Institutul Național de Statistică - INS

Normele de confidențialitate a datelor statistice, din 23.03.2020

Modificări (...), Referințe (1)

Text publicat în Monitorul Oficial, Partea I nr. 555 din 26 iunie 2020.

În vigoare de la 26 iunie 2020

Acest document poate avea modificări ulterioare. Cumpărați documentul în formă actualizată sau alegeți un abonament Lege5 care permite accesul la orice formă actualizată.

Cumpără forma actualizată
sau autentifică-te
  •  

1. Cadrul legal, definiții și principii privind confidențialitatea datelor statistice

Prezentele norme sunt elaborate în scopul asigurării respectării principiului confidențialității datelor statistice deținute de Institutul Național de Statistică pe întregul flux de colectare, procesare, stocare, diseminare și arhivare a lor.

1.1. Cadrul legal

În conformitate cu legislația națională și europeană în vigoare, confidențialitatea datelor individuale culese în scopuri statistice este protejată potrivit prevederilor din:

- Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului din 11 martie 2009 privind statisticile europene și de abrogare a Regulamentului (CE, Euratom) nr. 1.101/2008 al Parlamentului European și al Consiliului privind transmiterea de date statistice confidențiale Biroului Statistic al Comunităților Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare și a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunităților Europene astfel cum a fost modificat prin Regulamentul (UE) 2015/759 al Parlamentului European și al Consiliului din 29 aprilie 2015;

- Regulamentul (UE) nr. 557/2013 al Comisiei din 17 iunie 2013 de punere în aplicare a Regulamentului (CE) nr. 223/2009 al Parlamentului European și al Consiliului privind statisticile europene în ceea ce privește accesul la date confidențiale în scopuri științifice și de abrogare a Regulamentului (CE) nr. 831/2002 al Comisiei;

- Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) - RGPD;

- Legea organizării și funcționării statisticii oficiale în România nr. 226/2009, cu modificările și completările ulterioare;

- Legea nr. 682/2001 privind ratificarea Convenției pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981, cu modificările ulterioare;

- Legea nr. 455/2001 privind semnătura electronică, republicată;

- Codul de bune practici al statisticilor europene pentru autoritățile naționale de statistică și Eurostat (autoritatea statistică a Uniunii Europene), adoptat de Comitetul Sistemului Statistic European (CSSE) la 16 noiembrie 2017.

1.2. Definiții și principii

Principiul confidențialității este reglementat de Legea organizării și funcționării statisticii oficiale în România nr. 226/2009, cu modificările și completările ulterioare, care prin art. 5 alin. (1) lit. e) garantează confidențialitatea informațiilor pe care le furnizează respondenții (gospodării, întreprinderi, administrații etc.) și utilizarea lor numai în scopuri statistice.

Potrivit principiului confidențialității serviciile de statistică oficială și personalul statistic au obligația să adopte și să asigure pe parcursul întregii perioade a cercetărilor statistice și a recensămintelor - de la înregistrare până la publicare - măsuri de protecție a datelor individuale care se referă la subiecții statistici individuali - persoane fizice sau juridice, date obținute direct prin cercetări statistice totale sau parțiale sau indirect, din surse administrative ori din alte surse.

Confidențialitatea informațiilor statistice presupune protejarea datelor confidențiale referitoare la unitățile statistice individuale, care sunt obținute direct în scopuri statistice sau indirect din surse administrative ori din alte surse și implică interzicerea utilizării datelor în alte scopuri decât cele statistice și a divulgării ilegale a acestora.

Capitolul X din Legea organizării și funcționării statisticii oficiale în România nr. 226/2009, cu modificările și completările ulterioare, referitor la confidențialitatea și protecția datelor statistice, stipulează condițiile și regulile de confidențialitate și de protecție a datelor statistice.

