R O M Â N I A
AUTORITATEA
NAŢIONALĂ DE SUPRAVEGHERE
A PRELUCRĂRII DATELOR
CU CARACTER PERSONAL
Protecţia datelor cu caracter personal
reprezintă un domeniu nou pentru spaţiul legislativ din România.
Conţinutul său priveşte, într-o formă generică,
dreptul persoanei fizice de a-i fi apărate acele caracteristici care conduc
la identificarea sa şi obligaţia corelativă a statului de a
adopta măsuri adecvate pentru a asigura o protecţie eficientă.
În acest scop, a luat fiinţă şi în
România, o autoritate centrală abilitată cu astfel de atribuţii
de control, Autoritatea Naţională de Supraveghere a Prelucrării
Datelor cu Caracter Personal. Recent înfiinţată, prin Legea nr.
102/2005, Autoritatea îşi exercită competenţa stabilită în
principal de Legea nr. 677/2001, în condiţii de independenţă
faţă de orice autoritate publică sau entitate de drept privat.
Prin Legea nr. 677/2001 pentru protecţia persoanelor
cu privire la prelucrarea datelor cu caracter personal şi libera
circulaţie a acestor date a fost transpus acquis-ul
reprezentat de Directiva 95/46/EC, care reglementează cadrul juridic
general al protecţiei datelor personale la nivelul Uniunii Europene.
Atribuţiile Autorităţii Naţionale de
Supraveghere a Prelucrării Datelor cu Caracter Personal sunt specifice
oricărei instituţii de control, putând investiga prelucrările de
date cu caracter personal care cad sub incidenţa Legii nr. 677/2001
şi aplica sancţiuni, în cazul în care constată încălcarea
dispoziţiilor legale de către operatorii de date cu caracter
personal, în urma sesizărilor din oficiu sau pe baza unor plângeri depuse
de persoanele lezate în drepturile lor.
Pentru că aplicarea corectă a unui act normativ
nou presupune o cunoaştere corespunzătoare a prevederilor sale,
considerăm că prin intermediul prezentei broşuri atât operatorii
de date cu caracter personal, cât şi persoanele fizice ale căror date
personale sunt prelucrate, vor avea ocazia de a aprofunda şi înţelege
care sunt obligaţiile şi, respectiv, drepturile reglementate.
Sperăm că acest prim demers al
Autorităţii Naţionale de Supraveghere a Prelucrării Datelor
cu Caracter Personal se va dovedi util pentru toate persoanele interesate
şi va avea un ecou pozitiv în societatea românească.
Aspecte
generale
Autoritatea Naţională de Supraveghere a
Prelucrării Datelor cu Caracter Personal are ca obiectiv apărarea
drepturilor şi libertăţilor fundamentale ale persoanelor fizice,
în special a dreptului la viaţă intimă, familială şi
privată, în legătură cu prelucrarea datelor cu caracter personal
şi libera circulaţie a acestor date.
Potrivit legii de înfiinţare,
organizare şi funcţionare, Autoritatea Naţională de
Supraveghere a Prelucrării Datelor cu Caracter Personal este o autoritate
publică cu personalitate juridică, autonomă şi
independentă faţă de orice altă autoritate publică,
precum şi faţă de orice persoană fizică sau
juridică din domeniul privat.
Autoritatea de supraveghere
nu se substituie autorităţilor publice, nu poate fi supusă nici
unui mandat imperativ sau reprezentativ şi nu poate fi obligată
să se supună instrucţiunilor sau dispoziţiilor altei autorităţi.
Activitatea sa are caracter public.
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal este condusă de un preşedinte, numit de Senat, pentru un mandat de 5 ani, care poate fi reînnoit o singură dată.
Preşedintele autorităţii prezintă anual rapoarte de activitate în şedinţa plenară a Senatului. Rapoartele pot conţine recomandări privind modificarea legislaţiei sau măsuri de altă natură, pentru ocrotirea drepturilor şi libertăţilor cetăţenilor în legătură cu prelucrarea datelor personale.
