A. Consideratii generale sonal, Legea nr.677/2001 generala.pdf · Protecţia datelor cu caracter...
-
Upload
nguyenkiet -
Category
Documents
-
view
216 -
download
2
Transcript of A. Consideratii generale sonal, Legea nr.677/2001 generala.pdf · Protecţia datelor cu caracter...
Protecţia datelor cu caracter personal
A. Consideratii generale
Organizaţiile şi indivizii care colectează şi stochează date cu caracter personal au obligaţia de
a le păstra astfel încât să le fie asigurată confidenţialitatea şi securitatea. Aceste obligaţii sunt
subsumate dreptului la protecţia datelor cu caracter personal, reglementat prin Legea
nr.677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter
personal şi libera circulatie a acestor date.
Inclus, potrivit jurisprudentei Curtii Europene a Drepturilor Omului, în continutul dreptului la
viată intimă familială si privată, garantat de art.8 din Conventia pentru apărarea drepturilor
omului si a libertătilor fundamentale, dreptul la protecţia datelor cu caracter personal si-a
găsit de curând consacrarea, în cadrul drepturilor fundamentale ale persoanei, prin art.8 din
Carta drepturilor fundamentale a Uniunii Europene, instrument juridic fundamental al
Uniunii care a căpătat valoare juridică prin intrarea în vigoare a Tratatului de la Lisabona.
În România, legea cadru care reglementează materia este Legea nr.677/2001 si se aplică
prelucrărilor efectuate:
prin intermediul unui sistem de prelucrare automatizată (computer);
pe suport de hârtie sau în orice altă formă de prelucrare neautomatizată dacă fac parte
dintr-un sistem de evidentă sau sunt destinate să fie incluse într-un astfel de sistem;
indiferent de forma acestora: fotografii sau înregistrări video ale imaginii sau
înregistrări ale vocii, date biometrice.
Concepte:
dată cu caracter personal – orice informaţie referitoare la o persoană fizică
identificată sau identificabilă; se remarcă faptul că doar persoanele fizice se bucură de
dreptul la protecţia datelor cu caracter personal
operator - orice persoana fizica sau juridică, de drept privat ori de drept public,
inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care
stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal;
sistem de evidenţă a datelor cu caracter personal - orice structura organizată de date
cu caracter personal, accesibilă potrivit unor criterii determinate, indiferent dacă
aceasta structură este organizată în mod centralizat ori descentralizat sau este
repartizata după criterii functionale ori geografice;
Principiile prelucrării datelor cu caracter personal:
calitatea datelor (art.4): datele cu caracter personal trebuie prelucrate în mod corect şi
legal, colectate în scopuri determinate, explicite si legitime, adecvate, pertinente şi
neexcesive prin raportare la scopul în care sunt colectate şi ulterior prelucrate; de
asemenea, datele trebuie să fie exacte şi, dacă este necesar, actualizate şi nu pot fi
stocate pentru o perioadă mai mare decât cea necesară pentru atingerea scopului în
care au fost colectate;
legitimitatea prelucrării datelor (art.5): prelucrarea datelor cu caracter personal se
poate face doar cu consimţământul neechivoc al persoanei vizate şi doar dacă
prelucrarea este necesară:
pentru executarea unui contract la care persoana vizată este parte; sau
pentru protejarea vieţii, integrităţii fizice sau sănătăţii persoanei vizate ori a
unei alte persoane ameninţate; sau
pentru îndeplinirea unei obligatii legale care îi revine operatorului; sau
pentru îndeplinirea unei sarcini de interes public sau care vizează exercitarea
prerogativelor de autoritate publica cu care este investit operatorul sau terţul
căruia ii sunt dezvăluite datele; sau
pentru realizarea interesului legitim urmărit de operator sau al terţului căruia ii
sunt dezvăluite datele, cu condiţia ca acest interes sa nu prejudicieze interesul sau
drepturile şi libertăţile fundamentale ale persoanei vizate;
când prelucrarea priveşte date obţinute din documente accesibile publicului,
conform legii;
când prelucrarea este făcută exclusiv în scopuri statistice, de cercetare istorică
sau ştiinţifică, iar datele rămân anonime pe toată durata prelucrării.
