Potrivit Legii nr. 677/2001, “prelucrarea datelor cu caracter personal reprezinta orice operatiune sau set de operatiuni care se efectueaza asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, inregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvaluirea catre terti prin transmitere, diseminare sau in orice alt mod, alaturarea ori combinarea, blocarea, stergerea sau distrugerea”.
Prelucrarea datelor de către asociațiile de proprietari
Prin prisma rolului pe care îl îndeplinesc și a atribuțiilor legale, asociațiile de proprietari au calitatea de operatori de date cu caracter personal și, în consecință, obligația de a respecta dispozițiile Regulamentului (UE) 679/2016 - Regulamentul general privind protecția datelor (RGPD).
Astfel, în contextul prelucrării (inclusiv al dezvăluirii) datelor personale, asociațiile de proprietari trebuie să identifice temeiul legal al efectuării acesteia, prevăzut de dispozițiile RGPD prin raportare la prevederile legale din domeniul lor de activitate.
Scopul și mijloacele prelucrării datelor de către asociațiile de proprietari pot fi în mod expres stabilite prin actele normative care le reglementează înființarea, organizarea și funcționarea sau pot fi stabilite de către asociație, fiind justificate de interesul legitim al său. De asemenea, în unele situații, prelucrările de date se pot baza pe consimțământul persoanelor fizice vizate.
În acest context, precizăm că urmare a punctelor de vedere solicitate Autorității de Supraveghere de către asociațiile de proprietari cu privire la prelucrările de date pe care le efectuează sau intenționează să le pună în practică, a rezultat că scopurile în care aceste entități colectează și prelucrează datele personale vizează, în principal, următoarele activități:
1.În ceea ce privește dezvăluirea datelor precum numele și prenumele proprietarilor/locatarilor la avizierul scării de bloc, precizăm că în lipsa unei prevederi legale exprese datele pot fi dezvăluite doar pe baza consimțământului persoanei vizate, potrivit art. 6 alin. (1) lit. a) din RGPD.
În ceea ce privește consimțământul (art. 7 coroborat cu art. 4 pct. 11 din RGPD), acesta trebuie acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrareadatelor sale cu caracter personal, cum ar fi o declarație făcută în scris, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu.
Pentru mai multe informații privind obținerea consimțământului, precum și condițiile pentru retragerea acestuia, se poate aceesa Ghidul Întrebări și răspunsuri cu privire la aplicarea Regulamentului (UE) 679/2016 https://www.dataprotection.ro/servlet/ViewDocument?id=1650
3. În ceea ce privește înregistrarea datelor personale în cartea de imobil, în măsura în care există o obligație legală în acest sens, datele pot fi prelucrate fără consimțământul persoanei vizate.
În acest context, precizăm că art. 94 și 95 din Normele metodologice din 4 octombrie 2006 de aplicare unitară a dispoziţiilor legale privind evidenţa, domiciliul, reşedinţa şi actele de identitate ale cetăţenilor români, aprobate prin HG nr. 1375/2006 prevăd că:
”Art. 94
Responsabilii cărţii de imobil, desemnaţi în condiţiile legii, au următoarele atribuţii:
a) să solicite persoanelor care locuiesc în imobil prezentarea actelor de identitate, în termen de 15 zile de la sosire, în vederea înscrierii datelor în cartea de imobil;
b) să atenţioneze persoanele care au actele de identitate cu termenul de valabilitate expirat sau care nu şi-au efectuat schimbarea domiciliului ori stabilirea reşedinţei, în vederea punerii acestora în legalitate;
c) să păstreze, să actualizeze şi să utilizeze datele din cartea de imobil cu respectarea dispoziţiilor Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare (în prezent, Regulamentul (UE) 679/2016 – subl. ns.); cartea de imobil se prezintă spre verificare numai poliţiştilor şi lucrătorilor de la serviciile publice comunitare de evidenţă a persoanelor;
d) să păstreze în bune condiţii cartea de imobil, să nu o înstrăineze, iar la mutarea din imobil să o predea preşedintelui asociaţiei de proprietari.
Art. 95
Înscrierea persoanelor în cartea de imobil se face în baza actului de identitate, iar pentru copiii sub 14 ani, în baza certificatului de naştere.”
