Protecţia datelor cu caracter personal

A. Consideratii generale

Organizaţiile şi indivizii care colectează şi stochează date cu caracter personal au obligaţia de

a le păstra astfel încât să le fie asigurată confidenţialitatea şi securitatea. Aceste obligaţii sunt

subsumate dreptului la protecţia datelor cu caracter personal, reglementat prin Legea

nr.677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter

personal şi libera circulatie a acestor date.

Inclus, potrivit jurisprudentei Curtii Europene a Drepturilor Omului, în continutul dreptului la

viată intimă familială si privată, garantat de art.8 din Conventia pentru apărarea drepturilor

omului si a libertătilor fundamentale, dreptul la protecţia datelor cu caracter personal si-a

găsit de curând consacrarea, în cadrul drepturilor fundamentale ale persoanei, prin art.8 din

Carta drepturilor fundamentale a Uniunii Europene, instrument juridic fundamental al

Uniunii care a căpătat valoare juridică prin intrarea în vigoare a Tratatului de la Lisabona.

În România, legea cadru care reglementează materia este Legea nr.677/2001 si se aplică

prelucrărilor efectuate:

prin intermediul unui sistem de prelucrare automatizată (computer);

pe suport de hârtie sau în orice altă formă de prelucrare neautomatizată dacă fac parte

dintr-un sistem de evidentă sau sunt destinate să fie incluse într-un astfel de sistem;

indiferent de forma acestora: fotografii sau înregistrări video ale imaginii sau

înregistrări ale vocii, date biometrice.

Concepte:

dată cu caracter personal – orice informaţie referitoare la o persoană fizică

identificată sau identificabilă; se remarcă faptul că doar persoanele fizice se bucură de

dreptul la protecţia datelor cu caracter personal

operator - orice persoana fizica sau juridică, de drept privat ori de drept public,

inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care

stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal;

sistem de evidenţă a datelor cu caracter personal - orice structura organizată de date

cu caracter personal, accesibilă potrivit unor criterii determinate, indiferent dacă

aceasta structură este organizată în mod centralizat ori descentralizat sau este

repartizata după criterii functionale ori geografice;

Principiile prelucrării datelor cu caracter personal:

calitatea datelor (art.4): datele cu caracter personal trebuie prelucrate în mod corect şi

legal, colectate în scopuri determinate, explicite si legitime, adecvate, pertinente şi

neexcesive prin raportare la scopul în care sunt colectate şi ulterior prelucrate; de

asemenea, datele trebuie să fie exacte şi, dacă este necesar, actualizate şi nu pot fi

stocate pentru o perioadă mai mare decât cea necesară pentru atingerea scopului în

care au fost colectate;

legitimitatea prelucrării datelor (art.5): prelucrarea datelor cu caracter personal se

poate face doar cu consimţământul neechivoc al persoanei vizate şi doar dacă

prelucrarea este necesară:

pentru executarea unui contract la care persoana vizată este parte; sau

pentru protejarea vieţii, integrităţii fizice sau sănătăţii persoanei vizate ori a

unei alte persoane ameninţate; sau

pentru îndeplinirea unei obligatii legale care îi revine operatorului; sau

pentru îndeplinirea unei sarcini de interes public sau care vizează exercitarea

prerogativelor de autoritate publica cu care este investit operatorul sau terţul

căruia ii sunt dezvăluite datele; sau

pentru realizarea interesului legitim urmărit de operator sau al terţului căruia ii

sunt dezvăluite datele, cu condiţia ca acest interes sa nu prejudicieze interesul sau

drepturile şi libertăţile fundamentale ale persoanei vizate;

când prelucrarea priveşte date obţinute din documente accesibile publicului,

conform legii;

când prelucrarea este făcută exclusiv în scopuri statistice, de cercetare istorică

sau ştiinţifică, iar datele rămân anonime pe toată durata prelucrării.

categoriile speciale de date (art.7-10): este interzisă prelucrarea datelor cu caracter

personal referitoare la originea rasială sau etnică, la convingerile politice, religioase,

filozofice sau de natura similară, la apartenenţa sindicală, precum şi a datelor cu

caracter personal privind starea de sănătate sau viaţa sexuală;

prelucrarea codului numeric personal sau a altor date cu caracter personal având o

funcţie de identificare de aplicabilitate generală este limitată;

prelucrarea datelor cu caracter personal referitoare la săvârşirea de infracţiuni de

către persoana vizată ori la condamnări penale, măsuri de siguranţă sau sancţiuni

administrative ori contravenţionale, aplicate persoanei vizate, poate fi efectuată numai

de către sau sub controlul autorităţilor publice;

transparenţa (art.12) – dreptul la informare: operatorul trebuie să furnizeze persoanei

