joi, 6 martie 2014

GHID PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

Ce informatii sunt considerate date cu caracter personal
Orice informaţii prin care o persoană fizică este sau poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale sunt considerate date cu caracter personal.
Ce inseamna prelucrare de date cu caracter personal
Orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, precum si alăturarea ori combinarea, blocarea, ştergerea sau distrugerea acestora este considerata prelucrare de date cu caracter personal.
Care sunt cerintele pentru ca o persoana juridica sa poata incepe prelucrarea date cu caracter personal
Orice persoana juridica care a decis să prelucreze date cu caracter personal prin anumite operaţiuni, efectuate prin mijloace automate, precum şi prin alte mijloace decât cele automate trebuie, in principiu, sa:
  • notifice intentia sa autoritatii competente de supraveghere
  • solicite si sa obtina consimtamantul expres si neechivoc al persoanei careia ii apartin datele cu caracter personal ce se doresc a fi prelucrate (“Persoana Vizata”)
  • aiba implementate măsuri tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal
Cand nu este necesara notificarea prelucrarii datelor cu caracter personal
Operatorii sunt scutiţi de obligatia notificarii cand efectuează prelucrări de date cu caracter personal:
  • in vederea indeplinirii unor obligatii legale referitoare la proprii angajati si colaboratori externi.
  • in scopul indeplinirii obligaţiilor prevăzute de lege in legatura pentru organizarea şi desfăşurarea activităţii proprii curente de gestiune economico-financiară şi administrativa.
  • in scopul ţinerii unui registru destinat prin lege informării publicului şi deschis spre consultare publicului in general sau oricărei persoane care probează un interes legitim, cu condiţia ca prelucrarea să se limiteze la datele strict necesare ţinerii registrului menţionat.
Care este procedura de notificare a unei operatiuni de prelucrare a datelor cu caracter personal
Autoritatea competenta. In prezent, autoritatea de supraveghere in acest domeniu este Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (“ANSPDCP”). ANSPDCP este insarcinata cu primirea şi analizarea notificărilor privind prelucrarea datelor cu caracter personal, anunţând operatorului rezultatele controlului prealabil.
Depunerea notificarii.
  • Momentul notificarii. Operatorul este obligat să notifice autorităţii de supraveghere, personal sau prin reprezentant, înainte de efectuarea oricărei prelucrări ori a oricărui ansamblu de prelucrări având acelaşi scop sau scopuri corelate.
  • Continutul notificarii. Notificarea va trebui sa respecte continutul formularului tipizat elaborat si publicat de ANSPDCP. Notificarea va trebui sa contina informatii privind (i) numele sau denumirea şi domiciliul ori sediul operatorului şi ale reprezentantului desemnat al acestuia, dacă este cazul, (ii) scopul sau scopurile prelucrării, (iii) o descriere a categoriei sau a categoriilor de persoane vizate şi a datelor ori a categoriilor de date ce vor fi prelucrate; (iv) destinatarii sau categoriile de destinatari cărora se intenţionează să li se dezvăluie datele; (v) garanţiile care însoţesc dezvăluirea datelor către terţi; (vi) modul în care persoanele vizate sunt informate asupra drepturilor lor; data estimată pentru încheierea operaţiunilor de prelucrare, precum şi destinaţia ulterioară a datelor; (vii) transferuri de date care se intenţionează să fie făcute către alte state, (viii) o descriere generală care să permită aprecierea preliminară a măsurilor luate pentru asigurarea securităţii prelucrării, (ix) specificarea oricărui sistem de evidenţă a datelor cu caracter personal, care are legătură cu prelucrarea, precum şi a eventualelor legături cu alte prelucrări de date sau cu alte sisteme de evidenţă a datelor cu caracter personal, indiferent dacă se efectuează, respectiv dacă sunt sau nu sunt situate pe teritoriul României.
In sensul legii, garanţiile pentru asigurarea protecţiei datelor cu caracter personal în cadrul transferului de date către alţi operatori sunt acele obligatii prevăzute prin clauze contractuale privind utilizarea acestor date care vor menţiona, printre altele, drepturile recunoscute Persoanelor Vizate, precum şi faptul că aceste drepturi pot fi exercitate doar cu respectarea confidenţialităţii anumitor clauze comerciale.
Controlul prealabil. ANSPDCP va dispune obligatoriu efectuarea unui control prealabil începerii prelucrării respective, cu anunţarea operatorului, in cazul in care datele ce urmeaza a fi prelucrate, cu sau fara ajutorul mijloacelor electronice, se refera la elemente speciale de identificare a unei persoane fizice precum:
  • aspecte de personalitate, competenţa profesională, credibilitatea, comportamentul sau altele asemenea
  • solvabilitatea, situaţia economico-financiara, faptele susceptibile de a atrage răspunderea disciplinară, contravenţională sau penală a persoanelor fizice, pentru adoptarea unor decizii automate individuale

