Conditiile prelucrarii CNP si a altor date cu caracter personal

11 ian. 2012 • Articole conexeDetalii articol

In M. Of. nr. 929 din 28 decembrie 2011 a fost publicata Decizia presedintelui Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal nr. 132/2011 privind conditiile prelucrarii codului numeric personal si a altor date cu caracter personal avand o functie de identificare de aplicabilitate generala.

Din cuprins:

Vazand Referatul de aprobare nr. 1.089 din 2 august 2011 privind necesitatea clarificarii modalitatii de prelucrare a codului numeric personal si a altor date cu caracter personal avand o functie de identificare de aplicabilitate generala, intrucat din practica a rezultat colectarea si prelucrarea fara o justificare temeinica a acestor date, precum si a copiilor documentelor ce le contin,

avand in vedere intrarea in vigoare a Tratatului de la Lisabona, la data de 1 decembrie 2009, cu consecinte asupra cadrului juridic al protectiei datelor in Uniunea Europeana, prin dispozitiile art. 16 din Tratatul privind functionarea Uniunii Europene,

vazand dispozitiile considerentelor (22), (23) si (68) ale Directivei 95/46/CE a Parlamentului European si a Consiliului din 24 octombrie 1995 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date, denumita in continuare Directiva 95/46/CE, potrivit carora se permite statelor membre, independent de normele generale, sa prevada conditii de prelucrare speciale pentru sectoare specifice, fiind imputernicite sa asigure punerea in aplicare a protectiei persoanei si prin acte cu putere de lege in anumite sectoare, completand sau clarificand cu norme speciale principiile cu privire la protectia drepturilor si libertatilor persoanelor, in special a dreptului la viata privata, in ceea ce priveste prelucrarea datelor cu caracter personal,

vazand dispozitiile art. 8 din Conventia pentru apararea drepturilor omului si libertatilor fundamentale, care consfintesc respectarea vietii private si de familie a oricarei persoane, inclusiv protejarea datelor personale, precum si cele ale art. 26 din Constitutia Romaniei, republicata, care garanteaza respectarea dreptului fundamental la viata intima, familiala si privata, drept reafirmat si in Carta drepturilor fundamentale a Uniunii Europene,

intrucat dreptul la viata intima, familiala si privata, in special la protectia datelor personale, nu este un drept absolut, iar cand se confrunta cu alte drepturi fundamentale trebuie sa se gaseasca un echilibru in respectarea acestora, ele fiind de aceeasi natura si importanta,

luand in considerare principiile de baza pentru protectia datelor instituite prin Conventia pentru protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal, adoptata la Strasbourg la 28 ianuarie 1981 si ratificata de Romania prin Legea nr. 682/2001, cu modificarile ulterioare, mai ales cele privind asigurarea securitatii datelor si garantiile conferite persoanei ale carei date sunt prelucrate,

tinand cont de faptul ca, chiar daca colectarea si stocarea unor date de catre un operator nu ar putea constitui in sine o ingerinta in viata privata, comunicarea acestora unui tert poate aduce atingere vietii private a persoanei in cauza, oricare ar fi utilizarea ulterioara a informatiilor comunicate,

avand in vedere conditiile stabilite de dispozitiile art. 8 din Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare, prelucrarea codului numeric personal sau a altor date cu caracter personal avand o functie de identificare de aplicabilitate generala se efectueaza numai daca persoana vizata si-a dat in mod expres consimtamantul sau daca prelucrarea este prevazuta in mod expres de o dispozitie legala, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal fiind in masura sa stabileasca si alte cazuri in care se poate efectua prelucrarea acestor date numai cu conditia instituirii unor garantii adecvate pentru respectarea drepturilor persoanelor vizate,

intrucat, potrivit art. 2 lit. h) din Directiva 95/46/CE, “consimtamantul persoanei vizate” inseamna orice manifestare de vointa, libera, specifica si informata, prin care persoana vizata accepta sa fie prelucrate datele cu caracter personal care o privesc,