În înțelesul Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) :

a) "date cu caracter personal" înseamnă orice informații privind o persoană fizică identificată sau identificabilă - "persoană vizată"; o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

b) "prelucrare" înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

c) "sistem de evidență a datelor" înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;

d) "operator" înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii Europene sau în dreptul intern;

e) "operator statistic" înseamnă persoană atrasă temporar, pe bază de contract încheiat în temeiul Codului civil, pentru colectarea datelor în scop statistic de la gospodăriile populației și de la persoanele juridice cuprinse în cercetările statistice, sub autoritatea unui producător de statistici oficiale;

f) "pseudonimizare" înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;

g) "date anonime" înseamnă informațiile care nu sunt legate de o persoană fizică identificată sau identificabilă sau datele cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă1.

1 Considerentul (26) din RGPD.

Accesul în scopuri științifice la datele statistice individuale colectate de serviciile de statistică oficială este reglementat atât de legislația națională în domeniul statisticii, cât și de Regulamentul (UE) nr. 557/2013 al Comisiei din 17 iunie 2013 de punere în aplicare a Regulamentului (CE) nr. 223/2009 al Parlamentului European și al Consiliului privind statisticile europene în ceea ce privește accesul la date confidențiale în scopuri științifice și poate fi acordat, cu aprobarea președintelui Institutului Național de Statistică sau la nivel local cu aprobarea directorului executiv al direcției regionale/județene de statistică.

În Principiile fundamentale ale statisticii oficiale elaborate de ONU, potrivit Principiului 6, se stipulează: "datele individuale colectate de oficiile de statistică în vederea prelucrării, fie că se referă sau nu la persoane fizice sau juridice, trebuie să rămână confidențiale și trebuie să fie utilizate doar în scopuri statistice".

În Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului se prevede definiția confidențialității informațiilor statistice ca fiind protejarea datelor confidențiale referitoare la unitățile statistice individuale, care sunt obținute direct în scopuri statistice sau indirect din surse administrative sau din alte surse și implică interzicerea utilizării datelor în alte scopuri decât cele statistice și a divulgării ilegale a acestora.

În Codul de bune practici al statisticilor europene pentru autoritățile naționale și europene de statistică adoptat de CSSE, prin principiile 5 și 15 sunt specificați indicatorii ce trebuie respectați pentru păstrarea confidențialității și a accesibilității la datele confidențiale pentru activități de cercetare științifică, și anume:

Principiul 5 Confidențialitatea statistică și protecția datelor - Confidențialitatea furnizorilor de date, confidențialitatea informațiilor pe care aceștia le furnizează, utilizarea datelor respective numai în scopuri statistice și securitatea datelor sunt pe deplin garantate.

Indicatori:

- confidențialitatea statistică este garantată prin lege;

- personalul semnează angajamente de confidențialitate la numirea în funcție;

- sunt prevăzute sancțiuni pentru orice încălcare deliberată a confidențialității statistice;

- se pun la dispoziția personalului orientări și instrucțiuni privind protecția confidențialității statistice pe întregul parcurs al proceselor statistice. Politica de confidențialitate este adusă la cunoștința publicului larg;

- sunt instituite măsurile de reglementare, administrative, tehnice și organizatorice necesare pentru protejarea securității și integrității datelor statistice și a transmiterii acestora, în conformitate cu cele mai bune practici, cu standardele internaționale, precum și cu legislația europeană și națională;

- există protocoale stricte care se aplică utilizatorilor externi care accesează microdatele statistice în scopuri de cercetare.

Principiul 15 Accesibilitate și claritate - Statisticile europene sunt prezentate într-o formă clară și ușor de înțeles, sunt publicate într-un mod adecvat și convenabil, sunt disponibile și accesibile respectându-se imparțialitatea și sunt însoțite de metadate și orientări.

Indicatori:

- statisticile și metadatele corespunzătoare sunt prezentate și arhivate într-o formă care facilitează interpretarea corectă și comparațiile semnificative;

- serviciile de difuzare a statisticilor utilizează tehnologii ale informației și comunicațiilor, metode și platforme moderne și standarde în materie de date deschise;

- atunci când este fezabil, se realizează analize personalizate și se asigură informarea publicului;

- accesul la microdate este permis în scopuri de cercetare și se supune unor norme sau protocoale specifice;

- metadatele referitoare la rezultate sunt administrate și difuzate de către autoritatea statistică conform standardelor europene;

- utilizatorii sunt informați în legătură cu metodologia proceselor statistice, inclusiv cu utilizarea și integrarea datelor administrative și a altor tipuri de date;

- utilizatorii sunt informați cu privire la calitatea rezultatelor statistice în raport cu criteriile de calitate ale statisticilor europene.

