GHID DE COMPLETARE

A FORMULARULUI DE NOTIFICARE

1. Informaţii generale privind formularul de notificare

La data de 24 decembrie 2008 a fost publicată DECIZIA nr. 95/2008 privind stabilirea formularului tipizat al notificărilor prevăzute de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.

Aceasta intră în vigoare la data de 1 martie 2009, dată la care Decizia nr. 60/2006 privind stabilirea formularului tipizat al notificărilor prevăzute de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, îşi încetează aplicabilitatea.

Ca atare, începând cu data 1 martie 2009, toţi operatorii au obligaţia de a completa noul formular de notificare.

Notificările completate pe formularele aprobate prin Decizia nr. 60 din 6 iunie 2006 şi înregistrate în registrul de evidenţă a prelucrărilor de date cu caracter personal până la data intrării în vigoare a Deciziei nr. 95/2008 rămân valabile.

Formularul acceptat este numai cel obţinut din Monitorul Oficial al României nr. 876 din 24 decembrie 2008 sau de pe site-ul autorităţii: www.dataprotection.ro.

Întrucât autoritatea de supraveghere a implementat registrul electronic de evidenţă a prelucrărilor de date cu caracter personal notificate de operatorii aflaţi în evidenţele sale, iar acesta poate fi consultat on-line, formularul de notificare se transmite doar în sistem on-line.

În mod excepţional, în cazul în care anumiţi operatori nu dispun de mijloacele tehnice necesare transmiterii formularului de notificare electronic, acesta se poate completa on-line la sediul autorităţii de supraveghere sau se va transmite, în format de hârtie, prin poştă. În această situaţie, notificarea va fi însoţită de o adresă prin care operatorul justifică imposibilitatea transmiterii formularului de notificare în sistem on-line.

După depunerea on-line a notificării, se va transmite autorităţii de supraveghere, în cel mult 30 de zile, prima pagină a formularului de notificare, semnată şi ştampilată. În caz contrar, notificarea va fi ştearsă automat din sistemul electronic de evidenţă. Ataşat primei pagini, trebuie transmisă şi copia mesajului electronic primit din partea autorităţii de supraveghere intitulat „confirmare înregistrare document", în care figurează numărul de înregistrare al formularului de notificare în Registrul General al instituţiei noastre.

Completarea formularului de notificare se efectuează, după caz, prin marcarea cu semnul "X" a rubricilor de la fiecare secţiune sau prin completarea spaţiilor libere, conform cerinţelor de la punctele respective.

Formularul de notificare se poate completa în 3 modalităţi, respectiv sub formă de:

  • Notificare generală
  • Notificare simplificată
  • Notificare specială

Formularul de notificare F1 se completează la toate secţiunile, după caz, potrivit specificului prelucrării, sub forma notificării generale, în următoarele situaţii:

o când operatorul notifică pentru prima dată o prelucrare de date cu caracter personal;

o când operatorul notifică o prelucrare de date într-un scop diferit faţă de cel declarat printr-o notificare anterioară;

o când operatorul transferă date cu caracter personal în străinătate, deşi este scutit de obligaţia de a notifica prelucrarea datelor cu caracter personal;

o când operatorul completează şi/sau modifică o notificare înscrisă deja în evidenţele autorităţii de supraveghere ca notificare generală.

Având în vedere faptul că anumite prelucrări de date se efectuează în mod frecvent în temeiul legii sau în interesul persoanelor vizate şi nu sunt susceptibile de a afecta drepturile acestora, preşedintele autorităţii de supraveghere a emis Decizia nr. 91/2006 privind cazurile în care este permisă notificarea prelucrării datelor cu caracter personal prin completarea formularului în formă simplificată.

Notificarea simplificată se completează de operatorii care prelucrează date cu caracter personal pentru scopurile stabilite prin decizia susmenţionată, bifându-se secţiunile indicate pe prima pagină din formularul de notificare, respectiv I, II, III, IV, VI, IX, X, XI, XII, XIII şi XIV.

Notificarea specială se completează de autorităţile publice care prelucrează date cu caracter personal în cadrul activităţilor de prevenire, cercetare, reprimare a infracţiunilor şi de menţinere a ordinii publice, precum şi în cadrul altor activităţi desfăşurate în domeniul dreptului penal (art. 2 alin. (5) din Legea nr. 677/2001). În acest sens, se vor completa numai rubricile I, III, IV, V, IX, X şi XI din formularul de notificare.

2. Modalitatea de completare a formularului de notificare

2.1 Prima pagină a formularului de notificare

Spaţiul rezervat autorităţii de supraveghere se va completa doar de către aceasta.

După ce bifează forma sub care completează formularul de notificare se va marca cu „X", după caz, dacă:

  • operatorul notifică pentru prima dată (o notificare generală, simplificată sau specială);
  • operatorul completează/modifică o notificare anterioară, situaţie în care se va preciza numărul sub care notificarea pe care intenţionează să o modifice sau să o completeze figurează în registrul de evidenţă a prelucrărilor de date cu caracter personal.

2.1.1 SECŢIUNEA I: Operatorul

Numele/denumirea operatorului:

În cazul operatorilor ce au calitatea de persoane fizice se precizează numele şi prenumele acestora (conform actului de identitate).

În cazul operatorilor ce au calitatea de persoane fizice autorizate se precizează numele şi prenumele acestora, aşa cum rezultă din documentul ce le permite desfăşurarea unei activităţi independente, autorizată în baza unei legi speciale.

În cazul operatorilor ce au calitatea de persoane juridice române se precizează denumirea oficială şi completă a acestora, aşa cum rezultă din actul normativ de înfiinţare (pentru operatorii din sectorul public), iar pentru operatorii români din sectorul privat se va menţiona denumirea din certificatul de înregistrare la Oficiul Naţional al Registrului Comerţului sau în Registrul asociaţiilor şi fundaţiilor.

În cazul operatorilor ce au calitatea de persoane juridice străine, se precizează denumirea oficială şi completă a acestora, aşa cum rezultă din documentul de înregistrare la camera de comerţ de care aparţine.

 

Adresa/sediul operatorului

Se completează adresa operatorului persoană fizică (domiciliul şi/sau reşedinţa) şi, respectiv, sediul persoanei juridice, aşa cum este stabilit potrivit legii, în actul normativ de înfiinţare sau aşa cum este prevăzut în certificatul de înregistrare la Oficiul Naţional al Registrului Comerţului sau în Registrul asociaţiilor şi fundaţiilor.

Apoi, operatorul bifează în ce calitate notifică autoritatea de supraveghere, respectiv dacă este persoană fizică, persoană fizică autorizată sau persoană juridică. În această din urmă situaţie, alege sectorul căruia îi aparţine, respectiv public (cu precizarea categoriei de autorităţi din care face parte - autoritate centrală, locală sau „altele" - cum ar fi: regii autonome, companii sau societăţi naţionale) sau privat.