Cadrul juridic
Activitatea
Autorităţii Naţionale de Supraveghere a Prelucrării Datelor
cu Caracter este reglementată prin:
§
Legea nr. 677/2001 pentru protecţia persoanelor cu
privire la prelucrarea datelor cu
caracter personal şi libera circulaţie a acestor date; legea este
conformă Directivei 95/46/EC a Parlamentului European şi a
Consiliului din 24 octombrie 1995;
§
Legea nr. 102/2005 privind înfiinţarea, organizarea
şi funcţionarea Autorităţii Naţionale de Supraveghere
a Prelucrării Datelor cu Caracter Personal;
§
Regulamentul din 2 noiembrie 2005 de organizare şi
funcţionare a Autorităţii Naţionale de Supraveghere a
Prelucrării Datelor cu Caracter Personal;
§
Legea nr. 682/2001 pentru ratificarea Convenţiei pentru
protejarea persoanelor faţă de prelucrarea automatizată a
datelor cu caracter personal;
§
Legea
nr. 506/2004 privind prelucrarea datelor cu caracter personal şi
protecţia vieţii private în sectorul comunicaţiilor electronice;
§
Legea
nr. 55/2005 pentru ratificarea Protocolului adiţional la Convenţia
pentru protejarea persoanelor faţă de prelucrarea automatizată a
datelor cu caracter personal, cu privire la autorităţile de control
şi fluxul transfrontalier al datelor;
§
Legea
nr. 476/2003 privind aprobarea taxei de notificare a prelucrărilor de date
cu caracter personal, care cad sub incidenţa Legii nr. 677/2001.
Atribuţiile
autorităţii de supraveghere
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal îşi desfăşoară activitatea în condiţii de completă independenţă şi imparţialitate. Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal monitorizează şi controlează sub aspectul legalităţii prelucrările de date cu caracter personal care cad sub incidenţa Legii nr. 677/2001. În acest scop, autoritatea de supraveghere exercită următoarele atribuţii:
§
primeşte şi analizează
notificările privind prelucrarea datelor cu caracter personal;
§
autorizează prelucrările de date în
situaţiile prevăzute de lege;
§
poate dispune, în cazul în care constată
încălcarea dispoziţiilor prezentei legi, suspendarea provizorie sau
încetarea prelucrării datelor, ştergerea parţială ori
integrală a datelor prelucrate şi poate să sesizeze organele de
urmărire penală sau să intenteze acţiuni în justiţie;
§
informează persoanele fizice şi/sau juridice asupra necesităţii
respectării obligaţiilor şi îndeplinirii procedurilor
prevăzute de Legea nr. 677/2001;
§
păstrează şi pune la dispoziţia
publicului registrul de evidenţă a prelucrărilor de date cu
caracter personal;
§
primeşte şi soluţionează
plângeri, sesizări sau cereri de la persoanele fizice şi
comunică soluţia dată ori, după caz, demersurile efectuate;
§
efectuează controale prealabile în
situaţia în care operatorul prelucrează date cu caracter personal
care sunt susceptibile de a prezenta riscuri speciale pentru drepturile şi
libertăţile persoanelor;
§
efectuează investigaţii din oficiu sau la
primirea unor plângeri ori sesizări;
§
este consultată atunci când se elaborează
proiecte de acte normative referitoare la protecţia drepturilor şi
libertăţilor persoanelor, în privinţa prelucrării datelor
cu caracter personal;
§
poate face propuneri privind iniţierea unor
proiecte de acte normative sau modificarea actelor normative în vigoare în
domenii legate de prelucrarea datelor cu caracter personal;
§
cooperează cu autorităţile publice
şi cu organele administraţiei publice, centralizează şi
analizează rapoartele anuale de activitate ale acestora privind
protecţia persoanelor în privinţa prelucrării datelor cu caracter
personal;
§
formulează recomandări şi avize asupra
oricărei chestiuni legate de protecţia drepturilor şi
libertăţilor fundamentale în privinţa prelucrării datelor
cu caracter personal, la cererea oricărei persoane, inclusiv a
autorităţilor publice şi a organelor administraţiei
publice;
§
cooperează cu autorităţile similare
din străinătate, în vederea asistenţei mutuale, precum şi
cu persoanele cu domiciliul sau cu sediul în străinătate, în scopul
apărării drepturilor şi libertăţilor fundamentale ce
pot fi afectate prin prelucrarea datelor cu caracter personal;
§
îndeplineşte alte atribuţii prevăzute
de lege.
