Comunica experienta
MonitorulJuridic.ro
DECIZIE nr. 132 din 20 decembrie 2011 privind conditiile prelucrarii codului numeric personal si a altor date cu caracter personal avand o functie de identificare de aplicabilitate generala
EMITENT: AUTORITATEA NATIONALA DE SUPRAVEGHERE A PRELUCRARII DATELOR CU CARACTER PERSONAL PUBLICAT: MONITORUL OFICIAL nr. 929 din 28 decembrie 2011
Vãzând Referatul de aprobare nr. 1.089 din 2 august 2011 privind necesitatea clarificãrii modalitãţii de prelucrare a codului numeric personal şi a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generalã, întrucât din practicã a rezultat colectarea şi prelucrarea fãrã o justificare temeinicã a acestor date, precum şi a copiilor documentelor ce le conţin,
având în vedere intrarea în vigoare a Tratatului de la Lisabona, la data de 1 decembrie 2009, cu consecinţe asupra cadrului juridic al protecţiei datelor în Uniunea Europeanã, prin dispoziţiile art. 16 din Tratatul privind funcţionarea Uniunii Europene,
vãzând dispoziţiile considerentelor (22), (23) şi (68) ale Directivei 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, denumitã în continuare Directiva 95/46/CE , potrivit cãrora se permite statelor membre, independent de normele generale, sã prevadã condiţii de prelucrare speciale pentru sectoare specifice, fiind împuternicite sã asigure punerea în aplicare a protecţiei persoanei şi prin acte cu putere de lege în anumite sectoare, completând sau clarificând cu norme speciale principiile cu privire la protecţia drepturilor şi libertãţilor persoanelor, în special a dreptului la viaţã privatã, în ceea ce priveşte prelucrarea datelor cu caracter personal,
vãzând dispoziţiile art. 8 din Convenţia pentru apãrarea drepturilor omului şi libertãţilor fundamentale, care consfinţesc respectarea vieţii private şi de familie a oricãrei persoane, inclusiv protejarea datelor personale, precum şi cele ale art. 26 din Constituţia României, republicatã, care garanteazã respectarea dreptului fundamental la viaţã intimã, familialã şi privatã, drept reafirmat şi în Carta drepturilor fundamentale a Uniunii Europene,
întrucât dreptul la viaţã intimã, familialã şi privatã, în special la protecţia datelor personale, nu este un drept absolut, iar când se confruntã cu alte drepturi fundamentale trebuie sã se gãseascã un echilibru în respectarea acestora, ele fiind de aceeaşi naturã şi importanţã,
luând în considerare principiile de bazã pentru protecţia datelor instituite prin Convenţia pentru protejarea persoanelor faţã de prelucrarea automatizatã a datelor cu caracter personal, adoptatã la Strasbourg la 28 ianuarie 1981 şi ratificatã de România prin Legea nr. 682/2001, cu modificãrile ulterioare, mai ales cele privind asigurarea securitãţii datelor şi garanţiile conferite persoanei ale cãrei date sunt prelucrate,
ţinând cont de faptul cã, chiar dacã colectarea şi stocarea unor date de cãtre un operator nu ar putea constitui în sine o ingerinţã în viaţa privatã, comunicarea acestora unui terţ poate aduce atingere vieţii private a persoanei în cauzã, oricare ar fi utilizarea ulterioarã a informaţiilor comunicate,
având în vedere condiţiile stabilite de dispoziţiile art. 8 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificãrile şi completãrile ulterioare, prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generalã se efectueazã numai dacã persoana vizatã şi-a dat în mod expres consimţãmântul sau dacã prelucrarea este prevãzutã în mod expres de o dispoziţie legalã, Autoritatea Naţionalã de Supraveghere a Prelucrãrii Datelor cu Caracter Personal fiind în mãsurã sã stabileascã şi alte cazuri în care se poate efectua prelucrarea acestor date numai cu condiţia instituirii unor garanţii adecvate pentru respectarea drepturilor persoanelor vizate,
