GHID DE COMPLETARE
A FORMULARULUI DE
NOTIFICARE
La data de 24 decembrie 2008 a fost
publicată DECIZIA nr. 95/2008 privind stabilirea formularului tipizat al
notificărilor prevăzute de Legea nr. 677/2001 pentru protecţia persoanelor
cu privire la prelucrarea datelor cu caracter personal şi libera
circulaţie a acestor date.
Aceasta intră în vigoare la data
de 1 martie 2009, dată
la care Decizia nr. 60/2006 privind stabilirea formularului tipizat al
notificărilor prevăzute de Legea nr. 677/2001 pentru protecţia
persoanelor cu privire la prelucrarea datelor cu caracter personal şi
libera circulaţie a acestor date, îşi încetează aplicabilitatea.
Ca atare, începând cu data 1 martie 2009, toţi
operatorii au obligaţia de a completa noul formular de notificare.
Notificările completate pe
formularele aprobate prin Decizia nr. 60 din 6 iunie 2006 şi înregistrate
în registrul de evidenţă a prelucrărilor de date cu caracter
personal până la data intrării în vigoare a Deciziei nr. 95/2008
rămân valabile.
Formularul acceptat este numai cel
obţinut din Monitorul Oficial al României nr. 876 din 24 decembrie 2008
sau de pe site-ul autorităţii: www.dataprotection.ro.
Întrucât autoritatea de supraveghere a
implementat registrul electronic de evidenţă a prelucrărilor de
date cu caracter personal notificate de operatorii aflaţi în
evidenţele sale, iar acesta
poate fi consultat on-line, formularul de notificare se transmite doar în sistem
on-line.
În mod excepţional, în cazul în
care anumiţi operatori nu dispun de mijloacele tehnice necesare
transmiterii formularului de notificare electronic, acesta se poate completa
on-line la sediul autorităţii de supraveghere sau se va transmite, în
format de hârtie, prin poştă. În această situaţie,
notificarea va fi însoţită de o adresă prin care operatorul
justifică imposibilitatea transmiterii formularului de notificare în
sistem on-line.
După depunerea on-line a
notificării, se va transmite autorităţii de supraveghere, în cel
mult 30 de zile, prima pagină a formularului de notificare, semnată
şi ştampilată. În caz contrar, notificarea va fi
ştearsă automat din sistemul electronic de evidenţă.
Ataşat primei pagini, trebuie transmisă şi copia mesajului
electronic primit din partea autorităţii de supraveghere intitulat
„confirmare înregistrare document", în care figurează numărul de
înregistrare al formularului de notificare în Registrul General al
instituţiei noastre.
Completarea formularului de notificare
se efectuează, după caz, prin marcarea cu semnul "X" a
rubricilor de la fiecare secţiune sau prin completarea spaţiilor
libere, conform cerinţelor de la punctele respective.
Formularul de notificare se poate
completa în 3 modalităţi, respectiv sub formă de:
Formularul de notificare F1 se
completează la toate secţiunile, după caz, potrivit specificului
prelucrării, sub forma notificării generale, în următoarele
situaţii:
o când operatorul notifică pentru
prima dată o prelucrare de date cu caracter personal;
o când operatorul notifică o
prelucrare de date într-un scop diferit faţă de cel declarat printr-o
notificare anterioară;
o când operatorul transferă date
cu caracter personal în străinătate, deşi este scutit de
obligaţia de a notifica prelucrarea datelor cu caracter personal;
o când operatorul completează
şi/sau modifică o notificare înscrisă deja în evidenţele
autorităţii de supraveghere ca notificare generală.
Având în vedere faptul că anumite
prelucrări de date se efectuează în mod frecvent în temeiul legii sau
în interesul persoanelor vizate şi nu sunt susceptibile de a afecta
drepturile acestora, preşedintele autorităţii de supraveghere a
emis Decizia nr. 91/2006 privind
cazurile în care este permisă notificarea prelucrării datelor cu
caracter personal prin completarea formularului în formă simplificată.
Notificarea simplificată se
completează de operatorii care prelucrează date cu caracter personal
pentru scopurile stabilite prin decizia susmenţionată, bifându-se
secţiunile indicate pe prima pagină din formularul de notificare,
respectiv I, II, III, IV, VI, IX, X, XI, XII, XIII şi XIV.
Notificarea specială se completează de
autorităţile publice care prelucrează date cu caracter personal
în cadrul activităţilor de prevenire, cercetare, reprimare a
infracţiunilor şi de menţinere a ordinii publice, precum şi
în cadrul altor activităţi desfăşurate în domeniul
dreptului penal (art. 2 alin. (5) din Legea nr. 677/2001). În acest sens, se
vor completa numai rubricile I, III, IV, V, IX, X şi XI din formularul de
notificare.
Spaţiul rezervat
autorităţii de supraveghere se va completa doar de către
aceasta.
După ce bifează forma sub
care completează formularul de notificare se va marca cu „X", după caz, dacă:
Numele/denumirea operatorului:
În cazul operatorilor ce au calitatea
de persoane fizice se precizează numele şi prenumele acestora
(conform actului de identitate).
În cazul operatorilor ce au calitatea
de persoane fizice autorizate se precizează numele şi prenumele
acestora, aşa cum rezultă din documentul ce le permite
desfăşurarea unei activităţi independente, autorizată
în baza unei legi speciale.
În cazul operatorilor ce au calitatea
de persoane juridice române se precizează denumirea oficială şi
completă a acestora, aşa cum rezultă din actul normativ de
înfiinţare (pentru operatorii din sectorul public), iar pentru operatorii
români din sectorul privat se va menţiona denumirea din certificatul de
înregistrare la Oficiul Naţional al Registrului Comerţului sau în
Registrul asociaţiilor şi fundaţiilor.
În cazul operatorilor ce au calitatea
de persoane juridice străine, se precizează denumirea oficială
şi completă a acestora, aşa cum rezultă din documentul de
înregistrare la camera de comerţ de care aparţine.
Adresa/sediul operatorului
Se completează adresa operatorului
persoană fizică (domiciliul şi/sau reşedinţa) şi,
respectiv, sediul persoanei juridice, aşa cum este stabilit potrivit
legii, în actul normativ de înfiinţare sau aşa cum este prevăzut
în certificatul de înregistrare la Oficiul Naţional al Registrului
Comerţului sau în Registrul asociaţiilor şi fundaţiilor.
Apoi, operatorul bifează în ce
calitate notifică autoritatea de supraveghere, respectiv dacă este
persoană fizică, persoană fizică autorizată sau
persoană juridică. În această din urmă situaţie, alege
sectorul căruia îi aparţine, respectiv public (cu precizarea
categoriei de autorităţi din care face parte - autoritate
centrală, locală sau „altele" - cum ar fi: regii autonome,
companii sau societăţi naţionale) sau privat.