Domeniul de aplicare a Legii nr. 677/2001
Legea nr. 677/2001
se aplică prelucrărilor de date cu caracter personal, efectuate prin
mijloace automate şi/sau manuale, care fac parte
dintr-un sistem de evidenţă sau care sunt destinate să fie
incluse într-un asemenea sistem.
- Legea nr. 677/2001 se aplică:
a)
prelucrărilor de date cu caracter personal,
efectuate în cadrul activităţilor desfăşurate de operatori
stabiliţi în România;
b)
prelucrărilor de date cu caracter personal,
efectuate în cadrul activităţilor desfăşurate de misiunile
diplomatice sau de oficiile consulare ale României;
c)
prelucrărilor de date cu caracter personal,
efectuate în cadrul activităţilor desfăşurate de operatori
care nu sunt stabiliţi în România, prin utilizarea de mijloace de orice
natură situate pe teritoriul României; în acest caz, operatorul îşi
va desemna un reprezentant care trebuie să fie o persoană
stabilită în România;
d)
prelucrărilor şi transferului de date cu caracter
personal, efectuate în cadrul activităţilor de prevenire, cercetare
şi reprimare a infracţiunilor şi de menţinere a ordinii
publice, precum şi al altor activităţi desfăşurate în
domeniul dreptului penal, în limitele şi cu restricţiile stabilite de
lege.
§
Legea nr. 677/2001 nu se aplică:
1. prelucrărilor
de date cu caracter personal, efectuate de persoane fizice exclusiv pentru uzul
lor personal, dacă datele în cauză nu sunt destinate a fi
dezvăluite;
2. prelucrărilor
şi transferului de date cu caracter personal, efectuate în cadrul
activităţilor în domeniul apărării şi siguranţei
naţionale, desfăşurate în limitele şi cu restricţiile
stabilite de lege.
Legitimitatea prelucrărilor de date cu
caracter personal
Condiţia de legitimitate a prelucrării este reprezentată
de existenţa consimţământului persoanei vizate. Astfel, prelucrările de date cu caracter
personal nu pot fi efectuate decât dacă persoana vizată şi-a dat
consimţământul în mod expres şi neechivoc.
Consimţământul persoanei vizate nu este cerut în
următoarele cazuri:
a)
când prelucrarea este necesară în vederea
executării unui contract sau antecontract la
care persoana vizată este parte ori în vederea luării unor
măsuri, la cererea acesteia, înaintea încheierii unui contract sau antecontract;
b)
când prelucrarea este necesară în vederea
protejării vieţii, integrităţii fizice sau
sănătăţii persoanei vizate ori a unei alte persoane
ameninţate;
c)
când prelucrarea este necesară în vederea
îndeplinirii unei obligaţii legale a operatorului;
d)
când prelucrarea este necesară în vederea
aducerii la îndeplinire a unor măsuri de interes public sau care
vizează exercitarea prerogativelor de autoritate publică cu care este
învestit operatorul sau terţul căruia îi sunt dezvăluite datele;
e)
când prelucrarea este necesară în vederea
realizării unui interes legitim al operatorului sau al terţului
căruia îi sunt dezvăluite datele, cu condiţia ca acest interes
să nu prejudicieze interesul sau drepturile şi libertăţile
fundamentale ale persoanei vizate;
f)
când prelucrarea priveşte date obţinute
din documente accesibile publicului, conform legii;
g)
când prelucrarea este făcută exclusiv în
scopuri statistice, de cercetare istorică sau ştiinţifică,
iar datele rămân anonime pe toată durata prelucrării.