Dacă operatorul este membru al unei asociaţii profesionale sau al unei alte forme de asociere, se menţionează denumirea acesteia.

În acest sens, precizăm că, potrivit art. 28 din Legea nr. 677/2001, asociaţiile profesionale au obligaţia de a elabora coduri de conduită, supuse avizării ANSPDCP, care să conţină reguli de protecţie a datelor personale prelucrate de membrii acestora.

 

Persoana de contact

Se completează datele solicitate (nume, prenume şi telefon) ale persoanei de contact desemnate de operator pentru menţinerea legăturii cu A.N.S.P.D.C.P. Este de preferat ca, în cadrul operatorului, să fie desemnată o persoană responsabilă cu aplicarea Legii nr. 677/2001, modificată şi completată.

 

La secţiunea „DECLARAŢIE", persoana abilitată (operatorul - persoană fizică sau reprezentantul legal - în cazul persoanei juridice) să dea această declaraţie îşi menţionează numele şi prenumele, funcţia sau profesia (după caz), indică data completării şi semnează.

În cazul operatorului persoană juridică notificarea se semnează de reprezentantul său legal şi trebuie să poarte şi ştampila acestuia.

 

Atenţie!

Formularele a căror „DECLARAŢIE" nu este completată, semnată şi ştampilată potrivit cerinţelor nu vor fi analizate, urmând a se proceda la clasarea lor.

 

2.2 Completarea celorlalte secţiuni ale formularului de notificare

2.2.1. SECŢIUNEA II: Reprezentantul operatorului situat într-un stat terţ

În cazul în care operatorul nu este stabilit în România, conform art. 2 alin. (3) din Legea nr. 677/2001, modificată şi completată, el trebuie să îşi desemneze un reprezentant. Acesta poate fi o persoană juridică sau fizică care are sediul sau domiciliul/reşedinţa pe teritoriul statului român sau o altă entitate fără personalitate juridică, desemnată de operator pentru prelucrarea datelor în România (spre exemplu, o reprezentanţă sau o sucursală).

În acest context, precizăm că dispoziţiile Legii nr. 677/2001, modificată şi completată, sunt aplicabile şi reprezentantului operatorului.

În situaţia în care operatorul îşi desemnează un reprezentant, rubricile de la această secţiune se completează potrivit instrucţiunilor de la SECŢIUNEA I.

 

2.2.2 SECŢIUNEA III: Împuternicitul care prelucrează datele pe seama operatorului

Legea nr. 677/2001, modificată şi completată defineşte persoana împuternicită de operator ca fiind orice persoană fizică sau juridică (de drept privat ori de drept public) care prelucrează date cu caracter personal pe seama operatorului.

Pentru prelucrarea datelor cu caracter personal prin intermediul persoanei/persoanelor împuternicite de operator se va anexa, pe suport de hârtie sau on-line, documentul/documentele cu următoarele date ale acesteia/acestora: nume/denumire, adresa/sediul, judeţul, localitatea, sectorul, ţara, codul poştal, telefon, fax, e-mail (aşa cum rezultă din contractul încheiat în condiţiile reglementate de art. 20 alin. (5) din Legea nr. 677/2001, modificată şi completată.

2.2.3 SECŢIUNEA IV: Scopul prelucrării

În acest spaţiu se marchează cu „X" rubrica/rubricile corespunzătoare scopului sau scopurilor corelate în care operatorul desfăşoară activităţi ce implică prelucrarea datelor cu caracter personal ale persoanelor fizice. Dacă scopul sau scopurile corelate în care operatorul prelucrează datele nu se regăsesc în secţiunea de faţă, se completează spaţiul aferent rubricii „altele".

Ca urmare, vă prezentăm situaţiile în care pot fi bifate scopurile prelucrării prevăzute în formularul de notificare şi cum pot fi corelate între ele:

Resurse umane - scop specific tuturor entităţilor de drept public şi de drept privat pentru prelucrarea datelor propriilor angajaţi, în alte scopuri decât cele pentru care trebuie avute în vedere prevederile art. 1 lit. b) din Decizia nr. 90/2006 şi art. 1 lit. b), lit. c), lit. d) din Decizia nr. 100/2007 (emise de Preşedintele Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal şi publicate în Monitorul Oficial al României, Partea I, nr. 654 din 28 iulie 2006, respectiv nr. 823 din 3 decembrie 2007).

În aceste decizii sunt prevăzute situaţiile pentru care nu este necesară completarea notificării în cazul prelucrării datelor cu caracter personal ale propriilor angajaţi.

Exemple:

- acordarea unor facilităţi destinate stimulării şi/sau fidelizării angajaţilor operatorului sau pentru perfecţionare continuă a acestora;

- schimburi de experienţă, cursuri de perfecţionare.

Acest scop poate fi corelat cu pct. 32 „alte scopuri" (unde operatorul trebuie să indice scopul/scopurile în care prelucrează datele propriilor angajaţi).

 

Gestiune economică financiară şi administrativă - scop specific entităţilor de drept public şi de drept privat care au obligaţii legale în domeniu, iar excepţia de la obligaţia de a notifica prelucrarea datelor având acest scop se regăseşte în Decizia nr. 100/2007.

Selecţie şi plasare forţă de muncă - scop specific autorităţilor şi instituţiilor publice cu competenţe în acest domeniu (agenţii de ocupare a forţei de muncă, centre profesionale) sau altor persoane juridice care au ca obiect de activitate medierea angajării persoanelor care solicită încheierea unui contract de muncă cu un angajator din ţară sau străinătate.

Acest scop poate fi corelat cu pct. 4 (reclamă, marketing şi publicitate), în măsura în care datele persoanelor fizice sunt utilizate pentru promovarea activităţii operatorului, iar în cazul autorităţilor/instituţiilor publice şi cu pct. 7 (protecţie şi asistenţă socială)

Servicii de sănătate - scop specific entităţilor care acordă persoanelor fizice asistenţă medicală, indiferent de forma de organizare a acestora (cabinete medicale, spitale, policlinici, laboratoare).

Acest scop poate fi corelat cu pct. 4 „reclamă, marketing şi publicitate" (pentru promovarea serviciilor de sănătate) şi pct. 16 „cercetare ştiinţifică" (în măsura în care datele pacienţilor sunt utilizate în astfel de activităţi).

Educaţie şi cultură - acest scop poate fi declarat de instituţiile de învăţământ şi de cultură (grădiniţe, şcoli, licee, universităţi, centre, institute culturale, asociaţii, fundaţii cu acest specific, stabilimente de spectacole - teatre, filarmonici, cinematografe, şi se poate corela cu pct. 32 „alte scopuri" (unde se poate detalia scopul prelucrării care nu intră sub incidenţa Deciziei 91/2006).