Dacă operatorul este membru al
unei asociaţii profesionale sau al unei alte forme de asociere, se
menţionează denumirea acesteia.
În acest sens, precizăm că,
potrivit art. 28 din Legea nr. 677/2001, asociaţiile profesionale au
obligaţia de a elabora coduri de conduită, supuse avizării
ANSPDCP, care să conţină reguli de protecţie a datelor
personale prelucrate de membrii acestora.
Persoana de contact
Se completează datele solicitate
(nume, prenume şi telefon) ale persoanei de contact desemnate de operator
pentru menţinerea legăturii cu A.N.S.P.D.C.P. Este de preferat ca, în
cadrul operatorului, să fie desemnată o persoană
responsabilă cu aplicarea Legii nr. 677/2001, modificată şi
completată.
La secţiunea „DECLARAŢIE", persoana
abilitată (operatorul - persoană fizică sau reprezentantul legal
- în cazul persoanei juridice) să dea această declaraţie
îşi menţionează numele şi prenumele, funcţia sau
profesia (după caz), indică data completării şi
semnează.
În cazul operatorului persoană
juridică notificarea se semnează de reprezentantul său legal
şi trebuie să poarte şi ştampila acestuia.
Atenţie!
Formularele a căror „DECLARAŢIE"
nu este completată, semnată şi ştampilată potrivit
cerinţelor nu vor fi analizate, urmând a se proceda la clasarea lor.
În cazul în care operatorul nu este stabilit
în România, conform art. 2 alin. (3) din Legea nr. 677/2001, modificată
şi completată, el trebuie să îşi desemneze un reprezentant.
Acesta poate fi o persoană juridică sau fizică care are sediul
sau domiciliul/reşedinţa pe teritoriul statului român sau o altă
entitate fără personalitate juridică, desemnată de operator
pentru prelucrarea datelor în România (spre exemplu, o reprezentanţă
sau o sucursală).
În acest context, precizăm că
dispoziţiile Legii nr. 677/2001, modificată şi completată,
sunt aplicabile şi reprezentantului operatorului.
În situaţia în care operatorul
îşi desemnează un reprezentant, rubricile de la această
secţiune se completează potrivit instrucţiunilor de la
SECŢIUNEA I.
În acest spaţiu se marchează
cu „X" rubrica/rubricile corespunzătoare scopului sau scopurilor
corelate în care operatorul desfăşoară activităţi ce
implică prelucrarea datelor cu caracter personal ale persoanelor fizice.
Dacă scopul sau scopurile corelate în care operatorul prelucrează
datele nu se regăsesc în secţiunea de faţă, se
completează spaţiul aferent rubricii „altele".
Ca urmare, vă prezentăm
situaţiile în care pot fi bifate scopurile prelucrării prevăzute
în formularul de notificare şi cum pot fi corelate între ele:
Resurse umane - scop specific tuturor
entităţilor de drept public şi de drept privat pentru prelucrarea datelor propriilor
angajaţi, în alte scopuri decât cele pentru care trebuie avute în vedere
prevederile art. 1 lit. b) din Decizia nr. 90/2006 şi art. 1 lit. b), lit.
c), lit. d) din Decizia nr. 100/2007 (emise de Preşedintele
Autorităţii Naţionale de Supraveghere a Prelucrării Datelor
cu Caracter Personal şi publicate în Monitorul Oficial al României, Partea
I, nr. 654 din 28 iulie 2006, respectiv nr. 823 din 3 decembrie 2007).
În aceste decizii sunt prevăzute
situaţiile pentru care nu este
necesară completarea notificării în cazul prelucrării datelor cu
caracter personal ale propriilor angajaţi.
Exemple:
- acordarea unor facilităţi
destinate stimulării şi/sau fidelizării angajaţilor
operatorului sau pentru perfecţionare continuă a acestora;
- schimburi de experienţă,
cursuri de perfecţionare.
Acest scop poate fi corelat cu pct. 32
„alte scopuri" (unde operatorul trebuie să indice scopul/scopurile în
care prelucrează datele propriilor angajaţi).
Gestiune economică financiară
şi administrativă - scop specific entităţilor de drept public şi
de drept privat care au obligaţii legale în domeniu, iar excepţia de
la obligaţia de a notifica prelucrarea datelor având acest scop se
regăseşte în Decizia nr. 100/2007.
Selecţie şi plasare
forţă de muncă - scop specific autorităţilor şi
instituţiilor publice cu competenţe în acest domeniu (agenţii de
ocupare a forţei de muncă, centre profesionale) sau altor persoane
juridice care au ca obiect de activitate medierea angajării persoanelor
care solicită încheierea unui contract de muncă cu un angajator din
Acest scop poate fi corelat cu pct. 4
(reclamă, marketing şi publicitate), în măsura în care datele
persoanelor fizice sunt utilizate pentru promovarea activităţii
operatorului, iar în cazul autorităţilor/instituţiilor publice
şi cu pct. 7 (protecţie şi asistenţă socială)
Servicii de sănătate - scop specific entităţilor
care acordă persoanelor fizice asistenţă medicală,
indiferent de forma de organizare a acestora (cabinete medicale, spitale,
policlinici, laboratoare).
Acest scop poate fi corelat cu pct. 4
„reclamă, marketing şi publicitate" (pentru promovarea
serviciilor de sănătate) şi pct. 16 „cercetare
ştiinţifică" (în măsura în care datele
pacienţilor sunt utilizate în astfel de activităţi).
Educaţie şi cultură - acest scop poate fi declarat de
instituţiile de învăţământ şi de cultură
(grădiniţe, şcoli, licee, universităţi, centre,
institute culturale, asociaţii, fundaţii cu acest specific,
stabilimente de spectacole - teatre, filarmonici, cinematografe, şi se poate corela cu pct. 32
„alte scopuri" (unde se poate detalia scopul prelucrării care nu
intră sub incidenţa Deciziei 91/2006).
Reclamă, marketing şi
publicitate
- scop specific
agenţiilor şi societăţilor de marketing direct şi nu
se corelează cu nici un alt scop, precum şi altor entităţi
de drept public sau de drept privat, ca scop secundar corelat cu scopul specific
activităţii de bază al operatorului utilizat pentru promovarea acesteia.
Protecţie şi
asistenţă socială - scop specific entităţilor care
desfăşoară activităţi în acest domeniu (de ex.:
direcţii de protecţie şi asistenţă socială,
centre de plasament, orfelinate, cămine de bătrâni, case de pensii,
oficii de şomaj, agenţii pentru ocuparea forţei de muncă,
autorităţi în domeniul protecţiei persoanelor cu handicap),
precum şi celor care desfăşoară acţiuni privind
ajutorarea persoanelor aflate în nevoie (orfani, bătrâni, copii,
handicapaţi) şi acordă asistenţă de specialitate
instituţiilor publice care au ca obiect de activitate protecţia
acestor categorii de persoane.