Persoanele fizice sau juridice cărora li
se aplică dispoziţiile
Legii nr. 677/2001
§
Operatorul de date cu caracter personal – poate fi orice
persoană fizică sau juridică, de drept privat ori de drept
public, inclusiv autorităţile publice, instituţiile şi
structurile teritoriale ale acestora, care stabileşte scopul şi
mijloacele de prelucrare a datelor cu caracter personal, sau care este astfel
desemnat printr-un act normativ.
§
Persoana împuternicită de către operator – poate fi o
persoană fizică sau juridică, de drept privat ori de drept
public, inclusiv autorităţile publice, instituţiile şi
structurile teritoriale ale acestora, care prelucrează date cu caracter
personal pe seama operatorului.
§
Reprezentantul – poate fi o persoană
fizică sau juridică de drept public sau privat stabilită în
România, care prelucrează date cu caracter personal pe seama operatorului
care nu are domiciliul/sediul în România.
§
Persoana care acţionează sub autoritatea
operatorului – poate fi orice persoană fizică care este autorizată
să prelucreze date cu caracter personal de către operator, persoana
împuternicită sau reprezentantul acestuia (ex:
angajat al acestuia).
Obligaţiile
operatorilor de date cu caracter personal
Potrivit prevederilor Legii nr. 677/2001,
operatorii au următoarele obligaţii:
- să notifice autorităţii de supraveghere orice prelucrare ori ansamblu de prelucrări având acelaşi scop sau scopuri corelate;
-
să
nu înceapă prelucrarea datelor cu caracter personal până la primirea
numărului de înregistrare comunicat de autoritatea de supraveghere;
-
să
nu înceapă prelucrarea datelor cu caracter personal când autoritatea de
supraveghere a anunţat efectuarea unui control prealabil, în cazurile unor
prelucrări susceptibile de riscuri speciale;
-
să
completeze notificarea la solicitarea autorităţii de supraveghere;
-
să
menţioneze numărul de înregistrare a notificării, primit de la
autoritatea de supraveghere, pe fiecare act prin care datele personale sunt
colectate, stocate sau dezvăluite;
-
să
comunice autorităţii de supraveghere orice schimbare de natură
să afecteze exactitatea informaţiilor cuprinse în notificare, în
termen de 5 zile;
-
să
facă dovada achitării taxei de notificare sau a încadrării
într-o categorie de persoane scutite de la plata taxei, conform Legii 476/2003;
-
să
vegheze la respectarea măsurilor de securitate de către persoanele
împuternicite;
-
să
încheie contracte în formă scrisă cu persoanele împuternicite care
prelucrează date cu caracter personal pe seama operatorului;
-
să
elaboreze instrucţiuni privind asigurarea
confidenţialităţii prelucrărilor pentru orice persoană
care acţionează sub autoritatea operatorului sau a persoanei
împuternicite, inclusiv pentru persoana împuternicită;
-
să
aplice măsurile tehnice şi organizatorice adecvate pentru protejarea
datelor cu caracter personal împotriva distrugerii accidentale sau ilegale,
pierderii, modificării, dezvăluirii sau accesului neautorizat,
în special dacă prelucrarea comportă transmisii de date în cadrul
unei reţele, precum şi împotriva oricărei forme de prelucrare
ilegală.
Drepturile persoanelor vizate
În scopul protejării intereselor persoanelor
vizate, acestea beneficiază de următoarele drepturi:
§
Dreptul
la informaţie
În cazul în care datele cu caracter personal
sunt obţinute direct de la persoana vizată, operatorul este obligat
să furnizeze persoanei vizate cel puţin următoarele
informaţii:
a)
identitatea operatorului şi a reprezentantului
acestuia, dacă este cazul;
b)
scopul în care se face prelucrarea datelor;
c)
informaţii suplimentare, precum: destinatarii sau
categoriile de destinatari ai datelor; dacă furnizarea tuturor datelor
cerute este obligatorie şi consecinţele refuzului de a le furniza;
existenţa drepturilor prevăzute de prezenta lege pentru persoana
vizată, în special a dreptului de acces, de intervenţie asupra
datelor şi de opoziţie, precum şi condiţiile în care pot fi
exercitate;
d)
orice alte informaţii a căror furnizare
este impusă prin dispoziţie a autorităţii de supraveghere,
ţinând seama de specificul prelucrării.