Reclamă, marketing şi publicitate - scop specific agenţiilor şi societăţilor de marketing direct şi nu se corelează cu nici un alt scop, precum şi altor entităţi de drept public sau de drept privat, ca scop secundar corelat cu scopul specific activităţii de bază al operatorului utilizat pentru promovarea acesteia.

 

 

Protecţie şi asistenţă socială - scop specific entităţilor care desfăşoară activităţi în acest domeniu (de ex.: direcţii de protecţie şi asistenţă socială, centre de plasament, orfelinate, cămine de bătrâni, case de pensii, oficii de şomaj, agenţii pentru ocuparea forţei de muncă, autorităţi în domeniul protecţiei persoanelor cu handicap), precum şi celor care desfăşoară acţiuni privind ajutorarea persoanelor aflate în nevoie (orfani, bătrâni, copii, handicapaţi) şi acordă asistenţă de specialitate instituţiilor publice care au ca obiect de activitate protecţia acestor categorii de persoane.

Acest scop se poate corela cu pct. 3 (selecţie şi plasare forţă de muncă), pct. 5 (servicii de sănătate), în cazul CNAS, spitalelor şi serviciilor de ambulanţă, şi pct. 15 (statistică).

 

 

Urbanism şi amenajarea teritoriului - scop specific serviciilor publice de interes local, prin intermediul cărora se realizează o activitate de utilitate publică. De regulă, acest scop poate fi declarat de primării, prin serviciile specializate şi poate fi corelat cu pct. 14 (emitere autorizaţii/licenţe) şi pct. 15 (statistică).

Fond funciar - de regulă acest scop este declarat de primării şi prefecturi, pentru activităţi reglementate de acte normative (activitate agricolă, acordarea de despăgubiri sau compensaţii, reconstituirea dreptului de proprietate asupra terenurilor) şi poate fi corelat cu pct. 10 (cadastru şi publicitate imobiliară) şi pct. 15 (statistică).

 

Cadastru şi publicitate imobiliară - scop declarat de Agenţia Naţională de Cadastru şi Publicitate Imobiliară, oficiile judeţene de cadastru şi publicitate imobiliară, pentru activităţi necesare înscrierii în cartea funciară şi poate fi corelat cu pct. 14 (emitere autorizaţii/licenţe), pct. 15 (statistică) şi pct. 29 (în cazul aplicării de sancţiuni contravenţionale, potrivit Legii nr. 7/1996, republicată, a cadastrului şi publicităţii imobiliare).

 

Taxe şi impozite - se declară de către autorităţile administraţiei publice care au atribuţiile stabilite prin acte normative speciale (primării, direcţii ale finanţelor publice), cu privire la stabilirea cuantumurilor taxelor şi impozitelor şi încasarea lor, şi se poate corela cu pct. 23 (colectare debite/recuperare creanţe).

Evidenţa populaţiei şi stare civilă - se declară de către serviciile publice comunitare de evidenţă a persoanelor care asigură întocmirea, păstrarea, evidenţa şi eliberarea, actelor de stare civilă şi a celor de identitate şi se poate corela cu pct. 13 (evidenţă electorală) şi pct. 15 (statistică).

 

Evidenţă electorală - se declară de serviciile publice comunitare de evidenţă a persoanelor care asigură întocmirea, păstrarea, evidenţa şi eliberarea, cărţilor de alegător, listelor electorale permanente, precum şi de Autoritatea Electorală Permanentă. Acest scop se poate corela cu pct. 12 (evidenţa populaţiei şi stare civilă) şi pct. 15 (statistică).

 

Emitere autorizaţii/licenţe - se declară de către autorităţile şi instituţiile publice care desfăşoară activităţi în acest sens. Acest scop se poate corela cu pct. 8 (urbanism şi amenajarea teritoriului), pct. 9 (fond funciar) şi pct. 10 (cadastru şi publicitate imobiliară).

Statistică - scop ce poate fi bifat de Institutul Naţional de Statistică şi structurile sale teritoriale. Acest scop poate fi bifat şi de către alte entităţi doar corelat cu alte scopuri (dacă datele cu caracter personal colectate în vederea realizării acestora sunt utilizate şi la întocmirea unor analize statistice).

 

Cercetare ştiinţifică - Scop specific operatorilor care iniţiază studii de cercetare ştiinţifică în diferite domenii de activitate, inclusiv studii clinice. Acest scop se poate corela cu pct. 5 (servicii de sănătate) şi scopul specific activităţii operatorului (dacă realizarea acestuia implică şi efectuarea unor cercetări în domeniul respectiv).

Administrarea justiţiei - este specific instanţelor şi executorilor judecătoreşti.

 

Activitate notarială - scop specific activităţii desfăşurată de notarii publici şi se corelează cu pct. 32 (alte scopuri), pentru declararea obligatorie a datelor către Oficiul Naţional de Prevenire şi Combate a Spălării Banilor.

 

Activitate politică - scop specific activităţii desfăşurate de partidele politice şi candidaţii independenţi pentru prelucrarea datelor personale ale susţinătorilor (necesare la depunerea candidaturilor la alegeri) şi se poate corela, după caz, cu pct. 4 (reclamă, marketing şi publicitate) şi pct. 13 (evidenţă electorală).

 

Servicii de consiliere legală şi reprezentare în justiţie - scop specific persoanelor fizice autorizate sau persoanelor juridice care prestează servicii de consultanţă juridică şi/sau de reprezentare în justiţie (ex: cabinetele de avocatură, direcţii de protecţie a copilului) şi se poate corela cu pct. 7 (protecţie şi asistenţă socială, în cazul direcţiilor de asistenţă şi protecţia copilului), pct. 23 (colectare debite/recuperare creanţe) şi pct. 32 (pentru prevenirea fraudelor).

 

Servicii financiar-bancare - poate fi bifat numai în măsura în care operatorului îi sunt aplicabile prevederile Ordonanţei de Urgenţă nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului (în sensul art. 7 alin. (1) pct. 10 din acelaşi act normativ), respectiv bănci, case de ajutor reciproc, instituţii financiare nebancare şi societăţi al căror obiect principal de activitate îl constituie acest scop. Se poate corela cu pct. 4 (reclamă, marketing şi publicitate), pct. 22 (rapoarte de credit), pct. 23 (colectare debite/recuperare creanţe), pct. 24 (servicii de asigurări şi reasigurări), pct. 25 (tranzacţii imobiliare) şi pct. 32 (pentru prevenirea fraudelor).