Acest scop se poate corela cu pct. 3
(selecţie şi plasare forţă de muncă), pct. 5 (servicii
de sănătate), în cazul CNAS, spitalelor şi serviciilor de
ambulanţă, şi pct. 15 (statistică).
Urbanism şi amenajarea
teritoriului - scop
specific serviciilor
publice de interes local, prin intermediul cărora se realizează o
activitate de utilitate publică. De regulă, acest scop poate fi
declarat de primării, prin serviciile specializate şi poate fi
corelat cu pct. 14 (emitere autorizaţii/licenţe) şi pct. 15
(statistică).
Fond funciar - de regulă acest scop este declarat de primării
şi prefecturi, pentru activităţi reglementate de acte normative
(activitate agricolă, acordarea de despăgubiri sau compensaţii,
reconstituirea dreptului de proprietate asupra terenurilor) şi poate fi
corelat cu pct. 10 (cadastru şi publicitate imobiliară) şi pct.
15 (statistică).
Cadastru şi publicitate
imobiliară - scop
declarat de Agenţia Naţională de Cadastru şi Publicitate
Imobiliară, oficiile judeţene de cadastru şi publicitate
imobiliară, pentru activităţi necesare înscrierii în cartea
funciară şi poate fi corelat cu pct. 14 (emitere
autorizaţii/licenţe), pct. 15 (statistică) şi pct. 29 (în
cazul aplicării de sancţiuni contravenţionale, potrivit Legii
nr. 7/1996, republicată, a cadastrului şi publicităţii
imobiliare).
Taxe şi impozite - se declară de către autorităţile
administraţiei publice care au atribuţiile stabilite prin acte
normative speciale (primării, direcţii ale finanţelor publice),
cu privire la stabilirea cuantumurilor taxelor şi impozitelor şi
încasarea lor, şi se poate corela cu pct. 23 (colectare debite/recuperare
creanţe).
Evidenţa populaţiei şi
stare civilă - se declară de către serviciile publice comunitare de
evidenţă a persoanelor care asigură întocmirea, păstrarea,
evidenţa şi eliberarea, actelor de stare civilă şi a celor
de identitate şi se poate corela cu pct. 13 (evidenţă
electorală) şi pct. 15 (statistică).
Evidenţă electorală - se declară de serviciile
publice comunitare de evidenţă a persoanelor care asigură
întocmirea, păstrarea, evidenţa şi eliberarea,
cărţilor de alegător, listelor electorale permanente, precum
şi de Autoritatea Electorală Permanentă. Acest scop se poate
corela cu pct. 12 (evidenţa populaţiei şi stare civilă)
şi pct. 15 (statistică).
Emitere autorizaţii/licenţe - se declară de către autorităţile şi
instituţiile publice care desfăşoară activităţi
în acest sens. Acest scop se poate corela cu pct. 8 (urbanism şi amenajarea
teritoriului), pct. 9 (fond funciar) şi pct. 10 (cadastru şi
publicitate imobiliară).
Statistică - scop ce poate fi bifat de Institutul
Naţional de Statistică şi structurile sale teritoriale. Acest
scop poate fi bifat şi de către alte entităţi doar corelat
cu alte scopuri (dacă datele cu caracter personal colectate în vederea
realizării acestora sunt utilizate şi la întocmirea unor analize
statistice).
Cercetare ştiinţifică - Scop
specific operatorilor care iniţiază studii de cercetare
ştiinţifică în diferite domenii de activitate, inclusiv studii
clinice. Acest scop se poate corela cu pct. 5 (servicii de sănătate)
şi scopul specific activităţii operatorului (dacă
realizarea acestuia implică şi efectuarea unor cercetări în
domeniul respectiv).
Administrarea justiţiei - este specific instanţelor
şi executorilor judecătoreşti.
Activitate notarială - scop specific activităţii
desfăşurată de notarii publici şi se corelează cu pct.
32 (alte scopuri), pentru declararea obligatorie a datelor către Oficiul
Naţional de Prevenire şi Combate a Spălării Banilor.
Activitate politică - scop specific activităţii
desfăşurate de partidele politice şi candidaţii
independenţi pentru prelucrarea datelor personale ale
susţinătorilor (necesare la depunerea candidaturilor la alegeri)
şi se poate corela, după caz, cu pct. 4 (reclamă, marketing
şi publicitate) şi pct. 13 (evidenţă electorală).
Servicii de consiliere legală
şi reprezentare în justiţie - scop
specific persoanelor fizice autorizate sau persoanelor juridice care
prestează servicii de consultanţă juridică şi/sau de
reprezentare în justiţie (ex: cabinetele de avocatură, direcţii
de protecţie a copilului) şi se poate corela cu pct. 7 (protecţie
şi asistenţă socială, în cazul direcţiilor de
asistenţă şi protecţia copilului), pct. 23 (colectare
debite/recuperare creanţe) şi pct. 32 (pentru prevenirea fraudelor).
Servicii financiar-bancare - poate fi bifat numai în măsura în care operatorului
îi sunt aplicabile prevederile Ordonanţei de Urgenţă nr. 99/2006
privind instituţiile de credit şi adecvarea capitalului (în sensul
art. 7 alin. (1) pct. 10 din acelaşi act normativ), respectiv bănci,
case de ajutor reciproc, instituţii financiare nebancare şi societăţi al căror obiect
principal de activitate îl constituie acest scop. Se poate corela
cu pct. 4 (reclamă, marketing şi publicitate), pct. 22 (rapoarte de
credit), pct. 23 (colectare debite/recuperare creanţe), pct. 24 (servicii
de asigurări şi reasigurări), pct. 25 (tranzacţii
imobiliare) şi pct. 32 (pentru prevenirea fraudelor).
Rapoarte de credit - poate fi declarat de
societăţi de tipul birourilor de credit (trebuie avută în vedere
Decizia nr. 105/2007). Se poate corela cu pct. 21 (servicii financiar-bancare),
pct. 24 (servicii de asigurări şi reasigurări) şi scopul
specific activităţii desfăşurate de diverse
entităţi beneficiare a serviciilor oferite de birourile de credit.
