In ultimul meu articol am vorbit despre pericolul care ne pandeste cand emitem mesaje comerciale ce ar putea fi considerate nesolicitate. Si cand va sfatuiam cum sa va feriti de plangeri in acest sens, nu ma refeream doar la clientii vostri sau la destinatarii unei campanii de marketing (foarte multi dintre voi au afirmat ca acestia nu ar depune niciodata plangeri in acest sens), cat mai ales la cei care ar dori sa va faca rau si care, printr-o simpla sesizare, pot pune in miscare un intreg tavalug de controale si verificari pe care cu siguranta nu vi le doriti. Pe langa amenzi (deloc de neglijat), cel mai neplacut aspect la orice control al organelor este blocarea activitatii societatii pe perioada in care sunteti nevoiti sa dati explicatii si sa produceti sumedenia de acte in justificarea raspunsurilor voastre.

In acelasi spirit se incadreaza si acest al doilea articol, dorindu-si a fi un avertisment cu privire la unele incalcari ale legii mai rar discutate in spatiul public, verificate doar sporadic de organe din proprie initiativa (de regula, autosesizarile vin doar de pe urma unor emisiuni TV sau articole in presa de mare anvergura), care insa tocmai din acest motiv pot constitui arme redutabile impotriva voastra in mainile unora care va poarta sambetele! Pentru ca tocmai cei care isi fac treaba bine si constiincios sunt cei mai vulnerabili atunci cand vine vorba de atacuri tintite pe aceste domenii de nisa (e-marketing, licente pe tot ce aveti pe calculatoare etc), despre care adeseori nu stim totul pentru ca nu avem timp sa le stim pe toate si de regula facem ce fac si ceilalti, crezand ca va fi bine... Unul din acestea domenii poate atinge o zona juridica ce, odata rascolita, face ca trimiterea de mesaje comerciale nesolicitate sa para o joaca de copii.

Vorbim astazi despre protectia datelor personale.

Lucrati frecvent cu date personale ale clientilor vostri? V-ati intrebat vreodata cate asemenea date detineti? Stiti exact unde sunt acestea grupate si stocate in calculatorul sau calculatoarele voastre? Nu cumva sunt in zecile sau sutele de foldere de client, in care aveti mii de fisiere, toate continand nume, prenume, date de nastere, serii si numere de buletin sau de carti de identitate, pasapoarte, CNP-uri, adrese... Sunt gata sa pariez ca, la un moment dat, ati decis sa le ordonati pe toate si aveti acum un ditamai tabel centralizator, frumos, cu multe coloane, in care toate aceste date stau la un loc, abia asteptand un atac informatic care sa le mute in mainile oricui se nimereste sa patrunda acolo.

V-am captat atentia? Daca nu, cu siguranta ca reusesc acum: neindeplinirea obligatiilor privind confidentialitatea si aplicarea masurilor de securitate, prevazute de Legea 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal, constituie contraventie, daca nu este savarsita in astfel de conditii incat sa constituie infractiune, si se sanctioneaza cu amenda de la 1.500 lei la 50.000 lei!

Nu stiu cum va suna amenda, insa nu ea ar trebui sa va sperie in fraza de mai sus, ci mai degraba expresia “daca nu este savarsita in astfel de conditii incat sa constituie infractiune”. V-a scapat? Mai concret, daca cineva care v-a sustras datele - pentru ca nu ati respectat masurile de securitate impuse de lege si acel cineva a comis cu ele o infractiune (accesari de conturi, falsificari de acte samd.), legea prevede ca, dupa ce anchetatorii termina cu voi, va veti dori mai degraba amenda, credeti-ma, chiar si pe cea maxima! Pentru ca alternativa sunt acuzatiile de infractiune din culpa, de care va trebui sa dati socoteala in fata procurorilor si pe urma in instanta, cot la cot cu infractorul insusi!

In cazul acesta, care sunt acele cerinte de securitate ce trebuiesc respectate? Pentru ca, evident, nu vrem sa impartim niciodata o boxa cu vreun infractor!

