CONFIDENTIALITATE

logoA.N.S.P.D.C.P.

Sunt operator de date cu caracter personal?  

Operatorul de date cu caracter personal este persoana fizică sau juridică, de drept public ori de drept privat care stabileşte scopul şi mijloacele prelucrării. Aceasta înseamnă că operatorul a decis să prelucreze date cu caracter personal prin anumite operaţiuni, efectuate prin mijloace automate, precum şi prin alte mijloace decât cele automate. De asemenea, persoana fizică sau juridică poate fi desemnată ca operator printr-un act normativ sau în baza unui act normativ care determină scopul şi mijloacele de prelucrare a datelor cu caracter personal. Pentru ca o prelucrare să intre sub incidenţa prevederilor Legii nr. 677/2001 este necesar ca ea să se desfăşoare în cadrul unui sistem de evidenţă. Prin sistem de evidenţă se înţelege o colecţie de date, structurată potrivit unor criterii, criterii pe baza cărora datele pot fi accesate (de exemplu pe criteriul alfabetic).

Când sunt obligat să notific prelucrările de date?    

Conform Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, modificată şi completată, operatorii de date trebuie să notifice prelucrările pe care le efectuează la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.). Notificarea se transmite autorităţii de supraveghere, personal sau prin reprezentant, înainte de începerea oricărei prelucrari ori a oricărui ansamblu de prelucrări având acelaşi scop sau scopuri corelate. Procedura de înregistrare presupune completarea formularelor tipizate şi trimiterea acestora autorităţii de supraveghere. Formularele sunt disponibile pe site-ul A.N.S.P.D.C.P.

Când trebuie să completez notificarea în formă generală?

Formularul de notificare se completează la toate secţiunile, după caz, potrivit specificului prelucrării, sub forma notificării generale, în următoarele situaţii:
• când operatorul notifică pentru prima dată o prelucrare de date cu caracter personal;
• când operatorul notifică o prelucrare de date într-un scop diferit faţă de cel declarat printr-o notificare anterioară;
• când operatorul transferă date cu caracter personal în străinătate, deşi este scutit de obligaţia de a notifica prelucrarea datelor cu caracter personal
• când operatorul completează şi/sau modifică o notificare înscrisă deja în evidenţele autorităţii de supraveghere ca notificare generală. Având în vedere faptul că anumite prelucrări de date se efectuează în mod frecvent în temeiul legii sau în interesul persoanelor vizate şi nu sunt susceptibile de a afecta drepturile acestora, preşedintele autorităţii de supraveghere a emis Decizia nr. 91/2006 privind cazurile în care este permisă notificarea simplificată a prelucrării datelor cu caracter personal, modificată prin intrarea în vigoare a Deciziei nr. 23/2012, emisă de preşedintele autorităţii de supraveghere.

În ce situaţii trebuie să completez notificare simplificată?

Notificarea simplificată se completează, bifându-se secţiunile indicate pe prima pagină din formularul de notificare, respectiv I, II, III, IV, VI, IX, X, XI, XII, XIII şi XIV, de operatorii care prelucrează date cu caracter personal pentru următoarele scopuri:

–           prelucrarea datelor cu caracter personal efectuată de instituţiile de învăţământ public şi privat, în scopul gestionării bazei de date a cursanţilor, precum şi a celei cu caracter economic-financiar şi administrativ;

–           prelucrarea datelor cu caracter personal, efectuată în scopul furnizării gazelor, energiei electrice, termice, precum şi a serviciilor de alimentare cu apă şi de canalizare şi a celor de salubrizare de către unităţile de drept public şi privat, în baza contractelor încheiate cu clienţii.

Când se completează notificarea specială?

Notificarea specială se completează de autorităţile publice care prelucrează date cu caracter personal în cadrul activităţilor de prevenire, cercetare, reprimare a infracţiunilor şi de menţinere a ordinii publice, precum şi în cadrul altor activităţi desfăşurate în domeniul dreptului penal (art. 2 alin. (5) din Legea nr. 677/2001). În acest sens, se vor completa numai rubricile I, III, IV, V, IX, X şi XI din formularul de notificare.

Care este modalitatea de transmitere a formularului de notificare? 

Notificarea prelucrărilor de date efectuate de operatori se efectuează prin completarea on-line formularului de notificare, aprobat prin Decizia nr. 95/2008 şi accesibil la adresa de site www.dataprotection.ro, secţiunea „Depunere notificare on-line”, obţinându-se, ulterior, un număr de înregistrare în registrul electronic de evidenţă a prelucrărilor de date cu caracter personal.

Ulterior transmiterii formularului de notificare on-line, prima pagină a acestuia semnată şi ştampilată, în original, va fi remisă Autorităţii prin poştă sau depusă direct la registratură în maxim 30 de zile. În caz contrar, nu poate fi luată în considerare notificarea transmisă on-line.

