Sinteză
Ministerul Afacerilor Interne a emis instrucțiuni detaliate pentru a asigura securitatea prelucrării datelor cu caracter personal în cadrul structurilor sale, stabilind măsuri organizatorice și tehnice conforme cu legislația națională și europeană privind protecția datelor.
Scopul și Domeniul de Aplicare
Instrucțiunile nr. 112 din 30 iulie 2025, emise de viceprim-ministrul, ministrul afacerilor interne, stabilesc măsuri organizatorice și tehnice esențiale pentru asigurarea securității prelucrărilor de date cu caracter personal. Acestea se aplică tuturor activităților de prelucrare a datelor personale desfășurate de Ministerul Afacerilor Interne (MAI), precum și de unitățile, instituțiile și structurile din subordinea sau cadrul MAI, în calitatea lor de operatori, operatori asociați sau persoane împuternicite de operatori. Baza legală o constituie Regulamentul (UE) 2016/679 (GDPR), Legea nr. 190/2018 și Legea nr. 363/2018, precum și deciziile Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
Măsuri Organizatorice
Documentul detaliază rolurile și responsabilitățile la nivelul MAI, incluzând:
- Desemnarea Responsabilului cu Protecția Datelor (RPD): Fiecare operator din cadrul MAI trebuie să desemneze un RPD, care nu trebuie să fi fost sancționat administrativ sau disciplinar pentru încălcări ale normelor de protecție a datelor. Se pot înființa structuri specializate pentru sprijinirea RPD.
- Obligațiile Operatorilor: Asigurarea informării persoanelor vizate, securitatea prelucrărilor, ținerea evidenței activităților de prelucrare, elaborarea de politici și proceduri interne, transmiterea anuală a unei analize către Oficiul RPD (ORPDP), furnizarea de informații și documente către ORPDP, notificarea încălcărilor de securitate către ANSPDCP și persoanele vizate, publicarea datelor de contact ale RPD, evaluarea riscurilor și implementarea măsurilor de atenuare.
- Atribuțiile Conducerii Operatorului: Stabilirea scopului și mijloacelor de prelucrare, desemnarea RPD, aprobarea procedurilor interne, asigurarea implementării normelor, instruirea utilizatorilor, modificarea fișelor de post, suspendarea/revocarea drepturilor de acces și informarea ORPDP despre încălcări.
- Obligațiile Utilizatorilor: Cunoașterea și aplicarea normelor, prelucrarea exclusivă a datelor necesare, păstrarea confidențialității, respectarea măsurilor de securitate, informarea superiorilor despre diseminări neautorizate și utilizarea exclusivă a echipamentelor securizate. Utilizatorii trebuie să semneze o declarație de responsabilitate.
- Gestionarea Accesului: Extinderea sau restrângerea atribuțiilor de prelucrare se face la decizia conducerii. Suspendarea sau revocarea accesului se aplică în caz de absență prelungită, cercetare administrativă sau disciplinară, sau încetarea raporturilor de muncă.
- Instruirea Utilizatorilor: Se realizează periodic prin planuri anuale de pregătire, tutelă profesională, cursuri organizate de ORPDP, acoperind legislația națională și europeană, riscurile și măsurile de securitate.
Măsuri Tehnice
Documentul detaliază aspectele tehnice ale securității datelor:
- Prelucrarea Datelor: Datele cu caracter personal sunt prelucrate pentru scopuri de prevenire, descoperire, cercetare, urmărire penală, combaterea infracțiunilor, executarea pedepselor, măsuri educative și de siguranță, precum și pentru menținerea ordinii publice și scopuri administrative. Se definesc operațiunile de prelucrare (colectare, înregistrare, organizare, stocare, adaptare, modificare, extragere, consultare, utilizare, divulgare, aliniere, combinare, restricționare, ștergere, distrugere).
- Comunicarea Datelor: Se realizează în baza contractelor sau documentelor de cooperare, sau la solicitări scrise motivate, cu respectarea drepturilor persoanelor vizate.
- Securitatea Sistemelor Informatice: Se stabilesc conturi unice de acces, metode de identificare și autentificare (parole, smart carduri, PIN-uri) care trebuie să fie unice, personale și netransmisibile. Parolele trebuie să aibă minimum 10 caractere alfanumerice și să fie schimbate periodic. Sistemele trebuie să blocheze conturile după un număr de încercări eșuate.
- Securitatea Fizică și Logică: Dispozitivele de autentificare trebuie păstrate în siguranță. Se interzice instalarea de software neautorizat, se configurează porturile de acces și se securizează echipamentele mobile. Se implementează soluții de contracarare a vulnerabilităților și se auditează infrastructura.
- Prelucrarea Manuală a Datelor: Se impun măsuri de securitate adecvate pentru datele prelucrate manual (documente pe hârtie), inclusiv depozitarea în locuri sigure și marcarea documentelor cu mențiuni de protecție.
- Proceduri Proprii: Operatorii trebuie să elaboreze proceduri detaliate privind administrarea conturilor, automonitorizarea, controlul accesului fizic, confidențialitatea, integritatea și disponibilitatea datelor, securitatea transmisiilor, gestionarea riscurilor și incidentelor, soluționarea cererilor persoanelor vizate și activitățile în caz de încălcare a securității.
- Backup și Monitorizare: Datele prelucrate automatizat trebuie salvate periodic prin copii de siguranță, stocate în locații securizate. Se efectuează controale periodice ale autentificărilor și măsurilor de securitate.
Dispoziții Finale
Nerespectarea acestor instrucțiuni poate atrage răspunderea disciplinară, civilă sau materială. Instrucțiunile intră în vigoare la 15 zile de la publicare și abrogă Instrucțiunile ministrului administrației și internelor nr. 27/2010.