Decizia 132/2011 privind conditiile prelucrarii codului numeric personal si a altor date cu caracter personal avand o functie de identificare de aplicabilitate generala
Publicat in Monitorul Oficial, Partea I nr. 929 din 28 decembrie 2011
AUTORITATEA NATIONALA DE SUPRAVEGHERE A PRELUCRARII DATELOR CU CARACTER PERSONAL
Vazand Referatul de aprobare nr. 1.089 din 2 august 2011 privind necesitatea clarificarii modalitatii de prelucrare a codului
numeric personal si a altor date cu caracter personal avand o functie de identificare de aplicabilitate generala, intrucat din practica
a rezultat colectarea si prelucrarea fara o justificare temeinica a acestor date, precum si a copiilor documentelor ce le contin,
avand in vedere intrarea in vigoare a Tratatului de la Lisabona, la data de 1 decembrie 2009, cu consecinte asupra cadrului
juridic al protectiei datelor in Uniunea Europeana, prin dispozitiile art. 16 din Tratatul privind functionarea Uniunii Europene,
vazand dispozitiile considerentelor (22), (23) si (68) ale Directivei 95/46/CE a Parlamentului European si a Consiliului din
24 octombrie 1995 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie
a acestor date, denumita in continuare Directiva 95/46/CE, potrivit carora se permite statelor membre, independent de normele
generale, sa prevada conditii de prelucrare speciale pentru sectoare specifice, fiind imputernicite sa asigure punerea in aplicare
a protectiei persoanei si prin acte cu putere de lege in anumite sectoare, completand sau clarificand cu norme speciale principiile
cu privire la protectia drepturilor si libertatilor persoanelor, in special a dreptului la viata privata, in ceea ce priveste prelucrarea
datelor cu caracter personal,
vazand dispozitiile art. 8 din Conventia pentru apararea drepturilor omului si libertatilor fundamentale, care consfintesc
respectarea vietii private si de familie a oricarei persoane, inclusiv protejarea datelor personale, precum si cele ale art. 26 din
Constitutia Romaniei, republicata, care garanteaza respectarea dreptului fundamental la viata intima, familiala si privata, drept
reafirmat si in Carta drepturilor fundamentale a Uniunii Europene,
intrucat dreptul la viata intima, familiala si privata, in special la protectia datelor personale, nu este un drept absolut, iar
cand se confrunta cu alte drepturi fundamentale trebuie sa se gaseasca un echilibru in respectarea acestora, ele fiind de aceeasi
natura si importanta,
luand in considerare principiile de baza pentru protectia datelor instituite prin Conventia pentru protejarea persoanelor
fata de prelucrarea automatizata a datelor cu caracter personal, adoptata la Strasbourg la 28 ianuarie 1981 si ratificata de Romania
prin Legea nr. 682/2001, cu modificarile ulterioare, mai ales cele privind asigurarea securitatii datelor si garantiile conferite persoanei
ale carei date sunt prelucrate,
tinand cont de faptul ca, chiar daca colectarea si stocarea unor date de catre un operator nu ar putea constitui in sine o
ingerinta in viata privata, comunicarea acestora unui tert poate aduce atingere vietii private a persoanei in cauza, oricare ar fi
utilizarea ulterioara a informatiilor comunicate,
avand in vedere conditiile stabilite de dispozitiile art. 8 din Legea nr. 677/2001 pentru protectia persoanelor cu privire la
prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare, prelucrarea
codului numeric personal sau a altor date cu caracter personal avand o functie de identificare de aplicabilitate generala se
efectueaza numai daca persoana vizata si-a dat in mod expres consimtamantul sau daca prelucrarea este prevazuta in mod
expres de o dispozitie legala, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal fiind in masura sa
stabileasca si alte cazuri in care se poate efectua prelucrarea acestor date numai cu conditia instituirii unor garantii adecvate
pentru respectarea drepturilor persoanelor vizate,
intrucat, potrivit art. 2 lit. h) din Directiva 95/46/CE, "consimtamantul persoanei vizate" inseamna orice manifestare de
vointa, libera, specifica si informata, prin care persoana vizata accepta sa fie prelucrate datele cu caracter personal care o privesc,
luand in considerare faptul ca principiul de baza ce guverneaza prelucrarea datelor personale trebuie sa fie
consimtamantul, astfel incat, ca regula generala, datele personale trebuie colectate, prelucrate sau dezvaluite unor terti numai cu
consimtamantul dat in mod expres si neechivoc de catre persoana in cauza; consimtamantul poate fi obtinut numai dupa ce
