6 comments
Comment from: Cristian Banu
Comment from: bogdan
1) n-am inteles exact la ce taxa te referi ? - l acea de inregistrare la ei?
2) Habar nu am cum privesc problema, eu cred ca nu ar trebui daca ramin in proprietate aceleiasi firmei si nimeni altcineva nu are acces la ele.
Dar cel mai bine ii intrebi direct.
Intrebare: o sa intre in vigoare aceste cerinte minime? Sau… sunt doar propuneri? Mie mi se par destul de rezonabile, atata vreme cat, asa cum spunea si cristian, sunt realizabile(serverele cu datele de pe site nu sunt locale la multi dintre noi…)
Comment from: bogdan
Stefan,
E un document in consultare publica - adica daca ai ceva de comentat e bine sa mergi pe siteul lor si sa le trimiti un email, poate si o scrisoare cu punctul tau de vedere.
Ei o sa-l ia considearare sau nu, dupa caz.
Eu pun aici informatia ca sa stiti ca acum este momentul sa fie trimis un comentariu la acest act care sa fie luat in discutie in mod oficial.
Nu sunt implicat in administrare de servere, asa ca nu stiu exact care din acele dispozitii sunt ok sau nu. In plus parerea mea este ca Autoritatea are nevoie de parerea celor din industrie care chiar se ocupa zi de zic cu chestiuni de genul asta.
Comment from: Cezar Spatariu
Dupa parerea mea documentul este destul de bine conceput prevazind aspecte cum ar fi anonimizarea datelor, modalitatea de access la sistemele care contin datele personale, physical IT security, obligativitatea politicilor si procedurilor, a logurilor de access cit si criptarea liniilor de transmisie.
Ceea ce dupa parerea mea lipseste este definirea notiuni de date personale. Din cauza asta cred ca va fii foarte usor “viitorilor beneficiari ai legii” sa se eludeze de la aplicarea ei.
Un alt aspect important: nu este stipulat nicaieri ca sistemele care trebuie sa fie folosite la prelucrarea si stocarea de date trebuie sa fie configurate conform unor standarde de securitate in domeniul IT internationale recunoscute (Common Criteria EAL4 ). Nu ajuta pe nimeni existenta unui log daca el poate fii modificat de catre orice utilizator. Totodata nu se prevede criptarea datelor in cazul stocarii lor pe alte medii.
In pagina 4 se vorbeste despre necesitarea unei verificari anuale, dar nu se specifica cine are autoritatea sa verifice aceste institutii cit si care vor fii criterile dupa care se va face verificare.
Cu toate ca parerile mele reprezinta parerile unui “auditor” si nu ale unui jurist, cred ca sint aspecte pe care noua lege ar trebui sa le ia in considerare.
Comment from: bogdan
Mersi pentru comentarii.
O precizare - documentul nu trebuie sa precizeze notiune de date personale, pentru ca ele sunt deja definite in legea cadru 677/2001
Art 3
a) date cu caracter personal - orice informatii referitoare la o persoana fizica identificata sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
b) prelucrarea datelor cu caracter personal - orice operatiune sau set de operatiuni care se efectueaza asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, inregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvaluirea catre terti prin transmitere, diseminare sau in orice alt mod, alaturarea ori combinarea, blocarea, stergerea sau distrugerea;
Cam desuetă cerinţa ca PC-urile să fie în încăperi cu acces restricţionat :D în condiţiile în care nu trebuie să fii în aceeaşi cameră cu un computer pentru a-l accesa.
Partea cu păstrarea logurilor este OK.
Însă ceea ce nu am înţeles eu este:
1) de ce trebuie plătită o taxă
2) situaţia în care serverele (cele principale sau cele de backup) se află în altă ţară se consideră sau nu export de date? Fiindcă fizic, datele se află în altă ţară, dar practic ele sunt tot în posesia firmei şi nu sunt folosite de un terţ.