Prelucrarea unui număr de identificare național, cum este CNP-ul ori seria și numărul buletinului a fost avută în vedere de legiuitorul român în Legea nr. 190/2018, stabilind astfel o obligație în plus față de ceea ce prevede în mod concret GDPR: dacă operatorul prelucrează numărul de identificare național pentru atingerea unui interes legitim, acesta va trebui să ofere anumite garanții persoanelor vizate de prelucrări.
Notă: Numărul de identificare național este, potrivit actului normativ menționat, "numărul prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care are aplicabilitate generală, cum ar fi: codul numeric personal, seria şi numărul actului de identitate, numărul paşaportului, al permisului de conducere, numărul de asigurare socială de sănătate".
Printre aceste garanții ce trebuie oferite când prelucrarea se face pentru un interes legitim se numără numirea obligatorie a unui DPO, dar și următoarele chestiuni:
- aplicarea unor măsuri tehnice și organizatorice pentru reducerea la minim a datelor prelucrate, precum și pentru asigurarea securității și confidențialității prelucrărilor de date personale;
- stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite în vederea ştergerii;
- instruirea personalului care se află sub directa autoritate a operatorului sau a persoanei împuternicite de acesta și care prelucrează date personale.
Practic însă prelucrarea CNP-ului se poate face și în alte scopuri decât interesul legitim (ca urmare a unor cerințe legale, de exemplu), dar garanțiile de mai sus, printre care și numirea DPO-ului, sunt obligatoriu a fi instituite numai în acest temei de prelucrare a datelor:
„(1) Prelucrarea unui număr de identificare național, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conțin, se poate efectua în situațiile prevăzute de art. 6 alin. (1) din Regulamentul general privind protecția datelor.
(2) Prelucrarea unui număr de identificare național, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conțin, în scopul prevăzut la art. 6 alin. (1) lit. f) din Regulamentul general privind protecția datelor, respectiv al realizării intereselor legitime urmărite de operator sau de o parte terță, se efectuează cu instituirea de către operator a următoarelor garanții: (...)”, prevede Legea nr. 190/2018.
Notă: Necesitatea de a avea un DPO se analizează în raport cu activitatea operatorului, cu datele pe care le prelucrează, iar nu cu dimensiunea firmei ori vreun prag minim la numărul de salariați. Mai multe detalii pe acest subiect regăsiți aici.
Ce înseamnă prelucrare în scop legitim a datelor?
Scopul legitim al operatorului de date, ca unul dintre temeiurile prevăzute de GDPR pentru prelucrările legale de date personale, nu înseamnă un scop care nu contravine legii și nici nu se confundă cu ceea ce se cheamă interes comercial al unui operator economic.
Clarificări privind definirea conceptului de scop legitim găsim chiar în preambulul acestui regulament. De principiu, o firmă poate să nu aibă un temei legal sau un contract ca bază pentru prelucrarea unor date, dar să aibă un interes legat de desfășurarea afacerii sale pentru a prelucra acele date. Și, atâta timp cât interesele sau drepturile și libertățile fundamentale ale persoanei vizate nu prevalează, atunci firma poate folosi interesele legitime ale afacerii sale pentru a prelucra date așa cum prevede GDPR-ul.
"Acest interes legitim ar putea exista, de exemplu, atunci când există o relație relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în care persoana vizată este un client al operatorului sau se află în serviciul acestuia (...) Prelucrarea de date cu caracter personal strict necesară în scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date în cauză. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim (...) Prelucrarea datelor cu caracter personal în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor și anume capacitatea unei rețele sau a unui sistem de informații de a face față, la un anumit nivel de încredere, evenimentelor accidentale sau acțiunilor ilegale sau rău intenționate care compromit disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor cu caracter personal stocate sau transmise, precum și securitatea serviciilor conexe (...) constituie un interes legitim al operatorului de date în cauză", se specifică în regulament.
Sintetizând cele de mai sus, firma are un interes legitim în a prelucra date personale, de exemplu:
- în cadrul raportului său cu clientul;
- în scopuri de marketing direct;
- atunci când urmărește prevenirea fraudelor;
- atunci când asigură securitatea rețelelor și informațiilor.