Cerințele privind protecția datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de personal

Sistemele informaționale de date cu caracter personal

1. Prezentul document stabilește cerințele pentru protecția datelor cu caracter personal la prelucrarea acestora în sistemele informaționale de date cu caracter personal (în continuare - sistem de informații), precum și nivelurile de protecție a datelor.

2. Securitatea datelor cu caracter personal la prelucrarea acestora în cadrul sistemului de informații furnizate de sistemul de protecție a datelor cu caracter personal, neutralizând amenințarea a expirat, determinată în conformitate cu partea 5 din articolul 19 din Legea federală „privind protecția datelor personale“.

Sistemul personal de protecție a datelor include măsuri tehnice organizatorice și (sau), determinate în funcție de amenințările actuale la adresa securității tehnologiilor de date și informații cu caracter personal utilizate în sistemele de informații.

3. Securitatea datelor cu caracter personal la prelucrarea acestora în cadrul sistemului de informații furnizate de operatorul sistemului, care prelucrează datele cu caracter personal (în continuare - operatorul), sau o persoană care efectuează prelucrarea datelor cu caracter personal în numele operatorului, pe baza contractului încheiat cu acea persoană (în continuare - persoana autorizată). Contractul între operator și persoana autorizată trebuie să furnizeze persoanei autorizate de obligația de a asigura securitatea datelor cu caracter personal la prelucrarea acestora în sistemul de informații.

4. Alegerea mijloacelor de protecție a informației pentru sistemul de protecție a datelor cu caracter personal de către operator, în conformitate cu reglementările adoptate de către Serviciul Federal de Securitate din România și Serviciul Federal pentru tehnică și de control al exporturilor, conform paragrafului 4 al articolului 19 din Legea federală „privind protecția datelor personale“.

Sistemul de informații este un sistem de informații care procesează publice date cu caracter personal, în cazul în care se prelucrează date cu caracter personal ale subiecților de date cu caracter personal, obținute numai din surse accesibile publicului de date cu caracter personal stabilite în conformitate cu articolul 8 din Legea federală „privind protecția datelor personale“.

Sistemul de informații este un sistem informatic de prelucrare a datelor cu caracter personal ale angajaților operatorului, atunci când prelucrează date cu caracter personal numai angajaților specificate. În alte cazuri, sistemul informatic de date cu caracter personal este un sistem de informații care prelucrează datele personale ale subiecților datelor cu caracter personal care nu sunt angajați ai operatorului.

Amenințările de tip 1 sunt relevante pentru sistemul de informații, în cazul în care are, inclusiv amenințările relevante legate de prezența nedocumentat (negru) caracteristici în software-ul de sistem utilizat în sistemul de informații.

Amenințări de tip 2 sunt relevante pentru sistemul de informații, în cazul în care are, inclusiv amenințările relevante legate de prezența capacităților fără forme legale (nedeclarate) în aplicația software utilizat în sistemul de informații.

Amenințările treilea tip sunt relevante pentru sistemul de informații, în cazul în care are amenințări relevante care nu sunt legate de prezența nedocumentat capacității (nedeclarată) în software-ul de sistem și de aplicare utilizate în sistemul de informații.

7. Se determină tipul de amenințări la adresa securității datelor cu caracter personal, relevante pentru sistemul de informații, produse de operator pe baza unei evaluări a posibilelor daune efectuate în conformitate cu punctul 5 din partea 1 a articolului 18.1 din Legea federală „privind datele personale“, și în conformitate cu regulamentele adoptate în temeiul partea 5 al articolului 19 din legea federală „cu privire la datele cu caracter personal“.

8. În cazul în care prelucrarea datelor cu caracter personal în sistemele informatice stabilite 4 nivele de protecție a datelor cu caracter personal.