luand in considerare faptul ca principiul de baza ce guverneaza prelucrarea datelor personale trebuie sa fie consimtamantul, astfel incat, ca regula generala, datele personale trebuie colectate, prelucrate sau dezvaluite unor terti numai cu consimtamantul dat in mod expres si neechivoc de catre persoana in cauza; consimtamantul poate fi obtinut numai dupa ce persoana vizata a fost complet si exact informata cu privire la scopul prelucrarii acestora; exercitarea autonomiei de vointa a persoanei vizate in privinta prelucrarii datelor sale presupune faptul ca in orice moment aceasta isi poate retrage consimtamantul pentru prelucrarea tuturor sau a unora dintre datele sale personale, fara consecinte negative asupra sa,

avand in vedere faptul ca documentele create si detinute de autoritatile si institutiile publice pot contine, prin modul in care au fost reglementate in legislatia specifica aplicabila, si codul numeric personal sau alte date cu caracter personal avand o functie de identificare de aplicabilitate generala, cum ar fi seria si numarul actului de identitate, situatie in care intervin prevederile legale privind protectia datelor cu caracter personal,

intrucat, potrivit considerentelor (42) si (72) ale Directivei 95/46/CE, in interesul persoanei vizate sau in vederea protejarii drepturilor si libertatilor celorlalti, statele membre pot restrange drepturile de acces la informatii, iar Directiva 95/46/CE permite sa se ia in considerare principiul dreptului de acces public la documente administrative atunci cand se pun in aplicare principiile privind protectia datelor personale,

tinand cont de constatarile Curtii Europene a Drepturilor Omului rezultate din cauzele referitoare la divulgarea datelor cu caracter personal, in sensul ca trebuie recunoscuta autoritatilor competente o anumita putere de a stabili un just echilibru intre interesele publice si cele private care ar fi concurente (Cauza Peck contra Regatul Unit din 28 ianuarie 2003),

vazand dispozitiile art. 12 alin. (1) lit. d) si ale art. 14 alin. (1) din Legea nr. 544/2001 privind liberul acces la informatiile de interes public, cu modificarile si completarile ulterioare, care stabilesc ca datele cu caracter personal nu pot fi facute publice decat in conditiile legii, iar informatiile cu privire la datele personale ale cetateanului pot deveni informatii de interes public numai in masura in care afecteaza capacitatea de exercitare a unei functii publice,

luand in considerare jurisprudenta Curtii Constitutionale (Decizia nr. 615/2006) in care aceasta a retinut ca in privinta anumitor categorii de cetateni si datele personale reprezinta un evident interes public, dar numai “in masura in care afecteaza capacitatea de exercitare a unei functii publice”; in caz contrar, si in asemenea situatii, datele referitoare la viata intima, familiala si privata, precum si dreptul la propria imagine trebuie protejate prin lege, asa cum prevad dispozitiile constitutionale ale art. 26 alin. (1),

tinand cont de faptul ca, desi art. 11 din Legea nr. 677/2001, cu modificarile si completarile ulterioare, prevede o serie de exceptii in situatia in care prelucrarea datelor se face exclusiv in scopuri jurnalistice, literare sau artistice, in sensul neaplicarii art. 5, 6, 7 si 10 din aceeasi lege, fara a se face mentiune insa si despre art. 8, care stabileste conditiile prelucrarii codului numeric personal si a altor date avand o functie de identificare de aplicabilitate generala,

tinand cont de faptul ca exista si situatii de exceptie de la regula obtinerii consimtamantului persoanei vizate cu privire la prelucrarea datelor sale, de stricta interpretare si aplicare, reglementate de art. 5 alin. (2) din Legea nr. 677/2001, cu modificarile si completarile ulterioare, dar acestea nu aduc atingere dispozitiilor legale care reglementeaza obligatia autoritatilor publice de a respecta si de a ocroti viata intima, familiala si privata,

vazand conditiile de exercitare a drepturilor persoanelor vizate, stabilite de art. 12 – 18 din Legea nr. 677/2001, cu modificarile si completarile ulterioare,

intrucat, potrivit art. 15 din Legea nr. 677/2001, cu modificarile si completarile ulterioare, persoana vizata are dreptul de a se opune in orice moment, din motive intemeiate si legitime legate de situatia sa particulara, ca date care o vizeaza sa faca obiectul unei prelucrari, cu exceptia cazurilor in care exista dispozitii legale contrare,