2. Reguli de protecție a datelor statistice confidențiale

Regulile generale și cele specifice privind prelucrarea datelor cu caracter personal enunțate în Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), precum și în legislația națională în domeniu trebuie respectate întocmai.

În vederea asigurării securității prelucrării datelor, Institutul Național de Statistică implementează măsurile tehnice și organizatorice concretizate în regulile prezentate mai jos, care trebuie însușite și respectate de către toți salariații din serviciile de statistică oficială implicați în realizarea de cercetări statistice, indiferent de poziția acestora în fluxul statistic, de la colectarea datelor în scop statistic, recepționarea formularelor, introducerea, transmiterea, procesarea, stocarea, diseminarea și arhivarea datelor.

2.1. Colectarea datelor în scop statistic

Colectarea datelor individuale în scop statistic, direct de către angajații direcțiilor regionale/județene de statistică și Institutul Național de Statistică prin formulare statistice offline sau online se efectuează conform procedurilor în vigoare, cu respectarea următoarelor reguli privind protecția datelor confidențiale:

a) personalul specializat cuprins în activitatea serviciilor statisticii oficiale, care, potrivit statutului său legal, participă la acțiunile de culegere de date statistice individuale, este obligat să respecte cu strictețe principiul confidențialității. Aceeași obligație revine și persoanelor angajate temporar în activitatea de culegere sau de procesare a datelor și informațiilor statistice;

b) formularele de tipul "raport statistic" sau "chestionar statistic" pe suport hârtie sau electronic, care conțin date individuale referitoare la persoanele fizice, gospodării sau persoane juridice, sunt considerate confidențiale;

c) caracterul "Confidențial" trebuie menționat pe formularele tipărite prin care se culeg aceste date în cadrul cercetărilor statistice organizate de Institutul Național de Statistică; pe formular va fi înscrisă prevederea legală de garantare a utilizării datelor individuale numai în scopuri statistice și faptul că Institutul Național de Statistică asigură confidențialitatea acestora.

2.2. Recepționarea chestionarelor/formularelor statistice de către direcțiile regionale/județene de statistică și Institutul Național de Statistică

Pentru primirea formularelor cu date statistice individuale se va crea la sediul direcțiilor regionale/județene de statistică și la sediul Institutului Național de Statistică un spațiu special de acces al operatorilor economici. Acolo unde acest lucru nu este posibil se vor lua alte măsuri prin care să se asigure recepționarea în condițiile respectării confidențialității datelor, în care aceștia vor preda chestionarele/formularele statistice expertului responsabil al cercetării statistice, conform procedurilor în vigoare, prevăzute pentru recepționarea chestionarelor/formularelor statistice.

Pentru informațiile în format electronic, transmise prin poșta electronică, se creează infrastructura necesară preluării datelor, cu asigurarea procedurilor IT în vigoare, pentru:

a) autentificarea surselor de date externe (raportorii);

b) autentificarea direcțiilor teritoriale de statistică și criptarea datelor transmise de la/spre acestea;

c) autentificarea utilizatorilor interni în cadrul rețelelor locale;

d) autentificarea accesărilor utilizatorilor interni (de la direcțiile regionale/județene de statistică și Institutul Național de Statistică) la resursele confidențiale;

e) monitorizarea permanentă a accesărilor (de la direcțiile regionale/județene de statistică și Institutul Național de Statistică) la resursele confidențiale.

Pentru informațiile colectate prin chestionare electronice se creează infrastructura necesară transmiterii datelor online cu asigurarea procedurilor IT în vigoare:

a) autentificarea operatorilor statistici și a responsabililor din direcțiile regionale/județene de statistică;

b) securizarea datelor stocate pe tabletele utilizate pentru colectarea datelor;

c) securizarea operațiunilor de comunicare și transfer de date între tablete și servere și între servere și computerele locale.