Ca atare, legea stabilește că înscrierea datelor personale în cartea de imobil are la bază actul de identitate sau certificatul de naștere.
În ceea ce privește datele și categoriile de date colectate în cărțile de imobil în condițiile în care legea nu le prevede în mod expres, așa cum s-a subliniat mai sus, corelat cu temeiul legal al prelucrării, care poate fi interesul legitim, art. 5 din RGPD stabilește o serie de principii care se impun a fi respectate în cadrul prelucrării datelor, printre care se numără cele privind colectarea datelor în scopuri determinate, explicite şi legitime, prelucrarea datelor adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate, prelucrarea de date exacte, etc.
Cu alte cuvinte, în această situație se impune respectarea principiului reducerii la minimum a datelor, respectiv prelucrarea datelor strict necesare îndeplinirii scopului. Necesitatea însă, trebuie motivată cu argumente solide, care să justifice prevalența intersului legitim al colectării și prelucrării datelor, asupra drepturilor fundamentale ale persoanelor vizate.
Raportat la situațiile de mai sus, dar și la alte situații în care prelucrează date cu caracter personal, asociațiile de proprietari trebuie să aibă în vedere condițiile de legitimitate și regulile prelucrării datelor prevăzute de RGPD.
În acest context, precizăm că RGPD stabilește că prelucrarea datelor cu caracter personal se realizează la consimțământul persoanei vizate sau în alte condiții legale în care nu se solicită consimțământul, prevăzute de art. 6, 9 și 10, în funcție de natura datelor și categoriilor de date colectate și prelucrate.
Spre exemplu, pentru datele care nu au un caracter special (cum sunt, de ex., numele, prenumele, adresa, telefonul), art. 6 din RGPD stabilește că prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
”(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.”
Corelat cu temeiul legal al prelucrării, asociațiile de proprietari trebuie să respecte și principiile prelucrării datelor care se regăsesc la art. 5 din RGPD, astfel:
■ principiul legalității, echității şi transparenţei: prelucrarea datelor în mod legal, echitabil şi transparent faţă de persoana vizată
■ principiul limitării legate de scop: date colectate în scopuri determinate, explicite şi legitime şi care nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri
■ principiul reducerii la minimum a datelor: prelucrarea datelor adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate,
■ principiul limitării legate de stocare: datele sunt păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele
■ principiul exactității - prelucrarea de date exacte
■ principiul integrității şi confidenţialității - prelucrarea datelor într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.
De asemenea, aceleași dispoziții ale art. 5, sus-menționate prevăd faptul că operatorul (asociația de proprietari) este responsabil de respectarea acestor principii şi poate demonstra această respectare (principiul responsabilității).
În ceea ce privește responsabilitatea operatorului, art. 24 din RGPD prevede că ”Ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.”
Referitor la măsurile de securitate pe care asociația de proprietari este obligată să le adopte, art. 32 din Regulamentul (UE) 2016/679 care reglementează ”Securitatea prelucrării”, stabilește o serie de aspecte pe care operatorul (asociația) și persoana împuternicită de acesta (de ex. o societate care îndeplinește rolul de administrator sau o entitate care instalează și asigură mentenanța sistemului de supraveghere video) trebuie să le urmărească în contextul implementării măsurilor tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului pe care o are prelucrarea pentru drepturile şi libertăţile persoanelor fizice. Printre acestea se regăsesc și cele privind pseudonimizarea şi criptarea datelor cu caracter personal.
În ceea ce privește transparența prelucrării, sub aspectul informării persoanelor vizate, asociația de proprietari trebuie să efectueze informarea indiferent de temeiul prelucrării, la consimțământ sau pe baza altor condiții legale în care nu se solicită consimțământul.
Astfel, art. 12 din RGPD prevede că operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informaţii menţionate la articolele 13 şi 14 şi orice comunicări în temeiul articolelor 15-22 şi 34 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu.
Informaţiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic.
Pentru informare, se poate apela la o modalitate de informare generică, prin afișarea notei de informare la avizierul scării de bloc sau a unor pictograme adecvate, cum ar fi în cazul supravegherii video, la note de informare a persoanei vizate (afișate), precum și la alte modalități (prin email) ce sunt stabilite de asociație în funcție de situația concretă de prelucrare a datelor.