9. Necesitatea unui nivel 1 de securitate a datelor cu caracter personal la prelucrarea acestora în cadrul sistemului de informații stabilit în prezența a cel puțin una dintre următoarele condiții:

10. Necesitatea de a asigura un nivel de securitate a 2-a datelor cu caracter personal la prelucrarea acestora în cadrul sistemului de informații stabilit în prezența a cel puțin una dintre următoarele condiții:

a) pentru sistemul de informații privind amenințările relevante de tip 1 și sistem de informații procesează publicului date cu caracter personal;

c) pentru sistemul de informații relevante amenințare de tip 2 și sistemul de informații biometrice procesează datele cu caracter personal;

g) pentru sistemul de informații relevante de tip amenințare 2 și sistemul de informații publice gestionează datele cu caracter personal de mai mult de 100.000 de subiecți de date cu caracter personal, care nu sunt angajați ai operatorului;

11. Necesitatea unui al treilea nivel de securitate a datelor cu caracter personal la prelucrarea acestora în cadrul sistemului de informații stabilit în prezența a cel puțin una dintre următoarele condiții:

a) pentru sistemul de informații relevante amenințare de tip 2 și sistemul de informații publice gestionează datele personale ale angajaților operatorului sau a datelor publice cu caracter personal de mai mult de 100.000 de subiecți de date cu caracter personal, care nu sunt angajați ai operatorului;

g) pentru sistemul de informații privind amenințările relevante și al treilea tip de sistem informatic procesează datele personale biometrice;

12. Nevoia de al 4-lea nivel de securitate a datelor cu caracter personal la prelucrarea acestora în cadrul sistemului de informații stabilit în prezența a cel puțin una dintre următoarele condiții:

a) pentru sistemul de informații privind amenințările treilea tip și sistem de informații procesează publicului date cu caracter personal;

13. Pentru al 4-lea nivel de securitate a datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informatice necesare pentru a îndeplini următoarele cerințe:

a) organizarea regimului pentru a asigura securitatea spațiilor, care găzduiește sistemul de informații, care împiedică posibilitatea unei penetrării necontrolate sau de ședere în aceste spații pentru persoane care nu au dreptul de a avea acces la aceste facilități;

b) păstrarea suporturilor de date cu caracter personal;

c) aprobarea șefului operatorului documentului care definește lista persoanelor care au acces la datele cu caracter personal prelucrate în sistemul de informații, necesare pentru a efectua oficiale a acestora (angajare) taxe;

g) utilizarea mijloacelor de protecție a informației, conformitatea din trecut cu procedura de evaluare a legislației românești în domeniul securității informațiilor, într-un caz în care utilizarea acestor fonduri este necesară pentru a neutraliza amenințările reale.

14. Pentru al treilea nivel de securitate a datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informatice, în plus față de cerințele prevăzute la punctul 13 al acestui document, este necesar ca a fost atribuit un funcționar (angajat) este responsabil pentru asigurarea securității datelor cu caracter personal în sistemul de informații.

15. Pentru a asigura nivelul 2 de securitate a datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informatice, în plus față de cerințele prevăzute la punctul 14 din prezentul document, este necesar pentru a accesa conținutul jurnalizarea mesaj electronic a fost posibilă numai pentru funcționari (angajați) ai operatorului sau persoana autorizată, că informațiile conținute în această revistă sunt necesare pentru îndeplinirea (angajare) taxe oficiale.

16. Pentru a asigura primul nivel de securitate a datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informatice, în plus față de cerințele de la punctul 15 al acestui document, trebuie să îndeplinească următoarele cerințe:

a) înregistrarea automată în jurnalul electronic de siguranță schimbă operatorul muncitor de birou pentru a avea acces la datele cu caracter personal conținute în sistemul de informații;

b) crearea unei unități structurale responsabile de asigurarea securității datelor cu caracter personal într-un sistem informatic sau de stabilire pe una dintre unitățile structurale pentru a oferi astfel de caracteristici de securitate.

17. Monitorizarea punerii în aplicare a acestor cerințe este organizată și condusă de către operatorul (persoana autorizată) propriu și (sau) cu asistența pe bază de contract a persoanelor juridice și a întreprinzătorilor individuali, având licența pentru realizarea activității privind protecția tehnică a informațiilor confidențiale. O astfel de monitorizare se efectuează cel puțin o dată în 3 ani, în condițiile definite de către operator (persoană autorizată).