Colectare debite/recuperare
creanţe
- este specific tuturor entităţilor care prelucrează date cu
caracter personal în vederea colectării debitelor/recuperării
creanţelor de la proprii clienţi/angajaţi/membrii şi se
poate corela cu scopul care rezultă din activitatea principala
desfăşurată de operator. Acest scop poate fi declarat şi de
către entităţile care au ca obiect de activitate colectare
debite/recuperare creanţe, numai pentru prelucrările de date
efectuate în calitate de operator, în nume propriu. Nu se bifează de
entităţile care colectează debite/recuperează creanţe
în calitate de împuternicit al operatorului, în baza contractului de
prestări servicii încheiat cu acesta.
Servicii de asigurări şi
reasigurări - scop specific societăţilor de asigurări
şi/sau reasigurări, dar poate fi bifat şi de alte
entităţi (bănci, instituţii financiare nebancare,
agenţii de turism, case de ajutor reciproc) care utilizează datele
persoanelor vizate în vederea asigurării/reasigurării
serviciului/produsului contractat de acestea. Se poate corela cu pct. 4
(reclamă, marketing şi publicitate), pct. 21 (servicii financiar-bancare)
şi pct. 32 alte scopuri (pentru servicii financiare nebancare).
Tranzacţii imobiliare - scop specific agenţiilor
imobiliare, dar poate fi bifat şi de alte entităţi, în
măsura în care acestea desfăşoară activităţi
similare, respectiv pentru intermedierea vânzării-cumpărării de
imobile către/de la persoane fizice. Se poate corela cu pct. 4
(reclamă, marketing şi publicitate) şi pct. 32 alte scopuri
(pentru prevenirea fraudelor).
Servicii hoteliere şi de turism - scop specific unităţilor
hoteliere şi agenţiilor de turism, dar poate fi declarat şi de
către entităţile care deţin spaţii pentru odihnă
şi/sau tratament (în care sunt cazaţi propriii angajaţi şi
familiile acestora pe perioada concediilor de odihnă), precum şi de
unităţile de învăţământ care deţin cămine
şi/sau tabere pentru elevi şi studenţi. Se poate corela cu pct.
4 (reclamă, marketing şi publicitate).
Monitorizarea/securitatea persoanelor,
spaţiilor şi/sau bunurilor publice/private - acest scop poate fi declarat de
operatorul care monitorizează accesul angajaţilor şi al
vizitatorilor în sediul său prin diverse mijloace (ex. registre, cartele
şi supraveghere video, registrul de acces al persoanelor) precum şi
de entităţile care supraveghează video locuri şi spaţii
deschise sau destinate publicului şi căile publice de acces.
Servicii de comunicaţii
electronice -
conceptul de „comunicaţii electronice" înglobează toate sistemele de
transmisie şi echipamentele de comutare sau rutare, precum şi orice
alte resurse, care permit transportul semnalelor prin fir, radio, fibră
optică sau orice alte mijloace electromagnetice. Această
definiţie acoperă reţelele fixe (cu comutare de circuite sau de
pachete, inclusiv Internet) şi reţelele mobile terestre, reţelele
de comunicaţii prin satelit, reţelele utilizate pentru transmiterea
comunicaţiei audiovizuale şi reţelele de cablu TV. Scop specific
entităţilor furnizoare de servicii de comunicaţii electronice
(telefonie, radiocomunicaţii, internet, televiziune prin cablu) şi
celor care oferă servicii prin intermediul internetului
(comerţ on-line, concursuri on-line).
Constatarea şi sancţionarea
contravenţiilor - scop specific autorităţilor şi instituţiilor
publice care au astfel de competenţe în baza unor dispoziţii legale
(de exemplu: Garda Financiară, Curtea de Conturi, Poliţia
Comunitară).
Prevenirea, cercetarea, reprimarea
infracţiunilor, menţinerea ordinii publice - scop specific instanţelor
şi parchetelor.
Alte activităţi
defăşurate în domeniul dreptului penal - scop specific instanţelor
şi parchetelor, inspectoratelor de poliţie şi de jandarmi,
precum şi altor instituţii publice care desfăşoară
astfel de activităţi.
Alte scopuri - în situaţia în care scopul sau
scopurile corelate în care persoanele fizice şi/sau juridice ce au
calitatea de operator în sensul Legii nr. 677/2001 prelucrează date cu
caracter personal nu se regăsesc la punctele 1 - 31 acestea vor fi
indicate la pct. 32.
La completarea secţiunii IV
operatorul trebuie să verifice dacă scopul sau scopurile corelate
şi/sau distincte în care prelucrează datele personale se
regăsesc printre cazurile care permit completarea formularului de
notificare în formă simplificată sau îl scutesc de obligaţia de
a notifica, potrivit deciziilor emise de preşedintele
autorităţii de supraveghere. În acest sens, precizăm că
acordarea acestor facilităţi nu exonerează operatorul de
îndeplinirea obligaţiilor ce-i revin potrivit legislaţiei din
domeniul protecţiei datelor cu caracter personal.
În acelaşi timp, precizăm
că operatorul este obligat
să notifice autorităţii de supraveghere înainte de efectuarea
oricărei prelucrări ori a oricărui ansamblu de
prelucrări având acelaşi scop sau scopuri corelate.
În cazul în care operatorul
prelucrează date personale pentru două sau mai multe scopuri care nu
au legătură între ele, atunci este obligat să completeze câte un
formular tipizat, pentru fiecare scop în parte.
În situaţia în care scopul şi
mijloacele de prelucrare a datelor cu caracter personal sunt stabilite de
operator, autoritatea de supraveghere poate solicita actul din care să
reiasă modul de stabilire a scopului şi a mijloacelor de prelucrare.
Observaţie: Prelucrarea datelor personale în alte
scopuri decât cele declarate în notificare se poate sancţiona
contravenţional, cu excepţia cazurilor scutite de obligaţia de
notificare.
2.2.4. SECŢIUNEA V: Temeiul legal
al prelucrării
Această secţiune se
completează numai în cazul prelucrărilor efectuate în cadrul
activităţilor de prevenire, cercetare şi reprimare a
infracţiunilor şi de menţinere a ordinii publice, precum şi
al altor activităţi desfăşurate în domeniul dreptului
penal, în limitele şi cu restricţiile stabilite de lege.
La această secţiune se
menţionează actul sau actele normative în baza cărora operatorul
efectuează prelucrarea datelor cu caracter personal.
În accepţiunea Legii nr. 677/2001,
modificată şi completată, persoanele vizate sunt reprezentate de
persoanele fizice ale căror date personale sunt colectate de operator, în
vederea efectuării asupra acestora, a operaţiunilor prevăzute de
art. 3 lit. b) din acest act normativ, respectiv de înregistrare, organizare,
stocare, adaptare ori modificare, extragere, consultare, utilizare,
dezvăluire, ştergere, distrugere, etc.
