Protecţia datelor cu caracter personal
A. Consideratii generale
Organizaţiile şi indivizii care prelucrează date cu caracter personal au obligaţia de a le păstra astfel încât să le fie asigurată confidenţialitatea şi securitatea. Aceste obligaţii sunt subsumate dreptului la protecţia datelor cu caracter personal, reglementat prin Regulamentul (UE) 2016/679.
Inclus, potrivit jurisprudenței Curții Europene a Drepturilor Omului, în conținutul dreptului la viață intimă familială și privată, garantat de art.8 din Convenția pentru apărarea drepturilor omului și a libertăților fundamentale, dreptul la protecţia datelor cu caracter personal și-a găsit de curând consacrarea, în cadrul drepturilor fundamentale ale persoanei, prin art. 8 din Carta drepturilor fundamentale a Uniunii Europene, instrument juridic fundamental al Uniunii care a căpătat valoare juridică prin intrarea în vigoare a Tratatului de la Lisabona.
În România, Regulamentul (UE) 2016/679 se aplică prelucrărilor efectuate:
• prin intermediul unui sistem de prelucrare automatizată (computer);
• pe suport de hârtie sau în orice altă formă de prelucrare neautomatizată dacă fac parte dintr-un sistem de evidentă sau sunt destinate să fie incluse într-un astfel de sistem;
• indiferent de forma acestora: fotografii sau înregistrări video ale imaginii sau înregistrări ale vocii, date biometrice.
Concepte:
• dată cu caracter personal – orice informaţii privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale; se remarcă faptul că doar persoanele fizice se bucură de dreptul la protecţia datelor cu caracter personal
• operator – persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal;
• sistem de evidenţă a datelor cu caracter personal – orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice.
Principii legate de prelucrarea datelor cu caracter personal :
• prelucrate în mod legal, echitabil şi transparent faţă de persoana vizată („legalitate, echitate şi transparenţă”);
• colectate în scopuri determinate, explicite şi legitime şi nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile iniţiale („limitări legate de scop”); adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”);
• exacte şi, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere („exactitate”);
• păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele;
datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, sub rezerva punerii în aplicare a măsurilor de ordin tehnic şi organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor şi libertăţilor persoanei vizate („limitări legate de stocare”);
• prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate şi confidenţialitate”).
Legalitatea prelucrării :
Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii:
a) persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
c) prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;
d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
e) prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;
f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
Categoriile speciale de date:
– este interzisă prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice;
– prelucrarea codului numeric personal sau a altui identificator național este limitată;
• prelucrarea datelor cu caracter personal referitoare la săvârşirea de infracţiuni de către persoana vizată ori la condamnări penale, măsuri de siguranţă sau sancţiuni administrative ori contravenţionale, aplicate persoanei vizate, poate fi efectuată numai de către sau sub controlul autorităţilor publice.
Drepturile persoanei vizate
În conformitate cu legislația aplicabilă beneficiaţi de:
– dreptul de acces;
– dreptul la rectificare;
– dreptul la ştergerea datelor;
– dreptul la restricţionarea prelucrării;
– dreptul la portabilitatea datelor;
– dreptul la opoziţie;
– procesul decizional individual automatizat, inclusiv crearea de profiluri;
– dreptul de a adresa plângeri Autorităţii naţionale de supraveghere;
– dreptul la o cale de atac judiciară eficientă.
Transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale se realizează, în principiu, în următoarele condiții:
– Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecţie;
– Transferuri în baza unor garanţii adecvate;
– Reguli corporatiste obligatorii.
B. Autoritatea natională de supraveghere
Garantul respectării dreptului la protecţia datelor cu caracter personal Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), cu sediul în Bucureşti bd. G-ral Gheorghe Magheru, nr.28-30, Sector 1. ANSPDCP a fost înfiinţată prin Legea nr.102/2005 republicată, atribuțiile acestei instituții fiind stabilite. Mai multe informaţii puteţi găsi aici www.dataprotection.ro.