În cazul în care datele nu sunt obţinute
direct de la persoana vizată, operatorul este obligat ca, în momentul
colectării datelor sau, dacă se intenţionează
dezvăluirea acestora către terţi, cel mai târziu până în
momentul primei dezvăluiri, să furnizeze persoanei vizate cel
puţin următoarele informaţii, cu excepţia cazului în care
persoana vizată posedă deja informaţiile respective:
a)
identitatea operatorului şi a reprezentantului
acestuia, dacă este cazul;
b)
scopul în care se face prelucrarea datelor;
c)
informaţii suplimentare, precum: categoriile de
date vizate, destinatarii sau categoriile de destinatari ai datelor,
existenţa drepturilor prevăzute de prezenta lege pentru persoana
vizată, în special a dreptului de acces, de intervenţie asupra
datelor şi de opoziţie, precum şi condiţiile în care pot fi
exercitate;
d)
orice alte informaţii a căror furnizare
este impusă prin dispoziţie a autorităţii de supraveghere,
ţinând seama de specificul prelucrării.
§
Dreptul
de acces la date
Orice persoană vizată are dreptul de
a obţine de la operator, la cerere şi în mod gratuit pentru o
solicitare pe an, confirmarea faptului că datele care o privesc sunt sau
nu sunt prelucrate de acesta. Operatorul este obligat, în situaţia în care
prelucrează date cu caracter personal care privesc solicitantul, să
comunice acestuia, împreună cu confirmarea, cel puţin
următoarele:
a)
informaţii referitoare la scopurile
prelucrării, categoriile de date avute în vedere şi destinatarii sau
categoriile de destinatari cărora le sunt dezvăluite datele;
b)
comunicarea într-o formă inteligibilă a
datelor care fac obiectul prelucrării, precum şi a oricărei
informaţii disponibile cu privire la originea datelor;
c)
informaţii asupra principiilor de
funcţionare a mecanismului prin care se efectuează orice prelucrare
automată a datelor care vizează persoana respectivă;
d)
informaţii privind existenţa dreptului de
intervenţie asupra datelor şi a dreptului de opoziţie, precum
şi condiţiile în care pot fi exercitate;
e)
informaţii asupra posibilităţii de a
consulta registrul de evidenţă a prelucrărilor de date cu
caracter personal, de a înainta plângere către autoritatea de
supraveghere, precum şi de a se adresa instanţei pentru atacarea
deciziilor operatorului, în conformitate cu dispoziţiile legale.
Operatorul este obligat să comunice
informaţiile solicitate, în termen de 15 zile de la data primirii cererii.
§
Dreptul
de intervenţie asupra datelor
Orice persoană vizată are dreptul de
a obţine, în mod gratuit, de la operator, printr-o cerere întocmită
în formă scrisă, datată şi semnată:
a) rectificarea, actualizarea, blocarea sau
ştergerea datelor a căror prelucrare nu este conformă prezentei
legi, în special a datelor incomplete sau inexacte;
b) transformarea în date anonime a datelor a
căror prelucrare nu este conformă cu Legea nr. 677/2001;
c) notificarea către terţii
cărora le-au fost dezvăluite datele, dacă această
notificare nu se dovedeşte imposibilă sau nu presupune un efort
disproporţionat faţă de interesul legitim care ar putea fi
lezat.
Operatorul este obligat să comunice
măsurile luate, precum şi, dacă este cazul, numele terţului
căruia i-au fost dezvăluite datele cu caracter personal referitoare
la persoana vizată, în termen de 15 zile de la data primirii cererii.
§
Dreptul
de opoziţie
Persoana vizată are dreptul de a se opune
în orice moment, printr-o cerere întocmită în formă scrisă,
datată şi semnată, din motive întemeiate şi legitime legate
de situaţia sa particulară, ca datele care o vizează să
facă obiectul unei prelucrări, cu excepţia cazurilor în care
există dispoziţii legale contrare. În caz de opoziţie
justificată, prelucrarea nu mai poate viza datele în cauză.