Legea 677/2001 spune asa:
Art. 20: Securitatea prelucrarilor
(1) Operatorul este obligat sa aplice masurile tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat, in special daca prelucrarea respectiva comporta transmisii de date in cadrul unei retele, precum si impotriva oricarei alte forme de prelucrare ilegala.
(2) Aceste masuri trebuie sa asigure, potrivit stadiului tehnicii utilizate in procesul de prelucrare si de costuri, un nivel de securitate adecvat in ceea ce priveste riscurile pe care le reprezinta prelucrarea, precum si in ceea ce priveste natura datelor care trebuie protejate. Cerintele minime de securitate vor fi elaborate de autoritatea de supraveghere si vor fi actualizate periodic, corespunzator progresului tehnic si experientei acumulate.

Pai atunci, nu ne mai ramane decat sa aflam care sunt acele cerinte minime si sa le aplicam, nu? Ce usurare! Insa doar pana le citim, pentru ca ele sunt multe si nu intotdeauna usor de pus in practica. Parcurgeti-le cu rabdare, nu doar pentru ca nerespectarea oricareia din acestea inseamna ca puteti fi in culpa (si am enumerat doar 10 dintre cele mai importante...), dar si pentru ca la sfarsit va voi impartasi solutii efective, din propria mea experienta.

Cerintele se regasesc in ORDINUL nr. 52/2002 privind aprobarea Cerintelor minime de securitate a prelucrarilor de date cu caracter personal, emis de Avocatul Poporului, si suna cam asa:

1. Utilizatorii bazei voastre de date cu caracter personal (indiferent ca sunteti voi personal, angajati sau colaboratori) pentru a capata acces la ea, trebuie sa se identifice, cum ar fi: prin introducerea codului de identificare de la tastatura (un sir de caractere), folosirea unei cartele cu cod de bare, folosirea unei cartele inteligente (smart card) sau a unei cartele magnetice etc; ideea e ca fiecare utilizator trebuie sa aiba propriul sau cod de identificare;
2. Codurile de identificare (sau conturi de utilizator) nefolosite o perioada mai indelungata trebuie dezactivate si distruse. De exemplu, daca ati avut un angajat care a plecat, parola si userul acestuia trebuiesc eliminate ca si cale de acces catre bazele de date, cat si catre actele care contin date cu caracter personal;
3. Sistemul vostru informational trebuie sa fie astfel realizat incat sa refuze automat accesul unui utilizator dupa 5 introduceri gresite ale parolei;
4. Utilizatorii trebuie sa acceseze numai datele cu caracter personal necesare pentru indeplinirea atributiilor lor de serviciu. Cu alte cuvinte, secretara (care are nevoie de numere de telefon, fax si adresa clientilor) nu are ce cauta sa vada CNP, serie si nr de buletin si alte date care nu au legatura cu ce face ea.
5. Orice modificare a datelor cu caracter personal trebuie sa se poata face numai de catre utilizatori autorizati desemnati de voi, sistemul informational urmand a fi astfel proiectat incat sa inregistreze cine a facut modificarea, data si ora modificarii;
6. Sa existe back-up-uri cu aceste inregistrari, cat si cu datele in forma lor dinainte de modificare, securizate, care la randul lor se vor stoca in alte camere, in fisete metalice cu sigiliu aplicat si, daca este posibil, chiar in camere din alta cladire;
7. Computerele si alte terminale pe care se opereaza acest gen de date vor fi instalate in incaperi cu acces restrictionat;
8. Daca pe ecran apar date cu caracter personal asupra carora nu se actioneaza o perioada data, sesiunea de lucru trebuie inchisa automat, adica trebuie stabilit ca dupa un anumit numar de minute aplicatia sa se delogheze;
9. Terminalele de acces folosite in relatia cu publicul, pe care apar date cu caracter personal, vor fi pozitionate astfel incat sa nu poata fi vazute de public;
10. Operatorul este obligat sa ia masuri ca orice accesare a bazei de date cu caracter personal sa fie inregistrata intr-un fisier de acces (numit log la prelucrarile automate). Informatiile inregistrate in fisierul de acces, care va fi pastrat conform legii minim 2 ani, vor fi:
- codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale);
- numele fisierului accesat (fisei);
- numarul inregistrarilor efectuate;
- tipul de acces;
- codul operatiei executate sau programul folosit;
- data accesului (an, luna, zi);
- timpul (ora, minutul, secunda).

