Cerinţele minime de securitate a prelucrărilor de date cu caracter personal

« Cursuri online gratuite legate de legi&Internet

Studiu comert electronic »

Cerinţele minime de securitate a prelucrărilor de date cu caracter personal

01/11/06

19:33:16, by bogdan, 305 words

Categories: Anunturi, Stiri - Romania, Legislatie, Viata privata

Cerinţele minime de securitate a prelucrărilor de date cu caracter personal

Autoritatea nationala in domeniul protectiei datelor cu caracter personal a trimis spre consultare publica un proiect de decizie privind Cerinţelor minime de securitate a prelucrărilor de date cu caracter personal.

Actualmente este in vigoare cu privire la acest aspect Ordinul 52/2002 al Avocatului Poporului.

Din pacate nu vad nici pe document si nici pe site cind a inceput consultare si cind e data limita pentru trimiterea propunerilor.

Insa cum sunt enorm de multe site-uri romanesti care proceseaza date cu caracter personal care nici macar nu s-au notificat la Autoritate si care vor fi obligate sa urmeze aceste reguli, cred ca e bine sa-si arunce o privire pe ele si sa comenteze - acum ! cind e momentul !

Practic fiecare astfel de companie va trebuie sa aiba implementate un set minim de proceduri. Iata un mic pasaj din ce se propune :

Computerele vor fi instalate în încăperi cu acces restricţionat. Dacă nu pot fi asigurate aceste condiţii, computerele se vor instala în încăperi care se pot încuia sau se vor lua măsuri ca accesul la computere să se facă cu ajutorul unor chei ori cartele magnetice.

Orice accesare a bazei de date cu caracter personal, inclusiv orice incercare de acces neautorizat, va fi inregistrată într-un fişier de acces. Fişierele de acces trebuie să facă posibilă identificarea de către operator, reprezentant sau de către persoana împuternicită a persoanelor care au accesat date cu caracter personal fără un motiv legitim, în vederea aplicării unor sancţiuni sau a sesizării organelor
competente.

Operatorul este obligat să păstreze fişierele de acces cel puţin 2 ani, pentru a fi folosite ca probe în cazul unor investigaţii. Dacă investigaţiile se prelungesc, aceste fişiere se vor păstra atât timp cât se va considera necesar.

Permalink 6 comments » • Send a trackback »

Trackback address for this post

6 comments

Comment from: Cristian Banu [Visitor] · http://www.cristianbanu.ro

Cam desuetă cerinţa ca PC-urile să fie în încăperi cu acces restricţionat :D în condiţiile în care nu trebuie să fii în aceeaşi cameră cu un computer pentru a-l accesa.
Partea cu păstrarea logurilor este OK.
Însă ceea ce nu am înţeles eu este:
1) de ce trebuie plătită o taxă
2) situaţia în care serverele (cele principale sau cele de backup) se află în altă ţară se consideră sau nu export de date? Fiindcă fizic, datele se află în altă ţară, dar practic ele sunt tot în posesia firmei şi nu sunt folosite de un terţ.

01/11/06 @ 21:47

Comment from: bogdan [Member] · http://www.legi-internet.ro

1) n-am inteles exact la ce taxa te referi ? - l acea de inregistrare la ei?
2) Habar nu am cum privesc problema, eu cred ca nu ar trebui daca ramin in proprietate aceleiasi firmei si nimeni altcineva nu are acces la ele.
Dar cel mai bine ii intrebi direct.

02/11/06 @ 10:31

Comment from: stefanM [Visitor] · http://www.stefanm.ro

Intrebare: o sa intre in vigoare aceste cerinte minime? Sau... sunt doar propuneri? Mie mi se par destul de rezonabile, atata vreme cat, asa cum spunea si cristian, sunt realizabile(serverele cu datele de pe site nu sunt locale la multi dintre noi...)

02/11/06 @ 10:58

Comment from: bogdan [Member] · http://www.legi-internet.ro

Stefan,
E un document in consultare publica - adica daca ai ceva de comentat e bine sa mergi pe siteul lor si sa le trimiti un email, poate si o scrisoare cu punctul tau de vedere.
Ei o sa-l ia considearare sau nu, dupa caz.
Eu pun aici informatia ca sa stiti ca acum este momentul sa fie trimis un comentariu la acest act care sa fie luat in discutie in mod oficial.
Nu sunt implicat in administrare de servere, asa ca nu stiu exact care din acele dispozitii sunt ok sau nu. In plus parerea mea este ca Autoritatea are nevoie de parerea celor din industrie care chiar se ocupa zi de zic cu chestiuni de genul asta.

02/11/06 @ 11:28

Comment from: Cezar Spatariu [Visitor] · http://securityaspects.wordpress.com

Dupa parerea mea documentul este destul de bine conceput prevazind aspecte cum ar fi anonimizarea datelor, modalitatea de access la sistemele care contin datele personale, physical IT security, obligativitatea politicilor si procedurilor, a logurilor de access cit si criptarea liniilor de transmisie.
Ceea ce dupa parerea mea lipseste este definirea notiuni de date personale. Din cauza asta cred ca va fii foarte usor "viitorilor beneficiari ai legii" sa se eludeze de la aplicarea ei.
Un alt aspect important: nu este stipulat nicaieri ca sistemele care trebuie sa fie folosite la prelucrarea si stocarea de date trebuie sa fie configurate conform unor standarde de securitate in domeniul IT internationale recunoscute (Common Criteria EAL4 ). Nu ajuta pe nimeni existenta unui log daca el poate fii modificat de catre orice utilizator. Totodata nu se prevede criptarea datelor in cazul stocarii lor pe alte medii.
In pagina 4 se vorbeste despre necesitarea unei verificari anuale, dar nu se specifica cine are autoritatea sa verifice aceste institutii cit si care vor fii criterile dupa care se va face verificare.
Cu toate ca parerile mele reprezinta parerile unui "auditor" si nu ale unui jurist, cred ca sint aspecte pe care noua lege ar trebui sa le ia in considerare.

19/11/06 @ 17:59

Comment from: bogdan [Member] · http://www.legi-internet.ro

Mersi pentru comentarii.
O precizare - documentul nu trebuie sa precizeze notiune de date personale, pentru ca ele sunt deja definite in legea cadru 677/2001

Art 3
a) date cu caracter personal - orice informatii referitoare la o persoana fizica identificata sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
b) prelucrarea datelor cu caracter personal - orice operatiune sau set de operatiuni care se efectueaza asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, inregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvaluirea catre terti prin transmitere, diseminare sau in orice alt mod, alaturarea ori combinarea, blocarea, stergerea sau distrugerea;

20/11/06 @ 12:40

Comment feed for this post