categoriile speciale de date (art.7-10): este interzisă prelucrarea datelor cu caracter
personal referitoare la originea rasială sau etnică, la convingerile politice, religioase,
filozofice sau de natura similară, la apartenenţa sindicală, precum şi a datelor cu
caracter personal privind starea de sănătate sau viaţa sexuală;
prelucrarea codului numeric personal sau a altor date cu caracter personal având o
funcţie de identificare de aplicabilitate generală este limitată;
prelucrarea datelor cu caracter personal referitoare la săvârşirea de infracţiuni de
către persoana vizată ori la condamnări penale, măsuri de siguranţă sau sancţiuni
administrative ori contravenţionale, aplicate persoanei vizate, poate fi efectuată numai
de către sau sub controlul autorităţilor publice;
transparenţa (art.12) – dreptul la informare: operatorul trebuie să furnizeze persoanei
de la care colectează date o serie de informaţii legate de acesta (identitatea
operatorului, scopul prelucrării datelor, destinatarii datelor etc.);
dreptul de acces la date, dreptul de intervenţie şi dreptul de opoziţie al
persoanelor vizate (art.13-15);
excepţii şi restricţii (art.16): exercitarea drepturilor de către persoana vizată poate fi
restrânsă pentru a nu prejudicia eficienţa acţiunii sau obiectivul urmărit în îndeplinirea
atribuţiilor legale ale autorităţii publice;
confidenţialitatea (art.19): orice persoana care acţionează sub autoritatea operatorului
sau a persoanei împuternicite, inclusiv persoana împuternicită, care are acces la date
cu caracter personal, nu poate să le prelucreze decât pe baza instrucţiunilor
operatorului, cu excepţia cazului în care acţionează în temeiul unei obligaţii legale;
securitatea prelucrării datelor (art.20): operatorul trebuie să instituie măsuri
adecvate pentru protecţia datelor cu caracter personal împotriva distrugerii accidentale
sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă
prelucrarea respectiva comporta transmisii de date în cadrul unei reţele, precum şi
împotriva oricărei alte forme de prelucrare ilegală;
supravegherea (art.21) – realizată de către Autoritatea naţională de supraveghere,
instituţie autonomă şi independentă faţă de faţă de orice alte autoritate a administraţiei
publice, ca şi faţă de orice persoană fizică sau juridică din domeniul privat;
notificarea (art.22) - Autorităţii naţionale de supraveghere cu privire la prelucrarea
datelor: operatorul trebuie să notifice autoritatea naţională de supraveghere înainte de
a efectua prelucrarea datelor;
dreptul de a adresa plângeri Autorităţii naţionale de supraveghere (art.25) – în
vederea apărării drepturilor prevăzute de lege persoanele ale căror date cu caracter
personal fac obiectul unei prelucrări pot înainta plângere către autoritatea naţională de
supraveghere;
transferul datelor cu caracter personal în străinătate (art.29) – transferul este
limitat, în principiu, la statele care asigură un nivel adecvat de protecţie.
B. Autoritatea natională de supraveghere
Garantul respectării dreptului la protecţia datelor cu caracter personal Autoritatea Naţională
de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), cu sediul în
Bucureşti bd. G-ral Gheorghe Magheru, nr.28-30, Sector 1. ANSPDCP a fost înfiinţată prin
Legea nr.102/2005 atributiile acestei institutii fiind stabilite prin Legea nr.677/2001. Mai
multe informaţii puteţi găsi aici www.dataprotection.ro.
C. Prelucrarea datelor cu caracter personal în Ministerul Afacerilor Interne
În cadrul Ministerului Afacerilor Interne (MAI) se efectuează prelucrări de date cu caracter
personal prin sisteme automatizate şi neautomatizate. Măsuri privind asigurarea
confidenţialităţii şi securităţii prelucrărilor de date cu caracter personal au fost instituite la
nivelul MAI şi a structurilor subordonate chiar de la crearea sistemelor de prelucrare a datelor
cu caracter personal în condiţiile legislaţiei existente.
În context european, măsurile organizatorice adoptate la nivelul MAI si a structurilor
subordonate au condus la instituirea unui sistem bazat pe desemnarea responsabililor cu
protectia datelor cu caracter personal cu rolul de a asigura crearea si mentinerea unui nivel
adecvat al protectiei datelor cu caracter personal concomitent cu asigurarea unui echilibru
între misiunea fiecăreia dintre institutiile subordonate MAI si necesitatea respectării
drepturilor fundamentale ale omului. În anul 2008 a fost înfiintat, în cadrul Aparatului central
al MAI, Oficiul Responsabilului cu Protectia Datelor Personale cu rolul de a asigura aplicarea
unitară, la nivelul MAI, a legislaţiei în domeniul protecţiei persoanelor cu privire la
prelucrarea datelor cu caracter personal.
În acest context, cu sprijinul Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu
Caracter Personal, au fost realizate obiective deosebite în domeniul cristalizării cadrului legal:
Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de
către structurile/unităţile MAI în activităţile de prevenire, cercetare şi combatere a
infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, republicată;
Instrucţiunile mai nr.27/2010 privind măsurile de natură organizatorică şi tehnică
pentru asigurarea securităţii prelucrărilor de date cu caracter personal efectuate de
către structurile/unităţile MAI.
Pentru exercitarea drepturilor prevăzute de Legea nr.677/2001 aveti posibilitatea de a studia
următorul Ghid.
Dispozitii speciale privind protectia datelor cu caracter personal cuprinse în legislatia care
reglementează principalele atributii ale MAI ari ale structurilor subordonate.
