Politica de asigurare a securităţii datelor cu caracter personal în cadrul Instituției Publice Centrul de Instruire și Inovații TIC-TEKWILL

PREAMBUL

Cerinţele faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale şi mecanice de date cu caracter personal au drept scop stabilirea regulilor de implementare de către Instituția Publică Centrul de Instruire și Inovații TIC-TEKWILL a măsurilor tehnice şi organizatorice necesare pentru asigurarea securităţii, confidenţialităţii şi integrităţii datelor cu caracter personal prelucrate în cadrul sistemelor informaţionale şi mecanice de date cu caracter personal şi/sau registrelor ţinute manual, în conformitate cu prevederile Legii nr.133 din 08.07.2011 privind protecţia datelor cu caracter personal; Legii nr.71-XVI din 22 martie 2007 cu privire la registre; Hotărârii Guvernului nr.1123 din 14.12.2010 „Privind aprobarea Cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal”; Convenţiei pentru protecţia persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal, încheiată la Strasbourg la 28.01.1981, publicată în European Treaty Series, nr.108, ratificată de Republica Moldova prin Hotărârea Parlamentului nr. 483-XIV din 02.07.1999.

DISPOZIŢII GENERALE

  1. În sensul prezentei Politici, se definesc următoarele noţiuni: 


autentificare – verificarea identificatorului atribuit subiectului de acces, confirmarea autenticităţii;
fişiere temporare – ansamblu de date sau informaţii pe suport digital creat pentru o perioadă de timp limitat până la iniţierea îndeplinirii sarcinilor pentru care au fost desemnate;
identificare – atribuirea unui identificator subiecţilor şi obiectelor de acces şi/sau compararea identificatorului prezentat cu lista identificatoarelor atribuite;
integritate – certitudinea, necontradictorialitatea şi actualitatea informaţiei care conţine date cu caracter personal, protecţia ei de distrugere şi modificare neautorizată;
mijloace de protecţie criptografică a informaţiei care conţine date cu caracter personal – mijloace tehnice, de program şi tehnico-aplicative, sisteme şi complexe de sisteme ce realizează algoritmi de conversie criptografică a informaţiei care conţine date cu caracter personal, destinate să asigure integritatea şi confidenţialitatea informaţiei în procesul de prelucrare, depozitare şi transmitere a acesteia prin canalele de comunicaţii;
politica de securitate a datelor cu caracter personal – document, elaborat de către Instituția Publică Centrul de Instruire și Inovații TIC-TEKWILL care oferă o descriere generală a măsurilor de securitate şi trăsăturilor de protecţie selectate pentru securitatea datelor, ţinându-se cont de potenţialele pericole pentru datele cu caracter personal prelucrate şi riscurile reale la care sunt expuse acestea;
perimetru de securitate – zona care reprezintă în sine o barieră de trecere asigurată cu mijloace de control tehnic al accesului;
control de securitate – acţiuni întreprinse de către deţinătorii de date cu caracter personal sau Centrul Naţional pentru Protecţia Datelor cu Caracter Personal (Centrul) în vederea verificării şi/sau asigurării nivelului adecvat de securitate a datelor cu caracter personal prelucrate în cadrul sistemelor informaţionale şi/sau registrelor ţinute manual, în conformitate cu prezentele Cerinţe;
persoana responsabilă de politica de securitate a datelor cu caracter personal– persoana responsabilă de funcţionarea corespunzătoare a sistemului complex de protecţie a informaţiei care conţine date cu caracter personal, precum şi de elaborarea, implementarea şi monitorizarea respectării prevederilor politicii de securitate a deţinătorului de date cu caracter personal;

protecţia informaţiei contra acţiunilor neintenţionate – ansamblu de măsuri orientate spre prevenirea acţiunilor neintenţionate, provocate de erorile utilizatorului, defectele mijloacelor tehnico-aplicative, fenomenele naturii sau alte cauze ce nu au ca scop direct modificarea informaţiei, dar care conduc la distorsiunea, distrugerea, copierea, blocarea accesului la informaţie, precum şi la pierderea, distrugerea acesteia sau la defectarea suportului material al informaţiei care conţine date cu caracter personal;
purtător de date cu caracter personal – suport magnetic, optic, laser, de hârtie sau alt suport al informaţiei, pe care se creează, se fixează, se transmite, se recepţionează, se păstrează sau, în alt mod, se utilizează documentul şi care permite reproducerea acestuia;
restaurarea datelor – procedurile cu privire la reconstituirea datelor cu caracter personal în starea în care se aflau până la momentul pierderii sau distrugerii acestora;
tehnologie informaţională (TI) – totalitatea metodelor, procedeelor şi mijloacelor de prelucrare şi transmitere a informaţiei care conţine date cu caracter personal şi regulile de aplicare a acesteia;
mijloace de protecţie criptografică a informaţiei care conţine date cu caracter personal – mijloace tehnice, de program şi tehnico-aplicative, sisteme şi complexe de sisteme ce realizează algoritmi de conversie criptografică a informaţiei care conţine date cu caracter personal, destinate să asigure integritatea şi confidenţialitatea informaţiei în procesul de prelucrare, depozitare şi transmitere a acesteia prin canalele de comunicaţii;
utilizator – persoana care acţionează sub autoritatea deţinătorului de date cu caracter personal, cu drept recunoscut de acces la sistemele informaţionale de date cu caracter personal;
sesiune de lucru – perioada care durează din momentul pornirii calculatorului şi aplicaţiei de utilizare a resursei informaţionale sau din momentul pornirii resursei informaţionale şi până la momentul opririi acestora;
sistem informaţional de date cu caracter personal – totalitatea resurselor şi tehnologiilor informaţionale interdependente, de metode şi de personal, destinată păstrării, prelucrării şi furnizării de informaţie care conţine date cu caracter personal;
stocare – păstrarea pe orice fel de suport a datelor cu caracter personal; 

