Ghid despre prelucrarea datelor personale din categoriile speciale

Discuția despre date personale este strâns legată de tehnologie și știință. Trăim într-un mediu dinamic în care tehnologia oferă din ce în mai multe oportunități, dar prezintă și riscuri. La cât de repede avansează tehnologia și știința, nu poți ști în viitor ce noi moduri de identificare a persoanei vor fi folosite și nici ce tipuri de corelări de date se vor utiliza și care vor putea face o persoană identificabilă. Deja se poate demonstra că adresele IP (adică numărul alocat dispozitivului de pe care te conectezi la Internet) sunt tratate ca date cu caracter personal, așa că poate pe viitor poate se va ajunge la concluzia că și adresele MAC (un fel de CNP al dispozitivului cu care te conectezi la Internet) te pot identifica ca și calculator și deci și ca persoană.

Indiferent dacă vorbim de mediul fizic sau cel online, protecția de care ar trebui să ne bucurăm ar trebui să fie egală. Drepturile fundamentale ar trebui să fie garantate necondiționat, așa că viața privată și protecția datelor personale trebuie asigurate atât offline, cât și online.

1. Ce sunt datele personale?

Definiția datelor personale poate părea complicată – definiția exactă o găsești în Legea 677/2001. Explicat într-un mod mai structurat, datele personale pot fi orice date:

• ale tale (nume, prenume, CNP, amprentă, ADN)

• despre tine (vârstă, sex, etnie, rasă, orientare sexuală, politică, religioasă, starea de sănătate)

• în legătură cu tine (adresa de domiciliu, reședința, adresa de e-mail, ocupația, venitul)

Care, singure sau cumulate, te-ar putea identifica ca persoană – adică orice alt tip de date care se pot corela pentru a duce la identificarea ta.

Aceste date sunt personale dacă te pot identifica în mod direct sau indirect, altfel le considerăm date anonime. De exemplu, dacă spun “un bărbat de 48 de ani din Constanța” – acestea sunt date anonime, pentru că este practic imposibil să putem identifica această persoană. Dar dacă zicem “un bărbat de 48 de ani din Constanța care conduce mașina CT-02-HYNNJJJ”, atunci îl vom putea identifica dacă îl vedem pe stradă sau dacă avem acces la datele din registrul poliției de înmatriculare a mașinilor.

Deci definiția datelor personale este foarte largă. Ceea ce este foarte bine pentru că în felul acesta se poate oferi o mai bună protecție. Datele personale sunt un lucru dinamic, tot timpul pot fi noi identificatori care spun ceva despre tine și care te pot identifica.

Nu există o listă completă cu exemple de date personale pentru că orice informații care pot duce la identificarea unei persoane pot fi considerate date personale. De exemplu, pe lângă nume, adresă, contul bancar, amprentă, fotografie, intră și orice date care, deși nu sunt intim legate de tine, pot fi folosite pentru a te repera. Cine ar fi crezut că niște simple cuvinte introduse într-un motor de căutare (cum ar fi Yahoo, Bing, Google) pot duce la identificarea unei persoane? Ei bine, se poate și s-a și întâmplat deja. Este interesant de citit despre cum o femeie din Lilburn, Georgia a fost identificată doar după căutări; există și o serie de scurt metraje despre asta, recomandăm I love Alaska.

2. Care sunt categoriile speciale de date personale?

Categoriile speciale de date personale sunt strict delimitate de lege:

• rasa
• etnia
• orientarea politică
• religia
• convingerile filozofice sau de natură similară
• apartenența sindicală
• date privind starea de sănătate
• date despre viața sexuală

În plus sunt considerate date cu un regim special (vezi detalii la punctele 7 și 8):

• date cu caracter personal având o funcţie de identificare de aplicabilitate generală, cum este codul numeric personal (CNP)
• date personale referitoare la fapte penale sau contravenții

3. Ce reguli speciale presupune prelucrarea acestor date?

În general, prelucrarea acestor date este interzisă, dar există o serie de excepții.

4. Unde găsești regulile speciale de prelucrare a datelor din categoriile speciale?

Capitolul III din Legea 677/2001.

5. Care sunt situațiile când pot prelucra date cu caracter special?

5.1. când persoana vizată și-a dat acordul expres

Cum este practic exprimat acest acord expres? Consimțământ expres exprimat, înseamnă că persoana a înțeles cum vor fi prelucrate datele din aceste categorii, la cine vor ajunge și pentru ce scop. Dacă nu există transparență cu privire la aceste informații, nici persoana nu își poate da un acord valabil și cuprinzător. “Accept termenii și condițiile” bifând o căsuță, din punctul nostru de vedere, nu înseamnă un acord exprimat expres și în deplinătate de cauză.

