipamente care prelucreazã date cu caracter personal este strict limitat la utilizatorii desemnaţi de conducãtorii operatorului sau ai împuterniciţilor acestuia şi numai pentru îndeplinirea atribuţiilor de serviciu.
(2) În cazul în care nu se poate restricţiona accesul în aceste încãperi, echipamentele se securizeazã cu chei sau cartele magnetice.
(3) Aplicaţiile informatice care gestioneazã date cu caracter personal trebuie prevãzute cu facilitatea închiderii automate a sesiunii de lucru dacã utilizatorul nu acţioneazã asupra datelor afişate pe ecran o perioadã de timp de pânã la 5 minute, stabilitã în funcţie de operaţiile care trebuie executate.
(4) Terminalele de acces folosite în relaţia cu publicul se poziţioneazã astfel încât datele afişate sã fie vizualizate numai de utilizatori. Aceste terminale de acces trebuie sã aibã setatã funcţia "screen saver" la o temporizare de maximum 5 minute, iar dacã acest lucru nu este posibil din punct de vedere tehnic, dupã trecerea intervalului de timp menţionat, datele afişate trebuie ascunse.
ART. 42
(1) Pentru prelucrãrile efectuate în sistemele de evidenţã automate, aplicaţia trebuie sã înregistreze orice accesare într-un fişier de acces, denumit în continuare log. Stocarea acestor informaţii se face într-un fişier de acces general sau în fişiere separate pentru fiecare utilizator, dupã caz.
(2) Informaţiile înregistrate în log vor fi:
a) codul de identificare a utilizatorului şi a staţiei de lucru folosite;
b) numele fişierului accesat;
c) numãrul înregistrãrilor efectuate;
d) tipul de acces;
e) motivul prelucrãrii datelor cu caracter personal care trebuie sã permitã identificarea documentului/situaţiei concrete care a stat la baza şi a justificat prelucrarea datelor;
f) codul operaţiei executate sau programul folosit;
g) data accesului - an, lunã, zi;
h) timpul - ora, minutul, secunda.
(3) Aplicaţia înregistreazã orice încercare de acces neautorizat, iar responsabilul/structura responsabilã cu protecţia datelor cu caracter personal are obligaţia de a verifica împrejurãrile producerii acesteia, luând mãsurile ce se impun.
(4) Logurile se pãstreazã cel puţin 2 ani, în funcţie de necesitatea asigurãrii disponibilitãţii datelor pentru operator, corelat cu importanţa şi volumul de date stocate. La acoperirea capacitãţii de stocare, logurile vor fi transferate şi pãstrate pe suport amovibil în condiţiile prevãzute pentru copiile de siguranţã.
(5) Pentru ţinerea evidenţei operaţiunilor de consultare a datelor cu caracter personal conţinute în sisteme de evidenţã neautomate-manuale, operatorul sau împuterniciţii acestuia instituie Registrul de consultare/multiplicare a documentelor din sistemul de evidenţã, conform modelului prevãzut în anexa nr. 3.
(6) Declanşarea unei investigaţii a cãrei finalizare depãşeşte termenul stabilit de operator, conform alin. (5), atrage prelungirea perioadei de pãstrare.
(7) Logurile pot fi accesate, respectiv consultate.
(8) Se interzice orice prelucrare de date cu caracter personal care nu este motivatã strict de îndeplinirea unei atribuţii de serviciu a utilizatorului.
ART. 43
(1) Conducãtorii operatorului sau ai împuterniciţilor acestuia care prelucreazã date cu caracter personal dispun luarea mãsurilor tehnice adecvate pentru identificarea eventualelor disfuncţionalitãţi în ceea ce priveşte funcţionarea sistemelor de comunicaţii.
(2) Responsabilul/Structura responsabilã cu protecţia datelor cu caracter personal efectueazã periodic, prin sondaj, controlul autentificãrilor şi tipurilor de acces, precum şi respectarea mãsurilor de securitate specifice sistemelor de comunicaţii folosite pentru transmiterea acestor date.
(3) Rezultatul controlului, eventualele disfuncţionalitãţi identificate, precum şi mãsurile de remediere a acestora se consemneazã într-un raport care se supune aprobãrii conducãtorului/şefului structurii/unitãţii respective.
(4) Conducãtorii operatorului sau ai împuterniciţilor acestuia dispun mãsurile necesare de securitate a sistemului de comunicaţii pentru înlãturarea posibilitãţii de diseminare neautorizatã sau interceptare a transmisiilor de date. În acest scop se poate folosi inclusiv transmisia criptatã a datelor cu caracter personal.
(5) Folosirea sistemelor de comunicaţii pentru transmiterea datelor cu caracter personal se realizeazã numai dacã prin aceastã metodã se asigurã gradul de operativitate impus de specificul activitãţii desfãşurate de structurile implicate.
ART. 44
(1) Conducãtorii operatorului sau ai împuterniciţilor acestuia dispun mãsurile necesare în vederea instituirii şi menţinerii unui nivel suficient de securitate a prelucrãrii datelor cu caracter personal, care vor consta cel puţin în:
a) interzicerea instalãrii de cãtre personalul MAI a altor programe software în afara celor configurate de personalul autorizat, pentru îndeplinirea atribuţiilor de serviciu;
b) configurarea porturilor de acces la mediile de stocare pentru fiecare staţie de lucru şi a comenzilor care permit salvarea sau listarea documentelor, în mod adecvat, pentru categoriile de operaţiuni efectuate de fiecare utilizator, în strictã legãturã cu îndeplinirea atribuţiilor de serviciu ale acestuia;
c) implementarea unor aplicaţii automate de contracarare a vulnerabilitãţilor şi ameninţãrilor informatice şi de securitate a sistemelor informatice.
(2) În timpul activitãţii, monitoarele de lucru trebuie sã afişeze mesaje de avertizare privind obligativitatea pãstrãrii confidenţialitãţii datelor cu caracter personal prelucrate.
ART. 45
(1) Conducãtorii operatorului sau ai împuterniciţilor acestuia desemneazã utilizatorii cu drept de imprimare a extraselor din sistemele de evidenţã a datelor cu caracter personal sau a altor documente care includ astfel de date, inclusiv de multiplicare, în strictã corelare cu îndeplinirea atribuţiilor de serviciu ale acestora.
(2) Toate documentele care conţin date cu caracter personal se înregistreazã şi urmeazã regulile de pãstrare, procesare, multiplicare, transport, transmitere, distrugere şi arhivare stabilite prin acte normative interne.
(3) Documentele elaborate de structurile/unitãţile MAI, care conţin date cu caracter personal, se marcheazã dupã cum urmeazã:
a) în cadrul documentului se menţioneazã numãrul atribuit notificãrii de cãtre Autoritatea naţionalã de supraveghere;
b) în subsolul fiecãrei pagini, cu excepţia documentelor clasificate, se insereazã urmãtorul text: "Document care conţine date cu caracter personal protejate de prevederile <>Legii nr. 677/2001 !".
(4) Marcajul prevãzut la alin. (3) lit. b) este obligatoriu inclusiv în cazul prelucrãrilor de date cu caracter personal în situaţii pentru care, potrivit legii, notificarea nu este necesarã.
ART. 46
Procedurile proprii elaborate de operatori trebuie sã cuprindã:
a) modalitãţi de administrare a conturilor de utilizator;
b) modalitãţi de control al accesului în zonele în care se prelucreazã date cu caracter personal;
c) modalitãţi de asigurare a confidenţialitãţii, integritãţii şi disponibilitãţii datelor cu caracter personal;
d) modalitãţi privind securitatea transmisiilor de date şi accesul securizat la aceste mijloace de transmitere a datelor.