persoana vizata a fost complet si exact informata cu privire la scopul prelucrarii acestora; exercitarea autonomiei de vointa a
persoanei vizate in privinta prelucrarii datelor sale presupune faptul ca in orice moment aceasta isi poate retrage consimtamantul
pentru prelucrarea tuturor sau a unora dintre datele sale personale, fara consecinte negative asupra sa,
avand in vedere faptul ca documentele create si detinute de autoritatile si institutiile publice pot contine, prin modul in
care au fost reglementate in legislatia specifica aplicabila, si codul numeric personal sau alte date cu caracter personal avand o
functie de identificare de aplicabilitate generala, cum ar fi seria si numarul actului de identitate, situatie in care intervin prevederile
legale privind protectia datelor cu caracter personal,
intrucat, potrivit considerentelor (42) si (72) ale Directivei 95/46/CE, in interesul persoanei vizate sau in vederea protejarii
drepturilor si libertatilor celorlalti, statele membre pot restrange drepturile de acces la informatii, iar Directiva 95/46/CE permite sa
se ia in considerare principiul dreptului de acces public la documente administrative atunci cand se pun in aplicare principiile
privind protectia datelor personale,
tinand cont de constatarile Curtii Europene a Drepturilor Omului rezultate din cauzele referitoare la divulgarea datelor cu
caracter personal, in sensul ca trebuie recunoscuta autoritatilor competente o anumita putere de a stabili un just echilibru intre
interesele publice si cele private care ar fi concurente (Cauza Peck contra Regatul Unit din 28 ianuarie 2003),
vazand dispozitiile art. 12 alin. (1) lit. d) si ale art. 14 alin. (1) din Legea nr. 544/2001 privind liberul acces la informatiile
de interes public, cu modificarile si completarile ulterioare, care stabilesc ca datele cu caracter personal nu pot fi facute publice
decat in conditiile legii, iar informatiile cu privire la datele personale ale cetateanului pot deveni informatii de interes public numai
in masura in care afecteaza capacitatea de exercitare a unei functii publice,
luand in considerare jurisprudenta Curtii Constitutionale (Decizia nr. 615/2006) in care aceasta a retinut ca in privinta
anumitor categorii de cetateni si datele personale reprezinta un evident interes public, dar numai "in masura in care afecteaza
capacitatea de exercitare a unei functii publice"; in caz contrar, si in asemenea situatii, datele referitoare la viata intima, familiala
si privata, precum si dreptul la propria imagine trebuie protejate prin lege, asa cum prevad dispozitiile constitutionale ale art. 26
alin. (1),
tinand cont de faptul ca, desi art. 11 din Legea nr. 677/2001, cu modificarile si completarile ulterioare, prevede o serie de
exceptii in situatia in care prelucrarea datelor se face exclusiv in scopuri jurnalistice, literare sau artistice, in sensul neaplicarii
art. 5, 6, 7 si 10 din aceeasi lege, fara a se face mentiune insa si despre art. 8, care stabileste conditiile prelucrarii codului numeric
personal si a altor date avand o functie de identificare de aplicabilitate generala,
tinand cont de faptul ca exista si situatii de exceptie de la regula obtinerii consimtamantului persoanei vizate cu privire la
prelucrarea datelor sale, de stricta interpretare si aplicare, reglementate de art. 5 alin. (2) din Legea nr. 677/2001, cu modificarile
si completarile ulterioare, dar acestea nu aduc atingere dispozitiilor legale care reglementeaza obligatia autoritatilor publice de a
respecta si de a ocroti viata intima, familiala si privata,
vazand conditiile de exercitare a drepturilor persoanelor vizate, stabilite de art. 12—18 din Legea nr. 677/2001, cu
modificarile si completarile ulterioare,
intrucat, potrivit art. 15 din Legea nr. 677/2001, cu modificarile si completarile ulterioare, persoana vizata are dreptul de a
se opune in orice moment, din motive intemeiate si legitime legate de situatia sa particulara, ca date care o vizeaza sa faca obiectul
unei prelucrari, cu exceptia cazurilor in care exista dispozitii legale contrare,
luand in considerare caracterul special al codului numeric personal, pentru care operatorul este obligat sa ia masuri tehnice
si organizatorice destinate sa ii asigure confidentialitatea si securitatea, in scopul de a preveni toate riscurile de dezvaluire sau
acces neautorizat,
avand in vedere ca, potrivit Legii nr. 24/2000 privind normele de tehnica legislativa pentru elaborarea actelor normative,
republicata, cu modificarile si completarile ulterioare, in categoria actelor normative intra legile, ordonantele si hotararile Guvernului,