Persoana vizată are dreptul de a se opune
în orice moment, în mod gratuit şi fără nici o justificare, ca
datele care o vizează să fie prelucrate în scop de marketing direct,
în numele operatorului sau al unui terţ, sau să fie dezvăluite
unor terţi într-un asemenea scop.
Operatorul este obligat să comunice
persoanei vizate măsurile luate, precum şi, dacă este cazul,
numele terţului căruia i-au fost dezvăluite datele cu caracter
personal referitoare la persoana vizată, în termen de 15 zile de la data
primirii cererii.
§
Dreptul
de a nu fi supus unei decizii individuale
Orice persoană
are dreptul de a cere şi de a obţine:
a)
retragerea sau anularea oricărei decizii care
produce efecte juridice în privinţa sa, adoptată exclusiv pe baza
unei prelucrări de date cu caracter personal, efectuată prin mijloace
automate, destinată să evalueze unele aspecte ale personalităţii
sale, precum competenţa profesională, credibilitatea, comportamentul
său ori alte asemenea aspecte;
b)
reevaluarea oricărei alte decizii luate în
privinţa sa, care o afectează în mod semnificativ, dacă decizia
a fost adoptată exclusiv pe baza unei prelucrări de date care
întruneşte condiţiile prevăzute mai sus.
§
Dreptul
de a se adresa justiţiei
Fără a aduce atingere
posibilităţii de a se adresa cu plângere autorităţii de
supraveghere, orice persoană care a suferit un prejudiciu în urma unei
prelucrări de date cu caracter personal, efectuate ilegal, se poate adresa
instanţei competente pentru repararea acestuia.
Instanţa competentă este cea în a
cărei rază teritorială domiciliază reclamantul. Cererea de
chemare în judecată este scutită de taxă de timbru.
Prelucrarea unor categorii speciale de date
Prelucrarea datelor cu caracter personal
legate de originea rasială sau etnică, de convingerile politice,
religioase, filozofice sau de natură similară, de apartenenţa
sindicală, precum şi a datelor cu caracter personal privind starea de
sănătate sau viaţa sexuală este interzisă.
Prevederile susmenţionate nu se
aplică în următoarele cazuri:
a) când persoana
vizată şi-a dat în mod expres consimţământul pentru o
astfel de prelucrare;
b) când prelucrarea este necesară în
scopul respectării obligaţiilor sau drepturilor specifice ale
operatorului în domeniul dreptului muncii, cu respectarea garanţiilor
prevăzute de lege;
c) când prelucrarea este necesară pentru
protecţia vieţii, integrităţii fizice sau a
sănătăţii persoanei vizate ori a altei persoane, în cazul
în care persoana vizată se află în incapacitate fizică sau
juridică de a-şi da consimţământul;
d) când prelucrarea este efectuată în
cadrul activităţilor sale legitime de către o fundaţie,
asociaţie sau de către orice altă organizaţie cu scop nelucrativ şi cu specific politic, filozofic, religios
ori sindical, cu condiţia ca persoana vizată să fie membră
a acestei organizaţii;
e) când prelucrarea se referă la date
făcute publice în mod manifest de către persoana vizată;
f) când prelucrarea este necesară pentru
constatarea, exercitarea sau apărarea unui drept în justiţie;
g) când prelucrarea este necesară în
scopuri de medicină preventivă, de stabilire a diagnosticelor
medicale, de administrare a unor îngrijiri sau tratamente medicale pentru
persoana vizată ori de gestionare a serviciilor de sănătate care
acţionează în interesul persoanei vizate;
h) când legea prevede în mod expres aceasta în
scopul protejării unui interes public important.
Confidenţialitatea şi securitatea
prelucrărilor
Orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite, inclusiv persoana împuternicită, care are acces la date cu caracter personal, nu poate să le prelucreze decât pe baza instrucţiunilor operatorului, cu excepţia cazului în care acţionează în temeiul unei obligaţii legale.