În afara mediului online, atunci când găsești scris mic undeva într-un colț ceva de Legea 677/2001, nu este tocmai cea mai bună metodă de a obține consimțămăntul unei persoane pentru prelucrarea datelor. Cine citește un scris cu un font mic și într-un limbaj de lemn?

5.2. când trebuie să respecți obligațiile din dreptul muncii

Ca angajator ai nevoie să respecți obligațiile specifice domeniului dreptului muncii, de exemplu înregistrarea angajatului în sistemul Revisal. Pentru ca obligațiile pentru protecția datelor personale să nu contrazică prevederile din dreptul muncii, este nevoie de această excepție. Cu toate acestea, sfătuim să nu se ceară la angajare mai multe date personale decât este strict necesar (de exemplu, pentru angajarea într-un call center nu ar trebui să ceri detalii despre viața sexuală a angajatului). Mai mult, indiferent de datele pe care le prelucrezi ca angajator, este interzis a da datele pe care le colectezi unei alte companii, instituții, organizații, asociații.

Pot exista cazuri când ai o obligație legală în calitate de operator să transmiți mai departe datele (de exemplu dacă este o obligație legală către ANAF)sau dacă persoana și-a dat acordul expres că poți dezvălui datele.

5.3. în cazul în care este vorba chiar despre protecția unei persoane

În alte cuvinte, dacă nu se realizează prelucrarea, viața, integritatea fizică sau sănătatea unei persoane (ori a persoanei în cauză, ori a altei persoane) ar putea fi afectate sau în pericol. Sau dacă persoana în cauză nu își poate exprima consimțământul – poate fi un motiv de ordin fizic (exemplu din motive medicale) sau juridic (exemplu este o persoană sub 18 ani – 18 ani fiind vârsta legală în România pentru dobândirea capacității depline de exercițiu).

5.4. în cazul fundațiilor și asociațiilor (sau orice altă organizație cu scop nelucrativ și cu specific politic, filozofic, religios ori sindical) atunci când prelucrarea este conformă activităților sale din statut.

De exemplu, un scop legitim este atunci când un ONG pentru promovarea drepturilor sexuale și ale reproducerii reprezintă în instanță o persoană care consideră că i-au fost încălcate drepturile, iar reprezentarea în instanță a persoanelor vulnerabile face parte din activitățile cuprinse în statutul asociației.

Condiția esențială pentru prelucrarea legitimă a datelor speciale este ca persoana vizată să fie membră a acelei organizații sau să aibă relații cu ONG-ul respectiv. În niciun caz datele nu pot fi dezvăluite terților fără consimțământul persoanei.

5.5. când prelucrarea se referă la date făcute publice în mod manifest de către persoana vizată

Un exemplu este atunci când persoana respectivă are un blog public în care face dezvăluiri despre apartenența politică sau despre viața sa sexuală.

5.6. când prelucrarea este necesară pentru îndreptarea unei situații juridice (de exemplu pentru constatarea, exercitarea sau apărarea unui drept în instanță)

5.7. când prelucrarea este necesară în scopuri medicale precum:

• de medicină preventivă
• de stabilire a diagnosticelor medicale
• de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizată
• de gestionare a serviciilor de sănătate care acționează în interesul persoanei vizate

Condiția esențială este ca prelucrarea datelor să fie efectuate ori sub supravegherea unui cadru medical supus secretului profesional, ori sub supravegherea unei alte persoane supuse unei obligații echivalente în ceea ce privește secretul.

5.8. dacă este vorba de protejarea unui interes public important

Ce înseamnă interes public important și în ce condiții se poate realiza această prelucrare de date speciale? Interesul public nu este clar definit în lege și nici nu este oportun a fi explicat, fiindcă vizează situații foarte particulare care trebuie judecate de la caz la caz, nu după o rețetă generală care poate genera disproporționalități. Condiția și aici este ca prelucrarea să se efectueze cu respectarea tuturor drepturilor persoanei în cauză (adică nu doar drepturile generale, ci trebuie avută în vedere situația specifică a persoanei vizate) și a celorlalte garanții prevăzute de Legea 677/2001.

Chiar dacă pentru toate situațiile de mai sus se pot prelucra date personale din categoriile speciale, asta nu înseamnă că autoritățile publice nu mai au obligația de a respecta și de a ocroti viața intimă, familială și privată. Respectarea dreptului la viață privată este un drept fundamental, prevăzut în Constituție, așadar, felul în care prelucrarea datelor personale din categoriile speciale se efectuează trebuie să respecte întru-totul suita de obligații privind drepturile omului. În alte cuvinte, autoritățile publice trebuie să acorde o atenție specială prelucrărilor de date personale și să nu acorde excepțiilor o importanță mai mare decât celorlalte obligații legale pe care trebuie să le respecte și au un impact asupra dreptului la viața intimă, familială și privată.