CAP. II
Dispoziţii finale

ART. 47
(1) Structurile/Unitãţile MAI care proceseazã date cu caracter personal au obligaţia sã transmitã Oficiului, anual, pânã la 31 decembrie, o analizã cu privire la activitatea desfãşuratã în domeniul prelucrãrii datelor cu caracter personal.
(2) Structurile/Unitãţile MAI care proceseazã date cu caracter personal trebuie sã punã la dispoziţia Oficiului, în condiţiile legii, informaţiile, documentele sau actele pe care le deţin pentru îndeplinirea atribuţiilor ce îi revin în domeniul protecţiei datelor cu caracter personal.
ART. 48
Prezentele instrucţiuni sunt aplicabile unitãţilor aparatului central al MAI şi unitãţilor, instituţiilor şi structurilor aflate în subordinea ministerului, în conformitate cu statutul şi relaţia acestora cu ministerul, stabilite prin dispoziţii legale şi în mãsura în care nu contravin acestora.
ART. 49
Nerespectarea dispoziţiilor prezentelor instrucţiuni atrage, potrivit legii, rãspunderea disciplinarã, civilã, materialã sau penalã, dupã caz.
ART. 50
(1) Prezentele instrucţiuni intrã în vigoare în termen de 90 de zile de la data publicãrii în Monitorul Oficial al României, Partea I.
(2) Procedurile proprii prevãzute la art. 5 lit. d) şi ghidul pentru exercitarea drepturilor de cãtre persoana vizatã prevãzut la art. 29 alin. (2) se elaboreazã în termen de 90 de zile de la intrarea în vigoare a prezentelor instrucţiuni.
(3) Anexele nr. 1-3 fac parte integrantã din prezentele instrucţiuni.

Ministrul administraţiei
şi internelor,
Vasile Blaga

Bucureşti, 3 februarie 2010.
Nr. 27.

