Art. 35. - În urma evaluării prevăzute la alin. (3), operatorul sau, după caz, persoana împuternicită de către operator are obligaţia punerii în aplicare a măsurilor menite: - Legea 363/2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date

M.Of. 13

În vigoare

Versiune de la: 7 Ianuarie 2019

Art. 35

(1)Operatorul sau, după caz, persoana împuternicită de către operator implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător.

(2)La stabilirea nivelului de securitate corespunzător, operatorul sau, după caz, persoana împuternicită de acesta are în vedere stadiul actual al tehnologiei şi costurile implementării şi ţine seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de gradul de ingerinţă asupra drepturilor şi libertăţilor persoanelor fizice, în special cu privire la prelucrarea categoriilor speciale de date cu caracter personal prevăzute la art. 10.

(3)În situaţia prelucrărilor prin mijloace automate, operatorul sau, după caz, persoana împuternicită de către operator este obligată să realizeze o evaluare a riscurilor incidente prelucrărilor preconizate.

(4)În urma evaluării prevăzute la alin. (3), operatorul sau, după caz, persoana împuternicită de către operator are obligaţia punerii în aplicare a măsurilor menite:

a)să asigure controlul accesului la echipamentele de prelucrare utilizate pentru prelucrare, denumit în continuare controlul accesului la echipamente;

b)să asigure controlul asupra suporturilor de date, în scopul împiedicării oricărei citiri, copieri, modificări sau eliminări neautorizate a acestora, denumit în continuare controlul suporturilor de date;

c)să asigure controlul asupra introducerii de date cu caracter personal, precum şi asupra inspectării, modificării sau ştergerii neautorizate a datelor cu caracter personal stocate, denumit în continuare controlul stocării;

d)să asigure controlul asupra utilizării sistemelor de prelucrare automată cu ajutorul echipamentelor de comunicare a datelor, denumit în continuare controlul utilizatorului;

e)să asigure faptul că persoanele autorizate au acces numai la datele cu caracter personal pentru care au autorizare, denumit în continuare controlul accesului la date;

f)să asigure că sunt posibile verificarea şi identificarea organismelor cărora le-au fost transmise sau puse la dispoziţie sau s-ar putea să le fie transmise sau puse la dispoziţie date cu caracter personal utilizându-se echipamente de comunicare a datelor, denumit în continuare controlul comunicării;

g)să asigure că este posibil ca ulterior să se verifice şi să se identifice datele cu caracter personal introduse în sistemele de prelucrare automată, momentul introducerii datelor cu caracter personal şi entitatea care le-a introdus, denumit în continuare controlul introducerii datelor;

h)să împiedice citirea, copierea, modificarea sau ştergerea neautorizată a datelor cu caracter personal în timpul transferurilor de date cu caracter personal sau în timpul transportării suporturilor de date, denumit în continuare controlul transportării;

i)să asigure posibilitatea recuperării sistemelor instalate în cazul unei întreruperi, denumită în continuare recuperarea;

j)să asigure funcţionarea, fiabilitatea şi integritatea sistemului, prin instituirea de măsuri de raportare a defecţiunilor de funcţionare, precum şi de asigurare a imposibilităţii coruperii datelor cu caracter personal stocate din cauza funcţionării defectuoase a sistemului.