Regulile aplicabile până la 28 decembrie 2015 pentru colectarea și prelucrarea datelor personale nu mai sunt valabile în 2016
Regula era ca prelucrarea datelor personale să atragă obligația operatorului de notificare a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Explicăm în ce fel s-a transformat obligația de notificare a datelor personale din regulă în excepție în urma Deciziei președintelui ANSPDCP nr. 200 / 2015.
Cine păstrează obligația de a notifica ANSPDCP din 2016?
Potrivit actului normativ indicat, orice entitate – societate, ONG, instituție publică, persoană fizică autorizată, organizație guvernamentală etc. – care colectează și urmărește prelucrarea datelor personale dintre cele detaliate mai jos, are obligația de notificare a ANSPDCP.
1. Prelucrarea datelor personale privind originea rasială sau etnică, convingerile politice, religioase, filozofice ori de natură similară, apartenenţa sindicală, şi starea de sănătate sau viaţa sexuală
Adică prelucrări ale datelor care pot genera discriminarea persoanei vizate. Este un criteriu care obligă operatorii să notifice ANSPDCP pentru protejarea drepturilor constituționale ale cetățenilor, garantate prin art. 4 alin. (2) din Constituție.
Acest criteriu vizează operatorii care desfășoară activități în domeniul sanitar, al prestării serviciilor de sondare a pieței și de recensământ, asigurătorii, societățile în cadrul cărora s-au organizat sindicate etc.
2. Prelucrarea datelor personale genetice și biometrice
Institutele de cercetare – dezvoltare în domeniul sanitar, entități, altele decât autoritățile publice, care gestionează și păstrează evidența populației au, începând din 2015 obligația de a notifica ANSPDCP în măsura în care prelucrează astfel de date personale.
3. Datele personale care permit, direct sau indirect, localizarea geografică a persoanelor fizice prin mijloace de comunicaţii electronice
Furnizorii de servicii de telecomunicații sunt principalii operatori economici vizați prin introducerea acestui criteriu. În afara acestora, mai pot fi avuți în vedere și prestatorii serviciilor de taximetrie care folosesc mijloacele de localizare a clienților pentru preluarea comenzilor, în măsura în care, în afara localizării persoanele furnizate își declină și identitatea (numele, prenumele și orice alte informații personale care pot duce la identificare).
4. Referitoare la săvârşirea de infracţiuni de către persoana vizată ori la condamnări penale, măsuri de siguranţă sau sancţiuni administrative ori contravenţionale aplicate persoanei vizate, efectuată de către entităţi de drept privat
Centralizarea într-o bază de date a persoanelor care au săvârșit infracțiuni și/sau care au fost condamnate sau împotriva cărora s-au luat măsuri de siguranță, precum reținerea, arestarea preventivă, arestul la domiciliu sau măsuri contravenționale, obligă orice persoană, indiferent dacă desfășoară sau nu activități economice, să notifice ANSPDCP.
5. Prelucrarea datelor personale prin mijloace electronice
Reunește două mari categorii: persoanele care emit facturi electronice în sensul noului Cod fiscal și cele care desfășoară activități de comerț electronic. În principal, toate activitățile desfășurate utilizând mijloace electronice – prin echipament electronic, rețele de cablu, fibră optică, radio, satelit și alte asemenea, utilizate pentru prelucrarea, stocarea sau transmiterea informațiilor – și care presupun prelucrarea datelor personale, impun persoanelor care desfășoară astfel de activități notificarea ANSPDCP.
Plaja de persoane care dobândesc calitatea de operator de date personale se extinde astfel la toate societățile care administrează magazine online sau platforme digitale, încheie polițe de asigurare prin mijloace electronice, utilizează instrumente de plată electronice etc.
6. Prelucrarea având ca scop monitorizarea şi/sau evaluarea unor aspecte de personalitate, precum competenţa profesională, credibilitatea, comportamentul sau alte asemenea
Criteriul de mai sus vizează aparent agențiile de recrutare a forței de muncă. Orizontul se extinde totuși asupra instituțiilor de învățământ și angajatorilor, indiferent de domeniul în care desfășoară activitatea și indiferent de mijloacele utilizate pentru obținerea și centralizarea informațiilor menționate.
7. Prelucrarea datelor personale prin mijloace electronice în cadrul unor sisteme de evidenţă având ca scop adoptarea unor decizii automate individuale în legătură cu analizarea solvabilităţii, a situaţiei economico-financiare, a faptelor susceptibile de a atrage răspunderea disciplinară, contravenţională sau penală a persoanelor fizice, de către entităţi de drept privat
Inevitabil, obligația de notificare a ANSPDCP trebuia păstrată în sarcina birourilor de credit și oricăror altor sisteme de evidență de tipul birourilor de credit.