Astfel, art. 13 din RGPD prevede că în cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul (asociația de proprietari), în momentul obţinerii acestor date cu caracter personal, furnizează persoanei vizate informaţiile prevăzute de aceste dispoziții legale, printre care se numără:
1. identitatea şi datele de contact asociației de proprietari
2. scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării;
3. categoriile de date cu caracter personal vizate (în cazul datelor obținute indirect)
4. interesele legitime urmărite de operator sau de o parte terţă (dacă este cazul);
5. destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
6. perioada de stocare a datelor cu caracter personal (sau criterii pentru stabilirea perioadei);
7. existenţa drepturilor persoanei vizate prevăzute de art. 15-22 din RGPD
8. existenţa dreptului de a-și retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia;
9. dreptul de a depune o plângere la Autoritatea de supraveghere;
10. dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală, contractuală sau o obligaţie necesară pentru încheierea unui contract ori pentru executarea acestuia, precum şi dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal şi care sunt eventualele consecinţe ale nerespectării acestei obligaţii;
11. prelucrarea datelor într-un alt scop decât cel pentru care acestea au fost colectate (dacă este cazul);
12. sursa din care provin datele cu caracter personal și dacă acestea provin din surse disponibile public (în cazul datelor obținute indirect).
Pe lângă dreptul de informare, un alt drept pe care în mod frecvent persoanele vizate îl exercită față de asociațiile de proprietari în calitatea acestora de operatori și pe care asociațiile sunt obligate să îl respecte este dreptul de acces (art. 15 din RGPD). Astfel, persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc. În cazul în care răspunsul operatorului este afirmativ, persoana vizată are dreptul de a cunoaște și de a i se comunica următoarele informații:
scopurile prelucrării;
categoriile de date cu caracter personal vizate;
destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate;
perioada de stocare a datelor cu caracter personal sau criteriile utilizate pentru a stabili această perioadă;
existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
dreptul de a depune o plângere în fața Autorității de supraveghere;
orice informații disponibile privind sursa datelor (în cazul datelor obținute indirect);
existența unui proces decizional automatizat incluzând crearea de profiluri, informații privind logica utilizată și consecințele prelucrării asupra persoanei vizate;
transferul către o țară terță sau o organizație internațională și garanțiile adecvate referitoare la transfer.
Operatorul furnizează persoanei vizate o copie a datelor sale cu caracter personal care fac obiectul prelucrării, în mod gratuit.
Dreptul de a obţine o copie a datelor nu aduce atingere drepturilor şi libertăţilor altora. În acest sens, operatorul este obligat să ia măsuri pentru protecția datelor personale ale altor persoane care ar putea figura în copia respectivă.
Dacă persoana vizată transmite cererea în format electronic și nu optează să primească informațiile în alt format, acestea se furnizează într-un format electronic utilizat în mod curent (de ex. prin email).
Mai multe informații privind modalitatea de informare a persoanelor vizate, dar și exercitarea dreptului de acces, precum și a celorlalte drepturi de care beneficiază persoana vizată, se pot obține din Ghidul Întrebări și răspunsuri cu privire la aplicarea Regulamentului (UE) 679/2016. https://www.dataprotection.ro/servlet/ViewDocument?id=1650
Față de cele de mai sus, rezultă că asociația de proprietari trebuie să analizeze în funcție de specificul activităților efectiv realizate, prelucrările de date personale efectuate, să stabilească temeiul legal al acestora și să ia toate măsurile necesare pentru respectarea drepturilor persoanelor vizate, precum și pentru asigurarea securității și confidențialității datelor, raportat la prevederile RGPD.
În ceea ce privește instalarea unui sistem de supraveghere video de către asociația de proprietari, întrucât sistemele de televiziune cu circuit închis au posibilitatea de înregistrare şi stocare a imaginilor şi datelor, această activitate se supune atât prevederilor Regulamentului (UE) 679/2016, cât şi ale Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor, modificată şi completată și Normelor metodologice de aplicare a acesteia, mai ales raportat la instalarea şi utilizarea sub aspect tehnic a echipamentelor şi elementelor componente ale sistemului de supraveghere video.