actele normative ale celorlalte autoritati cu atributii de initiativa legislativa, precum si ordinele, instructiunile, alte acte normative
emise de conducatorii autoritatilor administrative autonome si organele administratiei publice centrale de specialitate, precum si
actele cu caracter normativ emise de autoritatile administratiei publice locale,
intrucat Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal este consultata, in conditiile
art. 21 alin. (3) lit. h) din Legea nr. 677/2001, cu modificarile si completarile ulterioare, la elaborarea proiectelor de acte normative
referitoare la protectia drepturilor si libertatilor persoanelor, in privinta prelucrarii datelor cu caracter personal;
avand in vedere obligatiile instituite in sarcina operatorului prin art. 19 si art. 20 alin. (1) din Legea nr. 677/2001, cu
modificarile si completarile ulterioare, potrivit carora acesta este obligat sa aplice masurile tehnice si organizatorice adecvate
pentru protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii ori
accesului neautorizat, in special daca prelucrarea respectiva comporta transmisii de date in cadrul unei retele, precum si impotriva
oricarei alte forme de prelucrare ilegala,
in baza art. 3 alin. (5) din Legea nr. 102/2005 privind infiintarea, organizarea si functionarea Autoritatii Nationale de
Supraveghere a Prelucrarii Datelor cu Caracter Personal, cu modificarile si completarile ulterioare, si ale art. 6 alin. (2) lit. b) din
Regulamentul de organizare si functionare a Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal,
aprobat prin Hotararea Biroului permanent al Senatului nr. 16/2005, cu modificarile si completarile ulterioare,
presedintele Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal emite prezenta
decizie.
Art. 1
(1) Codul numeric personal reprezinta un numar
semnificativ care individualizeaza in mod unic o persoana fizica,
constituind un instrument de verificare a starii civile a acesteia
si de identificare in anumite sisteme informatice de catre
persoanele autorizate.
(2) Datele cu caracter personal cu functie de identificare de
aplicabilitate generala sunt acele numere prin care se identifica
o persoana fizica in anumite sisteme de evidenta si care au
aplicabilitate generala, cum ar fi: codul numeric personal, seria
si numarul actului de identitate, numarul pasaportului, al
permisului de conducere, numarul de asigurare sociala sau de
sanatate.
(3) Datele prevazute la alin. (1) si (2) fac parte din categoria
datelor cu caracter special supuse regulilor specifice de
prelucrare.
Art. 2
Prelucrarea datelor prevazute la art. 1, inclusiv
dezvaluirea acestora catre terti, se face numai in conditiile
stabilite la art. 8 din Legea nr. 677/2001 pentru protectia
persoanelor cu privire la prelucrarea datelor cu caracter
personal si libera circulatie a acestor date, cu modificarile si
completarile ulterioare, si anume:
a) persoana vizata si-a dat in mod expres consimtamantul;
sau
b) prelucrarea este prevazuta in mod expres de o dispozitie
legala; sau
c) in alte cazuri, cu avizul Autoritatii Nationale de
Supraveghere a Prelucrarii Datelor cu Caracter Personal si
numai cu conditia instituirii unor garantii adecvate pentru
respectarea drepturilor persoanelor vizate.
Art. 3
(1) In domeniul prelucrarii datelor cu caracter
personal, consimtamantul persoanei vizate reprezinta orice
manifestare de vointa expresa, libera, specifica si informata, prin
care persoana vizata accepta sa fie prelucrate datele cu
caracter personal care o privesc.
(2) Consimtamantul trebuie dat in mod expres, intr-o forma
care sa permita dovedirea acestuia de catre operator.
(3) Anterior obtinerii consimtamantului, operatorul are
obligatia de a informa persoana vizata, in concordanta cu
prevederile art. 12 alin. (1) din Legea nr. 677/2001, cu
modificarile si completarile ulterioare.
(4) Cazurile in care informarea se dovedeste imposibila sau
ar implica un efort disproportionat fata de interesul legitim care
ar putea fi lezat, prevazute de art. 12 alin. (3) si (4) din Legea
nr. 677/2001, cu modificarile si completarile ulterioare, trebuie
temeinic justificate si documentate de catre operator.
Art. 4
(1) Proiectele de acte normative care stabilesc
prelucrarea categoriilor de date de natura celor prevazute la
art. 1 vor respecta principiul caracterului adecvat, pertinent si
neexcesiv al acestora prin raportare la scopul in care sunt
colectate si ulterior prelucrate, potrivit art. 4 alin. (1) lit. c) din
Legea nr. 677/2001, cu modificarile si completarile ulterioare.