In intelesul legii, decizia automata individuala reprezinta o decizie care produce efecte juridice în privinţa Persoanei Vizate, adoptată exclusiv pe baza unei prelucrări de date cu caracter personal, efectuată prin mijloace automate, destinată să evalueze unele aspecte ale personalităţii acesteia, precum competenţa profesională, credibilitatea, comportamentul său ori alte asemenea aspect.
Registrul de evidenţă a prelucrărilor de date cu caracter personal. ANSPDCP păstrează un registru public online de evidenţă a prelucrărilor de date cu caracter personal notificate, care contine toate informatiile ce trebuie incluse in formularul tipizat de notificare. Operatorul primeste un numar de inregistrare cu ocazia depunerii notificarii si are obligatia de a menţiona acest numar pe orice act prin care datele sunt colectate, stocate sau dezvăluite.
Contestarea deciziei ANSPDCP. Împotriva oricărei decizii emise de ANSPDCP operatorul poate formula contestaţie în termen de 15 zile de la comunicare, sub sancţiunea decăderii, la instanţa de contencios administrativ competentă. Cererea se judecă de urgenţă, cu citarea părţilor. Soluţia este definitivă şi irevocabilă.
Durata estimata a procedurii de notificare. Aceasta durata depinde de decizia ANSPDCP in legatura cu efectuarea controlului prealabil:

  • In cazul in care ANSPDCP decide ca nu este necesara efectuarea unui control prealabil, un operator poate incepe prelucrarea daca in termen de 5 zile de la data inregistrarii notificarii, nu este instiintat de ANSPDCP despre necesitatea controlului prealabil.
  • In cazul in care ANSPDCP decide efectuarea unui control prealabil, un operator poate incepe prelucrarea:
  • daca decizia ANSPDCP ii este favorabila, in termen de maxim 30 de zile de la data inregistrarii notificarii,
  • daca decizia ANSPDCP ii este nefavorabila, intr-un termen compus dintr-un termen maxim de 45 de zile, necesar pana la contestarea deciziei si temenul necesar instantei competente pentru solutionarea contestatiei.

Costul estimat al procedurii de notificare. Notificarea prelucrarilor de date cu caracter personal este scutita de orice taxa. In cazul in care o persoana juridica contesta o decizie a ANSPDCP care ii este nefavorabila este obligata sa plateasca o taxa judiciara de timbru de 50 ron.Daca acea persoana solicita instantei si repararea anumitor pagube care i-au fost produse ca urmare a deciziei nefavorabile, va fi obligata sa plateasca, in plus, o taxa judiciara de timbru de 10% din valoarea pretinsa, dar nu mai mult de 300 ron.
Cand nu este necesar consimtamantul Persoanei Vizate pentru prelucrarea datelor cu caracter personal
Operatorii sunt scutiţi de obligatia obtinerii consimtamantului Persoanei Vizate:
  • când prelucrarea este necesară în vederea executării unui contract la care Persoana Vizată este parte ori în vederea luării unor măsuri, la cererea acesteia, înaintea încheierii unui contract
  • când prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale a operatorului
  • când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau al terţului căruia îi sunt dezvăluite datele, cu condiţia ca acest interes să nu prejudicieze interesul sau drepturile şi libertăţile fundamentale ale Persoanei Vizate;
  • când prelucrarea priveşte date obţinute din documente accesibile publicului, conform legii.