Măsura instalării unui sistem de supraveghere video poate fi luată de către asociația de proprietari în baza interesului legitim al asociaţiei, de ex. pentru asigurarea pazei şi protecției persoanelor, bunurilor și valorilor, a imobilelor și a instalațiilor de utilitate publică, precum și a împrejmuirilor afectate acestora, dar și în zona de acces în imobil sau lifturi.
Argumentele privind justificarea interesului legitim trebuie să se regăsească într-o documentație la nivelul asociației de proprietari și, ulterior, hotărârea de a instala un astfel de sistem trebuie adoptată în cadrul adunării generale a asociaţiei de proprietari, potrivit legii.
Referitor la obligația de informare a persoanei vizate, în spaţiile monitorizate prin camerele de supraveghere video, trebuie instalată o pictogramă adecvată, care să conţină o imagine reprezentativă, poziţionată la o distanţă rezonabilă de locurile unde sunt amplasate echipamentele de supraveghere, astfel încât să poată fi văzută de orice persoană.
În ceea ce privește perioada de stocare a datelor cu caracter personal (imaginea) prelucrate de asociaţie ca urmare a instalării sistemului de supraveghere video, Autoritatea de supraveghere recomandă ca aceasta să nu depăşească 30 zile.
Excepție pot face situațiile temeinic justificate în care s-au produs evenimente ce necesită stocarea doar a imaginilor relevante pe o perioadă mai mare de timp necesară îndeplinirii scopurilor respective (de ex. până la soluționarea definitivă a unei cauze penale de către organele judiciare).
Referitor la imaginile captate și înregistrate de camerele video, instalate în zonele stabilite potrivit hotărârii adunării generale a proprietarilor, cu respectarea echilibrului dintre interesul legitim al asociației și drepturile și libertățile persoanelor, în vederea respectării principiului proporționalității, se poate apela la echipamente care din punct de vedere tehnic pot fi orientate astfel încât să focalizeze zonele necesare a fi supravegheate.
În ceea ce privește prelucrarea datelor prin altă persoană (cum ar fi de ex. societatea care instalează sistemul de videosupraveghere și asigură mentenanța acestuia, efectuează și prelucrarea datelor), potrivit art. 4 pct. 8 din RGPD aceasta este „persoana împuternicită de operator” întrucât prelucrează datele cu caracter personal în numele operatorului.
De asemenea, art. 28 alin. (3) lit. a) și alin. (10) din același regulament stabilește că prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract, ce trebuie să conțină și instrucțiuni documentate din partea operatorului pe baza cărora împuternicitul va prelucra datele cu caracter personal.
În ceea ce privește instalarea camerelor video pe fiecare nivel/palier din imobil, apreciem că pentru prelucrarea imaginilor respective este necesară obținerea consimțământului fiecărui locatar de pe nivelul/palierul respectiv.
Pentru informații suplimentare privind prelucrarea datelor prin intermediul mijloacelor video, se poate consulta Ghidul nr. 3/2019 privind prelucrarea datelor cu caracter personal prin intermediul mijloacelor video”, care poate fi accesat pe adresa https://www.dataprotection.ro/?page=noua%20_pagina_regulamentul_GDPR, elaborat în vederea aplicării în mod unitar a prevederilor Regulamentul (UE) 2016/679 în întreaga Uniune Europeană, de către Comitetul European pentru Protecția Datelor, care reunește reprezentanții tuturor autorităților de supraveghere din statele membre.
În același timp, precizăm că începând cu 25 mai 2018, Regulamentul (UE) 2016/679 nu mai stabilește obligația de notificare a prelucrărilor de date cu caracter personal, astfel că nici asociațiile de proprietari nu mai au această obligație.
Referitor la numirea unui responsabil cu protecția datelor, în ceea ce privește asociațiile de proprietari, acestea nu au obligația de numire a unui responsabil, raportat la art. 37 din RGPD.
Direcția juridică și comunicare
Intrebari posibile:
1. Ce înseamnă operator de date cu caracter personal?
Potrivit art. 4 din Regulamentul general privind protecția datelor, „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern”.