Rapoarte de credit - poate fi declarat de societăţi de tipul birourilor de credit (trebuie avută în vedere Decizia nr. 105/2007). Se poate corela cu pct. 21 (servicii financiar-bancare), pct. 24 (servicii de asigurări şi reasigurări) şi scopul specific activităţii desfăşurate de diverse entităţi beneficiare a serviciilor oferite de birourile de credit.

 

Colectare debite/recuperare creanţe - este specific tuturor entităţilor care prelucrează date cu caracter personal în vederea colectării debitelor/recuperării creanţelor de la proprii clienţi/angajaţi/membrii şi se poate corela cu scopul care rezultă din activitatea principala desfăşurată de operator. Acest scop poate fi declarat şi de către entităţile care au ca obiect de activitate colectare debite/recuperare creanţe, numai pentru prelucrările de date efectuate în calitate de operator, în nume propriu. Nu se bifează de entităţile care colectează debite/recuperează creanţe în calitate de împuternicit al operatorului, în baza contractului de prestări servicii încheiat cu acesta.

 

Servicii de asigurări şi reasigurări - scop specific societăţilor de asigurări şi/sau reasigurări, dar poate fi bifat şi de alte entităţi (bănci, instituţii financiare nebancare, agenţii de turism, case de ajutor reciproc) care utilizează datele persoanelor vizate în vederea asigurării/reasigurării serviciului/produsului contractat de acestea. Se poate corela cu pct. 4 (reclamă, marketing şi publicitate), pct. 21 (servicii financiar-bancare) şi pct. 32 alte scopuri (pentru servicii financiare nebancare).

 

Tranzacţii imobiliare - scop specific agenţiilor imobiliare, dar poate fi bifat şi de alte entităţi, în măsura în care acestea desfăşoară activităţi similare, respectiv pentru intermedierea vânzării-cumpărării de imobile către/de la persoane fizice. Se poate corela cu pct. 4 (reclamă, marketing şi publicitate) şi pct. 32 alte scopuri (pentru prevenirea fraudelor).

 

Servicii hoteliere şi de turism - scop specific unităţilor hoteliere şi agenţiilor de turism, dar poate fi declarat şi de către entităţile care deţin spaţii pentru odihnă şi/sau tratament (în care sunt cazaţi propriii angajaţi şi familiile acestora pe perioada concediilor de odihnă), precum şi de unităţile de învăţământ care deţin cămine şi/sau tabere pentru elevi şi studenţi. Se poate corela cu pct. 4 (reclamă, marketing şi publicitate).

 

Monitorizarea/securitatea persoanelor, spaţiilor şi/sau bunurilor publice/private - acest scop poate fi declarat de operatorul care monitorizează accesul angajaţilor şi al vizitatorilor în sediul său prin diverse mijloace (ex. registre, cartele şi supraveghere video, registrul de acces al persoanelor) precum şi de entităţile care supraveghează video locuri şi spaţii deschise sau destinate publicului şi căile publice de acces.

Servicii de comunicaţii electronice - conceptul de „comunicaţii electronice" înglobează toate sistemele de transmisie şi echipamentele de comutare sau rutare, precum şi orice alte resurse, care permit transportul semnalelor prin fir, radio, fibră optică sau orice alte mijloace electromagnetice. Această definiţie acoperă reţelele fixe (cu comutare de circuite sau de pachete, inclusiv Internet) şi reţelele mobile terestre, reţelele de comunicaţii prin satelit, reţelele utilizate pentru transmiterea comunicaţiei audiovizuale şi reţelele de cablu TV. Scop specific entităţilor furnizoare de servicii de comunicaţii electronice (telefonie, radiocomunicaţii, internet, televiziune prin cablu) şi celor care oferă servicii prin intermediul internetului (comerţ on-line, concursuri on-line).

Constatarea şi sancţionarea contravenţiilor - scop specific autorităţilor şi instituţiilor publice care au astfel de competenţe în baza unor dispoziţii legale (de exemplu: Garda Financiară, Curtea de Conturi, Poliţia Comunitară).

 

Prevenirea, cercetarea, reprimarea infracţiunilor, menţinerea ordinii publice - scop specific instanţelor şi parchetelor.

 

Alte activităţi defăşurate în domeniul dreptului penal - scop specific instanţelor şi parchetelor, inspectoratelor de poliţie şi de jandarmi, precum şi altor instituţii publice care desfăşoară astfel de activităţi.

 

Alte scopuri - în situaţia în care scopul sau scopurile corelate în care persoanele fizice şi/sau juridice ce au calitatea de operator în sensul Legii nr. 677/2001 prelucrează date cu caracter personal nu se regăsesc la punctele 1 - 31 acestea vor fi indicate la pct. 32.

 

La completarea secţiunii IV operatorul trebuie să verifice dacă scopul sau scopurile corelate şi/sau distincte în care prelucrează datele personale se regăsesc printre cazurile care permit completarea formularului de notificare în formă simplificată sau îl scutesc de obligaţia de a notifica, potrivit deciziilor emise de preşedintele autorităţii de supraveghere. În acest sens, precizăm că acordarea acestor facilităţi nu exonerează operatorul de îndeplinirea obligaţiilor ce-i revin potrivit legislaţiei din domeniul protecţiei datelor cu caracter personal.

În acelaşi timp, precizăm că operatorul este obligat să notifice autorităţii de supraveghere înainte de efectuarea oricărei prelucrări ori a oricărui ansamblu de prelucrări având acelaşi scop sau scopuri corelate.

În cazul în care operatorul prelucrează date personale pentru două sau mai multe scopuri care nu au legătură între ele, atunci este obligat să completeze câte un formular tipizat, pentru fiecare scop în parte.

În situaţia în care scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt stabilite de operator, autoritatea de supraveghere poate solicita actul din care să reiasă modul de stabilire a scopului şi a mijloacelor de prelucrare.

Observaţie: Prelucrarea datelor personale în alte scopuri decât cele declarate în notificare se poate sancţiona contravenţional, cu excepţia cazurilor scutite de obligaţia de notificare.

2.2.4. SECŢIUNEA V: Temeiul legal al prelucrării

Această secţiune se completează numai în cazul prelucrărilor efectuate în cadrul activităţilor de prevenire, cercetare şi reprimare a infracţiunilor şi de menţinere a ordinii publice, precum şi al altor activităţi desfăşurate în domeniul dreptului penal, în limitele şi cu restricţiile stabilite de lege.

La această secţiune se menţionează actul sau actele normative în baza cărora operatorul efectuează prelucrarea datelor cu caracter personal.