Scutirile de mai sus nu se aplica in cazul prelucrarii codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală.

Ce drepturi are Persoana Vizata
Dreptul de informare. În cazul în care datele cu caracter personal sunt obţinute direct de la Persoana Vizata, operatorul este obligat să furnizeze Persoanei Vizate cel puţin următoarele informaţii, cu excepţia cazului în care această persoană posedă deja informaţiile respective:
  • identitatea operatorului şi a reprezentantului acestuia, dacă este cazul
  • scopul în care se face prelucrarea datelor
  • informaţii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacă furnizarea tuturor datelor cerute este obligatorie şi consecinţele refuzului de a le furniza; existenţa drepturilor prevăzute de lege pentru Persoana Vizată, în special a dreptului de acces, de intervenţie asupra datelor şi de opoziţie, precum şi condiţiile în care pot fi exercitate.
Dreptul de acces la date. Orice Persoană Vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit pentru o solicitare pe an, confirmarea faptului că datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, în situaţia în care prelucrează date cu caracter personal care privesc solicitantul, să comunice acestuia, împreună cu confirmarea, cel puţin următoarele:
  • informaţii referitoare la scopurile prelucrării, categoriile de date avute în vedere şi destinatarii sau categoriile de destinatari cărora le sunt dezvăluite datele
  • comunicarea într-o formă inteligibilă a datelor care fac obiectul prelucrării, precum şi a oricărei informaţii disponibile cu privire la originea datelor
  • informaţii asupra principiilor de funcţionare a mecanismului prin care se efectuează orice prelucrare automată a datelor care vizează persoana respectivă
  • informaţii privind existenta dreptului de intervenţie asupra datelor şi a dreptului de opoziţie, precum şi condiţiile în care pot fi exercitate
  • informaţii asupra posibilităţii de a consulta registrul de evidenţă a prelucrărilor de date cu caracter personal, de a înainta plângere către ANSPDCP, precum şi de a se adresa instanţei pentru atacarea deciziilor operatorului, în conformitate cu dispoziţiile legii.
Operatorul este obligat să comunice informaţiile solicitate, în termen de 15 zile de la data primirii cererii.
Dreptul de intervenţie asupra datelor. Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit:
  • după caz, rectificarea, actualizarea, blocarea sau ştergerea datelor a căror prelucrare nu este conformă legii, în special a datelor incomplete sau inexacte;
  • după caz, transformarea în date anonime a datelor a căror prelucrare nu este conformă legii;
  • notificarea către terţii cărora le-au fost dezvăluite datele, dacă această notificare nu se dovedeşte imposibilă sau nu presupune un efort disproporţionat faţă de interesul legitim care ar putea fi lezat.
Operatorul este obligat să comunice măsurile luate, precum şi, dacă este cazul, numele terţului căruia i-au fost dezvăluite datele cu caracter personal referitoare la Persoana Vizată, în termen de 15 zile de la data primirii cererii.
Dreptul de opoziţie.Persoana Vizată are dreptul de a se opune în orice moment, din motive întemeiate şi legitime legate de situaţia sa particulară, ca date care o vizează să facă obiectul unei prelucrări, cu excepţia cazurilor în care există dispoziţii legale contrare. În caz de opoziţie justificată prelucrarea nu mai poate viza datele în cauză. Persoana vizată are dreptul de a se opune în orice moment, în mod gratuit şi fără nici o justificare, ca datele care o vizează să fie prelucrate în scop de marketing direct, în numele operatorului său al unui terţ, sau să fie dezvăluite unor terţi într-un asemenea scop.
Dreptul de a nu fi supus unei decizii individuale. Orice persoană are dreptul de a cere şi de a obţine:
  • retragerea sau anularea oricărei decizii automate individuale;
  • reevaluarea oricărei alte decizii luate în privinţa sa, care o afectează în mod semnificativ, dacă decizia a fost adoptată exclusiv pe baza unei prelucrări de date care întruneşte condiţiile prevăzute mai sus.
Dreptul de a se adresa justiţiei Fără a se aduce atingere posibilităţii de a se adresa cu plângere autorităţii de supraveghere, Persoanele Vizate au dreptul de a se adresa justiţiei pentru apărarea oricăror drepturi garantate de Legea nr.677/2001, care le-au fost încălcate.
Ce obligatii are operatorul in legatura cu prelucrarea datelor cu caracter personal
Desfasurarea operatiunilor de prelucrare.
  • Confidentialitatea prelucrarilor.Orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite, inclusiv persoana împuternicită, care are acces la date cu caracter personal, nu poate să le prelucreze decât pe baza instrucţiunilor operatorului, cu excepţia cazului în care acţionează în temeiul unei obligaţii legale.

