Instructiuni privind prelucrarea datelor cu caracter personal

scris de: Claudiu Gamulescu pe 17.08.2008

1. Generalitati 
Reglementarea aplicabila si care trebuie respectata in privinta prelucrarii de date cu caracter personal este Legea 677/2001 (denumita in continuare "Legea"). 
 
Ce inseamna "date cu caracter personal" – orice informatii referitoare la o persoana fizica identificata sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale (art. 3 pct. a) din Lege). 
 
Ce inseamna "prelucrarea de date cu caracter personal" – orice operatiune sau set de operatiuni care se efectueaza asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, inregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvaluirea catre terti prin transmitere, diseminare sau in orice alt mod, alaturarea ori combinarea, blocarea, stergerea sau distrugerea (art. 3 pct. b) din Lege). 
 
Ce inseamna "Operator": Administratorul Site-ului, conform precizarilor in acest sens din Termenii si Conditiile de utilizare a Site-ului (in continuare "Termenii si Conditii"). 
 
Ce inseamna "Angajat al Site-ului": orice persoana care actioneaza sub autoritatea Operatorului, a persoanei imputernicite sau a reprezentantului acestuia, cu drept recunoscut de acces la bazele de date cu caracter personal. 
 
Angajatii Site-ului trebuie sa respecte prevederile Legii, normele in vigoare privind protectia datelor cu caracter personal si prezentele Instructiuni in toate cazurile in care se face prelucrare de date cu caracter personal. 
 
 
2. Obligatiile generale privind prelucrarea datelor cu caracter personal 
Datele cu caracter personal destinate a face obiectul prelucrarii trebuie sa fie: 
 
<ul>
<li>prelucrate cu buna-credinta si in conformitate cu dispozitiile legale in vigoare; </li>
<li>colectate in scopuri determinate, explicite si legitime; prelucrarea ulterioara a datelor cu caracter personal in scopuri statistice, de cercetare istorica sau stiintifica nu va fi considerata incompatibila cu scopul colectarii daca se efectueaza cu respectarea dispozitiilor Legii, inclusiv a celor care privesc efectuarea notificarii catre autoritatea de supraveghere, precum si cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevazute de normele care reglementeaza activitatea statistica ori cercetarea istorica sau stiintifica; </li>
<li>adecvate, pertinente si neexcesive prin raportare la scopul in care sunt colectate si ulterior prelucrate; </li>
<li>exacte si, daca este cazul, actualizate; in acest scop se vor lua masurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate si pentru care vor fi ulterior prelucrate, sa fie sterse sau rectificate; </li>
<li>stocate intr-o forma care sa permita identificarea persoanelor vizate strict pe durata necesara realizarii scopurilor in care datele sunt colectate si in care vor fi ulterior prelucrate; stocarea datelor pe o durata mai mare decat cea mentionata, in scopuri statistice, de cercetare istorica sau stiintifica, se va face cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevazute in normele care reglementeaza aceste domenii, si numai pentru perioada necesara realizarii acestor scopuri. </li>
</ul>
**** 
3. Obligatii principale ale Operatorului privind prelucrarea datelor cu caracter personal: 
<ul>
<li>Solicitarea consimtamantului persoanei vizate conform Legii pentru colectarea si prelucrarea datelor personale;</li>
<li>Depunerea efortului necesar pentru asigurarea suportului tehnic si a masurilor de prelucrare in conditii de siguranta a datelor cu caracter personal in limitele rezonabile;</li>
<li>Respectarea drepturilor persoanelor vizate si a solicitarilor acestora conform Legii;</li>
<li>Informarea angajatilor cu privire la masurile si modalitatile de prelucrare in conditii de siguranta a datelor cu caracter personal;</li>
</ul>
 
4. Obligatii principale ale Angajatilor Site-ului privind prelucrarea datelor cu caracter personal: 
<ul>
<li>Prelucrarea datelor cu caracter personal in conditii de siguranta conform Legii si prezentelor Instructiuni;</li>
<li>Respectarea confidentialitatii datelor cu caracter personal conform Legii;</li>
<li>Respectarea drepturilor persoanelor vizate si a solicitarilor acestora conform Legii;</li>
<li>Respectarea restrictionarilor privind accesul la datele personale si prelucrarea acestora  potrivit prezentei;</li>
</ul>
 
5. Consimtamantul persoanei vizate privind prelucrarea datelor cu caracter personal: 
Orice prelucrare de date cu caracter personal, cu exceptia prelucrarilor care vizeaza date din categoriile mentionate la art. 7 alin. (1), art. 8 si 10 din Lege, poate fi efectuata numai daca persoana vizata si-a dat consimtamantul in mod expres si neechivoc pentru aceea prelucrare. 
 