 

2.2.5 SECŢIUNEA VI: Categorii de persoane vizate

În accepţiunea Legii nr. 677/2001, modificată şi completată, persoanele vizate sunt reprezentate de persoanele fizice ale căror date personale sunt colectate de operator, în vederea efectuării asupra acestora, a operaţiunilor prevăzute de art. 3 lit. b) din acest act normativ, respectiv de înregistrare, organizare, stocare, adaptare ori modificare, extragere, consultare, utilizare, dezvăluire, ştergere, distrugere, etc.

La această secţiune se marchează cu „X" căsuţele corespunzătoare categoriilor de persoane vizate ale căror date personale sunt prelucrate, în funcţie de scopul sau scopurile corelate ale prelucrării declarate la secţiunea IV. Dacă categoriile de persoane vizate nu se regăsesc, în totalitate sau în parte, la punctele 1-23 de la această secţiune, se completează spaţiul aferent rubricii „altele".

Exemple:

Dacă scopul prelucrării este "educaţie şi cultură", categoriile de persoane vizate pot fi: "cadre didactice", "studenţi", "minori", "membrii familiei persoanei vizate".

Dacă scopul prelucrării este "reclamă, marketing şi publicitate", categoriile de persoane vizate pot fi: „clienţi/potenţiali clienţi", „consumatori/potenţiali consumatori".

Dacă scopul prelucrării este „servicii de consiliere legală şi reprezentare în justiţie", categoriile de persoane vizate pot fi „justiţiabili".

 

2.2.6 SECŢIUNEA VII: Motivele care justifică aplicarea prevederilor art. 11, art. 12 alin. (3) sau alin. (4) ori ale art. 13 alin. (5) sau alin. (6) din Legea nr. 677/2001

Se completează motivele pentru care se aplică prevederile legale susmenţionate, în funcţie de scopul prelucrării declarat la secţiunea IV din formularul de notificare, respectiv, faptul că prelucrarea se efectuează în scopuri scopuri statistice, de cercetare istorică sau ştiinţifică.

Prevederile art. 11, art. 12 alin. (3) sau alin. (4) ori ale art. 13 alin. (5) sau alin. (6) din Legea nr. 677/2001, modificată şi completată se aplică în situaţia în care au loc prelucrări de date cu caracter personal în scopuri statistice, de cercetare istorică sau ştiinţifică, care determină următoarele:

- lipsa obligaţiei de a informa persoana vizată, atunci când datele nu sunt obţinute direct de la persoana vizată, în situaţia în care prelucrarea datelor se face în scopuri statistice, de cercetare istorică sau ştiinţifică (art. 12 alin. (4) din Legea nr. 677/2001);

- comunicarea informaţiilor solicitate de persoana vizată în exercitarea dreptului de acces, într-un termen mai mare de 15 zile, în situaţia în care prelucrarea datelor cu caracter personal legate de starea de sănătate se face în scop de cercetare ştiinţifică (art. 13 alin. (5) din Legea nr. 677/2001);

- adresarea cererii de exercitare a dreptului de acces de către persoana vizată, în altă formă decât printr-o cerere scrisă, semnată şi datată, în situaţia în care prelucrarea datelor cu caracter personal se face exclusiv în scopuri jurnalistice, literare sau artistice (art. 13 alin. (6) din Legea nr. 677/2001).

2.2.7. SECŢIUNEA VIII: Modul în care persoanele vizate sunt informate asupra drepturilor lor

Operatorul bifează corespunzător, cu „X", una sau mai multe dintre modalităţile enumerate în această secţiune, prin care persoanelor vizate le sunt aduse la cunoştinţă informaţiile prevăzute la art. 12 din Legea nr. 677/2001, modificată şi completată. Acesta are obligaţia de a comunica persoanei vizate, în principal, informaţii privind:

1. identitatea operatorului sau, în cazul în care există, a reprezentantului sau a împuternicitului;

2. scopul prelucrării;

3. categoriile de date prelucrate (în cazul în care nu sunt colectate direct de la persoanele vizate);

4. caracterul obligatoriu sau facultativ de a furniza datele personale;

5. consecinţele refuzului de a le furniza;

6. destinatarii sau categoriile de destinatari ai datelor;

7. existenţa dreptului de acces, de intervenţie asupra datelor, de opoziţie la prelucrarea datelor, de a nu fi supus unei decizii individuale, condiţiile de exercitare a acestor drepturi, precum şi a dreptului de a se adresa justiţiei;

8. eventualul transfer al datelor în străinătate.
Această obligaţie există şi în cazul în care datele nu sunt obţinute direct de la persoana vizată. În acest caz, operatorul este obligat, ca în momentul colectării datelor sau, dacă se intenţionează dezvăluirea acestora către terţi, cel mai târziu până în momentul primei dezvăluiri, să furnizeze persoanei vizate informaţiile susmenţionate.
Informarea persoanelor vizate trebuie să fie adecvată circumstanţelor specifice de prelucrare (respectiv modalităţii de prelucrare a datelor, suportului pe care sunt colectate datele etc.) şi se poate realiza prin intermediul documentelor prin care datele personale sunt colectate şi/sau prin afişarea unei note informative la sediul operatorului sau pe pagina web. (prin adaptarea modelelor de mai jos).

Modalitatea de informare „verbal" se utilizează, în mod excepţional, în situaţia în care nu se poate realiza informarea în alte modalităţi (ex: informare prin intermediul convorbiri telefonice, dacă acestea sunt înregistrate).

În cazul prelucrării imaginii persoanei vizate (colectată prin intermediul camerelor video), în vederea monitorizării accesului persoanelor şi asigurării securităţii acestora şi a spaţiilor şi bunurilor operatorului, îndeplinirea obligaţii legale de informare, potrivit art. 12 din Legea nr. 677/2001, modificată şi completată, poate fi efectuată prin intermediul unui afiş postat la sediile monitorizate, poziţionat la o distanţă rezonabilă de locurile unde sunt amplasate echipamentele de supraveghere, astfel încât să poată fi văzut de orice persoană

Afişul trebuie să conţină o pictogramă reprezentativă alături de alte informaţii privind identitatea operatorului şi persoana/serviciul responsabil la care se poate apela pentru informaţii suplimentare, existenţa înregistrării imaginilor şi destinatarii acestora, precum şi caracteristicile echipamentelor de supraveghere.