Autoritatea pentru Protecția Datelor (ANSPDCP) are puterea de a interzice prelucrarea de date din categoriile speciale, chiar dacă persoana vizată și-a dat acordul – inclusiv dacă și l-a dat în scris și în mod neechivoc consimțământul sau dacă nu intră pe una dintre excepțiile explicate la anterioare.

6. Prelucrarea datelor cu caracter personal având funcție de identificare

Ce sunt datele de identificare?

Legea vorbește de date cu funcție de identificare de aplicabilitate generală precum CNP-ul, seria și numărul de buletin sau numărul actului de naștere etc.

Când poți să prelucrezi date de identificare?

Când ai obținut acordul persoanei sau când îți zice legea. Și ANSPDCP mai poate stabili cazuri când se pot prelucra date de identificare. Dar pentru aceste cazuri speciale stabilite de ANSPDCP, o să ceară și măsuri suplimentare pentru protecția și securitatea datelor.

7. Prelucrarea datelor cu caracter personal privind starea de sănătate

Pe lângă situațiile de la punctul 5.7 de mai sus, mai există o serie de situații când se pot prelucra date privind starea de sănătate:

• când este nevoie pentru protecţia sănătăţii publice
• dacă este nevoie pentru prevenirea unui pericol, a unei fapte penale (sau a consecințelor unei astfel de fapte)

La fel ca mai sus, prelucrarea datelor medicale se poate face numai de către (sau sub supravegherea) un cadru medical, dacă se respectă secretul profesional. Excepțiile sunt:

• când persoana şi-a dat în scris şi în mod neechivoc consimţământul și nu a fost niciun moment când și l-a retras
• când prelucrarea este necesară pentru prevenirea unui pericol, a unei fapte penale (și a efectelor ei)

Cadrele medicale au totuși un statut special, ele putând prelucra date medicale fără vreo altă autorizație atunci când prelucrarea este necesară pentru protejarea vieţii, integrităţii fizice sau sănătăţii persoanei vizate.

Când este nevoie de autorizație de la ANSPDCP?

Când scopurile menţionate se referă la alte persoane sau la public în general şi persoana vizată nu şi-a dat consimţământul în scris şi în mod neechivoc. Autorizația trebuie cerută şi obţinută în prealabil de la autoritatea de supraveghere. Orice prelucrare a datelor cu caracter personal în afara limitelor prevăzute în autorizaţie este interzisă.

Dacă nu este vorba de un caz de urgență, autorizația poate fi acordată numai după ce a fost consultat Colegiul Medicilor din România.

De la cine se pot colecta date privind starea de sănătate?

Datele cu caracter personal privind starea de sănătate pot fi colectate numai de la persoana vizată. Prin excepţie, aceste date pot fi colectate din alte surse numai în măsura în care este necesar pentru a nu compromite scopurile prelucrării, iar persoana vizată nu vrea ori nu le poate furniza.

8. Prelucrarea datelor cu caracter personal referitoare la fapte penale sau contravenții

Ce fel de date penale se pot prelucra?

Date referitoare la săvârşirea de infracţiuni de către persoana vizată ori la condamnări penale, măsuri de siguranţă sau sancţiuni administrative ori contravenţionale.

De către cine se pot prelucra date?

Numaide către sau sub controlul autorităţilor publice, în limitele puterilor ce le sunt conferite prin lege şi în condiţiile stabilite de legile speciale care reglementează aceste materii.

Există situații aparte?

ANSPDCP poate să stabilească situații speciale când și alte categorii de persoane ar putea prelucra date penale. Dar numai cu îndeplinirea unor garanții suplimentare pentru protecția și securitatea datelor și respectarea drepturilor persoanelor vizate.

Se poate ține un registru complet al condamnărilor?

Da, dar numai dacă există controlul unei autorităţi publice – cu atribuții legale și puteri clar stabilite de lege.

Există excepții?

• dacă prelucrarea datelor se face numai în scopuri jurnalistice, literare sau artistice
• dacă datele personale au fost făcute publice în mod voit de către persoana vizată
• dacă datele sunt strâns legate de calitatea de persoană publică a persoanei vizate sau de caracterul public al faptelor în care este implicată

9. Mai multe informații

Pentru mai multe informații, consultă și:

• Legea nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date
• Decizia ANSPDCP nr. 52 din 31 mai 2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video
• Poziția Grupului de Lucru al Articolului 29 despre datele din categoriile speciale

Proiectul "Protectia datelor personale este un drept fundamental!" este finanțat prin granturile SEE 2009-2014, în cadrul Fondului ONG în România. Conținutul acestui website nu reprezintă în mod necesar poziția oficială a granturilor SEE 2009-2014. Întreaga răspundere asupra corectitudinii și coerenței informațiilor prezentate revine inițiatorilor website-ului.

Pentru informații oficiale despre granturile SEE și norvegiene accesați http://www.eeagrants.org