2.3. Prelucrarea datelor statistice individuale

Operațiunile de prelucrare a datelor individuale în scop statistic de către Institutul Național de Statistică și unitățile sale subordonate se realizează de personal instruit în respectarea confidențialității datelor statistice individuale, prin aplicații informatice care au prevăzut accesul la acestea pe bază de "user name" și "parolă".

Indiferent de mediul de programare utilizat, pentru accesul la aplicațiile de introducere a datelor și la bazele de date, care conțin date individuale, trebuie proiectate aplicații informatice cu funcții prevăzute pentru identificarea și autentificarea operatorilor/utilizatorilor pe bază de parolă. Pentru identificarea operatorilor/utilizatorilor trebuie proiectate funcții pentru:

a) verificarea identității;

b) autentificarea utilizatorului (userului);

c) actualizarea listei de identități;

d) asigurarea confidențialității și a integrității acestei liste de către un administrator/supervizor al aplicației informatice.

Pentru controlul accesului, după stabilirea identității unui utilizator se utilizează funcții care permit accesul restricționat la anumite resurse ale sistemului. Aceste funcții includ:

a) administrarea drepturilor și nivelurilor de acces;

b) monitorizarea accesului la resurse.

2.4. Transmiterea datelor statistice individuale

Teletransmisia (transmisia electronică de date între direcțiile regionale/județene de statistică și Institutul Național de Statistică și invers) se face utilizând proceduri informatice specializate pentru:

a) autentificarea obligatorie a ambelor părți, fiecare în funcție de cealaltă;

b) criptarea bidirecțională obligatorie a mediului de transmisie.

Prin teletransmisie se schimbă numai date anonimizate și prelucrate. Nu se transmit microdate sau date din care se pot identifica date legate de respondenți.

Huburile și/sau routerele care transportă parole sau alte detalii sensibile sunt amplasate în zone securizate, de protecție maximă.

Se evită administrarea de la distanță a serverelor și firewall-urilor, oricare ar fi motivul.

2.5. Diseminarea datelor statistice individuale

În vederea prevenirii diseminării de date statistice confidențiale sunt respectate definițiile și principiile enunțate la subpct. 1.2, precum și următoarele reguli:

a) nu se diseminează decât date statistice agregate pentru trei sau mai multe persoane fizice sau juridice (n>2), dacă datele astfel obținute nu mai permit identificarea datelor individuale și dacă se respectă regula de dominanță în funcție de domeniul statistic; pentru această regulă sunt excepții prevăzute în regulamente europene pentru unele cercetări statistice;

b) nu pot fi diseminate date statistice individuale despre o persoană fizică sau juridică decât dacă aceasta își dă acordul scris în acest sens;

c) prin excepție de la regulile prevăzute la lit. a) și b), nu sunt considerate confidențiale datele individuale ale persoanelor juridice referitoare la denumire, adresă, profilul activității, capitalul social, cifra de afaceri și numărul de personal, date ce își păstrează caracterul public potrivit prevederilor legale;

d) confidențialitatea nu se extinde asupra datelor individuale ale instituțiilor finanțate de la bugetul de stat care desfășoară activități de interes public, cu excepția celor care sunt protejate prin legi și normative speciale.

Datele statistice rezultate din prelucrarea datelor individuale confidențiale pot fi publicate și/sau diseminate numai în condițiile în care identificarea directă sau indirectă a persoanelor fizice sau juridice nu este posibilă.

Identificatorii unici: cod numeric personal, cod fiscal, nume și adresă, localitate și alte informații, care nu pot fi depersonalizate - anonimizate, nu se vor include în fișiere de date individuale pentru utilizare publică.

2.5.1. Tehnici de protecție a datelor pentru asigurarea confidențialității

Tehnici posibile de protecție a datelor individuale sunt:

a) reducerea nivelului de detaliere pentru anumite variabile;

b) recodificarea unor variabile continue, de exemplu, vârsta, localitatea, în intervale de grupare mai largi;

c) suprimarea unor celule din tabel, cele sub marja de confidențialitate (1, 2) și suprimarea adițională a altor celule adiacente pentru a asigura corectitudinea totalurilor și menținerea utilizabilității datelor;

d) pseudonimizarea.

