Pentru ce trebuie să mă notific la Autoritatea pentru Protecția Datelor? Proiect de decizie ANSPDCP

În momentul de față regula generală este că orice prelucrare de date personale trebuie notificată la Autoritatea pentru Protecția Datelor (ANSPDCP). Așadar, indiferent ce tip de date personale prelucrezi și cât de multe – de la un newsletter pentru un blog, la o bază de date cu sute de mii de date personale – ai obligația să te înregistrezi ca operator de date cu caracter personal la ANSPDCP.

Autoritatea a lansat pe 21 septembrie în consultare publică un proiect de decizie prin care limitează obligația de notificare la o serie de categorii de operațiuni de prelucrare a datelor. Astfel, doar anumite tipuri de prelucrări de date vor necesita notificarea. De exemplu: date legate de starea medicală, religia, etnia, rasa, orientarea sexuală, politică, datele genetice, biometrice, prelucrarea datelor personale care permit geo-localizarea etc. (vezi lista completă la Art. 1 din proiectul de decizie)

În legătură cu acest demers, ApTI a trimis câteva comentarii. Pe scurt, încurajăm inițiativa de a reduce încărcătura birocratică, fapt dorit și de propunerea de Regulament General pentru Protecția Datelor care va fi adoptat în curând.

În același timp am făcut și unele recomandări pe care le puteți consulta mai jos:

Asociația pentru Tehnologie și Internet salută inițiativa de a demara un Proiect de Decizie privind stabilirea categoriilor de operaţiuni de prelucrare a datelor cu caracter personal pentru care este necesară notificarea și apreciază intenția de a simplifica sistemul de prelucrare a datelor personale prin diminuarea procedurilor birocratice.

Considerăm utilă limitarea obligației privind notificarea doar la anumite operațiuni sensibile, dar dorim să atragem atenția asupra următoarelor chestiuni:

1. La Art. 1 lit. a) se introduce ca excepție de la notificare situația când prelucrarea datelor personale este “efectuată în scopul implementării/derulării unor programe finanțate din fonduri europene”.

Considerăm că această excepție este lipsită de temei și nenecesară întrucât prelucrarea datelor în cadrul unor proiecte (indiferent că sunt europene sau nu) implică de obicei categorii de date sensibile pentru care este necesar un nivel mai ridicat de protecție. Ori faptul că sunt proiecte europene nu presupune automat un nivel mai ridicat de protecție a datelor. Mai mult, excepția crează un conflict în ceea ce privește prelucrarea datelor personale în cadrul proiectelor finanțate din alt gen de surse, cum ar fi fondurile norvegiene sau cele naționale.

2. Observăm însă omiterea unor categorii de prelucrare a datelor personale ce pot prezenta un grad ridicat de risc. Din experiența noastră sugerăm includerea notificării pentru prelucrarea datelor personale prin intermediul mijloacelor electronice, în cazurile în care aceasta aduce un impact semnificativ asupra vieții private și care nu sunt vizibile pentru utilizatori.

Ne referim în special la cazurile de profilare când informații cu privire la o persoană pot fi prelucrate de obicei prin cookie-uri terțe părți (de exemplu: butoane de Facebook, LinkedIn, Twitter, Google si alte rețele publicitare online) sau alte metode intruzive (cum a fost de exemplu cazul Phorm), precum și la situațiile în care datele personale sunt prelucrate prin identificatori de tipul RFID sau alți senzori caracteristici Internet of Things.

3. Recomandăm evidențierea în proiectul de decizie a faptului că lipsa notificării nu absolvă de respectarea tuturor celorlalte obligații privind protecția datelor personale, conform Legii 677/2001.

În concluzie, ne exprimăm susținerea față de simplificarea procedurilor și descărcarea birocratică, acest lucru fiind dorit și prin propunerea de Regulament General privind Protecția Datelor.

Recomanđăm eliminarea excepției de la Art. 1 lit. a) și revizuirea categoriilor de operațiuni de prelucrare de date, așa încât să conțină și cazurile propuse mai sus.

Proiectul "Protectia datelor personale este un drept fundamental!" este finanțat prin granturile SEE 2009-2014, în cadrul Fondului ONG în România. Conținutul acestui website nu reprezintă în mod necesar poziția oficială a granturilor SEE 2009-2014. Întreaga răspundere asupra corectitudinii și coerenței informațiilor prezentate revine inițiatorilor website-ului.

Pentru informații oficiale despre granturile SEE și norvegiene accesați http://www.eeagrants.org