In introducerea actului normativ, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor explica ca, desi existau si pana acum reguli pentru prelucrarea datelor cu caracter personal, au fost necesare cateva completari si clarificari intrucat institutia a sesizat ca in practica se colecteaza si se prelucreaza, fara o justificare temeinica, atat date personale, cat si documentele care le contin.
Regulile pentru prelucrarea datelor cu caracter personal sunt prevazute in Legea nr. 677/2011 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, insa prevederile legii nu fac referire expres la CNP sau la anumite date personale, ci sunt referiri generale la "date cu caracter personal". Ori, in recenta Decizie publicata de ANSDCP sunt stabilite tocmai reguli pentru prelucrarea expresa a CNP-ului si a altor date personale, evidentiate clar in prevederi.
Mai exact, potrivit actului normativ publicat de curand, este vorba despre acele date cu caracter personal prin care se identifica o persoana fizica in anumite sisteme de evidenta si care au aplicabilitate generala, cum ar fi: codul numeric personal, seria si numarul actului de identitate, numarul pasaportului, al permisului de conducere, numarul de asigurare sociala sau de sanatate.
CNP este definit de acest act normativ ca un numar semnificativ care individualizeaza in mod unic o persoana fizica, constituind un instrument de verificare a starii civile a acesteia si de identificare in anumite sisteme informatice de catre persoanele autorizate.
Colectarea si prelucrarea acestor date, inclusiv dezvaluirea acestora, prin efectuarea si retinerea de copii de pe cartea de identitate sau de pe documente care le contin, sunt interzise, precizeaza actul normativ.
Totusi, CNP-ul unei persoane si celelalte date cu caracter personal pot fi prelucrate, insa numai cu respectarea unor reguli speciale.
Astfel, prelucrarea acestor date, inclusiv dezvaluirea catre terti, se poate face numai daca:
- persoana vizata si-a dat in mod expres consimtamantul; sau
- prelucrarea este prevazuta in mod expres de o dispozitie legala; sau
- in alte cazuri, cu avizul Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal si numai cu conditia instituirii unor garantii adecvate pentru respectarea drepturilor persoanelor vizate.
Potrivit precizarilor din actul normativ, in domeniul prelucrarii datelor cu caracter personal, consimtamantul persoanei vizate reprezinta orice manifestare de vointa expresa, libera, specifica si informata, prin care persoana vizata accepta sa fie prelucrate datele cu caracter personal care o privesc.
Consimtamantul trebuie dat in mod expres, intr-o forma care sa permita dovedirea acestuia de catre operator.
Mai mult decat atat, anterior obtinerii consimtamantului, operatorul are obligatia de a informa persoana vizata despre:
- identitatea operatorului si a reprezentantului acestuia, daca este cazul;
- scopul in care se face prelucrarea datelor;
- informatii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; daca furnizarea tuturor datelor cerute este obligatorie si consecintele refuzului de a le furniza; existenta drepturilor prevazute de Legea nr. 677/2001 pentru persoana vizata, in special a dreptului de acces, de interventie asupra datelor si de opozitie, precum si conditiile in care pot fi exercitate;
- orice alte informatii a caror furnizare este impusa prin dispozitie a autoritatii de supraveghere, tinand seama de specificul prelucrarii.
- daca prelucrarea datelor se efectueaza exclusiv in scopuri jurnalistice, literare sau artistice, daca aplicarea acestora ar da indicii asupra surselor de informare.
- daca prelucrarea datelor se face in scopuri statistice, de cercetare istorica sau stiintifica, ori in orice alte situatii daca furnizarea datelor personale se dovedeste imposibila sau ar implica un efort disproportionat fata de interesul legitim care ar putea fi lezat, precum si in situatiile in care inregistrarea sau dezvaluirea datelor este expres prevazuta de lege.
Asa cum precizam mai sus, prelucrarea datelor personale, inclusiv dezvaluirea catre terti, se poate face in anumite cazuri si numai cu avizul Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal , insa doar cu conditia instituirii unor garantii adecvate pentru respectarea drepturilor persoanelor vizate.
In oricare dintre aceste situatii, operatorul trebuie sa respecte principiul caracterului adecvat, pertinent si neexcesiv, precum si masurile de confidentialitate si de securitate a prelucrarilor. Concret, el trebuie sa instituie asa numitele garantii adecvate. Iata care sunt acestea:
- scopul prelucrarii sa fie determinat, explicit si legitim;
- stabilirea si aplicarea unor masuri prin care sa se asigure exercitarea drepturilor persoanelor vizate;
- durata de stocare a datelor sa fie pe perioada strict necesara indeplinirii scopului, dupa care datele vor fi sterse sau distruse, dupa caz;
- stabilirea modalitatilor de acces la sistemele de evidenta in vederea colectarii datelor, in functie de care va stabili si va respecta masuri tehnice si organizatorice adecvate pentru protejarea datelor;
- utilizarea datelor numai in limitele scopului stabilit;
- dezvaluirea catre alti destinatari este interzisa, cu exceptia situatiei in care exista consimtamantul persoanei vizate sau o prevedere legala expresa;
- desemnarea, in scris, a persoanei/persoanelor care va/vor prelucra datele si care trebuie sa isi asume raspunderea pastrarii confidentialitatii acestora; lista continand evidenta
- acestor persoane va fi actualizata ori de cate ori se impune;
- numirea, in scris, a unei persoane specializate in securitatea informatiei care sa vegheze la prelucrarea datelor, inclusiv la buna functionare a sistemelor informatice utilizate in aceasta activitate;
- stabilirea unui plan de securitate a informatiilor care sa cuprinda, in principal, securitatea tehnica pe plan informatic si securitatea spatiilor in care se prelucreaza datele, tinand cont de cerintele minime de securitate;
- stabilirea, in scris, a drepturilor si obligatiilor operatorului care transmite datele si ale operatorului care le primeste. securitatea spatiilor in care se prelucreaza datele, tinand cont de cerintele minime de securitate;
- stabilirea, in scris, a drepturilor si obligatiilor operatorului care transmite datele si ale operatorului care le primeste.
Comentarii articol (30)