Dat fiind volumul mare de informații statistice, tehnica suprimării pentru tabelele statistice trebuie aplicată prin proceduri automatizate. Pe de altă parte, diversitatea agregărilor, precum și a formatelor diferite ale fișierelor de ieșire - tipuri de fișiere impune necesitatea realizării unor aplicații IT standardizate sau folosirea software-ului Argus, folosit de Eurostat și de alte oficii de statistică europene.

2.5.2. Accesul la microdatele statistice

Conform practicii europene la sediile institutelor de statistică din statele membre ale Comunității Europene, pentru accesul la microdate în scopuri de cercetare științifică există așa-numitul "safe center" - cameră securizată, o cameră unde accesul este permis pe bază de cod de acces sau cu cartelă magnetică, în care cercetătorul poate să acceseze pe calculator date individuale anonimizate și să realizeze analizele pe care le dorește, fără a avea posibilitatea copierii pe CD, stick de memorie sau a fotocopierii acestor date.

Institutul Național de Statistică trebuie să asigure alocarea unei astfel de "camere securizate" în care să fie permis accesul cercetătorilor, în scopuri științifice, la date individuale anonimizate.

Se va interzice accesul persoanelor neautorizate în "camera securizată".

Indiferent dacă există sau nu există un "safe center", furnizarea se face numai în baza unui "contract de furnizare de microdate", prin care utilizatorul se obligă să păstreze confidențialitatea datelor statistice la care are acces și se obligă să distrugă datele statistice la care a avut acces după încheierea proiectului de cercetare și, după caz, să pună la dispoziția Institutului Național de Statistică un exemplar al publicației rezultate.

Fișierele cu microdate, cuprinzând informațiile individuale ale persoanelor fizice sau ale gospodăriilor cuprinse în cercetările statistice exhaustive - totale - de tipul recensământului populației și locuințelor, al recensământului agricol - sau în cercetările statistice exhaustive și selective din domeniul social sau economic, nu cuprind informațiile individuale privind adresa, numele și prenumele și codul numeric personal sau orice alte informații care ar putea conduce la identificarea acestora.

Totodată, la difuzarea unor fișiere de microdate către utilizatorii autorizați se va asigura și depersonalizarea informațiilor individuale din punctul de vedere al localizării lor geografice. Astfel, pentru fișierele cu datele cercetărilor exhaustive, localizarea geografică a informațiilor trebuie realizată până la nivelul unei unități administrativ-teritoriale - municipiu, oraș, comună, iar pentru datele cercetărilor selective, localizarea trebuie asigurată numai până la nivelul de regiune de dezvoltare și, eventual, județ - fără identificarea localizării centrelor de cercetare.

2.6. Stocarea și arhivarea datelor statistice

Operațiunile de stocare a datelor statistice confidențiale care au intrat în posesia Institutului Național de Statistică și a unităților sale subordonate se realizează cu asigurarea tuturor măsurilor de protecție privind modul lor de arhivare sau stocare.

Aceste măsuri se referă la modul de arhivare a formularelor de tipul "raport statistic" sau "chestionar" pe suport hârtie sau electronic, la procesarea internă a datelor și organizarea stocării acestora, la respectarea regulilor interne de acces și la protecția împotriva accesului din exterior la datele confidențiale, stocarea și difuzarea rezultatelor - inclusiv cele privind siguranța și securitatea transmisiei de date.

Arhivarea formularelor cu date statistice individuale care constituie date confidențiale, termenele lor de păstrare, accesul la aceste formulare, precum și modalitățile de distrugere a acestora sunt asigurate în conformitate cu prevederile legale în vigoare și cu normele de arhivare specifice instituției, aprobate de către conducerea Institutului Național de Statistică.

Arhivarea datelor statistice stocate pe suport magnetic sau optic, frecvența arhivărilor, termenele de păstrare a arhivei electronice - magnetice sau optice - și modalitățile de asigurare a protecției datelor stocate împotriva degradării, distrugerii intenționate sau neintenționate sau modificării lor neautorizate se fac în conformitate cu regulile de protecție prevăzute de legislația în vigoare.