CERINŢE GENERALE

  1. Măsurile de protecţie a datelor cu caracter personal reprezintă o parte componentă a lucrărilor de creare, dezvoltare şi exploatare a sistemelor informaţionale de date cu caracter personal şi vor fi efectuate neîntrerupt de către persoanele responsabile angajate la Instituția Publică Centrul de Instruire și Inovații TIC-TEKWILL. 
  2. Protecţia datelor cu caracter personal este asigurată printr-un complex de măsuri tehnice şi organizatorice de preîntâmpinare a prelucrării ilicite a datelor cu caracter personal.
  3. Măsurile de protecţie a datelor cu caracter personal prelucrate în sistemele informaţionale şi mecanice de date cu caracter personal ale Instituției Publice Centrul de Instruire și Inovații TIC-TEKWILL se înfăptuiesc ţinându-se cont de necesitatea asigurării confidenţialităţii acestor măsuri. 
  4. Sunt supuse protecţiei, toate resursele informaţionale ale Instituției Publice Centrul de Instruire și Inovații TIC-TEKWILL, care conţin date cu caracter personal, inclusiv:
    1) Suporturile magnetice, optice, laser sau alte suporturi ale informaţiei electronice, masive informaţionale şi baze de date;
    2) Sistemele informaţionale, reţelele, sistemele operaţionale, sistemele de gestionare a bazelor de date şi alte aplicaţii, sistemele de telecomunicaţii, inclusiv mijloacele de confecţionare şi multiplicare a documentelor şi alte mijloace tehnice de prelucrare a informaţiei. 
  5. Protecţia datelor cu caracter personal în sistemele informaţionale de date cu caracter personal este asigurată în scopul:
    a) Preîntâmpinării scurgerii informaţiei care conţine date cu caracter personal prin metoda excluderii accesului neautorizat la aceasta;
    b) Preîntâmpinării distrugerii, modificării, copierii, blocării neautorizate a datelor cu caracter personal în reţelele de telecomunicaţie şi resursele informaţionale;

c) Respectării cadrului normativ de folosire a sistemelor informaţionale şi a programelor de prelucrare a datelor cu caracter personal;
d) Asigurării caracterului complet, integru, veridic al datelor cu caracter personal în reţelele de telecomunicaţie şi resurselor informaţionale;
e) Păstrării posibilităţilor de gestionare a procesului de prelucrare şi păstrare a datelor cu caracter personal.

  1. Protecţia datelor cu caracter personal prelucrate în sistemele informaţionale se efectuează prin următoarele metode:
    1) Preîntâmpinarea conexiunilor neautorizate la rețelele informaționale şi interceptării cu ajutorul mijloacelor tehnice a datelor cu caracter personal transmise prin aceste reţele;
    2) Excluderea accesului neautorizat la datele cu caracter personal prelucrate;
    3) Preîntâmpinarea acţiunilor speciale tehnice şi de program, care condiţionează distrugerea, modificarea datelor cu caracter personal sau defecţiuni în lucrul complexului tehnic şi de program;
    4) Preîntâmpinarea acţiunilor intenţionate şi/sau neintenţionate a utilizatorilor interni şi/sau externi, precum şi a altor angajaţi ai deţinătorului de date cu caracter personal, care condiţionează distrugerea, modificarea datelor cu caracter personal sau defecţiuni în lucrul complexului tehnic şi de program.
    5) Preîntâmpinarea scurgerii de informaţii care conţin date cu caracter personal, transmise prin canalele de legătură, este asigurată prin folosirea metodelor de cifrare a acestei informaţii, inclusiv cu utilizarea măsurilor organizaţionale, tehnice şi de regim.
    6) Preîntâmpinarea distrugerii, modificării datelor cu caracter personal sau defecţiunilor în funcţionarea soft-ului destinat prelucrării datelor cu caracter personal este asigurată prin metoda folosirii mijloacelor de protecţie speciale tehnice şi de program, inclusiv a programelor licenţiate, programelor anti virus, organizării sistemului de control al securităţii soft-ului şi efectuarea periodică a copiilor de siguranţă. 
  2. Ordinea de acces la informaţia care conţine date cu caracter personal, prelucrată în cadrul sistemelor informaţionale, se stabileşte de Instituția Publică Centrul de Instruire și Inovații TIC-TEKWILL conform Regulamentului sistemului informaţional utilizat.