La această secţiune se marchează
cu „X" căsuţele corespunzătoare categoriilor de persoane
vizate ale căror date personale sunt prelucrate, în funcţie de scopul
sau scopurile corelate ale prelucrării declarate la secţiunea IV. Dacă
categoriile de persoane vizate nu se regăsesc, în totalitate sau în parte,
la punctele 1-23 de la această secţiune, se completează
spaţiul aferent rubricii „altele".
Exemple:
Dacă scopul prelucrării este
"educaţie şi cultură", categoriile de persoane
vizate pot fi: "cadre didactice", "studenţi",
"minori", "membrii familiei persoanei vizate".
Dacă scopul prelucrării este
"reclamă, marketing şi publicitate", categoriile de
persoane vizate pot fi:
„clienţi/potenţiali
clienţi", „consumatori/potenţiali consumatori".
Dacă scopul prelucrării este „servicii de consiliere legală
şi reprezentare în justiţie", categoriile de persoane vizate pot fi „justiţiabili".
2.2.6 SECŢIUNEA VII: Motivele
care justifică aplicarea prevederilor art. 11, art. 12 alin. (3) sau alin.
(4) ori ale art. 13 alin. (5) sau alin. (6) din Legea nr. 677/2001
Se completează motivele pentru
care se aplică prevederile legale susmenţionate, în funcţie de
scopul prelucrării declarat la secţiunea IV din formularul de
notificare, respectiv, faptul că prelucrarea se efectuează în scopuri
scopuri statistice, de cercetare istorică sau ştiinţifică.
Prevederile art. 11, art. 12 alin. (3)
sau alin. (4) ori ale art. 13 alin. (5) sau alin. (6) din Legea nr. 677/2001,
modificată şi completată se aplică în situaţia în care
au loc prelucrări de date cu caracter personal în scopuri statistice, de
cercetare istorică sau ştiinţifică, care determină
următoarele:
- lipsa obligaţiei de a informa
persoana vizată, atunci când datele nu sunt obţinute direct de la
persoana vizată, în situaţia în care prelucrarea datelor se face în
scopuri statistice, de cercetare istorică sau ştiinţifică
(art. 12 alin. (4) din Legea nr. 677/2001);
- comunicarea informaţiilor
solicitate de persoana vizată în exercitarea dreptului de acces, într-un
termen mai mare de 15 zile, în situaţia în care prelucrarea datelor cu
caracter personal legate de starea de sănătate se face în scop de
cercetare ştiinţifică (art. 13 alin. (5) din Legea nr.
677/2001);
- adresarea cererii de exercitare a
dreptului de acces de către persoana vizată, în altă formă
decât printr-o cerere scrisă, semnată şi datată, în
situaţia în care prelucrarea datelor cu caracter personal se face exclusiv
în scopuri jurnalistice, literare sau artistice (art. 13 alin. (6) din Legea
nr. 677/2001).
Operatorul bifează
corespunzător, cu „X", una sau mai multe dintre
modalităţile enumerate în această secţiune, prin care
persoanelor vizate le sunt aduse la cunoştinţă informaţiile
prevăzute la art. 12 din Legea nr. 677/2001, modificată şi
completată. Acesta are obligaţia de a comunica persoanei vizate, în
principal, informaţii privind:
1. identitatea operatorului sau, în
cazul în care există, a reprezentantului sau a împuternicitului;
2. scopul prelucrării;
3. categoriile de date prelucrate (în
cazul în care nu sunt colectate direct de la persoanele vizate);
4. caracterul obligatoriu sau
facultativ de a furniza datele personale;
5. consecinţele refuzului de a le
furniza;
6. destinatarii sau categoriile de
destinatari ai datelor;
7. existenţa dreptului de acces,
de intervenţie asupra datelor, de opoziţie la prelucrarea datelor, de
a nu fi supus unei decizii individuale, condiţiile de exercitare a acestor
drepturi, precum şi a dreptului de a se adresa justiţiei;
8. eventualul transfer al datelor în
străinătate.
Această obligaţie există şi în cazul în care datele nu sunt
obţinute direct de la persoana vizată. În acest caz, operatorul este
obligat, ca în momentul colectării datelor sau, dacă se
intenţionează dezvăluirea acestora către terţi, cel
mai târziu până în momentul primei dezvăluiri, să furnizeze
persoanei vizate informaţiile susmenţionate.
Informarea persoanelor vizate trebuie să fie adecvată
circumstanţelor specifice de prelucrare (respectiv modalităţii
de prelucrare a datelor, suportului pe care sunt colectate datele etc.) şi
se poate realiza prin intermediul documentelor prin care datele personale sunt
colectate şi/sau prin afişarea unei note informative la sediul operatorului
sau pe pagina web. (prin adaptarea modelelor de mai jos).
Modalitatea de informare „verbal"
se utilizează, în mod excepţional, în situaţia în care nu se
poate realiza informarea în alte modalităţi (ex: informare prin
intermediul convorbiri telefonice, dacă acestea sunt înregistrate).
În cazul prelucrării imaginii
persoanei vizate (colectată prin intermediul camerelor video), în vederea
monitorizării accesului persoanelor şi asigurării
securităţii acestora şi a spaţiilor şi bunurilor operatorului,
îndeplinirea obligaţii legale de informare, potrivit art. 12 din Legea nr.
677/2001, modificată şi completată, poate fi efectuată prin
intermediul unui afiş
postat la sediile monitorizate, poziţionat la o distanţă
rezonabilă de locurile unde sunt amplasate echipamentele de supraveghere,
astfel încât să poată fi văzut de orice persoană
Afişul trebuie să
conţină o pictogramă reprezentativă alături de alte
informaţii privind identitatea operatorului şi persoana/serviciul
responsabil la care se poate apela pentru informaţii suplimentare,
existenţa înregistrării imaginilor şi destinatarii acestora,
precum şi caracteristicile echipamentelor de supraveghere.
............................................................. (se indică
identitatea operatorului sau a reprezentantului, precum şi, dacă este
cazul, pe cea a împuternicitului) prelucrează datele cu caracter personal
furnizate de dumneavoastră prin acest document.............(se
precizează categoriile de date, dacă acestea nu sunt colectate direct
de la persoanele vizate) în scopul ............(se precizează scopul).
Datele vor fi dezvăluite ..................................(se
precizează destinatarii cărora le vor fi dezvăluite datele). Pe
viitor, aceste date/datele .............. (se precizează concret datele)
ne permit să vă ţinem la curent cu activitatea noastră.
În cazul în care nu doriţi aceasta, bifaţi NU
Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de
intervenţie asupra datelor, dreptul de a nu fi supus unei decizii
individuale. Aveţi dreptul să vă opuneţi prelucrării
datelor personale care vă privesc şi să solicitaţi
ştergerea datelor*. Pentru exercitarea acestor drepturi, vă
puteţi adresa cu o cerere scrisă, datată şi semnată la
.................................................(se precizează serviciul,
organismul sau persoana responsabilă). De asemenea, vă este
recunoscut dreptul de a vă adresa justiţiei.