Măsuri de protecție a datelor statistice

Încăperile, camerele securizate, stațiile de lucru și terminalele trebuie frecvent controlate, aplicând măsuri de protejare împotriva accesului neautorizat, împotriva furtului sau a deteriorării, respectiv copierii neautorizate pe suporți magnetici a datelor statistice.

Resursele de calculator ce trebuie protejate sunt:

1. resursele partajate critice - servere, unități de backup, firewall-uri, routere, surse neîntreruptibile de curent - UPS ce deservesc pe precedentele. Acestea sunt amplasate într-o cameră separată, accesibilă doar personalului IT autorizat. Dacă sistemul de operare permite criptarea nativă a sistemului de fișiere, această facilitate va fi activată. Sursele neîntreruptibile de curent nu sunt comandate prin rețeaua de calculatoare din exteriorul camerei serverelor, împiedicând astfel închiderea neautorizată și distructivă a acestora;

2. stațiile de lucru - acestea sunt accesate - deservite de personalul propriu autorizat al direcțiilor regionale/județene de statistică și al direcțiilor de producție statistică din Institutul Național de Statistică, pentru introducerea, validarea, prelucrarea și diseminarea datelor statistice.

În cazul în care anumite stații de lucru sunt destinate accesului la bazele de date de diseminare pentru uz public sau unui personal extern autorizat, definite ca activități de diseminare a datelor statistice, acestea vor fi amplasate în spațiul amenajat pentru sala de consultare și diseminare sau într-un sector separat special amenajat, respectându-se:

a) măsurile suplimentare de securitate a datelor statistice și limitare a accesului la acestea, fiind dezactivate unitățile de floppy-disc, USB, CD-Writer sau alt dispozitiv de ieșire, pentru a împiedica copierea datelor statistice;

b) monitorizarea accesărilor.

Sistemele de operare cu proceduri native de criptare și jurnalizare - evidența zilnică a accesărilor pe fiecare utilizator sunt amplasate pe:

a) servere - s-a optat pentru o schemă de securitate maximală: permisiuni ale utilizării minimale și numai pe acele directoare/fișiere necesare aplicației informatice, parole definite;

b) stații de lucru - se utilizează o parolă de utilizator cu drepturi minimale, dar suficiente - în niciun caz o parolă de utilizator cu drepturi de administrare.

În ceea ce privește controlul accesului sunt asigurate măsurile care să permită verificarea accesului, respectiv monitorizarea activităților legate de folosirea datelor confidențiale. S-au luat măsurile necesare pentru ca stațiile de lucru dedicate introducerii de date statistice, serverele centrale ce stochează date statistice individuale să fie protejate electronic printr-un modul de control al accesului.

Obligațiile personalului și sancțiuni privind încălcarea regulilor de păstrare a confidențialității datelor statistice

Personalul cuprins în activitatea serviciilor de statistică oficială, care, potrivit statutului său legal, operează cu date statistice confidențiale, este obligat să respecte legislația în domeniu, enunțată la capitolul I, și implicit prezentele norme. Această obligație revine și persoanelor angrenate temporar în activitatea de prelucrare a datelor statistice și se extinde și după încetarea activității personalului statistic angajat permanent sau temporar.

Pe baza prezentelor norme, la angajare și ori de câte ori se impune, personalul compartimentului de resurse umane efectuează un instructaj al salariaților serviciilor de statistică oficială, care prin natura atribuțiilor de serviciu ce le revin au acces la date confidențiale pentru a-și putea îndeplini sarcinile de serviciu. Efectuarea instructajului, precum și faptul că salariatul se obligă să respecte regimul confidențialității datelor se consemnează în angajamentul de confidențialitate, scris și semnat de salariat, document ce face parte din dosarul personal al acestuia.

Încălcarea prezentelor norme poate atrage răspunderea contravențională, disciplinară, civilă sau penală, după caz.