Consimtamantul persoanei vizate se cere la inregistrarea pe Site, prin acceptarea Termenilor si Conditiilor si prin acceptarea prevederilor privind prelucrarea datelor cu caracter personal, inserate in Termeni si Conditii. 
 
6. Stocarea datelor cu caracter personal 
Datele cu caracter personal colectate prin Site pot fi stocate intr-o forma care sa permita identificarea persoanelor vizate strict pe durata necesara realizarii scopurilor in care datele sunt colectate si in care vor fi ulterior prelucrate; stocarea datelor pe o durata mai mare decat cea mentionata, in scopuri statistice, de cercetare istorica sau stiintifica, se va face cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevazute in normele care reglementeaza aceste domenii, si numai pentru perioada necesara realizarii acestor scopuri. 
 
7. Respectarea confidentialitatii datelor cu caracter personal 
Orice persoana care are acces la date cu caracter personal, nu poate sa le prelucreze decat pe baza prevederilor legislative in materie si a prezentelor Instructiuni, cu exceptia cazului in care actioneaza in temeiul unei obligatii legale. 
**** 
 
8. Operatiunile de prelucrare  care pot fi efectuate de orice Angajat al Site-ului asupra datelor cu caracter personal: 
<ul>
<li>Colectare</li>
<li>Inregistrare</li>
<li>Organizare</li>
<li>Stocare</li>
<li>Modificare</li>
<li>Extragere</li>
<li>Utilizare</li>
<li>Transmitere</li>
<li>Stergere</li>
<li>Blocare</li>
<li>Distrugere</li>
<li>Consultare</li>
</ul>
 
Toate operatiunile de prelucrare a datelor cu caracter personal vor fi efectuate de catre oricare Angajat al Site-ului in conformitate cu Legea si cu respectarea confidentialitatii acestora precum si a drepturilor persoanelor vizate conform Legii. 
 
9. Cerintele minime de securitate care trebuie respectate privind procesul de prelucrare a datelor cu caracter personal de catre Angajatii Site-ului 

9.1. Identificarea si autentificarea Angajatului Site-ului 
 
Fiecare Angajat al Site-ului trebuie sa se identifice pentru a capata acces la o baza de date cu caracter personal. Identificarea se poate face prin mai multe metode: introducerea codului de identificare de la tastatura, folosirea unei cartele cu cod de bare, folosirea unei cartele inteligente (smart card) sau a unei cartele magnetice. Fiecare Angajat al Site-ului are propriul sau cod de identificare. 
 
Codurile de identificare (sau conturi de utilizator) nefolosite o perioada mai indelungata vor fi dezactivate si distruse dupa un control prealabil intern al Operatorului. Perioada dupa care codurile trebuie dezactivate si distruse va fi stabilita de Operator. 
 
Autentificarea fiecarui Angajat al Site-ului poate fi facuta prin introducerea unei parole unice. Parolele vor fi schimbate periodic. Schimbarea periodica a parolelor se face numai de catre Angajatii Site-ului autorizati de catre Operator. 
 
Operatorul va utiliza un sistem informational care refuza in mod automat accesul oricarui Angajat al Site-ului dupa 5 introduceri gresite ale parolei. 
 
Fiecare Angajat al Site-ului care primeste un cod de identificare si un mijloc de autentificare trebuie sa pastreze confidentialitatea acestora si sa raspunda in acest sens in fata Operatorului. 
 
Operatorul prin persoane autorizate de acesta poate revoca sau suspenda un cod de identificare sau autentificare, daca Angajatul Site-ului care le utiliza si-a dat demisia, ori a fost concediat, si-a incheiat contractul, a fost transferat la alt serviciu si noile sarcini nu ii solicita accesul la baza de date cu caracter personal, a abuzat de codurile primite sau daca va absenta o perioada indelungata stabilita de la locul de munca. 
 