Datele dumneavoastră vor fi transferate în ............... (precizaţi
statele), în vederea....................(se precizează scopul transferului
datelor în străinătate)."
............................................................... (se indică
identitatea operatorului sau, dacă este cazul, şi pe cea a
împuternicitului), prin intermediul serviciului (iilor)
............................... (dacă este cazul, se precizează
denumirea serviciilor respective), prelucrează datele dumneavoastră
cu caracter personal .............(se precizează categoriile de date,
dacă acestea nu sunt colectate direct de la persoanele vizate), prin
mijloace automatizate/manuale, destinate .............................. (se
indică scopul prelucrării).
Sunteţi/nu sunteţi obligat(ă) să furnizaţi datele,
acestea fiind necesare......................... (se precizează scopul).
Refuzul dvs. determină.................. (se precizează
consecinţele refuzului).
Informaţiile înregistrate sunt destinate utilizării de către
operator şi sunt comunicate numai următorilor destinatari:
................. (se precizează destinatarii).
Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de
intervenţie asupra datelor şi de dreptul de a nu fi supus unei
decizii individuale. Totodată, aveţi dreptul să vă
opuneţi prelucrării datelor personale care vă privesc şi
să solicitaţi ştergerea datelor*. Pentru exercitarea acestor drepturi,
vă puteţi adresa cu o cerere scrisă, datată şi semnată
la .................................................(se precizează
serviciul, organismul sau persoana responsabilă). De asemenea, vă
este recunoscut dreptul de a vă adresa justiţiei. Datele
dumneavoastră pot fi transferate în ............... (precizaţi
statele), în vederea....................(se precizează scopul transferului
datelor în străinătate)."
Conform cerinţelor Legii nr. 677/2001 pentru protecţia persoanelor cu
privire la prelucrarea datelor cu caracter personal şi libera
circulaţie a acestor date, modificată şi completată şi
ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi
protecţia vieţii private în sectorul comunicaţiilor electronice
(se precizează şi acest act normativ, după
caz)..............................................(se precizează denumirea
operatorului sau a reprezentantului, precum şi, dacă este cazul, pe
cea a împuternicitului) are obligaţia de a administra în condiţii de
siguranţă şi numai pentru scopurile specificate, datele
personale pe care ni le furnizaţi despre dumneavoastră, un membru al
familiei dumneavoastră ori o altă persoană. Scopul colectării
datelor este:.............................. (se indică scopul
prelucrării).
Sunteţi/nu sunteţi obligat(ă) să furnizaţi datele,
acestea fiind necesare................................(se precizează
scopul). Refuzul dvs. determină.................. (se precizează
consecinţele refuzului).
Informaţiile înregistrate sunt destinate utilizării de către
operator şi sunt comunicate numai următorilor
destinatari:................. (se precizează destinatarii).
Doriţi să primiţi informaţii despre produsele, serviciile,
evenimentele etc. oferite de.................(se precizează denumirea
operatorului sau a reprezentantului, precum şi, dacă este cazul, pe
cea a împuternicitului)?
Ł DA ŁNU
Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de
intervenţie asupra datelor, dreptul de a nu fi supus unei decizii
individuale şi dreptul de a vă adresa justiţiei. Totodată,
aveţi dreptul să vă opuneţi prelucrării datelor
personale care vă privesc şi să solicitaţi ştergerea
datelor*. Pentru exercitarea acestor drepturi, vă puteţi adresa cu o
cerere scrisă, datată şi semnată la
.................................................(se precizează serviciul,
organismul sau persoana responsabilă). De asemenea, vă este
recunoscut dreptul de a vă adresa justiţiei. Datele dumneavoastră
vor fi transferate în ............... (precizaţi statele), în
vederea....................(se precizează scopul transferului datelor în
străinătate)."
Dacă unele din datele despre dumneavoastră sunt incorecte, vă
rugăm să ne informaţi cât mai curând posibil.
_______________________________________________________________
Observaţie:
*orice persoană are dreptul de a se
opune, pentru motive legitime, la prelucrarea datelor ce o privesc. Acest drept
de opoziţie poate fi exclus pentru anumite prelucrări prevăzute
de lege (de ex.: prelucrări efectuate de serviciile financiare şi
fiscale, de poliţie, justiţie, securitate socială). Prin urmare,
această menţiune nu poate figura dacă prelucrarea are un
caracter obligatoriu;
*orice persoană are, de asemenea,
dreptul de a se opune, în mod gratuit şi fără nici o
justificare, la prelucrarea datelor sale personale în scopuri de marketing
direct.
Datele cu caracter personal sunt acele
informaţii care se referă la o persoană fizică
identificată sau identificabilă, direct sau indirect, printr-un
număr de identificare sau prin referire la o serie de factori specifici
identităţii sale fizice, fiziologice, psihice, economice, culturale
sau sociale, inclusiv datele biometrice (amprenta digitală,
maxilo-facială, retina şi altele asemenea) sau datele genetice
(ADN-ul).
În acest spaţiu se marchează
cu „X" căsuţele corespunzătoare datelor sau categoriilor de
date personale prelucrate, în funcţie de scopul sau scopurile corelate
declarate la secţiunea IV din formularul de notificare.
Dacă datele sau categoriile de
date nu se regăsesc, în totalitate sau în parte, în secţiunea de
faţă, se completează spaţiul aferent rubricii
„altele".
De asemenea, art. 4 alin. (1) lit. c)
din Legea nr. 677/2001, modificată şi completată,
stabileşte că datele cu
caracter personal destinate a face obiectul unei prelucrări trebuie
să fie adecvate, pertinente şi neexcesive prin raportare la scopul în
care sunt colectate şi ulterior prelucrate.
Exemple:
Dacă scopul prelucrării este "educaţie şi
cultură", categoriile
de date prelucrate pot fi: „numele şi prenumele", „numele şi prenumele
membrilor de familie", „data şi locul naşterii",
„cetăţenia", „semnătura", „date din actele de stare
civilă", „telefon", „adresă", „formare
profesională/diplome/studii".
Dacă scopul prelucrării este "Monitorizarea/securitatea
persoanelor, spaţiilor şi/sau bunurilor publice/private" (şi se realizează prin
intermediul mijloacelor de supraveghere video şi registrului de acces al
persoanelor), categoriile
de date prelucrate pot fi „numele şi
prenumele", „semnătura", „imaginea" şi „seria şi
numărului actului de identitate" (ce face parte din categoria datelor
cu caracter special).