ANEXA 1

DECLARAŢIE
Subsemnatul/Subsemnata, ................................., nãscut(ã) în localitatea ..................................., la data de ..................., fiul (fiica) lui ............ şi al(a) ............., angajat/angajatã al(a) .............., în funcţia de ..............., cu domiciliul în ..........................., declar pe propria rãspundere cã am luat cunoştinţã de prevederile legale referitoare la protecţia datelor cu caracter personal şi consimt sã pãstrez confidenţialitatea datelor cu caracter personal a cãror prelucrare o efectuez în condiţiile legii, în virtutea atribuţiilor de serviciu, inclusiv dupã încetarea activitãţilor de prelucrare a acestor date.
Cunosc faptul cã încãlcarea normelor legale privind protecţia datelor cu caracter personal atrage rãspunderea administrativã, disciplinarã, materialã, civilã ori penalã, în raport cu gravitatea faptei, potrivit legii.

Data ...........

Semnãtura ..............

Datã în prezenţa
.....................................................................
(numele şi prenumele responsabilului/persoanei din structura
responsabilã cu protecţia datelor personale)

....................

ANEXA 2

REGISTRUL DE EVIDENŢĂ
a operatorilor din cadrul Ministerului Administraţiei şi Internelor




┌────┬────────┬─────────┬──────────┬────────┬───────┬──────┬───────┬──────────┬───────┬───┐
│Nr. │Denumi- │Respon-  │Denumirea │Data şi │Scopul │Sursa │Opera- │Tipul de  │Nr. şi │   │
│crt.│rea     │sabilul/ │sistemului│numãrul │prelu- │ de   │ţiunile│evidenţã  │data   │Obs│
│    │struc-  │Şeful    │   de     │de înre-│crãrii/│colec-│de pre-│utilizat  │proce- │   │
│    │turii/  │comparti-│evidenţã  │gistrare│Baza   │tare  │lucrare│(automat/ │durii  │   │
│    │unitãţii│mentului │          │a noti- │legalã │      │care se│neautomat)│proprii│   │
│    │  MAI   │(date de │          │ficãrii │       │      │efectu-│          │       │   │
│    │        │contact) │          │        │       │      │eazã   │          │       │   │
├────┼────────┼─────────┼──────────┼────────┼───────┼──────┼───────┼──────────┼───────┼───┤
│    │        │         │          │        │       │      │       │          │       │   │
└────┴────────┴─────────┴──────────┴────────┴───────┴──────┴───────┴──────────┴───────┴───┘

ANEXA 3

REGISTRUL DE CONSULTARE/MULTIPLICARE
a documentelor din ...................., deţinut de ....................
(denumirea sistemului (serviciu/birou etc.)
de evidenţã)




┌────┬──────────┬────┬───────────┬────────┬────────┬──────┬───────┬──────────┬────────┬────┐
│Nr. │Emitentul │Data│Şeful/Con- │Gradul, │Denumi- │Semnã-│Semnã- │Denumirea │Nr.     │    │
│crt.│şi numãrul│şi  │ducãtorul  │numele  │rea     │tura  │tura de│documentu-│adresei │    │
│    │de înre-  │ora │structurii/│şi pre- │documen-│de    │resti- │lui multi-│prin    │Obs.│
│    │gistrare a│con-│unitãţii   │numele  │tului   │primi-│tuire  │plicat/nr.│care a  │    │
│    │cererii de│sul-│care a     │persoa- │consul- │re a  │       │file      │fost    │    │
│    │consul-   │tã- │aprobat    │nei care│tat/nr. │docu- │       │          │expediat│    │
│    │tare/multi│rii │consul-    │consultã│file    │mentu-│       │          │documen-│    │
│    │plicare   │    │tarea/mul- │        │        │lui   │       │          │tul mul-│    │
│    │          │    │tiplicarea │        │        │consul│       │          │tiplicat│    │
│    │          │    │           │        │        │tat   │       │          │        │    │
├────┼──────────┼────┼───────────┼────────┼────────┼──────┼───────┼──────────┼────────┼────┤
│    │          │    │           │        │        │      │       │          │        │    │
└────┴──────────┴────┴───────────┴────────┴────────┴──────┴───────┴──────────┴────────┴────┘

___________

Newsletter GRATUIT

Aboneaza-te si primesti zilnic Monitorul Oficial pe email

Tags: Monitorul Oficial, Acte Monitorul Oficial, Instructiuni, Ministerul Administratiei si Internelor, INSTRUCTIUNI nr. 27 din 3 februarie 2010

Comentarii

Fii primul care comenteaza.

MonitorulJuridic.ro este un proiect:

Atentie, Juristi!

5 Modele de Contracte Civile si Acte Comerciale conforme cu Noul Cod civil si GDPR

Legea GDPR a modificat Contractele, Cererile sau Notificarile obligatorii

Va oferim Modele de Documente conform GDPR + Clauze speciale

Descarcati GRATUIT Raportul Special "5 Modele de Contracte Civile si Acte Comerciale conforme cu Noul Cod civil si GDPR"