Totodată, este necesară ataşarea copiei mesajului electronic primit din partea Autorităţii de supraveghere intitulat „confirmare înregistrare document, în care figurează numărul de înregistrare al formularului de notificare în Registrul General al instituţiei noastre.

Fac parte dintr-o categorie de operatori scutită de obligaţia de a se notifica?
Operatorii scutiţi de această obligaţie sunt cei care efectuează prelucrări de date pentru scopurile prevăzute într-o decizie Preşedintelui A.N.S.P.D.C.P. (Decizia nr. 90/2006Decizia 100/2007, Decizia 23/2012). De asemenea, notificarea nu este necesară în cazul în care prelucrarea are ca unic scop ţinerea unui registru destinat prin lege informării publicului şi deschis spre consultare publicului în general sau oricărei persoane care probează un interes legitim, cu condiţia ca prelucrarea să se limiteze la datele strict necesare ţinerii registrului menţionat. Totodată, persoanele fizice care prelucrează date cu caracter personal pentru uzul lor personal, iar datele în cauză nu sunt destinate a fi dezvăluite, nu au obligaţia să depună o notificare.

Notificarea trebuie transmisă autorităţii de supraveghere cu un anumit termen înainte? 
Notificarea se depune la Autoritatea de Supraveghere înainte de începerea prelucrării.

Trebuie să plătesc o taxă pentru notificare? 

Nu, deoarece prin OUG nr. 36/17.05.2007 a fost abrogată Legea nr. 476/2003 privind aprobarea taxei de notificare a prelucrărilor de date cu caracter personal, care cad sub incidenţa Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.

Dacă prelucrez date personale pentru două sau mai multe scopuri, trebuie să completez mai multe notificări?  

Dacă operatorul prelucrează date personale pentru două sau mai multe scopuri care nu au legătură între ele, atunci este obligat să completeze câte un formular tipizat separat pentru fiecare dintre aceste scopuri. Înregistrările separate permit delimitări clare ale diferitelor baze de date deţinute de operator, utilizate în scopuri diferite. În cazul în care prelucrarea are un singur scop sau mai multe scopuri corelate, operatorul completează o singură notificare.

Pot prelucra date cât timp notificarea nu este înregistrată în Registrul de Evidenţă a Prelucrărilor de Date cu Caracter Personal?

Operatorul este obligat să notifice autorităţii de supraveghere, personal sau prin reprezentant, înainte de efectuarea oricărei prelucrări ori a oricărui ansamblu de prelucrări având acelaşi scop sau scopuri corelate. Omisiunea de a efectua notificarea, în situaţiile în care această notificare este obligatorie, precum şi notificarea incompletă sau care conţine informaţii false constituie contravenţii, dacă nu sunt savârşite în astfel de condiţii încât să constituie infracţiuni şi se sancţionează cu amendă.

Pot transfera date personale în străinătate, cât timp nu am primit autorizaţia emisă de Autoritatea de Supraveghere?

Operatorul este obligat, înainte de efectuarea transferului de date în state terţe, să obţină autorizaţia autorităţii de supraveghere, în cazul în care aceasta este obligatorie, potrivit Legii nr. 677/2001 sau deciziei 28/2007 a preşedintelui ANSPDCP.

Cum se declară transferul de date în state terţe efectuat în baza art. 29 din Legea nr. 677/2001?

Transferul de date în state terţe se declară în cazul în care operatorul din România (exportatorul de date) transferă date către un importator de date, situat într-un stat care nu asigură un nivel de protecţie adecvat, în baza unui contract cu clauze standard încheiat între exportatorul şi importatorul de date sau în baza normelor corporatiste obligatorii (binding corporate rules).

În cazul în care transferul se efectuează în baza unui contract cu clauze standard ce documente trebuie să am în vedere ?

În funcţie de calitatea importatorului de date (operator/împuternicit) vor fi avute în vedere:

–           clauzele contractuale standard (conform Deciziilor 2001/497/CE sau 2004/915/CE) care reglementează transferul datelor de la un operator din România către un operator stabilit într-un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română;

–           clauzele contractuale standard (conform Deciziei Comisiei Europene 2010/87/UE)  care reglementează transferul datelor de la un operator din România către un împuternicit stabilit într-un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română.

Ce documente trebuie să depun la autoritate de supraveghere în situaţia în care transferul datelor cu caracter personal se realizează în baza normelor corporatiste obligatorii (binding corporate rules)?