Potrivit Legii nr. 677/2001, datele cu
caracter special sunt cele legate de originea rasială sau etnică, de
convingerile politice, religioase, filozofice sau de natură similară,
de apartenenţa sindicală, datele cu caracter personal privind starea
de sănătate sau viaţa sexuală, precum şi datele având
funcţie de identificare de aplicabilitate generală (codul numeric
personal şi seria şi numărul actului de identitate).
De asemenea, datele referitoare la
fapte penale sau contravenţii, sancţiuni disciplinare, precum şi
datele privind cazierul judiciar fac parte din această categorie de date.
Prelucrarea datelor cu caracter special
este interzisă. De la acestă regulă, legea prevede anumite
excepţii, principala excepţie fiind consimţământul
persoanei vizate (art. 7 alin. (2) şi art. 8 din Legea nr. 677/2001).
Consimţământul persoanelor
vizate trebuie să fie expres şi neechivoc, respectiv explicit, liber
exprimat şi informat.
Completarea acestei secţiuni din
formularul de notificare se realizează în mod similar secţiunii
anterioare.
Observaţie:
Prelucrarea de date cu caracter
personal de orice fel, altele decât cele declarate de operator în formularul de
notificare, poate constitui contravenţie.
Exemple:
Dacă scopul prelucrării este "selecţie şi plasare
forţă de muncă", categoriile de date cu caracter special
prelucrate pot fi: „codul numeric personal", „ seria şi numărul actului
de identitate", „date din cazierul judiciar".
Dacă scopul prelucrării este "reclamă, marketing şi
publicitate", categoriile
de date cu caracter special prelucrate pot fi: „codul numeric personal", „seria
şi numărul actului de identitate" pentru câştigătorii
promoţiilor (OUG nr. 99/2000).
Dacă scopul prelucrării este "servicii de
sănătate", categoriile
de date cu caracter special prelucrate pot fi: „codul
numeric personal", „seria şi numărul actului de
identitate", „date privind starea de sănătate", „date
privind viaţa sexuală".
"Destinatar" este, în sensul
art. 3 lit. h) din Legea nr. 677/2001, "orice persoană fizică
sau juridică, de drept privat ori de drept public, inclusiv
autorităţile publice, instituţiile şi structurile teritoriale
ale acestora, căreia îi sunt dezvăluite date, indiferent dacă
este sau nu terţ".
Autorităţile publice
cărora li se comunică date în cadrul unei competenţe speciale de
anchetă nu vor fi considerate destinatari (de ex.: datele personale
solicitate de instanţele de judecată, procurori, organe de
urmărire penală, dacă sunt necesare desfăşurării
unei anchete).
La această secţiune, se
marchează cu „X" căsuţele corespunzătoare
destinatarilor cărora li se vor dezvălui datele prelucrate de
operator în scopul sau scopurile corelate declarate.
Observaţie: Dezvăluirea datelor cu caracter
personal, unei persoane sau categorii de persoane care nu sunt menţionate
în formularul de notificare, poate constitui contravenţie.
Se marchează cu „X" tipurile
de garanţii specifice scopului şi mijloacelor de prelucrare, care
să ateste îndeplinirea condiţiilor de legitimitate a prelucrării
prevăzute de art. 5 din Legea nr. 677/2001.
Consimţământul persoanei
vizate reprezintă una din garanţiile în baza cărora se pot
dezvălui datele cu caracter personal. Consimţământul trebuie
să fie exprimat neechivoc pentru acea prelucrare şi în mod expres
şi (art. 5 alin. 1 din Legea nr. 677/2001).
Prelucrarea datelor cu caracter special
(art. 7 alin. 2 lit. a) din Legea nr. 677/2001) şi prelucrarea codului
numeric personal sau a altor date cu caracter personal având o funcţie de
identificare de aplicabilitate generală (art. 8 alin. 1 lit. a) din Legea
nr. 677/2001) este permisă când persoana vizată şi-a dat în mod
expres consimţământul pentru o astfel de prelucrare.
Actele normative reprezintă o
altă garanţie în baza căreia are loc dezvăluirea datelor cu
caracter personal. În acest caz, este necesar să se precizeze
numărul, data şi titlul actului normativ invocat pentru prelucrarea
respectivă.
Alte tipuri de garanţii se pot
referi cu privire la obligaţiile de confidenţialitate sau de
respectare a secretului profesional ori de serviciu de către persoanele
care au acces la datele cu caracter personal prelucrate etc.
a) Data estimată - această
secţiune se completează când operatorul notifică pentru prima
dată o prelucrare de date cu caracter personal. Este necesar să se
delimiteze durata prelucrării notificate, în funcţie de specificul
activităţii operatorului, precizând în acest sens o anumită
dată cunoscută sau aproximativă pentru terminarea tuturor
operaţiunilor de prelucrare (inclusiv arhivarea, care este o
operaţiune de prelucrare şi nu se poate efectua decât pe o
durată limitată de timp), întrucât art. 4 alin. (1) lit. e) din Legea
nr. 677/2001 stabileşte că datele
cu caracter personal destinate a face obiectul unei prelucrări trebuie
să fie stocate într-o formă care să permită identificarea
persoanelor vizate strict pe durata necesară realizării scopurilor în
care acestea au fost colectate şi ulterior prelucrate.
Exemple:
- durata valabilităţii
contractului încheiat cu persoana vizată pentru furnizarea produselor sau
serviciilor operatorului şi, eventual, o perioadă rezonabilă de
arhivare a acestora, stabilită prin acte normative sau prin nomenclatorul
arhivistic propriu, care trebuie specificată în notificare;
- perioada cât pacientul
beneficiază de serviciile oferite de furnizorul de servicii medicale în
evidenţele căruia se află;
- perioada necesară
verificării îndeplinirii obligaţiilor ce revin lucrătorilor
responsabili cu completarea chestionarelor utilizate în cercetări
statistice şi ştiinţifice, ulterior acesteia datele personale
trebuie depersonalizate, deoarece rezultatul cercetării nu trebuie să
facă referire la persoane identificabile;
- perioada necesară
colectării datelor/recuperării creanţelor;
- pentru activitatea de marketing
direct datele pot fi prelucrate până la exercitarea dreptului de
opoziţie;
- pentru activitatea de intermediere a
serviciilor oferite persoanei vizate de către partenerii operatorului,
datele necesare realizării acesteia pot fi prelucrate până în
momentul încasării comisionului perceput pentru această activitate.
b) Data certă a încetării
operaţiunilor de prelucrare - Aceasta poate fi indicată fie în
momentul înregistrării notificării iniţiale, fie la data
încheierii tuturor operaţiunilor de prelucrare, inclusiv arhivare (când
trebuie completată notificarea depusă anterior), precizându-se data
exactă a încetării prelucrării (ex: 31 decembrie 2010). În acest
caz, se va marca cu „X" modalitatea prin care se încheie prelucrarea de
date cu caracter personal (potrivit art. 6 alin. 1 din Legea nr. 677/2001,
modificată şi completată), şi anume:
În situaţia în care persoana
vizată îşi dă consimţământul pentru altă
prelucrare decât cea pentru care operatorul a notificat autoritatea de
supraveghere, este necesar ca operatorul să notifice pentru prelucrarea de
date efectuată într-un scop diferit faţă de cel declarat în
notificarea anterioară.