POLITICA DE SECURITATE A DATELOR CU CARACTER PERSONAL

  1. Instituția Publică Centrul de Instruire și Inovații TIC-TEKWILL nominalizează responsabil de întocmirea, menţinerea, modificarea şi actualizarea politicii de securitate – Directorul.
  2. Măsurile de securitate emise sunt stabilite conform regulamentelor de securitate ale fiecărui sistem care prelucrează date cu caracter personal. În acest sens, la Instituția Publică Centrul de Instruire și Inovații TIC-TEKWILL sunt create următoarele sisteme/registre de prelucrare a datelor cu caracter personal:
    a) Registru de evidență a angajaților;
    b) Registru de evidență a contractanților;
    c) Supravegherea video. 
  3. Se numesc responsabili de administrarea sistemelor următoarele persoane:
    a) Directorul:
    • Registru de evidență a angajaților.
    • Registru de evidență a contractanților.
    b) Manager tehnic
    • Supravegherea video. 
  4. Mecanismul de punere în aplicare a măsurilor de securitate pentru toate categoriile sistemelor informaţionale de date cu caracter personal este prevăzut de prezenta Politică de Securitate. 
  5. În cadrul activității Instituția Publică Centrul de Instruire și Inovații TIC-TEKWILL colectează și prelucrează cu acordul subiectului de date cu caracter personal, următoarele date cu caracter personal:

    1) Numele, prenumele și după caz patronimicul;
    2) sexul;
    3) data şi locul naşterii;
    4) cetăţenia;

5) IDNP;
6) datele personale ale membrilor de familie;
7) datele din permisul de conducere;
8) datele bancare;
9) semnătura;
10) situaţia familială;
11) situaţia militară;
12) datele din actele de stare civilă;
13) codul personal de asigurării sociale (CPAS);
14) codul asigurării medicale (CPAM);
15) numărul de telefon/fax;
16) numărul de telefon mobil;
17) adresa (domiciliului/reşedinţei);
18) adresa e-mail;
19) profesia şi/sau locul de muncă;
20) formarea profesională – diplome – studii.

  1. Instituția Publică Centrul de Instruire și Inovații TIC-TEKWILL nu transmite date cu caracter personal ale subiecților în afara țării, cu excepția cazurilor prevăzute de lege sau expres acceptate de către aceștia. 
  2. Instituția Publică Centrul de Instruire și Inovații TIC-TEKWILL asigură angajaților săi dreptul de acces, de stocare, de prelucrarea informației ce conține date cu caracter personal. 
  3. Instituția Publică Centrul de Instruire și Inovații TIC-TEKWILL acordă accesul angajaților săi la prelucrarea datelor cu caracter personal, numai după ce au semnat o Declarație de Confidențialitate prin care s-au obligat să nu divulge informația ce conține date cu caracter personal obținută în timpul exercitării atribuțiilor de serviciu. Modelul Declarației de Confidențialitate este anexat la prezenta Politică. 
  4. Documentaţia tehnică cu privire la controalele de securitate este ţinută sub formă de registre de către persoana responsabilă, numită prin ordinul/decizia Instituția Publică Centrul de Instruire și Inovații TIC-TEKWILL pentru fiecare sistem informaţional în parte.
  5. Orarul controalelor de securitate este stabilit de către persoana numită responsabilă, în conformitate cu regulamentul de securitate al fiecărui Sistem care prelucrează date cu caracter personal. 
  6. Rapoartele despre incidentele de securitate sunt înregistrate în registrele respective de către persoanele responsabile. Fiecare incident urmează a fi adus la cunoştinţa Instituția Publică Centrul de Instruire și Inovații TIC-TEKWILL în mod de urgenţă, pentru a putea fi identificată procedura de soluţionare a incidentului. 

SECURITATEA MEDIULUI FIZIC ŞI A TEHNOLOGIILOR INFORMAŢIONALE FOLOSITE ÎN PROCESUL PRELUCRĂRII DATELOR CU CARACTER PERSONAL

Autorizarea accesului fizic 

  1. Accesul în sediile/oficiile/birourile ori spaţiile unde sunt amplasate sistemele informaţionale de date cu caracter personal este restricţionat, fiind permis doar persoanelor care au autorizaţia necesară şi doar în timpul programului de muncă. 
  2. Accesul se efectuează în baza permiselor eliberate angajaților. 
  3. Accesul în camera de servere este permisă doar salariaților Instituției Publice Centrul de Instruire și Inovații TIC-TEKWILL care au autorizare specială din partea Directorului. Persoanele terțe au acces în această încăpere doar sub stricta supraveghere a salariatului menționat mai sus. Toate operaţiunile de acces la servere sau alte mijloace tehnice sau software se face de către Directorul Instituției Publice Centrul de Instruire și Inovații TIC-TEKWILL.