Operatorul este obligat să aplice
măsurile tehnice şi organizatorice adecvate pentru protejarea datelor
cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii,
modificării, dezvăluirii sau accesului neautorizat,
în special dacă prelucrarea respectivă comportă transmisii de
date în cadrul unei reţele, precum şi împotriva oricărei alte
forme de prelucrare ilegală.
Efectuarea prelucrărilor prin persoane împuternicite
trebuie să se desfăşoare în baza unui contract încheiat în
formă scrisă, care va cuprinde:
a)
obligaţia persoanei împuternicite de a
acţiona doar în baza instrucţiunilor primite de la operator;
b)
faptul că îndeplinirea obligaţiilor
prevăzute pentru operatori revine şi persoanei împuternicite.
Notificarea
prelucrării datelor cu caracter personal
Prelucrarea datelor cu
caracter personal trebuie notificată autorităţii de supraveghere
de către operatorul de date cu caracter personal, anterior începerii
acesteia.
Sunt exceptate de la
notificare următoarele categorii de prelucrări:
- prelucrarea care are
drept unic scop ţinerea unui registru destinat prin lege informării
publicului şi deschis spre consultare acestuia;
- prelucrările
referitoare la petiţionari şi la propriul personal, în vederea
îndeplinirii unor obligaţii legale ale operatorilor (de exemplu,
încheierea şi executarea unor contracte de muncă, stabilirea şi
desfăşurarea unor raporturi de serviciu, îndeplinirea unor
obligaţii fiscale, de protecţie şi de asigurare socială
etc.).
Controale prealabile şi
investigaţii
Autoritatea de supraveghere
controlează sub aspectul legalităţii prelucrările de date
cu caracter personal care cad sub incidenţa legii.
Activitatea de control se
realizează prin:
a. Control prealabil -
mijloc prevăzut de lege prin care autoritatea de supraveghere
verifică ansamblul condiţiilor în care au loc prelucrările de
date care sunt susceptibile să prezinte riscuri speciale.
b. Investigaţie - procedeu de exercitare a atribuţiilor ce revin autorităţii de supraveghere pentru controlul legalităţii prelucrărilor de date cu caracter personal care intră sub incidenţa legii.
Pentru respectarea legii şi protecţia persoanei
vizate, în cazul în care constată încălcarea normelor legale,
autoritatea de supraveghere poate dispune
următoarele măsuri:
a.
interzicerea efectuării unor prelucrări;
b.
suspendarea provizorie a unora sau a tuturor
operaţiunilor de prelucrare a datelor cu caracter personal;
c. încetarea
prelucrării datelor;
d. ştergerea
parţială ori integrală a datelor prelucrate;
e. intentarea unei
acţiuni în justiţie pentru apărarea oricăror drepturi
garantate de prezenta lege persoanelor vizate;
f. sesizarea organelor de urmărire penală.
Plângeri adresate autorităţii de
supraveghere
În vederea
apărării drepturilor prevăzute de prezenta lege, persoanele ale
căror date cu caracter personal fac obiectul unei prelucrări care
cade sub incidenţa legii pot înainta plângere către autoritatea de
supraveghere. Plângerea se poate face direct sau prin reprezentant.
Plângerea către
autoritatea de supraveghere nu poate fi înaintată dacă o cerere în
justiţie, având acelaşi obiect şi aceleaşi părţi,
a fost introdusă anterior.
În afara cazurilor în care
o întârziere ar cauza un prejudiciu iminent şi ireparabil, plângerea
către autoritatea de supraveghere nu poate fi înaintată mai devreme
de 15 zile de la înaintarea unei plângeri cu acelaşi conţinut
către operator.
Dacă plângerea este
găsită întemeiată, autoritatea de supraveghere poate dispune
suspendarea provizorie sau încetarea prelucrării datelor, ştergerea
parţială sau integrală a prelucrării datelor şi poate
să sesizeze organele de urmărire penală sau să intenteze
acţiune în justiţie. Decizia trebuie motivată şi se
comunică părţilor interesate în termen de 30 de zile de la data
primirii plângerii.