Accesul Angajatului Site-ului la bazele de date cu caracter personal efectuate manual se va face pe baza unei liste aprobate de catre Operator. 
**** 

9.2. Tipul de acces 
Tipul de acces este restricitionat de catre Operator la diferite nivele de acces diferentiate conform naturii si functionalitatii actiunilor aplicate asupra datelor cu caracter personal (scriere, citire, stergere; introducere, administrare, salvare, stergere). 
Programatorii sistemelor de prelucrare a datelor cu caracter personal nu vor avea acces la datele cu caracter personal. Programatorii vor avea acces la datele cu caracter personal doar dupa ce acestea au fost transformate in date anonime. 
 
Compartimentul care asigura suportul tehnic va avea acces la datele cu caracter personal pentru rezolvarea unor cazuri exceptionale. 
 
Operatorul stabileste modalitatile stricte prin care se vor distruge datele cu caracter personal. Operatorul va autoriza pentru acest tip de actiune de prelucrare a datelor cu caracter personal un numar limitat de Angajati ai Site-ului. 
 

9.3. Colectarea datelor 
Colectarea datelor se realizeaza printr-un sistem automatizat. Introducerea datelor cu caracter personal in sistemul informational va putea fi efectuata de catre orice Angajat al Site-ului autorizat de catre Operator  in acest scop. 
 
Orice modificare a datelor cu caracter personal va putea fi efectuata de catre oricare Angajat al Site-ului autorizat de catre Operator in acest scop. 
 
Sistemul informational va inregistra datele de identificare ale oricarui Angajat al Site-ului care efectueaza modificari ale datelor cu caracter personal, precum si data si ora efectuarii modificarii. Sistemul informational va mentine si datele sterse si modificate. 
 

9.4. Executarea copiilor de siguranta 
Intervalul de timp la care se vor executa copiile de siguranta va fi stabilit de catre Operator, precum si programele folosite pentru prelucrarile automatizate. 
 
Numarul Angajatilor Site-ului care vor executa copiile de siguranta va fi limitat de catre Operator. 
 
Copiile de siguranta se stocheaza in alte camere, in fisete metalice cu sigiliu aplicat.  Orice acces prin orice mod la copiile de siguranta este monitorizat de catre Operator. 
 

9.5. Computerele si terminalele de acces 
Accesul la camerele in care sunt instalate computerele si alte terminale de acces este restrictionat. 
 
In functie de timpul necesar pentru anumitele actiuni de prelucrare a datelor cu caracter personal, in cazul in care pe ecranul computerului apar date cu caracter personal asupra carora nu se efectueaza nici o actiune pentru o perioada de timp determinata, sesiunea de lucru va fi inchisa automat. 
**** 
9.6. Fisierele de acces 
Orice acces al oricarui Angajat al Site-ului la baza de date cu caracter personal se realizeaza pe baza de log-uri si va fi inregistrat intr-un fisier de acces de catre Operator. 
 
Informatiile inregistrate in fisierul de acces vor fi: 
-    codul de identificare 
-    numele fisierului accesat 
-    numarul inregistrarilor efectuate 
-    tipul de acces 
-    codul operatiei executate sau programul folosit 
-    data accesului 
-    timpul 
 
Informatiile referitoare la prelucrarile automate vor fi stocate intr-un fisier de acces general sau in fisiere separate pentru fiecare Angajat al Site-ului. 
 
Orice incercare de acces neautorizat va fi inregistrata. 
 
Fisiere de acces vor fi pastrate de catre Operator pentru o perioada de 2 ani, pentru a putea fi folosite ca probe in cazul unor investigatii. Daca investigatiile se prelungesc, acestea se vor pastra atat timp cat se va considera necesar. 
 

9.7. Sistemele de telecomunicatii 
Operatorul efectueaza periodic controlul autentificarilor si tipurilor de acces pentru a detecta eventualele disfunctionalitati privind utilizarea sistemelor de telecomunicatii. 
 
Aceste sisteme de telecomunicatii sunt concepute de Operator astfel incat datele cu caracter personal nu pot fi interceptate si transmise oriunde. Prin sistemele de telecomunicatii se transmit doar datele cu caracter personal strict necesare. 
 

9.8. Folosirea computerelor 
Este interzis oricarui Angajat al Site-ului sa utilizeze programe software care provin din surse externe sau dubioase 
Fiecare Angajat al Site-ului trebuie sa fie in mod permanent constient de pericolul pe care il reprezinta virusii informatici si sa actioneze in timpul sesiunii de lucru cu responsabilitatea adecvata. 
Fiecare Angajat al Site-ului trebuie sa respecte regulile instituite prin sistemele automate de devirusare precum si regulile de securitate a sistemelor informatice. 
Fiecarui Angajat al Site-ului ii este interzisa stocarea la imprimanta a datelor cu caracter personal asupra carora efectueaza actiuni de prelucrare si folosirea in acest scop a tastei "Print screen". 
 