C. Prelucrarea datelor cu caracter personal în Ministerul Afacerilor Interne (Informare)
Ministerul Afacerilor Interne, ca operator de date cu caracter personal, este preocupat în mod constant de asigurarea unei protecții ridicate a persoanelor cu privire la prelucrările de date cu caracter personal pe care le efectuează și implicit cu respectarea dispozițiilor europene și naționale aplicabile.
Ministerul Afacerilor Interne prelucrează datele dumneavoastră cu caracter personal, prin mijloace automatizate/manuale pentru următoarele scopuri:
• relații publice/petiționare;
• resurse umane;
• acreditare a reprezentanților mass-media;
• monitorizare/securitate a persoanelor, spațiilor și/sau bunurilor publice/private;
• gestionarea situaţiilor de urgenţă;
• formulare de acțiuni și reprezentare în instanță;
• organizare/derulare evenimente;
• îndeplinirea atribuţiilor legale de control și audit;
• gestiunea financiar-contabilă;
• gestiunea logistico-administrativă;
• achiziţii publice;
• supravegherea fenomenelor epidemiologice;
• triajul persoanelor pentru accesul în clădirea din Piața Revoluției, nr. 1A.
În raport cu scopurile de mai sus, instituția noastră prelucrează următoarele categorii de date cu caracter personal:
• Numele și prenumele
• Numele și prenumele membrilor de familie
• Sexul
• Data și locul nașterii
• Cetățenia
• Datele din actele de stare civilă
• Caracteristici fizice/antropometrice
• Telefon/fax
• Date privind cazierul judiciar
• Adresă domiciliu/reședință
• E-mail
• Funcție/Profesie
• Loc de muncă
• Denumirea angajatorului
• Situație familială
• Situație militară
• Situație economică și financiară
• Date privind bunurile deținute
• Date bancare
• Imagine
• Calitatea deținută în societăți comerciale (asociat, administrator)
• Voce
• Semnătura
• Numărul dosarului de pensie
• Numărul asigurării sociale/asigurării de sănătate
• Date privind formarea profesională – diplome – studii
• Date privind starea de sănătate
• Date privind confesiunea religioasă/convingerile filozofice/apartenenţa la sindicate
• CNP – codul numeric personal
• Seria și numărul actului de identitate
• Numărul pașaportului/permisului de conducere
• Numărul asigurării sociale sau de sănătate
MAI își rezervă dreptul de a solicita alte date necesare pentru îndeplinirea atribuțiilor, strict în conformitate cu prevederile legale.
Informaţiile înregistrate sunt destinate utilizării de către operator/împuternicit al operatorului și sunt comunicate numai următorilor destinatari: operatorului, persoanei vizate/reprezentanților legali ai acesteia, autoritatea judecătorească, organe de urmărire penală si alte instituţii abilitate de lege să solicite informaţii.
D. Cadrul legislativ european
– Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor);
– Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului;
– Directiva 2002/58/CE din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice).
Cadrul legislativ național
– Lege nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor);
– Lege nr. 363 din 28 decembrie 2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date;
– Lege nr. 102 din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, republicată, cu modificările și completările ulterioare;
– Lege nr. 506 din 17 noiembrie 2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice;
– Decizia ANSPDCP nr. 128/2018 privind aprobarea formularului tipizat al notificării de încălcare a securităţii datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE;
– Decizia ANSPDCP nr. 133 din 3 iulie 2018 privind aprobarea Procedurii de primire și soluționare a plângerilor;
– Decizia ANSPDCP nr. 161 din 9 Octombrie 2018 privind aprobarea Procedurii de efectuare a investigațiilor;
– Decizia ANSPDCP nr. 238 din 18 decembrie 2019 privind modificarea anexei nr. 2 la Procedura de efectuare a investigaţiilor;
– Decizia ANSPDCP nr. 174 din 18 octombrie 2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal;
E. Link-uri utile:
http://dataprotection.ro/
https://edpb.europa.eu/edpb_ro
https://edps.europa.eu/
https://ec.europa.eu/info/law/law-topic/data-protection_ro
https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/index_en.htm