luand in considerare caracterul special al codului numeric personal, pentru care operatorul este obligat sa ia masuri tehnice si organizatorice destinate sa ii asigure confidentialitatea si securitatea, in scopul de a preveni toate riscurile de dezvaluire sau acces neautorizat,

avand in vedere ca, potrivit Legii nr. 24/2000 privind normele de tehnica legislativa pentru elaborarea actelor normative, republicata, cu modificarile si completarile ulterioare, in categoria actelor normative intra legile, ordonantele si hotararile Guvernului, actele normative ale celorlalte autoritati cu atributii de initiativa legislativa, precum si ordinele, instructiunile, alte acte normative emise de conducatorii autoritatilor administrative autonome si organele administratiei publice centrale de specialitate, precum si actele cu caracter normativ emise de autoritatile administratiei publice locale,

intrucat Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal este consultata, in conditiile art. 21 alin. (3) lit. h) din Legea nr. 677/2001, cu modificarile si completarile ulterioare, la elaborarea proiectelor de acte normative referitoare la protectia drepturilor si libertatilor persoanelor, in privinta prelucrarii datelor cu caracter personal;

avand in vedere obligatiile instituite in sarcina operatorului prin art. 19 si art. 20 alin. (1) din Legea nr. 677/2001, cu modificarile si completarile ulterioare, potrivit carora acesta este obligat sa aplice masurile tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii ori accesului neautorizat, in special daca prelucrarea respectiva comporta transmisii de date in cadrul unei retele, precum si impotriva oricarei alte forme de prelucrare ilegala,

in baza art. 3 alin. (5) din Legea nr. 102/2005 privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, cu modificarile si completarile ulterioare, si ale art. 6 alin. (2) lit. b) din Regulamentul de organizare si functionare a Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, aprobat prin Hotararea Biroului permanent al Senatului nr. 16/2005, cu modificarile si completarile ulterioare,

 

ART. 1

(1) Codul numeric personal reprezinta un numar semnificativ care individualizeaza in mod unic o persoana fizica, constituind un instrument de verificare a starii civile a acesteia si de identificare in anumite sisteme informatice de catre persoanele autorizate.

(2) Datele cu caracter personal cu functie de identificare de aplicabilitate generala sunt acele numere prin care se identifica o persoana fizica in anumite sisteme de evidenta si care au aplicabilitate generala, cum ar fi: codul numeric personal, seria si numarul actului de identitate, numarul pasaportului, al permisului de conducere, numarul de asigurare sociala sau de sanatate.

(3) Datele prevazute la alin. (1) si (2) fac parte din categoria datelor cu caracter special supuse regulilor specifice de prelucrare.

ART. 2

Prelucrarea datelor prevazute la art. 1, inclusiv dezvaluirea acestora catre terti, se face numai in conditiile stabilite la art. 8 din Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare, si anume:

a) persoana vizata si-a dat in mod expres consimtamantul; sau

b) prelucrarea este prevazuta in mod expres de o dispozitie legala; sau

c) in alte cazuri, cu avizul Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal si numai cu conditia instituirii unor garantii adecvate pentru respectarea drepturilor persoanelor vizate.

ART. 3

(1) In domeniul prelucrarii datelor cu caracter personal, consimtamantul persoanei vizate reprezinta orice manifestare de vointa expresa, libera, specifica si informata, prin care persoana vizata accepta sa fie prelucrate datele cu caracter personal care o privesc.

(2) Consimtamantul trebuie dat in mod expres, intr-o forma care sa permita dovedirea acestuia de catre operator.

(3) Anterior obtinerii consimtamantului, operatorul are obligatia de a informa persoana vizata, in concordanta cu prevederile art. 12 alin. (1) din Legea nr. 677/2001, cu modificarile si completarile ulterioare.

(4) Cazurile in care informarea se dovedeste imposibila sau ar implica un efort disproportionat fata de interesul legitim care ar putea fi lezat, prevazute de art. 12 alin. (3) si (4) din Legea nr. 677/2001, cu modificarile si completarile ulterioare, trebuie temeinic justificate si documentate de catre operator.