În ceea ce priveşte
ştergerea, distrugerea şi arhivarea, procedura internă şi
modalităţile de realizare a acestor operaţiuni, se stabilesc de
către fiecare operator, cu excepţia procedurii care se
desfăşoară potrivit prevederilor legale privind arhivele
naţionale.
De asemenea, există situaţii
în care operatorul, datorită activităţii pe care o
desfăşoară, este obligat, în baza unor legi speciale, să
păstreze datele o anumită perioadă de timp, dar după
expirarea acesteia trebuie să procedeze în una din modalităţile
prevăzute mai sus.
În alte cazuri, operatorii sunt
creatori de arhivă şi sunt obligaţi să procedeze conform
dispoziţiilor legale privind păstrarea arhivelor.
În cazul transferului datelor
către alt operator, este necesar ca operatorul iniţial să
garanteze că prelucrările efectuate de terţ au scopuri similare
cu prelucrarea iniţială. În acelaşi timp, trebuie informată
autoritatea de supraveghere şi încheiat un contract cu operatorul
căruia i se predă baza de date, care să conţină
garanţiile menţionate anterior.
Totodată, operatorul care
obţine datele cu caracter personal este obligat ca, în momentul
colectării datelor sau, dacă se intenţionează
dezvăluirea acestora către terţi, cel mai târziu până în
momentul primei dezvăluiri, să furnizeze persoanei vizate,
informaţiile prevăzute la art. 12 alin. (1) din Legea nr. 677/2001.
Modalitatea de încheiere a operaţiunilor
de prelucrare, referitoare la transferare, nu trebuie confundată cu
transferul datelor în străinătate, ale cărui condiţii sunt
reglementate de art. 29 şi art. 30 din Legea nr. 677/2001.
Această secţiune se
referă doar la datele cu caracter personal care sunt transferate în
străinătate. Se marchează cu „X", după caz, dacă
se transferă date cu caracter personal în statele din Uniunea Europeană.
În cazul transferului datelor în
statele din zona economică europeană, respectiv Islanda,
Liechtenstein şi Norvegia sau în statele cărora Comisia
Europeană le-a recunoscut, prin decizie, un nivel de protecţie
adecvat, respectiv Argentina, Canada, Elveţia, Guernsey, Jersey, Isle of
Man şi Statele Unite ale Americii (când operatorul din SUA a aderat la
principiile Safe Harbour), se bifează căsuţa
corespunzătoare transferului datelor în statele din Uniunea
Europeană.
Statele respective trebuie enumerate
şi, de asemenea, precizate scopul transferului şi categoriile de date
transferate, prin menţionarea indicativului de la secţiunea IX
şi/sau secţiunea X, după caz.
În cazul în care statul de
destinaţie nu asigură un nivel de protecţie adecvat, operatorul
care exportă datele trebuie să prezinte garanţii suficiente cu
privire la protecţia drepturilor fundamentale ale persoanelor vizate,
printr-un contract încheiat cu operatorul care importă datele. În acest
scop, se vor avea în vedere clauzele contractuale standard prevăzute în
Ordinul Avocatului Poporului nr. 6/2003 privind stabilirea clauzelor
contractuale standard în cazul transferurilor de date cu caracter personal
către un operator stabilit într-un stat a cărui legislaţie nu
prevede un nivel de protecţie cel puţin egal cu cel oferit de legea
română.
De asemenea, dacă statul de
destinaţie nu asigură un nivel de protecţie adecvat, transferul
poate fi permis şi autorizat de autoritatea de supraveghere, în
condiţiile prevăzute la art. 30 din Legea nr. 677/2001.
Excepţiile reglementate de aceste dispoziţii legale sunt însă,
de strictă interpretare.
Dacă prelucrarea datelor cu
caracter personal face parte din situaţiile în care nu este necesară
notificarea, prevăzute prin decizie a preşedintelui ANSPDCP,
operatorul care transferă date în străinătate va completa
următoarele secţiuni din formularul tipizat de notificare: I, II,
III, IV, VI,VII, XIII şi XIV.
Observaţie: Transferarea datelor cu caracter
personal într-un alt stat, decât cel menţionat în formularul de
notificare, poate constitui contravenţie.
2.2.14 SECŢIUNEA XV:
Măsurilor luate pentru asigurarea securităţii prelucrării
Potrivit art. 19 din Legea nr.
677/2001, modificată şi completată, operatorul este obligat
să aplice măsurile tehnice şi organizatorice adecvate pentru
protejarea datelor cu caracter personal împotriva distrugerii accidentale sau
ilegale, pierderii, modificării, dezvăluirii sau accesului
neautorizat.
Ca urmare, la această
secţiune trebuie descrise măsurile pe care le ia operatorul pentru a
proteja datele persoanelor vizate pe care le prelucrează, indiferent de
mijloacele utilizate (automatizate, manuale ori mixte), în special dacă
printre acestea se numără şi date cu caracter special, care
trebuie să respecte cerinţele minime de securitate a prelucrărilor
de date cu caracter personal ce se regăsesc în prevederile Ordinului 52
din 18 aprilie 2002, publicat în Monitorul Oficial nr. 383 din 5 iunie 2002.
Totodată, se anexează
documentul care conţine politica de securitate a prelucrărilor de
date cu caracter personal.
2.2.15 SECŢIUNEA XVI: Sistemul de
evidenţă utilizat şi legăturile cu alte prelucrări sau
sisteme de evidenţă
Sistemul de evidenţă,
potrivit definiţiei date de art. 3 lit. d) din Legea nr. 677/2001, este
orice structură de date cu caracter personal, accesibilă potrivit
unor criterii determinate, indiferent dacă această structură
este organizată în mod centralizat ori descentralizat sau este
repartizată după criterii funcţionale ori geografice.
Se bifează cu „X" sistemul de
evidenţă al operatorului, după cum sunt utilizate mijloace
automate sau neautomate ori mixte pentru prelucrarea datelor cu caracter
personal.
De asemenea, se marchează
dacă prelucrarea notificată are legătură cu alte
prelucrări sau cu alte sisteme de evidenţă a datelor cu caracter
personal. În caz afirmativ, se marchează locul unde este situat sistemul
de evidenţă.