Ma opresc aici cu cerintele, intrucat sunt sigur ca e deja suficient cat sa va cuprinda disperarea!...

Cum v-am obisnuit insa, vin si cu solutia, si cand spun solutie nu ma refer la cea simpla, de tipul “citeste ce trebuie sa faci in lege si aplica”. Asa ar fi ideal, insa cum putem sa respectam in practica, concret, toate acestea?

SOLUTIA:

Daca inca nu aveti un calculator dedicat pentru date, e timpul sa va achizitionati unul. Nu e mai scump decat un PC obisnuit, singura diferenta este ca e bine sa fie echipat cu doua harddisk-uri care sa functioneze in RAID (adica: orice schimbare de pe discul 1 este copiata si pe discul 2, pentru protectia datelor in cazul in care unul din harddisk-uri cedeaza). Intrucat un server de date nu necesita sistem de operare Windows sau alte softuri scumpe (Office etc.), functionand foarte bine si cu Linux, costurile pentru un asemenea echipament sunt chiar mai mici decat pentru un calculator obisnuit de birou.

Odata achizitionat, acesta trebuie instalat in retea cu celelalte calculatoare din firma. Toate datele de pe calculatoare se vor muta pe server, care va fi configurat in asa fel incat angajatii sa aiba acces la fisiere doar parolat, pe nivele si/sau doar pe anumite foldere, aici incluzand bineinteles bazele de date cu clienti carora va trebui sa li se dea o atentie sporita. Din acel moment, orice fisier se va deschide si lucra exclusiv direct pe server, interzicandu-se stocarea acestora pe calculatoarele din retea.

Daca acest server de date e instalat in alta incapere, sau macar intr-un asa-numit “rack” inchis cu cheie (dulap de regula metalic sau din sticla, special destinat echipamentelor si accesoriilor din clasa servere, switch-uri, modem etc), v-ati aliniat dintr-un foc la primele 7 cerinte pomenite de mine mai sus!

Evident ca tot sistemul de parolare si acces pe nivele, cu respectarea prevederilor Ordinului nr. 52/2002 in ceea ce priveste timpul de delogare in standby si toate celelalte, este o treaba de specialist, dar va asigur ca va fi una din cele mai bune investitii facute, si mai jos veti vedea de ce.

Pentru protectia completa a acestor date si respectarea tuturor prevederilor legale, mai aveti de facut un lucru: remote incremental backup.

Denumirea aceasta pretentioasa e de fapt ceea ce s-ar numi o copiere a tuturor datelor de pe serverul vostru, pe un harddisk aflat la distanta (de regula la o firma de hosting, clowding si/sau back-up), dupa care se efectueaza, la un interval stabilit de comun acord (de exemplu zilnic), copierea doar a fisierelor sterse, modificate sau nou aparute de la ultimul back-up.

In acest mod, pe langa faptul ca veti avea acces la orice fisier de pe server in orice forma a acestuia din ultimele 365 zile (sau mai mult, la mine e un an in contract si am constata ca e suficient), mai aveti si avantajul de a respecta si restul prevederilor legale, intrucat nu veti uita sa mentionati in contractul de externalizare cu prestatorul ca acesta se obliga sa respecte in totalitate cerintele minime de securitate a prelucrarilor de date cu caracter personal! Cel mai bine e sa-i atasati Ordinul nr. 52/2002 la contract, sa ziceti ca face parte integranta din acesta si gata, sunteti acoperiti.

Mai ramane sa gasiti voi o solutie la prevederea conform careia terminalele de acces folosite in relatia cu publicul, pe care apar date cu caracter personal, trebuie pozitionate astfel incat sa nu poata fi vazute de public... Daca toate celelalte cerinte sunt respectate, dati-mi voie sa cred ca asta e ultima voastra problema!

Nota: Articolul de fata nu inlocuieste citirea in integralitate a prevederilor legale la care face referinta, doar o lectura completa garantand cunoasterea lor in detaliu si implicit posibilitatea de a va conforma acestora.

Articol scris de Iuliu Ciupe-Vaida (foto), Director executiv ULPIAN ASSIST