2. Ce înseamnă operatori asociați?
Potrivit art. 26 din Regulamentul (UE) 2016/679, în cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare, aceștia sunt operatori asociați. Ei stabilesc într-un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește exercitarea drepturilor persoanelor vizate și îndatoririle fiecăruia de furnizare a informațiilor prevăzute la articolele 13 și 14, prin intermediul unui acord între ei, cu excepția cazului și în măsura în care responsabilitățile operatorilor sunt stabilite în dreptul Uniunii sau în dreptul intern care se aplică acestora. Acordul poate să desemneze un punct de contact pentru persoanele vizate.
3. Ce înseamnă persoană împuternicită de operator?
Potrivit art. 4 din Regulamentul (UE) 2016/679, persoana împuternicită de operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.
4. Este necesar să mai notific prelucrările de date?
Având în vedere faptul că începând din data de 25 mai se aplică Regulamentul UE 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, operatorii nu mai au obligația de notificare a prelucrărilor de date.
5. Ce înseamnă autorități și organisme publice?
Autoritățile și organismele publice sunt: Camera Deputaților și Senatul, Administrația Prezidențială, Guvernul, ministerele, celelalte organe de specialitate ale administrației publice centrale, autoritățile și instituțiile publice autonome, autoritățile administrației publice locale și deja nivel județean, alte autorități publice, precum și instituțiile din Subordinea/coordonarea acestora; de asemenea, sunt assimilate autorităților/organismelor publice și unitățile de cult și asociațiile și fundațiile de utilitate publică potrivit art. 2 alin. (1) lit. a din Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE)
6. Ce obligaţii am în calitate de operator potrivit Regulamentului (UE) 2016/679?
Obligațiile pe care le au operatorii de date cu caracter personal sunt reglementate în Capitolul IV din Regulamentul 2016/679. Printre principalele obligații ale operatorului în aplicarea Regulamentului sunt:
desemnarea unui responsabil cu protecția datelor in conditiile art. 37-39 din Regulament;
cartografierea prelucrărilor de date cu caracter personal (art. 30 din Regulament) ;
asigurarea securității datelor (art. 25 și art. 32 din Regulament);
notificarea încalcărilor de securitate în condițiile art. 33 din Regulament;
evaluarea impactului asupra protecției datelor si respectarea drepturilor persoanelor fizice (art. 35 din Regulament).
Pentru mai multe informații puteți accesa Ghidul orientativ de aplicare a Regulamentului general privind protecția datelor emis de Autoritatea Națională de Supraveghere.
7. Când trebuie să desemnez un responsabil cu protecția datelor (dpo)?
Potrivit prevederilor art. 37 alin. (1) din Regulamentul (UE) 2016/679, desemnarea responsabilului cu protecția datelor se solicită atunci când:
a) prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni.
Pentru mai multe informații puteți accesa Ghidul privind responsabilul cu protecția datelor emis de Comitetul european pentru protecția datelor.
8. Ce înseamnă prelucrare pe scară largă?
Atunci când se stabilește dacă prelucrarea este efectuată pe scară largă, trebuie să fie luați în considerare următorii factori:
numărul persoanelor vizate (ori un număr exact ori un procent din populația relevantă);
volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;
durata sau permanența activității de prelucrare a datelor;
suprafața geografică a activității de prelucrare.
Pentru mai multe informații puteți accesa Ghidul privind responsabilul cu protecția datelor emis de Comitetul european pentru protecția datelor.
9. Ce condiții trebuie să îndeplinească responsabilul cu protecția datelor?
Responsabilul cu protecţia datelor este desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a-și îndeplini sarcinile. Nivelul necesar al cunoștințelor de specialitate trebuie să fie stabilit în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele cu caracter personal prelucrate.
Pentru mai multe informații puteți accesa Ghidul privind responsabilul cu protecția datelor emis de Comitetul european pentru protecția datelor.
10. Se poate desemna un singur responsabil cu protecția datelor pentru un grup de întreprinderi sau pentru mai multe autorități sau organisme publice?