D. Cadrul legislativ european
1. Cadrul convenţional
La 28 ianuarie 1981 a fost adoptată la Strasbourg Convenţia nr. 108 pentru protejarea
persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal (ratificată prin
Legea nr.682/2001), primul instrument juridic obligatoriu care a reglementat domeniul
prelucrării datelor cu caracter personal.
Scopul instrumentului juridic este de a proteja individul împotriva abuzurilor care pot însoti
colectarea si prelucrarea datelor cu caracter personal si urmăreste, totodată, să reglementeze
fluxul transfrontalier de date cu caracter personal.
Conventia a instituit principiile prelucrării datelor cu caracter personal (garantii privind
calitatea datelor), potrivit cărora datele trebuie să fie:
obţinute şi prelucrate în mod corect şi legal;
colectate în scopuri determinate, explicite şi legitime şi nu pot fi utilizate în mod
incompatibil cu aceste scopuri;
adecvate, pertinente şi neexcesive în raport cu scopurile pentru care sunt colectate;
exacte şi, dacă este cazul, actualizate;
păstrate strict pentru o durată ce nu o depăşeşte pe cea necesară scopurilor pentru care
ele au fost colectate.
Totodată, având în vedere prejudiciile pe care le poate suporta o persoană prin prelucrarea
datelor de către terti, Conventia a reglementat notiunea datelor cu caracter personal speciale
si a interzis prelucrarea acestor date. Potrivit Conventiei următoarele date sunt considerate
categorii speciale de date: cele referitoare la originea rasială, opinii politice, convingeri
religioase sau de altă natură, datele referitoare la starea de sănătate sau cele referitoare la
datele cu caracter personal privind condamnările penale.
Convenţia a fost completată prin intermediul Protocolului adiţional cu privire la autorităţile de
control şi fluxul transfrontalier al datelor, adoptat la Strasbourg la 18 noiembrie 2001, ratificat
prin Legea nr.55/2005
2. Cadrul legal al Uniunii Europene
a) La 24 octombrie 1995, Parlamentul European si Consiliul au adoptat Directiva 95/46/CE
privind protectia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal si
privind libera circulatie a acestor date (transpusă prin Legea nr.677/2001).
Directiva 95/46/CE reprezintă textul de referinţă, la nivel european, în materie de protecţie a
datelor cu caracter personal. Aceasta instituie un cadru de reglementare menit să stabilească
un echilibru între un nivel ridicat de protecţie a vieţii private a persoanelor şi libera circulaţie
a datelor cu caracter personal în cadrul Uniunii Europene (UE). În acest sens, directiva
stabileşte limite stricte în ceea ce priveşte colectarea şi utilizarea datelor cu caracter personal
şi solicită ca fiecare stat membru să creeze un organism naţional independent responsabil cu
protecţia unor astfel de date.
Articolul 29 din Directiva 95/46/CE a creat Grupul de lucru pentru protectia persoanelor în
ceea ce priveste prelucrarea datelor cu caracter personal. Grupul de lucru are caracter
consultativ si actionează independent Grupul de lucru este compus dintr-un reprezentant al
autoritătii nationale de supraveghere desemnate de fiecare stat membru, dintr-un reprezentant
al autoritătii sau al autoritătilor create pentru institutiile si organismele comunitare si dintr-un
reprezentant al Comisiei.
Grupul de lucru Art.29 examinează orice chestiune referitoare la punerea în aplicare a
dispozitiilor de drept intern adoptate în temeiul Directivei 95/46/CE, pentru a contribui la
aplicarea unitară a dispozitiilor legale.
Grupul de lucru Art.29 are rolul de a elabora un Raport anual privind situatia protectiei
persoanelor fizice în ceea ce priveste prelucrarea datelor cu caracter personal în Uniunea
Europeană si în tările terte pe care îl remite Comisiei Europene, Parlamentului European si
Consiliului.
b) Directiva 2002/58/CE a Parlamentului European si a Consiliului din 12 iulie 2002 privind
prelucrarea datelor personale si protejarea confidentialitătii în sectorul comunicatiilor
publice (Directiva privind confidenţialitatea şi comunicaţiile electronice) – transpusă prin
Legea nr.506/2004
Directiva a fost adoptată în 2002, în paralel cu un nou cadru legislativ destinat sectorului
comunicaţiilor electronice. Directiva conţine dispoziţii referitoare la o serie de chestiuni mai
mult sau mai puţin sensibile, cum ar fi păstrarea datelor de conectare de către statele membre
în scopul supravegherii poliţieneşti (păstrarea datelor), trimiterea de mesaje electronice
nesolicitate, utilizarea modulelor „cookie” şi includerea datelor personale în anuarele publice.
Directiva 2002/58/CE a fost modificată si completată în anul 2009 prin Directiva
2009/136/CE.