Răspunderea contravențională intervine în următoarele cazuri:

Conform art. 45 lit. d) -f) din Legea nr. 226/2009, cu modificările și completările ulterioare, constituie contravenții următoarele fapte:

"

d) utilizarea de către personalul angajat în Sistemul statistic național și de către personalul atras temporar a datelor individuale ale persoanelor fizice sau juridice, în alte scopuri decât cele statistice;

e) încălcarea dispozițiilor art. 31 alin. (4);

f) nerespectarea principiului confidențialității datelor statistice de personalul angajat în Sistemul statistic național, de personalul atras temporar în realizarea activităților statistice sau de persoanele juridice prevăzute la art. 31 alin. (1)."

Contravențiile prevăzute la art. 45 din Legea nr. 226/2009, cu modificările și completările ulterioare, se sancționează potrivit art. 46 lit. a) și b) din aceeași lege, după cum urmează:

"

a) cele prevăzute la lit. a), c), d) și f), dacă sunt săvârșite de persoane fizice, cu amendă de la 500 lei la 2.000 lei;

b) cele prevăzute la lit. a), c), e) și f), dacă sunt săvârșite de persoane juridice, cu amendă de la 2.000 lei la 50.000 lei;".

Constatarea contravențiilor prevăzute la art. 45 din Legea nr. 226/2009, cu modificările și completările ulterioare, și aplicarea sancțiunilor se fac de către personalul producătorilor de statistici oficiale, împuternicit de conducătorul instituției publice respective sau de conducătorul instituției publice din care face parte unitatea cu profil statistic, prin ordin care se publică în Monitorul Oficial al României, Partea I, sau printr-un alt act de decizie specific producătorului de statistici oficiale, după caz.

Conform Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), cu modificările ulterioare, sancțiunile sunt stabilite în temeiul cap. VI Măsuri corective și sancțiuni din lege.

Constatarea contravențiilor și aplicarea sancțiunilor în cazul contravențiilor prevăzute în Legea nr. 190/2018, cu modificările ulterioare, se efectuează de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, conform atribuțiilor prevăzute în Legea nr. 129/2018 pentru modificarea și completarea Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru abrogarea Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date.

Încălcarea de către funcționarii publici, cu vinovăție, a îndatoririlor de serviciu atrage răspunderea administrativă, civilă sau penală, în condițiile legii și ale Ordonanței de urgență a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările și completările ulterioare.

Răspunderea disciplinară a funcționarilor publici intervine în cazul nerespectării confidențialității lucrărilor ce au acest caracter, precum și în cazul săvârșirii altor abateri disciplinare ce au legătură cu păstrarea confidențialității datelor statistice. Sancțiunile aplicabile sunt cele prevăzute de art. 492 și următoarele din Ordonanța de urgență a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările și completările ulterioare, coroborate cu dispozițiile prevăzute în Hotărârea Guvernului nr. 1.344/2007 privind normele de organizare și funcționare a comisiilor de disciplină, cu modificările și completările ulterioare.

Procedura aplicării sancțiunii disciplinare în cazul funcționarilor publici este cea prevăzută în Ordonanța de urgență a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările și completările ulterioare, și în Hotărârea Guvernului nr. 1.344/2007 privind normele de organizare și funcționare a comisiilor de disciplină, cu modificările și completările ulterioare.

Răspunderea contravențională în cazul funcționarilor publici este cea prevăzută la art. 498 din Ordonanța de urgență a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările și completările ulterioare.

Răspunderea civilă a salariaților din cadrul Institutului Național de Statistică intervine în condițiile art. 84 și 85 din Ordonanța de urgență a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările și completările ulterioare, sau în condițiile dreptului comun în materie, după caz.

Răspunderea disciplinară, patrimonială și contravențională a persoanelor încadrate cu contract individual de muncă intervine în condițiile Legii nr. 53/2003 - Codul muncii, republicată, cu modificările și completările ulterioare.

Răspunderea pentru infracțiunile săvârșite în timpul serviciului sau în legătură cu atribuțiile de serviciu se va angaja în conformitate cu prevederile legii penale potrivit art. 501 din Ordonanța de urgență a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările și completările ulterioare.

Acest document poate avea modificări ulterioare. Cumpărați documentul în formă actualizată sau alegeți un abonament Lege5 care permite accesul la orice formă actualizată.

;
se încarcă...