 

MODEL DE NOTĂ DE INFORMARE ÎN SCRIS (pentru formularele de colectare a datelor, gen taloane, cupoane şi altele asemenea)

............................................................. (se indică identitatea operatorului sau a reprezentantului, precum şi, dacă este cazul, pe cea a împuternicitului) prelucrează datele cu caracter personal furnizate de dumneavoastră prin acest document.............(se precizează categoriile de date, dacă acestea nu sunt colectate direct de la persoanele vizate) în scopul ............(se precizează scopul). Datele vor fi dezvăluite ..................................(se precizează destinatarii cărora le vor fi dezvăluite datele). Pe viitor, aceste date/datele .............. (se precizează concret datele) ne permit să vă ţinem la curent cu activitatea noastră.
În cazul în care nu doriţi aceasta, bifaţi NU
Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de intervenţie asupra datelor, dreptul de a nu fi supus unei decizii individuale. Aveţi dreptul să vă opuneţi prelucrării datelor personale care vă privesc şi să solicitaţi ştergerea datelor*. Pentru exercitarea acestor drepturi, vă puteţi adresa cu o cerere scrisă, datată şi semnată la .................................................(se precizează serviciul, organismul sau persoana responsabilă). De asemenea, vă este recunoscut dreptul de a vă adresa justiţiei.
Datele dumneavoastră vor fi transferate în ............... (precizaţi statele), în vederea....................(se precizează scopul transferului datelor în străinătate)."

MODEL DE NOTĂ DE INFORMARE (în scris sau prin afişare, recomandată autorităţilor şi instituţiilor publice)


............................................................... (se indică identitatea operatorului sau, dacă este cazul, şi pe cea a împuternicitului), prin intermediul serviciului (iilor) ............................... (dacă este cazul, se precizează denumirea serviciilor respective), prelucrează datele dumneavoastră cu caracter personal .............(se precizează categoriile de date, dacă acestea nu sunt colectate direct de la persoanele vizate), prin mijloace automatizate/manuale, destinate .............................. (se indică scopul prelucrării).
Sunteţi/nu sunteţi obligat(ă) să furnizaţi datele, acestea fiind necesare......................... (se precizează scopul).
Refuzul dvs. determină.................. (se precizează consecinţele refuzului).
Informaţiile înregistrate sunt destinate utilizării de către operator şi sunt comunicate numai următorilor destinatari: ................. (se precizează destinatarii).
Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de intervenţie asupra datelor şi de dreptul de a nu fi supus unei decizii individuale. Totodată, aveţi dreptul să vă opuneţi prelucrării datelor personale care vă privesc şi să solicitaţi ştergerea datelor*. Pentru exercitarea acestor drepturi, vă puteţi adresa cu o cerere scrisă, datată şi semnată la .................................................(se precizează serviciul, organismul sau persoana responsabilă). De asemenea, vă este recunoscut dreptul de a vă adresa justiţiei. Datele dumneavoastră pot fi transferate în ............... (precizaţi statele), în vederea....................(se precizează scopul transferului datelor în străinătate)."

 

 

MODEL DE NOTĂ DE INFORMARE PRIVIND PROTECŢIA DATELOR PERSONALE (pentru afişare pe pagina web sau în cazul colectării datelor prin formulare on-line)

Conform cerinţelor Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, modificată şi completată şi ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice (se precizează şi acest act normativ, după caz)..............................................(se precizează denumirea operatorului sau a reprezentantului, precum şi, dacă este cazul, pe cea a împuternicitului) are obligaţia de a administra în condiţii de siguranţă şi numai pentru scopurile specificate, datele personale pe care ni le furnizaţi despre dumneavoastră, un membru al familiei dumneavoastră ori o altă persoană. Scopul colectării datelor este:.............................. (se indică scopul prelucrării).
Sunteţi/nu sunteţi obligat(ă) să furnizaţi datele, acestea fiind necesare................................(se precizează scopul). Refuzul dvs. determină.................. (se precizează consecinţele refuzului).
Informaţiile înregistrate sunt destinate utilizării de către operator şi sunt comunicate numai următorilor destinatari:................. (se precizează destinatarii).
Doriţi să primiţi informaţii despre produsele, serviciile, evenimentele etc. oferite de.................(se precizează denumirea operatorului sau a reprezentantului, precum şi, dacă este cazul, pe cea a împuternicitului)?
Ł DA ŁNU
Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de intervenţie asupra datelor, dreptul de a nu fi supus unei decizii individuale şi dreptul de a vă adresa justiţiei. Totodată, aveţi dreptul să vă opuneţi prelucrării datelor personale care vă privesc şi să solicitaţi ştergerea datelor*. Pentru exercitarea acestor drepturi, vă puteţi adresa cu o cerere scrisă, datată şi semnată la .................................................(se precizează serviciul, organismul sau persoana responsabilă). De asemenea, vă este recunoscut dreptul de a vă adresa justiţiei. Datele dumneavoastră vor fi transferate în ............... (precizaţi statele), în vederea....................(se precizează scopul transferului datelor în străinătate)."
Dacă unele din datele despre dumneavoastră sunt incorecte, vă rugăm să ne informaţi cât mai curând posibil.

_______________________________________________________________

Observaţie:

*orice persoană are dreptul de a se opune, pentru motive legitime, la prelucrarea datelor ce o privesc. Acest drept de opoziţie poate fi exclus pentru anumite prelucrări prevăzute de lege (de ex.: prelucrări efectuate de serviciile financiare şi fiscale, de poliţie, justiţie, securitate socială). Prin urmare, această menţiune nu poate figura dacă prelucrarea are un caracter obligatoriu;

*orice persoană are, de asemenea, dreptul de a se opune, în mod gratuit şi fără nici o justificare, la prelucrarea datelor sale personale în scopuri de marketing direct.

2.2.8 SECŢIUNEA VIII: Categorii de date prelucrate

Datele cu caracter personal sunt acele informaţii care se referă la o persoană fizică identificată sau identificabilă, direct sau indirect, printr-un număr de identificare sau prin referire la o serie de factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale, inclusiv datele biometrice (amprenta digitală, maxilo-facială, retina şi altele asemenea) sau datele genetice (ADN-ul).

În acest spaţiu se marchează cu „X" căsuţele corespunzătoare datelor sau categoriilor de date personale prelucrate, în funcţie de scopul sau scopurile corelate declarate la secţiunea IV din formularul de notificare.

Dacă datele sau categoriile de date nu se regăsesc, în totalitate sau în parte, în secţiunea de faţă, se completează spaţiul aferent rubricii „altele".

De asemenea, art. 4 alin. (1) lit. c) din Legea nr. 677/2001, modificată şi completată, stabileşte că datele cu caracter personal destinate a face obiectul unei prelucrări trebuie să fie adecvate, pertinente şi neexcesive prin raportare la scopul în care sunt colectate şi ulterior prelucrate.

 

Exemple:

Dacă scopul prelucrării este "educaţie şi cultură", categoriile de date prelucrate pot fi:numele şi prenumele", „numele şi prenumele membrilor de familie", „data şi locul naşterii", „cetăţenia", „semnătura", „date din actele de stare civilă", „telefon", „adresă", „formare profesională/diplome/studii".