Art. 37 alin. (2) din Regulamentul (UE) 2016/679 permite unui grup de întreprinderi să numească un responsabil cu protecția datelor unic, cu condiția ca acesta să fie „ușor accesibil din fiecare întreprindere”. Noțiunea de accesibilitate se referă la sarcinile responsabilului cu protecția datelor ca punct de contact în ceea ce privește persoanele vizate, autoritatea de supraveghere, dar și pe plan intern în cadrul organizației, având în vedere că una dintre sarcinile responsabilului este de informare și consiliere a operatorului și persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrarea cu privire la obligațiile care le revin în temeiul Regulamentului (UE) 2016/679.
Art. 37 alin. (3) din Regulamentul (UE) 2016/679 permite, de asemenea, desemnarea unui responsabil cu protecția datelor unic pentru mai multe autorități sau organisme publice, luând în considerare structura organizatorică și dimensiunea acestora.
Operatorul sau persoana împuternicită de operator are obligația de a publica datele de contact ale resonsabilului cu protecția datelor și de a le comunica autorității de supraveghere.
Pentru mai multe informații puteți accesa Ghidul privind responsabilul cu protecția datelor emis de Comitetul european pentru protecția datelor.
11. Cum comunic responsabilul cu protecția datelor autorității de supraveghere?
Comunicarea responsabilului cu protecția datelor se realizează prin completarea formularului de declarare a responsabilului cu protecția datelor existent pe site-ul autorității la Secțiunea „Responsabilul cu protecția datelor”.
În situația în care grup de întreprinderi sau mai multe autorități sau organisme publice desemnează un responsabil cu protecția datelor unic, fiecare operator sau persoană împuternicită va completa formularul de declarare a responsabilului cu protecția datelor existent pe site-ul autorității la Secțiunea „Responsabilul cu protecția datelor”.
12. Când nu se aplică Regulamentul (UE) 2016/679?
Regulamentul (UE) 2016/679 nu se aplică prelucrării datelor cu caracter personal:
în cadrul unei activități care nu intră sub incidența dreptului Uniunii;
de către statele membre atunci când desfășoară activități legate de politica externă și de securitatea comună a Uniunii;
de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice;
de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora; acestea sunt reglementate de Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului.
13. Care sunt condițiile legale de prelucrare a datelor cu caracter personal, altele decât cele speciale?
Potrivit art 6 din Regulamentul (UE) 2016/679 prelucrarea este legală numai dacă și în masura în care se aplică cel puțin una din condițiile prevăzute la alin. (1):
a) când persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale pentru unul sau mai multe scopuri specifice;
b) când prelucrarea este necesară pentru exercitarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
c) când prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
d) când prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
e) când prelucrarea este necesară pentru îndeplinira unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
f) când prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
Litera (f) nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor.
14. Care sunt condițiile de prelucrare a categoriilor speciale de date cu caracter personal?
Prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.
Prelucrarea acestor categorii de date este permisă numai în condițiile prevăzute la art. 9 alin. (2) din Regulamentul (UE) 2016/679.
Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), prevede la art. 3 alin. (1) că „prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate”.
15. Dacă prelucrarea este prevăzută de un act normativ, mai este necesar să obțin consimțământul persoanelor vizate?
Atunci când prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului, nu mai este necesară obținerea consimțământului persoanelor vizate.
16. Care sunt condițiile de acordare și valabilitate a consimțământului?
Potrivit art. 7 alin. (1) din Regulament, operatorul trebuie să fie în măsură să demonstreze faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare a datelor cu caracter personal.
În cazul în care consimțământul persoanei vizate este dat în contextual unei declarații scrise care se referă și la alte aspecte, cererea privind consimțământul trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu.
Art. 7 alin. (3) din Regulament prevede faptul că retragerea consimțământului se face la fel de simplu ca și acordarea acestuia.
În situația în care consimțământul este retras, operatorul are obligația de a șterge, fără întârzieri nejustificate, toate datele cu caracter personal ale persoanei vizate care și-a exercitat dreptul prevăzut la art. 17 alin. (1) lit. b) din Regulament.
Considerentul 32 din Regulamentul (UE) nr. 2016/679 stabilește următoarele: ”Consimțământul ar trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar putea include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul.”
Pentru mai multe informații puteți accesa Ghidul privind consimțământul emis de Comitetul european pentru protecția datelor.