(2) La elaborarea proiectelor de acte normative prevazute la
alin. (1), Autoritatea Nationala de Supraveghere a Prelucrarii
Datelor cu Caracter Personal este consultata, in conditiile art. 21
alin. (3) lit. h) din Legea nr. 677/2001, cu modificarile si
completarile ulterioare.
Art. 5
(1) In situatia prevazuta la art. 2 lit. c), operatorul
trebuie sa respecte principiul caracterului adecvat, pertinent si
neexcesiv, precum si masurile de confidentialitate si de
securitate a prelucrarilor. In acest sens va avea in vedere, in
principal, instituirea urmatoarelor garantii adecvate:
a) scopul prelucrarii sa fie determinat, explicit si legitim;
b) stabilirea si aplicarea unor masuri prin care sa se asigure
exercitarea drepturilor persoanelor vizate;
c) durata de stocare a datelor sa fie pe perioada strict
necesara indeplinirii scopului, dupa care datele vor fi sterse sau
distruse, dupa caz;
d) stabilirea modalitatilor de acces la sistemele de evidenta
in vederea colectarii datelor, in functie de care va stabili si va
respecta masuri tehnice si organizatorice adecvate pentru
protejarea datelor;
e) utilizarea datelor numai in limitele scopului stabilit;
f) dezvaluirea catre alti destinatari este interzisa, cu exceptia
situatiei in care exista consimtamantul persoanei vizate sau o
prevedere legala expresa;
g) desemnarea, in scris, a persoanei/persoanelor care va/vor
prelucra datele si care trebuie sa isi asume raspunderea
pastrarii confidentialitatii acestora; lista continand evidenta
acestor persoane va fi actualizata ori de cate ori se impune;
h) numirea, in scris, a unei persoane specializate in
securitatea informatiei care sa vegheze la prelucrarea datelor,
inclusiv la buna functionare a sistemelor informatice utilizate in
aceasta activitate;
i) stabilirea unui plan de securitate a informatiilor care sa
cuprinda, in principal, securitatea tehnica pe plan informatic si
securitatea spatiilor in care se prelucreaza datele, tinand cont de
cerintele minime de securitate;
j) stabilirea, in scris, a drepturilor si obligatiilor operatorului
care transmite datele si ale operatorului care le primeste.
(2) Drepturile persoanelor vizate vor fi asigurate in conditiile
art. 12—18 din Legea nr. 677/2001, cu modificarile si
completarile ulterioare.
(3) In cazul in care operatorul desemneaza o persoana
imputernicita, in conditiile Legii nr. 677/2001, cu modificarile si
completarile ulterioare, prevederile alin. (1) lit. b)—i) devin
aplicabile.
Art. 6
Colectarea si prelucrarea datelor prevazute la
art. 1, inclusiv dezvaluirea acestora, prin efectuarea si retinerea
de copii de pe cartea de identitate sau de pe documente care le
contin, sunt interzise, cu exceptia situatiilor prevazute la art. 2.
Art. 7
Prelucrarea datelor prevazute la art. 1, inclusiv
dezvaluirea acestora, efectuata exclusiv in scopuri jurnalistice,
literare sau artistice, se realizeaza cu respectarea conditiilor
stabilite de Legea nr. 677/2001, cu modificarile si completarile
ulterioare, si de prezenta decizie.
Art. 8
Colectarea si prelucrarea ulterioara a datelor
prevazute la art. 1, inclusiv dezvaluirea acestora, obtinute din
documente accesibile publicului, se pot realiza de catre
operatori in conditiile prezentei decizii.
Art. 9
Prezenta decizie nu aduce atingere dispozitiilor
legale in vigoare care reglementeaza expres colectarea si
prelucrarea codului numeric personal sau a altor date cu
caracter personal avand o functie de identificare de aplicabilitate
generala.
Art. 10
Prezenta decizie se publica in Monitorul Oficial al
Romaniei, Partea I, si intra in vigoare in termen de 30 de zile de
la data publicarii.
Materialul de fata reprezinta o prelucrare si formatare neoficiala a prevederilor oficiale, avand la baza texte publice preluate de la: Monitorul Oficial
Poate fi de interes si:
Niciun link inscris in sistemul contextual | | Noua Revista de Drepturile Omului, Nr. 4/2011
C.H. Beck
COMANDA ACUM
|
PROMO - Ai pensie privata?
-------------
Drept OnLine va prezinta in cadrul acestei Sectiuni cateva reglementari juridice de interes general, cu mentiunea ca informatiile prezentate in aceasta sectiune au un caracter pur informativ, existand posibilitatea de a fi intervenit modificari ulterioare, abrogari, nesurprinse aici.
-------------
Alte reglementari
Termeni juridici, grupare tematica
|