8. Prelucrarea datelor personale ale minorilor efectuată în cadrul activităţilor de marketing direct
Atât operatorii economici care au ca principală activitate publicitatea prin desfăşurarea campaniilor de marketing şi a altor servicii publicitare în scopul atragerii şi reţinerii clienţilor care nu au împlinit vârsta de 18 ani și beneficiarii acestor servicii, numai în măsura în care bazele de date sunt furnizate de cei din urmă sau vor fi preluate de aceștia la finalul campaniilor publicitare.
9. Prelucrarea datelor cu caracter personal ale minorilor efectuată prin intermediul internetului sau al mesageriei electronice
Administratorii site-urilor care solicită utilizatorilor informații pentru determinarea vârstei și a identității, precum și toate persoanele care desfășoară activități de comerț electronic dintre cele amintite la punctul 5 și nu numai, ai căror beneficiari sunt persoanele care nu au împlinit 18 ani și ale căror informații unt colectate pentru prelucrarea datelor personale.
Principalii agenți economici vizați sunt aceia care desfășoară activități în domeniul jocurilor de noroc și al producțiilor cinematografice destinate adulților, ambele prin mediul online.
10. Prelucrarea datelor cu caracter personal legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice ori de natură similară, de apartenenţa sindicală, precum şi a datelor privind starea de sănătate şi viaţa sexuală referitoare la propriii membri, efectuată de asociaţii, fundaţii sau orice alte organizaţii fără scop patrimonial exclusiv în vederea realizării specificului activităţii organizaţiei, în măsura în care datele sunt dezvăluite unor terţi fără consimţământul persoanei vizate
Acest criteriu are în vedere asociațiile, fundațiile, sindicatele, patronatele și alte asemenea organizații, numai în măsura în care acestea pun la dispoziție informațiile menționate mai sus unor terți, fără a solicita expres acordul al persoanelor vizate. Acordul persoanelor vizate nu se consideră ca fiind valabil obținut cât timp persoanei vizate nu îi sunt furnizate în prealabil informații precum:
(i) datele cu caracter personal transmise efectiv,
(ii) identitatea terților către care se transmit datele,
(iii) categoriile de participanți în cadrul terților către care sunt transmise datele,
(iv) modalitățile concrete de exercitare a dreptului de acces, de intervenție și de opoziție în relația cu terții și cu organizațiile furnizoare.
Dacă acordul persoanelor vizate este obținut cu îndeplinirea cumulativă a condițiilor menționate, notificarea ANSPDCP privind prelucrarea datelor personale nu mai este obligatoriu să fie făcută de către aceste entități, însă este posibil ca obligația de notificare să subziste în sarcina terților care primesc datele.
Când legea obligă anumite entități la prelucrarea datelor personale detaliate de mai sus, notificarea ANSPDCP nu mai este obligatorie.
Cu toate acestea, indiferent de prelucrarea datelor personale efectuată sau de temeiul în baza căruia aceste date sunt colectate și prelucrate, obligația de notificare a ANSPDCP subzistă în toate cazurile în care datele cu caracter personal se transferă către statele situate în afara Uniunii Europene, a Zonei Economice Europene, precum şi către statele cărora Comisia Europeană nu le-a recunoscut, prin decizie, un nivel de protecţie adecvat.
Anterior emiterii Deciziei nr. 200/2015 de către președintele ANSPDCP, prelucrarea datelor personale din categoriile de mai jos, excepta operatorii de la obligația de notificare a ANSPDCP următoarele situații:
- când prelucrarea datelor personale referitoare la petiţionari era efectuată de autorităţile şi instituţiile publice centrale şi locale, serviciile publice descentralizate ale ministerelor şi ale celorlalte organe centrale, companiile şi societăţile naţionale, societăţile comerciale de interes judeţean sau local şi regiile autonome, în vederea îndeplinirii unor obligaţii legale;
- când prelucrarea datelor personale se referea la propriii angajaţi şi la colaboratorii externi și era efectuată de entităţile de drept public şi de drept privat, în vederea îndeplinirii unor obligaţii legale;
- când prelucrarea datelor personale se referea la proprietarii sau chiriaşii unui imobil folosit în comun și se efectua de către asociaţiile de proprietari sau de locatari, în exercitarea drepturilor şi obligaţiilor stabilite prin lege, în scopul administrării acelui imobil;
- când prelucrarea avea ca unic scop ţinerea unui registru destinat prin lege informării publicului şi deschis spre consultare publicului în general sau oricărei persoane care probează un interes legitim, cu condiţia ca prelucrarea să se limiteze la datele strict necesare ţinerii registrului menţionat.
Același act normativ a abrogat procedura de notificare simplificată privind prelucrarea datelor personale.