9.9. Imprimarea datelor 
Stocarea la imprimanta a datelor cu caracter personal precum si printarea acestora pe orice fel de suport va putea fi realizata de oricare Angajat al Site-ului autorizat in acest sens de catre Operator. 
 
Procedurile interne specifice privind folosirea si distrugerea materialelor mentionate mai sus trebuie aprobate de catre Operator. 
**** 

10. Drepturile persoanelor vizate 
Oricare Angajat al Site-ului va respecta urmatoarele drepturi ale persoanelor vizate prin efectuarea prelucrarii datelor cu caracter personal: 
 
<ul>
<li>
Informarea persoanei vizate </li>
<li>
Dreptul de acces la date </li>
<li>
Dreptul de interventie asupra datelor</li>
<li>
Dreptul de opozitie</li>
</ul>
 

11. Obligatii privind respectarea drepturilor persoanelor vizate 
Oricare Angajat al Site-ului va avea in vedere si respecta urmatoarele, in cazul solicitarilor adresate echipei Site-ului de catre persoanele vizate: 

11.1. Orice persoana vizata are dreptul de a obtine de la Operator, la cerere si in mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul, sau Angajatul Site-ului autorizat in acest sens  este obligat sa comunice acestuia, impreuna cu confirmarea, cel putin urmatoarele: 
<ul>
<li>
informatii referitoare la scopurile prelucrarii, categoriile de date avute in vedere si destinatarii sau categoriile de destinatari carora le sunt dezvaluite datele; </li>
<li>
informatii asupra principiilor de functionare ale mecanismului prin care se efectueaza orice prelucrare automata a datelor care vizeaza persoana respectiva; </li>
<li>
dupa caz, rectificarea, actualizarea, blocarea sau stergerea datelor a caror prelucrare nu este conforma prezentei legi, in special a datelor incomplete sau inexacte; </li>
</ul>
In cerere solicitantul poate arata daca doreste ca informatiile sa ii fie comunicate la o anumita adresa, care poate fi si de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal. 
 
Informatiile solicitate conform celor de mai sus vor trebui comunicate, in termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului. 
 
Pentru a asigura respectarea celor de mai sus oricare Angajat al Site-ului autorizat in acest scop de catre Operator va da curs oricarei solicitari ale persoanelor vizate care indeplineste conditiile legale in vederea accesului la datele personale. 
 

11.2. Persoana vizata are dreptul de a se opune in orice moment, din motive intemeiate si legitime legate de situatia sa particulara, ca date care o vizeaza sa faca obiectul unei prelucrari, cu exceptia cazurilor in care exista dispozitii legale contrare. In caz de opozitie justificata prelucrarea nu mai poate viza datele in cauza. 
 
Persoana vizata are dreptul de a se opune in orice moment, in mod gratuit si fara nici o justificare, ca datele care o vizeaza sa fie prelucrate in scop de marketing direct, in numele Operatorului sau al unui tert, sau sa fie dezvaluite unor terti intr-un asemenea scop. 
 
Masurile luate pentru indeplinirea cerintei mentionate mai sus precum si, daca este cazul, numele tertului caruia i-au fost dezvaluite datele cu caracter personal referitoare la persoana vizata, trebuie comunicate persoanei vizate in termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului. 
 
Pentru a asigura respectarea celor de mai sus oricare Angajat al Site-ului autorizat de catre Operator in acest scop va da curs oricaror solicitari ale persoanelor vizate care indeplinesc conditiile legale in vederea accesului la datele personale. 
 
Oricare Angajat al Site-ului va desfasura activitatea de prelucrare a datelor cu caracter personal cu buna-credinta respectand confidentialitatea si integritatea acestora potrivit instructiunilor si masurilor instituite prin prezentele Instructiuni, precum si a prevederilor legislatiei in vigoare.

Short URL: http://www.underclick.ro/?p=1429

Posted by Claudiu Gamulescu on Aug 17 2008. Filed under Uncategorized. You can follow any responses to this entry through the RSS 2.0. You can leave a response or trackback to this entry

Instructiuni privind prelucrarea datelor cu caracter personal

Leave a Reply

Recent Entries

Photo Gallery