Trebuie să transmiteţi autorităţii de supraveghere următoarele documente:

– normele corporatiste obligatorii în forma aprobată de către autoritatea coordonatoare (lead authority);

– autorizaţia emisă de către autoritatea coordonatoare sau adresa prin care operatorul a fost înştiinţat despre aprobarea normele corporatiste obligatorii de către autoritatea coordonatoare;

– formularul de solicitare a aprobării normelor corporatiste obligatorii pentru transferul datelor cu caracter personal prevăzut în WP 133 al Grupului de lucru art. 29;

– documentul ce conţine lista entităţilor care fac parte din grupul  operatorului, în măsura în care este posibil.

Aceste documente se vor transmite atât în limba engleză, cât şi în limba română.

Ce este Registrul de Evidenţă a Prelucărilor de Date cu Caracter Personal?
Registrul de Evidenţă a Prelucărilor de Date cu Caracter Personal, aşa cum rezultă şi din definiţia acestuia, conţine o evidenţă a notificărilor efectuate de operatorii de date cu caracter personal. Acest Registru este public, are rolul de a asigura transparenţa în ceea ce priveşte activitatea operatorilor de prelucrare a datelor şi poate fi consultat de orice persoană interesată.

Cum se prelungeşte înregistrarea notificării?

Înregistrarea este valabilă pe durata declarată de operator în formularul notificării. În cazul în care aceasta are o dată limită şi operatorul doreşte continuarea prelucrării de date, înainte de expirarea duratei declarate, este obligat să completeze notificarea. În această situaţie, nu este necesară achitarea unei noi taxe de notificare. Dacă operatorul nu procedează la completarea notificării în sensul prelungirii duratei acesteia, atunci săvârşeşte o contravenţie, fiind pasibil de aplicarea unor sancţiuni.

Ce măsuri trebuie să iau pentru asigurarea securităţii prelucrării datelor cu caracter personal?

Cerinţele minime de securitate a prelucrărilor de date cu caracter personal se regăsesc în Ordinul nr. 52/2002, publicat în Monitorul Oficial al României, Partea I, nr. 383 din 5 iunie 2002, şi prevederile art. 20 alin. (1) din Legea nr. 677/2001, modificată şi completată.

Dacă intervin schimbări în activitatea mea de prelucrare a datelor cu caracter personal, trebuie să completez şi/sau să modific notificarea?

Dacă declaraţiile din notificare au suferit schimbări, operatorul este obligat să completeze formularul tipizat de notificare, prin care modifică si/sau completează numai punctele interesate. Acest lucru este important întrucât, în situaţia în care operatorul efectuează prelucrări de date care nu sunt conforme cu declaraţiile din notificarea sa, atunci comite o contravenţie.

Cum se completează/modifică o notificare?

 Completarea/modificarea unei notificări, ca urmare a apariţiei unor schimbări în activitatea operatorului şi/sau la solicitarea autorităţii de supraveghere, se realizează prin modalitatea on-line, accesând adresa de internet a autorităţii, www.dataprotection.ro, secţiunea „Depunere notificare on-line – Modificarea unei notificări”, unde se va introduce numărul de notificare şi codul electronic de regăsire primit pe e-mail la momentul transmiterii notificării on-line.. După efectuarea on-line a completării/modificării notificării se va informa autoritatea de supraveghere, în cel mult 30 de zile, prin remiterea prin poştă a primei pagini a formularului de notificare, semnată şi ştampilată, în original. În caz contrar, nu vor fi luate în considerare completările/modificările efectuate de operator, urmând ca notificarea să fie anulată din sistemul electronic de evidenţă. Ataşat primei pagini, vă rugăm să ne transmiteţi copia mesajului electronic primit din partea autorităţii de supraveghere intitulat „confirmare înregistrare document”, în care figurează numărul de înregistrare al formularului de notificare în Registrul General al instituţiei noastre.

Răspund pentru informaţiile declarate în formularul de notificare?

Da, aspectele notificate vă revine întreaga responsabilitate cu privire la efectuarea prelucrării notificate potrivit cerinţelor legislaţiei din domeniul protecţiei datelor cu caracter personal, iar nerespectarea lor se sancţionează cu amendă, conform dispoziţiilor art. 31, 32 şi 33 din Legea nr. 677/2001, modificată şi completată.

Autoritatea de supraveghere a sanctionat pana in prezent operatorii pentru incalcarea Legii nr. 677/2001?

Da, ANSPDCP a sancţionat operatori atât din sectorul public, cât şi din cel privat.

Care este modalitatea de adresare a unei plangeri catre autoritatea de supraveghere?
Persoanele ale căror date cu caracter personal sunt prelucrate se pot adresa în scris autorităţii de supraveghere în cazul în care consideră că le-au fost încălcate drepturile prevăzute de Legea nr. 677/2001, cu condiţia de a nu fi introdus anterior o acţiune în justiţie, cu acelaşi obiect, însă numai după ce s-au adresat în prealabil operatorului reclamat. Informatii privind posibilele modele de petitii care pot fi utilizate pentru depunerea unei plangeri gasiti aici.