Dacă scopul prelucrării este "Monitorizarea/securitatea persoanelor, spaţiilor şi/sau bunurilor publice/private" (şi se realizează prin intermediul mijloacelor de supraveghere video şi registrului de acces al persoanelor), categoriile de date prelucrate pot fi „numele şi prenumele", „semnătura", „imaginea" şi „seria şi numărului actului de identitate" (ce face parte din categoria datelor cu caracter special).

2.2.9 SECŢIUNEA X: Categorii de date cu caracter special

Potrivit Legii nr. 677/2001, datele cu caracter special sunt cele legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice sau de natură similară, de apartenenţa sindicală, datele cu caracter personal privind starea de sănătate sau viaţa sexuală, precum şi datele având funcţie de identificare de aplicabilitate generală (codul numeric personal şi seria şi numărul actului de identitate).

De asemenea, datele referitoare la fapte penale sau contravenţii, sancţiuni disciplinare, precum şi datele privind cazierul judiciar fac parte din această categorie de date.

Prelucrarea datelor cu caracter special este interzisă. De la acestă regulă, legea prevede anumite excepţii, principala excepţie fiind consimţământul persoanei vizate (art. 7 alin. (2) şi art. 8 din Legea nr. 677/2001).

Consimţământul persoanelor vizate trebuie să fie expres şi neechivoc, respectiv explicit, liber exprimat şi informat.

Completarea acestei secţiuni din formularul de notificare se realizează în mod similar secţiunii anterioare.

 

Observaţie:

Prelucrarea de date cu caracter personal de orice fel, altele decât cele declarate de operator în formularul de notificare, poate constitui contravenţie.

Exemple:

Dacă scopul prelucrării este "selecţie şi plasare forţă de muncă", categoriile de date cu caracter special prelucrate pot fi:codul numeric personal", „ seria şi numărul actului de identitate", „date din cazierul judiciar".

Dacă scopul prelucrării este "reclamă, marketing şi publicitate", categoriile de date cu caracter special prelucrate pot fi: „codul numeric personal", „seria şi numărul actului de identitate" pentru câştigătorii promoţiilor (OUG nr. 99/2000).

Dacă scopul prelucrării este "servicii de sănătate", categoriile de date cu caracter special prelucrate pot fi: „codul numeric personal", „seria şi numărul actului de identitate", „date privind starea de sănătate", „date privind viaţa sexuală".

2.2.10 SECŢIUNEA XI: Categorii de destinatari

"Destinatar" este, în sensul art. 3 lit. h) din Legea nr. 677/2001, "orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, căreia îi sunt dezvăluite date, indiferent dacă este sau nu terţ".

Autorităţile publice cărora li se comunică date în cadrul unei competenţe speciale de anchetă nu vor fi considerate destinatari (de ex.: datele personale solicitate de instanţele de judecată, procurori, organe de urmărire penală, dacă sunt necesare desfăşurării unei anchete).

La această secţiune, se marchează cu „X" căsuţele corespunzătoare destinatarilor cărora li se vor dezvălui datele prelucrate de operator în scopul sau scopurile corelate declarate.

Observaţie: Dezvăluirea datelor cu caracter personal, unei persoane sau categorii de persoane care nu sunt menţionate în formularul de notificare, poate constitui contravenţie.

2.2.11 SECŢIUNEA XII: Garanţiile care însoţesc dezvăluirea datelor către terţi

Se marchează cu „X" tipurile de garanţii specifice scopului şi mijloacelor de prelucrare, care să ateste îndeplinirea condiţiilor de legitimitate a prelucrării prevăzute de art. 5 din Legea nr. 677/2001.

Consimţământul persoanei vizate reprezintă una din garanţiile în baza cărora se pot dezvălui datele cu caracter personal. Consimţământul trebuie să fie exprimat neechivoc pentru acea prelucrare şi în mod expres şi (art. 5 alin. 1 din Legea nr. 677/2001).

Prelucrarea datelor cu caracter special (art. 7 alin. 2 lit. a) din Legea nr. 677/2001) şi prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală (art. 8 alin. 1 lit. a) din Legea nr. 677/2001) este permisă când persoana vizată şi-a dat în mod expres consimţământul pentru o astfel de prelucrare.

Actele normative reprezintă o altă garanţie în baza căreia are loc dezvăluirea datelor cu caracter personal. În acest caz, este necesar să se precizeze numărul, data şi titlul actului normativ invocat pentru prelucrarea respectivă.

Alte tipuri de garanţii se pot referi cu privire la obligaţiile de confidenţialitate sau de respectare a secretului profesional ori de serviciu de către persoanele care au acces la datele cu caracter personal prelucrate etc.

 

2.2.12 SECŢIUNEA XIII: Încheierea operaţiunilor de prelucrare

a) Data estimată - această secţiune se completează când operatorul notifică pentru prima dată o prelucrare de date cu caracter personal. Este necesar să se delimiteze durata prelucrării notificate, în funcţie de specificul activităţii operatorului, precizând în acest sens o anumită dată cunoscută sau aproximativă pentru terminarea tuturor operaţiunilor de prelucrare (inclusiv arhivarea, care este o operaţiune de prelucrare şi nu se poate efectua decât pe o durată limitată de timp), întrucât art. 4 alin. (1) lit. e) din Legea nr. 677/2001 stabileşte că datele cu caracter personal destinate a face obiectul unei prelucrări trebuie să fie stocate într-o formă care să permită identificarea persoanelor vizate strict pe durata necesară realizării scopurilor în care acestea au fost colectate şi ulterior prelucrate.

Exemple:

- durata valabilităţii contractului încheiat cu persoana vizată pentru furnizarea produselor sau serviciilor operatorului şi, eventual, o perioadă rezonabilă de arhivare a acestora, stabilită prin acte normative sau prin nomenclatorul arhivistic propriu, care trebuie specificată în notificare;

- perioada cât pacientul beneficiază de serviciile oferite de furnizorul de servicii medicale în evidenţele căruia se află;

- perioada necesară verificării îndeplinirii obligaţiilor ce revin lucrătorilor responsabili cu completarea chestionarelor utilizate în cercetări statistice şi ştiinţifice, ulterior acesteia datele personale trebuie depersonalizate, deoarece rezultatul cercetării nu trebuie să facă referire la persoane identificabile;

- perioada necesară colectării datelor/recuperării creanţelor;

- pentru activitatea de marketing direct datele pot fi prelucrate până la exercitarea dreptului de opoziţie;

- pentru activitatea de intermediere a serviciilor oferite persoanei vizate de către partenerii operatorului, datele necesare realizării acesteia pot fi prelucrate până în momentul încasării comisionului perceput pentru această activitate.