Transferul în străinătate al datelor cu caracter personal
Transferul de date cu
caracter personal către un alt stat va face obiectul unei notificări
prealabile a autorităţii de supraveghere, cu două excepţii:
- în
cazul în care transferul se face în baza prevederilor unei legi speciale sau
ale unui acord internaţional ratificat de România, în special dacă
transferul se face în scopul prevenirii, cercetării sau reprimării
unei infracţiuni;
- în
cazul în care prelucrarea datelor se face exclusiv în scopuri jurnalistice,
literare sau artistice, dacă datele au fost făcute publice în mod
manifest de către persoana vizată sau sunt strâns legate de calitatea
de persoană publică a persoanei vizate ori de caracterul public al
faptelor în care este implicată.
Transferul de date cu
caracter personal către un alt stat poate avea loc în cazul în care:
- nu se încalcă legea română, iar
statul către care se intenţionează transferul asigură un
nivel de protecţie adecvat;
-
transferul de date cu caracter personal se face către un stat a
cărui legislaţie nu prevede un nivel adecvat, iar operatorul
oferă garanţii suficiente cu privire la protecţia drepturilor
fundamentale ale persoanelor. Aceste garanţii trebuie să fie
stabilite prin contracte încheiate între operatorul care exportă date
şi cel care le importă;
-
persoana vizată şi-a dat în mod explicit
consimţământul pentru efectuarea transferului;
- este
necesar pentru executarea unui contract încheiat între persoana vizată
şi operator sau pentru executarea unor măsuri precontractuale
dispuse la cererea persoanei vizate;
- este
necesar pentru încheierea sau pentru executarea unui contract încheiat ori care
se va încheia, în interesul persoanei vizate, între operator şi un
terţ;
- este
necesar pentru satisfacerea unui interes public major, precum apărarea
naţională, ordinea publică sau siguranţa
naţională, pentru buna desfăşurare a procesului penal ori
pentru constatarea, exercitarea sau apărarea unui drept în justiţie,
cu condiţia ca datele să fie prelucrate în legătură cu
acest scop şi nu mai mult timp decât este necesar;
- este
necesar pentru a proteja viaţa, integritatea fizică sau
sănătatea persoanei vizate;
-
intervine ca urmare a unei cereri anterioare de acces la documente
oficiale care sunt publice ori a unei cereri privind informaţii care pot
fi obţinute din registre sau prin orice alte documente accesibile
publicului.
Contravenţii şi sancţiuni
Autoritatea de supraveghere poate aplica sancţiuni contravenţionale operatorului pentru:
- omisiunea de a notifica şi notificarea cu rea-credinţă;
- prelucrarea nelegală a datelor cu caracter personal;
- neîndeplinirea obligaţiilor privind confidenţialitatea şi aplicarea măsurilor de securitate;
- refuzul de a furniza informaţii.
Sancţiunile contravenţionale se aplică
de către autoritatea de supraveghere prin personalul împuternicit în acest
scop. Cuantumul amenzilor care pot fi
aplicate, în cazul săvârşirii contravenţiilor susmenţionate
variază între 500 RON şi 50.000 RON.
Împotriva proceselor-verbale de constatare şi a deciziilor de sancţionare se poate face plângere la secţiile de contencios administrativ ale tribunalelor.
Relaţii
cu publicul
La
sediul Autorităţii Naţionale de Supraveghere a Prelucrării
Datelor cu Caracter Personal, cetăţenii pot primi informaţii
privind modul de completare a formularelor de notificare şi
legislaţia aplicabilă prelucrărilor de date cu caracter personal
pe teritoriul României.
De asemenea, aceste informaţii se pot
obţine prin telefon, la numărul 021.252.59.77.
Coordonate de contact
Sediul Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal este în:
Strada Olari nr. 32, sector 2, municipiul Bucureşti, cod poştal 024057
Telefon: 021.252.55.99
Fax: 021.252.57.57
Internet: http:// www.dataprotection.ro
E-mail: anspdcp@dataprotection.ro
Data: 21.02.2008