de la care colectează date o serie de informaţii legate de acesta (identitatea

operatorului, scopul prelucrării datelor, destinatarii datelor etc.);

dreptul de acces la date, dreptul de intervenţie şi dreptul de opoziţie al

persoanelor vizate (art.13-15);

excepţii şi restricţii (art.16): exercitarea drepturilor de către persoana vizată poate fi

restrânsă pentru a nu prejudicia eficienţa acţiunii sau obiectivul urmărit în îndeplinirea

atribuţiilor legale ale autorităţii publice;

confidenţialitatea (art.19): orice persoana care acţionează sub autoritatea operatorului

sau a persoanei împuternicite, inclusiv persoana împuternicită, care are acces la date

cu caracter personal, nu poate să le prelucreze decât pe baza instrucţiunilor

operatorului, cu excepţia cazului în care acţionează în temeiul unei obligaţii legale;

securitatea prelucrării datelor (art.20): operatorul trebuie să instituie măsuri

adecvate pentru protecţia datelor cu caracter personal împotriva distrugerii accidentale

sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă

prelucrarea respectiva comporta transmisii de date în cadrul unei reţele, precum şi

împotriva oricărei alte forme de prelucrare ilegală;

supravegherea (art.21) – realizată de către Autoritatea naţională de supraveghere,

instituţie autonomă şi independentă faţă de faţă de orice alte autoritate a administraţiei

publice, ca şi faţă de orice persoană fizică sau juridică din domeniul privat;

notificarea (art.22) - Autorităţii naţionale de supraveghere cu privire la prelucrarea

datelor: operatorul trebuie să notifice autoritatea naţională de supraveghere înainte de

a efectua prelucrarea datelor;

dreptul de a adresa plângeri Autorităţii naţionale de supraveghere (art.25) – în

vederea apărării drepturilor prevăzute de lege persoanele ale căror date cu caracter

personal fac obiectul unei prelucrări pot înainta plângere către autoritatea naţională de

supraveghere;

transferul datelor cu caracter personal în străinătate (art.29) – transferul este

limitat, în principiu, la statele care asigură un nivel adecvat de protecţie.

B. Autoritatea natională de supraveghere

Garantul respectării dreptului la protecţia datelor cu caracter personal Autoritatea Naţională

de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), cu sediul în

Bucureşti bd. G-ral Gheorghe Magheru, nr.28-30, Sector 1. ANSPDCP a fost înfiinţată prin

Legea nr.102/2005 atributiile acestei institutii fiind stabilite prin Legea nr.677/2001. Mai

multe informaţii puteţi găsi aici www.dataprotection.ro.

C. Prelucrarea datelor cu caracter personal în Ministerul Afacerilor Interne

În cadrul Ministerului Afacerilor Interne (MAI) se efectuează prelucrări de date cu caracter

personal prin sisteme automatizate şi neautomatizate. Măsuri privind asigurarea

confidenţialităţii şi securităţii prelucrărilor de date cu caracter personal au fost instituite la

nivelul MAI şi a structurilor subordonate chiar de la crearea sistemelor de prelucrare a datelor

cu caracter personal în condiţiile legislaţiei existente.

În context european, măsurile organizatorice adoptate la nivelul MAI si a structurilor

subordonate au condus la instituirea unui sistem bazat pe desemnarea responsabililor cu

protectia datelor cu caracter personal cu rolul de a asigura crearea si mentinerea unui nivel

adecvat al protectiei datelor cu caracter personal concomitent cu asigurarea unui echilibru

între misiunea fiecăreia dintre institutiile subordonate MAI si necesitatea respectării

drepturilor fundamentale ale omului. În anul 2008 a fost înfiintat, în cadrul Aparatului central

al MAI, Oficiul Responsabilului cu Protectia Datelor Personale cu rolul de a asigura aplicarea

unitară, la nivelul MAI, a legislaţiei în domeniul protecţiei persoanelor cu privire la

prelucrarea datelor cu caracter personal.

În acest context, cu sprijinul Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu

Caracter Personal, au fost realizate obiective deosebite în domeniul cristalizării cadrului legal:

Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de

către structurile/unităţile MAI în activităţile de prevenire, cercetare şi combatere a

infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, republicată;

Instrucţiunile mai nr.27/2010 privind măsurile de natură organizatorică şi tehnică

pentru asigurarea securităţii prelucrărilor de date cu caracter personal efectuate de

către structurile/unităţile MAI.

Pentru exercitarea drepturilor prevăzute de Legea nr.677/2001 aveti posibilitatea de a studia

următorul Ghid.

Dispozitii speciale privind protectia datelor cu caracter personal cuprinse în legislatia care

reglementează principalele atributii ale MAI ari ale structurilor subordonate.