17. În ce condiții pot prelucra datele cu caracter personal ale copiilor în ceea ce privește oferirea de servicii ale societății informaționale?
Prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul este acordat sau autorizat de titularul răspunderii părintești asupra copilului. Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul răspunderii părintești a acordat sau a autorizat consimțământul, ținând seama de tehnologiile disponibile (art. 8 din Regulamentul (UE) 2016/679).
18. Operatorii sunt obligați să țină o evidență a prelucrărilor de date?
Fiecare operator sau persoană împuternicită trebuie să păstreaze, atât în scris cât și în format electronic, o evidență a activităților de prelucrare. Această evidență trebuie să cuprindă toate informațiile prevăzute la art. 30 alin. (1) din Regulamentul General de Protecție a Datelor 2016/679.
Alegerea modalităților de a păstra evidența prelucrărilor de date rămâne la latitudinea operatorilor, ținând cont de activitatea desfășurată până în prezent în domeniul datelor cu caracter personal.
Evidența prelucrării cuprinde toate următoarele informații:
- numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;
- scopurile prelucrării;
- o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
- categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
- dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor menționate la articolul 49 alineatul (1) al doilea paragraf, documentația care dovedește existența unor garanții adecvate;
- acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
- acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 32 alineatul (1).
19. Când este necesară efectuarea evaluării de impact?
În cazul în care sunt identificate prelucrări de date cu caracter personal susceptibile de a prezenta riscuri ridicate pentru drepturile și libertăţile persoanelor fizice, operatorul sau persoana împuternicită va efectua o evaluare a impactului asupra protecţiei datelor, în condiţiile art. 35 din Regulamentul General privind Protecţia Datelor.
Evaluarea impactului asupra protecţiei datelor se realizează anterior colectării datelor cu caracter personal și efectuării prelucrării.
Evaluarea impactului asupra protecției datelor se impune mai ales în cazul:
- unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează e prelucrare automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
- prelucrării pe scară largă a unor categorii speciale de date, menționată la art. 9 alin. (1), sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționată la art. 10;
- unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.
Evaluarea conține cel puțin:
- o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;
- o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;
- o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate menționate la alineatul (1); și
- măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale altor persoane interesate.
Pentru mai multe informații puteți accesa Ghidul privind evaluarea de impact emis de Comitetul european pentru protecția datelor, precum și Ghidul orientativ de aplicare a Regulamentului general privind protecția datelor emis de Autoritatea Națională de Supraveghere.
20. În cât timp notific încălcările de securitate?
Cu excepţia cazului în care este puţin probabil ca o încălcare a securităţii datelor cu caracter personal să genereze un risc pentru drepturile şi libertăţile persoanelor fizice, operatorul are obligația de a notifica autorităţii de supraveghere orice încălcare a securităţii datelor, fără întârzieri nejustificate şi, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta.
Prin Decizia nr. 128 din 22 iunie 2018 a președintelui Autorității de supraveghere s-a adoptat formularul tipizat al notificării de încălcare a securităţii datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679.
Pentru mai multe informații puteți accesa Ghidul privind notificarea încălcărilor de securitate emis de Comitetul european pentru protecția datelor.
21. Care sunt drepturile persoanei vizate?
La Capitolul III din Regulamentul (UE) 2016/679 sunt reglementate drepturile persoanei vizate:
dreptul la informare (art. 13 și art. 14);
dreptul de acces (art. 15);
dreptul la rectificare (art. 16);
dreptul la ștergere („dreptul de a fi uitat” – art. 17);
dreptul la restricționarea prelucrării (art. 18);
dreptul la portabilitatea datelor (art. 20 -);
dreptul la opoziție (art. 21);
dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată (art. 22 - pentru mai multe informații puteți accesa);
dreptul de a depune o plângere la o autoritate de supraveghere (art. 77).
Pentru exercitarea acestor drepturi, este necesar ca persoanele vizate să adreseze o cerere operatorului în acest sens. Operatorul furnizează persoanei vizate informaţii privind acţiunile întreprinse în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ţinându-se seama de complexitatea şi numărul cererilor.