  • Securitatea prelucrarilor.Operatorul este obligat să aplice măsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectivă comportă transmisii de date în cadrul unei reţele, precum şi împotriva oricărei alte forme de prelucrare ilegală. Aceste măsuri trebuie să asigure, potrivit stadiului tehnicii utilizate în procesul de prelucrare şi de costuri, un nivel de securitate adecvat în ceea ce priveşte riscurile pe care le reprezintă prelucrarea, precum şi în ceea ce priveşte natura datelor care trebuie protejate. Aceste masuri se refera in principal la urmatoarele aspecte:

  • Identificarea şi autentificarea utilizatorului. Fiecare utilizator trebuie sa aiba propriul său cod de identificare. Parolele trebuie schimbate periodic numai de către utilizatori autorizaţi de operator. Operatorul trebuie să solicite realizarea unui sistem informaţional care să refuze automat accesul unui utilizator după 5 introduceri greşite ale parolei. Operatorul va stabili o procedură proprie de administrare şi gestionare a conturilor de utilizator. Operatorii autorizează anumiţi utilizatori pentru a revoca sau a suspenda un cod de identificare şi autentificare. Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se va face pe baza unei liste aprobate de conducerea operatorului.
  • Tipul de acces. Utilizatorii trebuie să acceseze numai datele cu caracter personal necesare pentru îndeplinirea atribuţiilor lor de serviciu. Programatorii sistemelor de prelucrare a datelor cu caracter personal nu vor avea acces la datele cu caracter personal. Compartimentul care asigură suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea unor cazuri excepţionale. Operatorul va stabili modalităţile stricte prin care se vor distruge datele cu caracter personal si acei cativa utilizatori autorizati pentru această prelucrare.
  • Colectarea datelor. Operatorul desemnează utilizatori autorizaţi pentru operaţiile de colectare şi introducere de date cu caracter personal într-un sistem informaţional. Orice modificare a datelor cu caracter personal se poate face numai de către utilizatori autorizaţi desemnaţi de operator. Operatorul va lua măsuri pentru ca sistemul informaţional să înregistreze cine a făcut modificarea, data şi ora modificării. Pentru o mai bună administrare operatorul va lua măsuri ca sistemul informaţional să menţină datele şterse sau modificate
  • Execuţia copiilor de siguranţă. Operatorul va stabili intervalul de timp la care se vor executa copiile de siguranţă ale bazelor de date cu caracter personal, precum şi ale programelor folosite pentru prelucrările automatizate. Utilizatorii care execută aceste copii de siguranţă vor fi numiţi de operator, într-un număr restrâns. Copiile de siguranţă se vor stoca în alte camere, în fişete metalice cu sigiliu aplicat, şi, dacă este posibil, chiar în camere din altă clădire. Operatorul va lua măsuri ca accesul la copiile de siguranţă să fie monitorizat
  • Computerele şi terminalele de acces. Computerele şi alte terminale de acces vor fi instalate în încăperi cu acces restricţionat. Dacă nu pot fi asigurate aceste condiţii, computerele se vor instala în încăperi care se pot încuia sau se vor lua măsuri ca accesul la computere să se facă cu ajutorul unor chei ori cartele magnetice. Dacă pe ecran apar date cu caracter personal asupra cărora nu se acţionează o perioadă dată, stabilită de operator, sesiunea de lucru trebuie închisă automat. Mărimea acestei perioade se determină în funcţie de operaţiile care trebuie executate.