ART. 4

(1) Proiectele de acte normative care stabilesc prelucrarea categoriilor de date de natura celor prevazute la art. 1 vor respecta principiul caracterului adecvat, pertinent si neexcesiv al acestora prin raportare la scopul in care sunt colectate si ulterior prelucrate, potrivit art. 4 alin. (1) lit. c) din Legea nr. 677/2001, cu modificarile si completarile ulterioare.

(2) La elaborarea proiectelor de acte normative prevazute la alin. (1), Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal este consultata, in conditiile art. 21 alin. (3) lit. h) din Legea nr. 677/2001, cu modificarile si completarile ulterioare.

ART. 5

(1) In situatia prevazuta la art. 2 lit. c), operatorul trebuie sa respecte principiul caracterului adecvat, pertinent si neexcesiv, precum si masurile de confidentialitate si de securitate a prelucrarilor. In acest sens va avea in vedere, in principal, instituirea urmatoarelor garantii adecvate:

a) scopul prelucrarii sa fie determinat, explicit si legitim;

b) stabilirea si aplicarea unor masuri prin care sa se asigure exercitarea drepturilor persoanelor vizate;

c) durata de stocare a datelor sa fie pe perioada strict necesara indeplinirii scopului, dupa care datele vor fi sterse sau distruse, dupa caz;

d) stabilirea modalitatilor de acces la sistemele de evidenta in vederea colectarii datelor, in functie de care va stabili si va respecta masuri tehnice si organizatorice adecvate pentru protejarea datelor;

e) utilizarea datelor numai in limitele scopului stabilit;

f) dezvaluirea catre alti destinatari este interzisa, cu exceptia situatiei in care exista consimtamantul persoanei vizate sau o prevedere legala expresa;

g) desemnarea, in scris, a persoanei/persoanelor care va/vor prelucra datele si care trebuie sa isi asume raspunderea pastrarii confidentialitatii acestora; lista continand evidenta acestor persoane va fi actualizata ori de cate ori se impune;

h) numirea, in scris, a unei persoane specializate in securitatea informatiei care sa vegheze la prelucrarea datelor, inclusiv la buna functionare a sistemelor informatice utilizate in aceasta activitate;

i) stabilirea unui plan de securitate a informatiilor care sa cuprinda, in principal, securitatea tehnica pe plan informatic si securitatea spatiilor in care se prelucreaza datele, tinand cont de cerintele minime de securitate;

j) stabilirea, in scris, a drepturilor si obligatiilor operatorului care transmite datele si ale operatorului care le primeste.

(2) Drepturile persoanelor vizate vor fi asigurate in conditiile art. 12 – 18 din Legea nr. 677/2001, cu modificarile si completarile ulterioare.

(3) In cazul in care operatorul desemneaza o persoana imputernicita, in conditiile Legii nr. 677/2001, cu modificarile si completarile ulterioare, prevederile alin. (1) lit. b) – i) devin aplicabile.

ART. 6

Colectarea si prelucrarea datelor prevazute la art. 1, inclusiv dezvaluirea acestora, prin efectuarea si retinerea de copii de pe cartea de identitate sau de pe documente care le contin, sunt interzise, cu exceptia situatiilor prevazute la art. 2.

ART. 7

Prelucrarea datelor prevazute la art. 1, inclusiv dezvaluirea acestora, efectuata exclusiv in scopuri jurnalistice, literare sau artistice, se realizeaza cu respectarea conditiilor stabilite de Legea nr. 677/2001, cu modificarile si completarile ulterioare, si de prezenta decizie.

ART. 8

Colectarea si prelucrarea ulterioara a datelor prevazute la art. 1, inclusiv dezvaluirea acestora, obtinute din documente accesibile publicului, se pot realiza de catre operatori in conditiile prezentei decizii.

ART. 9

Prezenta decizie nu aduce atingere dispozitiilor legale in vigoare care reglementeaza expres colectarea si prelucrarea codului numeric personal sau a altor date cu caracter personal avand o functie de identificare de aplicabilitate generala.

ART. 10

Prezenta decizie se publica in Monitorul Oficial al Romaniei, Partea I, si intra in vigoare in termen de 30 de zile de la data publicarii.

 

Adauga comentariu

Imagine cod de securitate
*

Acest site folosește cookie-uri. Continuarea navigării presupune că ești de acord cu utilizarea cookie-urilor. Informații suplimentare

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close