Pentru mai multe informații puteți accesa Ghidul privind dreptul la portabilitatea datelor și Ghidul privind deciziile automate individuale și profilare.
22. Cum pot formula o plângere la autoritatea de supraveghere?
Pe site-ul autorității de supraveghere www.dataprotection.ro este disponibil un formular electronic de plângere la secțiunea Plângeri.
De asemenea, vă recomandăm să aveți în vedere prevederile Deciziei nr. 133/2018 a președintelui Autorității de supraveghere privind aprobarea Procedurii de primire și soluționare a plângerilor.
23. Când este admisibilă o plângere?
Potrivit Deciziei nr. 133/2018 și în concordanță cu Legea nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările și completările ulterioare, pentru primirea şi înregistrarea valabilă a plângerilor este obligatorie furnizarea următoarelor date ale petiţionarului: nume, prenume, adresă poştală de domiciliu sau de reşedinţă. În cazul în care plângerea este depusă electronic este obligatorie furnizarea adresei de poştă electronică a petiţionarului.
În cazul plângerilor înaintate prin reprezentant, în afara datelor petiţionarului menţionate la alin. (1), este obligatorie şi furnizarea următoarelor date ale reprezentantului: nume şi prenume/denumire, adresă poştală de corespondenţă/sediu, adresă de poştă electronică, număr de telefon, număr de înregistrare în registrul asociaţiilor şi fundaţiilor, dacă este cazul.
Pentru primirea şi înregistrarea valabilă a plângerilor este obligatorie furnizarea datelor de identificare ale operatorului reclamat sau a persoanei împuternicite reclamate, precum nume şi prenume/denumire, adresă/sediu, sau cel puţin a informaţiilor disponibile deţinute de petiţionar, în vederea identificării acestora.
Plângerile trimise se semnează olograf sau electronic, iar în cazul petiţiilor trimise electronic care nu pot fi semnate, ANSPDCP poate solicita confirmarea corectitudinii datelor transmise electronic.
Autoritatea națională de supraveghere informează persoana vizată cu privire la admisibilitatea plângerii, în termen de cel mult 45 de zile de la înregistrare. În cazul în care se constată că informațiile din plângere sau documentele transmise sunt incomplete sau insuficiente, Autoritatea națională de supraveghere solicită persoanei vizate să completeze plângerea pentru a putea fi considerată admisibilă în vederea efectuării unei investigații. Un nou termen de cel mult 45 de zile curge de la data completării plângerii.
Autoritatea națională de supraveghere informează persoana vizată în legătură cu evoluția sau cu rezultatul investigației întreprinse în termen de 3 luni de la data la care s-a comunicat acesteia că plângerea este admisibilă.
24. Cum se realizează transferul de date în străinătate?
Transferul de date cu caracter personal se poate realiza prin:
- decizii ale Comisiei Europene privind caracterul adecvat al nivelului de protecție asigurat de statul terț;
- clauze standard de protecție a datelor adoptate de Comisie;
- reguli corporatiste obligatorii în conformitate cu art. 47 din Regulament;
- alte modalități prevăzute la art. 46 și art. 49 din Regulament.
25. Ce măsuri trebuie să iau pentru asigurarea securităţii prelucrării datelor cu caracter personal?
Securitatea datelor cu caracter personal este reglementată la art. 25 și art. 32 din Regulamentul (UE) 2016/679.
În vederea asigurării unui nivel de securitate corespunzător, operatorul implementează măsuri tehnice și organizatorice adecvate, incluzând printre altele:
- capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;
- capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
- un proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.”
- pseudonimizarea și criptarea datelor cu caracter personal, după caz.
26. Cât timp pot stoca datele cu caracter personal?
Potrivit art. 5 alin. (1) lit. e) din Regulamentul (UE) 2016/679, ”datele cu caracter personal sunt păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate („limitări legate de stocare”);”
Potrivit Regulamentului general privind protecția datelor, datele se păstrează într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele. Datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, cu instituirea unor garanții.
Perioada de stocare poate fi stabilită prin acte normative ce reglementează domeniile specifice de activitate. În măsura în care se impune, este necesară modificarea/completarea acestora astfel încât normele să fie puse în conformitate cu Regulamentul general privind protecția datelor.