D. Cadrul legislativ european

1. Cadrul convenţional

La 28 ianuarie 1981 a fost adoptată la Strasbourg Convenţia nr. 108 pentru protejarea

persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal (ratificată prin

Legea nr.682/2001), primul instrument juridic obligatoriu care a reglementat domeniul

prelucrării datelor cu caracter personal.

Scopul instrumentului juridic este de a proteja individul împotriva abuzurilor care pot însoti

colectarea si prelucrarea datelor cu caracter personal si urmăreste, totodată, să reglementeze

fluxul transfrontalier de date cu caracter personal.

Conventia a instituit principiile prelucrării datelor cu caracter personal (garantii privind

calitatea datelor), potrivit cărora datele trebuie să fie:

obţinute şi prelucrate în mod corect şi legal;

colectate în scopuri determinate, explicite şi legitime şi nu pot fi utilizate în mod

incompatibil cu aceste scopuri;

adecvate, pertinente şi neexcesive în raport cu scopurile pentru care sunt colectate;

exacte şi, dacă este cazul, actualizate;

păstrate strict pentru o durată ce nu o depăşeşte pe cea necesară scopurilor pentru care

ele au fost colectate.

Totodată, având în vedere prejudiciile pe care le poate suporta o persoană prin prelucrarea

datelor de către terti, Conventia a reglementat notiunea datelor cu caracter personal speciale

si a interzis prelucrarea acestor date. Potrivit Conventiei următoarele date sunt considerate

categorii speciale de date: cele referitoare la originea rasială, opinii politice, convingeri

religioase sau de altă natură, datele referitoare la starea de sănătate sau cele referitoare la

datele cu caracter personal privind condamnările penale.

Convenţia a fost completată prin intermediul Protocolului adiţional cu privire la autorităţile de

control şi fluxul transfrontalier al datelor, adoptat la Strasbourg la 18 noiembrie 2001, ratificat

prin Legea nr.55/2005

2. Cadrul legal al Uniunii Europene

a) La 24 octombrie 1995, Parlamentul European si Consiliul au adoptat Directiva 95/46/CE

privind protectia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal si

privind libera circulatie a acestor date (transpusă prin Legea nr.677/2001).

Directiva 95/46/CE reprezintă textul de referinţă, la nivel european, în materie de protecţie a

datelor cu caracter personal. Aceasta instituie un cadru de reglementare menit să stabilească

un echilibru între un nivel ridicat de protecţie a vieţii private a persoanelor şi libera circulaţie

a datelor cu caracter personal în cadrul Uniunii Europene (UE). În acest sens, directiva

stabileşte limite stricte în ceea ce priveşte colectarea şi utilizarea datelor cu caracter personal

şi solicită ca fiecare stat membru să creeze un organism naţional independent responsabil cu

protecţia unor astfel de date.

Articolul 29 din Directiva 95/46/CE a creat Grupul de lucru pentru protectia persoanelor în

ceea ce priveste prelucrarea datelor cu caracter personal. Grupul de lucru are caracter

consultativ si actionează independent Grupul de lucru este compus dintr-un reprezentant al

autoritătii nationale de supraveghere desemnate de fiecare stat membru, dintr-un reprezentant

al autoritătii sau al autoritătilor create pentru institutiile si organismele comunitare si dintr-un

reprezentant al Comisiei.

Grupul de lucru Art.29 examinează orice chestiune referitoare la punerea în aplicare a

dispozitiilor de drept intern adoptate în temeiul Directivei 95/46/CE, pentru a contribui la

aplicarea unitară a dispozitiilor legale.

Grupul de lucru Art.29 are rolul de a elabora un Raport anual privind situatia protectiei

persoanelor fizice în ceea ce priveste prelucrarea datelor cu caracter personal în Uniunea

Europeană si în tările terte pe care îl remite Comisiei Europene, Parlamentului European si

Consiliului.

b) Directiva 2002/58/CE a Parlamentului European si a Consiliului din 12 iulie 2002 privind

prelucrarea datelor personale si protejarea confidentialitătii în sectorul comunicatiilor

publice (Directiva privind confidenţialitatea şi comunicaţiile electronice) – transpusă prin

Legea nr.506/2004

Directiva a fost adoptată în 2002, în paralel cu un nou cadru legislativ destinat sectorului

comunicaţiilor electronice. Directiva conţine dispoziţii referitoare la o serie de chestiuni mai

mult sau mai puţin sensibile, cum ar fi păstrarea datelor de conectare de către statele membre

în scopul supravegherii poliţieneşti (păstrarea datelor), trimiterea de mesaje electronice

nesolicitate, utilizarea modulelor „cookie” şi includerea datelor personale în anuarele publice.

Directiva 2002/58/CE a fost modificată si completată în anul 2009 prin Directiva

2009/136/CE.