 

b) Data certă a încetării operaţiunilor de prelucrare - Aceasta poate fi indicată fie în momentul înregistrării notificării iniţiale, fie la data încheierii tuturor operaţiunilor de prelucrare, inclusiv arhivare (când trebuie completată notificarea depusă anterior), precizându-se data exactă a încetării prelucrării (ex: 31 decembrie 2010). În acest caz, se va marca cu „X" modalitatea prin care se încheie prelucrarea de date cu caracter personal (potrivit art. 6 alin. 1 din Legea nr. 677/2001, modificată şi completată), şi anume:

  • prelucrarea în alt scop cu consimţământul persoanei vizate;
  • ştergere, distrugere, arhivare;
  • transformare în date anonime şi stocare exclusiv în scopuri statistice, de cercetare istorică sau ştiinţifică;
  • transferare unui alt operator;

În situaţia în care persoana vizată îşi dă consimţământul pentru altă prelucrare decât cea pentru care operatorul a notificat autoritatea de supraveghere, este necesar ca operatorul să notifice pentru prelucrarea de date efectuată într-un scop diferit faţă de cel declarat în notificarea anterioară.

În ceea ce priveşte ştergerea, distrugerea şi arhivarea, procedura internă şi modalităţile de realizare a acestor operaţiuni, se stabilesc de către fiecare operator, cu excepţia procedurii care se desfăşoară potrivit prevederilor legale privind arhivele naţionale.

De asemenea, există situaţii în care operatorul, datorită activităţii pe care o desfăşoară, este obligat, în baza unor legi speciale, să păstreze datele o anumită perioadă de timp, dar după expirarea acesteia trebuie să procedeze în una din modalităţile prevăzute mai sus.

În alte cazuri, operatorii sunt creatori de arhivă şi sunt obligaţi să procedeze conform dispoziţiilor legale privind păstrarea arhivelor.

În cazul transferului datelor către alt operator, este necesar ca operatorul iniţial să garanteze că prelucrările efectuate de terţ au scopuri similare cu prelucrarea iniţială. În acelaşi timp, trebuie informată autoritatea de supraveghere şi încheiat un contract cu operatorul căruia i se predă baza de date, care să conţină garanţiile menţionate anterior.

Totodată, operatorul care obţine datele cu caracter personal este obligat ca, în momentul colectării datelor sau, dacă se intenţionează dezvăluirea acestora către terţi, cel mai târziu până în momentul primei dezvăluiri, să furnizeze persoanei vizate, informaţiile prevăzute la art. 12 alin. (1) din Legea nr. 677/2001.

Modalitatea de încheiere a operaţiunilor de prelucrare, referitoare la transferare, nu trebuie confundată cu transferul datelor în străinătate, ale cărui condiţii sunt reglementate de art. 29 şi art. 30 din Legea nr. 677/2001.

 

2.2.13 SECŢIUNEA XIV: Transferuri de date în străinătate

Această secţiune se referă doar la datele cu caracter personal care sunt transferate în străinătate. Se marchează cu „X", după caz, dacă se transferă date cu caracter personal în statele din Uniunea Europeană.

În cazul transferului datelor în statele din zona economică europeană, respectiv Islanda, Liechtenstein şi Norvegia sau în statele cărora Comisia Europeană le-a recunoscut, prin decizie, un nivel de protecţie adecvat, respectiv Argentina, Canada, Elveţia, Guernsey, Jersey, Isle of Man şi Statele Unite ale Americii (când operatorul din SUA a aderat la principiile Safe Harbour), se bifează căsuţa corespunzătoare transferului datelor în statele din Uniunea Europeană.

Statele respective trebuie enumerate şi, de asemenea, precizate scopul transferului şi categoriile de date transferate, prin menţionarea indicativului de la secţiunea IX şi/sau secţiunea X, după caz.

În cazul în care statul de destinaţie nu asigură un nivel de protecţie adecvat, operatorul care exportă datele trebuie să prezinte garanţii suficiente cu privire la protecţia drepturilor fundamentale ale persoanelor vizate, printr-un contract încheiat cu operatorul care importă datele. În acest scop, se vor avea în vedere clauzele contractuale standard prevăzute în Ordinul Avocatului Poporului nr. 6/2003 privind stabilirea clauzelor contractuale standard în cazul transferurilor de date cu caracter personal către un operator stabilit într-un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română.

De asemenea, dacă statul de destinaţie nu asigură un nivel de protecţie adecvat, transferul poate fi permis şi autorizat de autoritatea de supraveghere, în condiţiile prevăzute la art. 30 din Legea nr. 677/2001. Excepţiile reglementate de aceste dispoziţii legale sunt însă, de strictă interpretare.

Dacă prelucrarea datelor cu caracter personal face parte din situaţiile în care nu este necesară notificarea, prevăzute prin decizie a preşedintelui ANSPDCP, operatorul care transferă date în străinătate va completa următoarele secţiuni din formularul tipizat de notificare: I, II, III, IV, VI,VII, XIII şi XIV.

 

Observaţie: Transferarea datelor cu caracter personal într-un alt stat, decât cel menţionat în formularul de notificare, poate constitui contravenţie.

2.2.14 SECŢIUNEA XV: Măsurilor luate pentru asigurarea securităţii prelucrării

Potrivit art. 19 din Legea nr. 677/2001, modificată şi completată, operatorul este obligat să aplice măsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat.

Ca urmare, la această secţiune trebuie descrise măsurile pe care le ia operatorul pentru a proteja datele persoanelor vizate pe care le prelucrează, indiferent de mijloacele utilizate (automatizate, manuale ori mixte), în special dacă printre acestea se numără şi date cu caracter special, care trebuie să respecte cerinţele minime de securitate a prelucrărilor de date cu caracter personal ce se regăsesc în prevederile Ordinului 52 din 18 aprilie 2002, publicat în Monitorul Oficial nr. 383 din 5 iunie 2002.

Totodată, se anexează documentul care conţine politica de securitate a prelucrărilor de date cu caracter personal.

2.2.15 SECŢIUNEA XVI: Sistemul de evidenţă utilizat şi legăturile cu alte prelucrări sau sisteme de evidenţă

Sistemul de evidenţă, potrivit definiţiei date de art. 3 lit. d) din Legea nr. 677/2001, este orice structură de date cu caracter personal, accesibilă potrivit unor criterii determinate, indiferent dacă această structură este organizată în mod centralizat ori descentralizat sau este repartizată după criterii funcţionale ori geografice.

Se bifează cu „X" sistemul de evidenţă al operatorului, după cum sunt utilizate mijloace automate sau neautomate ori mixte pentru prelucrarea datelor cu caracter personal.

De asemenea, se marchează dacă prelucrarea notificată are legătură cu alte prelucrări sau cu alte sisteme de evidenţă a datelor cu caracter personal. În caz afirmativ, se marchează locul unde este situat sistemul de evidenţă.