  • Fişierele de acces. Operatorul este obligat să ia măsuri ca orice accesare a bazei de date cu caracter personal să fie înregistrată într-un fişier de acces (numit log la prelucrările automate) sau într-un registru pentru prelucrările manuale de date cu caracter personal, stabilit de operator. Informaţiile înregistrate în fişierul de acces sau în registru vor contine, printre altele, orice încercare de acces neautorizat si vor fi stocate într-un fişier de acces general sau în fişiere separate pentru fiecare utilizator. Operatorul este obligat să păstreze fişierele de acces cel puţin 2 ani, pentru a fi folosite ca probe în cazul unor investigaţii. Dacă investigaţiile se prelungesc, aceste fişiere se vor păstra atât timp cât se va considera necesar. Fişierele de acces trebuie să facă posibilă identificarea de către operator sau de către persoana împuternicită a persoanelor care au accesat date cu caracter personal fără un motiv anume, în vederea aplicării unor sancţiuni sau a sesizării organelor competente.
  • Sistemele de telecomunicaţii. Operatorul este obligat să facă periodic controlul autentificărilor şi tipurilor de acces pentru detectarea unor disfuncţionalităţi în ceea ce priveşte folosirea sistemelor de telecomunicaţii. Operatorii sunt obligaţi să conceapă sistemul de telecomunicaţii astfel încât datele cu caracter personal să nu poată fi interceptate sau transmise de oriunde. Dacă sistemul de telecomunicaţii nu poate fi astfel securizat, operatorul este obligat să impună folosirea metodei de criptare pentru transmisia datelor cu caracter personal.
  • Instruirea personalului. Utilizatorii care au acces la date cu caracter personal vor fi instruiţi de către operator asupra confidenţialităţii acestora şi vor fi avertizaţi prin mesaje care vor apărea pe monitoare în timpul activităţii. Utilizatorii sunt obligaţi să îşi închidă sesiunea de lucru atunci când părăsesc locul de muncă.
  • Folosirea computerelor. Operatorul va lua măsuri care vor consta în a) interzicerea folosirii de către utilizatori a programelor software care provin din surse externe sau dubioase, b) informarea utilizatorilor în privinţa pericolului privind viruşii informatici, c) implementarea unor sisteme automate de devirusare şi de securitate a sistemelor informatice, d) dezactivarea, pe cât posibil, a tastei "Print screen", atunci când sunt afişate pe monitor date cu caracter personal, interzicându-se astfel scoaterea la imprimantă a acestora.
  • Imprimarea datelor. Scoaterea la imprimantă a datelor cu caracter personal se va realiza numai de utilizatori autorizaţi pentru această operaţiune de către operator. Operatorii sunt obligaţi să aprobe proceduri interne specifice privind folosirea şi distrugerea acestor materiale.
Incheierea operatiunilor de prelucrare. La încheierea operaţiunilor de prelucrare, dacă persoana vizată nu şi-a dat în mod expres şi neechivoc consimţământul pentru o altă destinaţie sau pentru o prelucrare ulterioară, datele cu caracter personal vor fi distruse, transferate unui alt operator, cu condiţia ca operatorul iniţial să garanteze faptul că prelucrările ulterioare au scopuri similare celor în care s-a făcut prelucrarea iniţiala sau transformate în date anonime şi stocate exclusiv în scopuri statistice, de cercetare istorică sau ştiinţifică.
Ce sanctiuni se aplica in cazul incalcarii prevederilor legale privind prelucrarea datelor cu caracter personal
Omisiunea de a notifica si notificarea cu rea credinta. Amendă de la 500 lei la 10000 lei
Prelucrarea nelegala a datelor cu caracter personal. Amendă de la 1000lei la 25000 lei
Neindeplinirea obligatiilor privind confidentialitatea si aplicarea masurilor de securitate. Amendă de la 15000 lei la 50000 lei
Refuzul de a furniza autorităţii de supraveghere informaţiile sau documentele cerute de aceasta în exercitarea atribuţiilor de investigare. Amenda 1000 lei la 15000 lei.

Niciun comentariu:

Trimiteți un comentariu