întrucât, potrivit art. 2 lit. h) din Directiva 95/46/CE , "consimţãmântul persoanei vizate" înseamnã orice manifestare de voinţã, liberã, specificã şi informatã, prin care persoana vizatã acceptã sã fie prelucrate datele cu caracter personal care o privesc,
luând în considerare faptul cã principiul de bazã ce guverneazã prelucrarea datelor personale trebuie sã fie consimţãmântul, astfel încât, ca regulã generalã, datele personale trebuie colectate, prelucrate sau dezvãluite unor terţi numai cu consimţãmântul dat în mod expres şi neechivoc de cãtre persoana în cauzã; consimţãmântul poate fi obţinut numai dupã ce persoana vizatã a fost complet şi exact informatã cu privire la scopul prelucrãrii acestora; exercitarea autonomiei de voinţã a persoanei vizate în privinţa prelucrãrii datelor sale presupune faptul cã în orice moment aceasta îşi poate retrage consimţãmântul pentru prelucrarea tuturor sau a unora dintre datele sale personale, fãrã consecinţe negative asupra sa,
având în vedere faptul cã documentele create şi deţinute de autoritãţile şi instituţiile publice pot conţine, prin modul în care au fost reglementate în legislaţia specificã aplicabilã, şi codul numeric personal sau alte date cu caracter personal având o funcţie de identificare de aplicabilitate generalã, cum ar fi seria şi numãrul actului de identitate, situaţie în care intervin prevederile legale privind protecţia datelor cu caracter personal,
întrucât, potrivit considerentelor (42) şi (72) ale Directivei 95/46/CE , în interesul persoanei vizate sau în vederea protejãrii drepturilor şi libertãţilor celorlalţi, statele membre pot restrânge drepturile de acces la informaţii, iar Directiva 95/46/CE permite sã se ia în considerare principiul dreptului de acces public la documente administrative atunci când se pun în aplicare principiile privind protecţia datelor personale,
ţinând cont de constatãrile Curţii Europene a Drepturilor Omului rezultate din cauzele referitoare la divulgarea datelor cu caracter personal, în sensul cã trebuie recunoscutã autoritãţilor competente o anumitã putere de a stabili un just echilibru între interesele publice şi cele private care ar fi concurente (Cauza Peck contra Regatul Unit din 28 ianuarie 2003),
vãzând dispoziţiile art. 12 alin. (1) lit. d) şi ale art. 14 alin. (1) din Legea nr. 544/2001 privind liberul acces la informaţiile de interes public, cu modificãrile şi completãrile ulterioare, care stabilesc cã datele cu caracter personal nu pot fi fãcute publice decât în condiţiile legii, iar informaţiile cu privire la datele personale ale cetãţeanului pot deveni informaţii de interes public numai în mãsura în care afecteazã capacitatea de exercitare a unei funcţii publice,
luând în considerare jurisprudenţa Curţii Constituţionale (Decizia nr. 615/2006) în care aceasta a reţinut cã în privinţa anumitor categorii de cetãţeni şi datele personale reprezintã un evident interes public, dar numai "în mãsura în care afecteazã capacitatea de exercitare a unei funcţii publice"; în caz contrar, şi în asemenea situaţii, datele referitoare la viaţa intimã, familialã şi privatã, precum şi dreptul la propria imagine trebuie protejate prin lege, aşa cum prevãd dispoziţiile constituţionale ale art. 26 alin. (1),
ţinând cont de faptul cã, deşi art. 11 din Legea nr. 677/2001, cu modificãrile şi completãrile ulterioare, prevede o serie de excepţii în situaţia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice, în sensul neaplicãrii art. 5, 6, 7 şi 10 din aceeaşi lege, fãrã a se face menţiune însã şi despre art. 8, care stabileşte condiţiile prelucrãrii codului numeric personal şi a altor date având o funcţie de identificare de aplicabilitate generalã,
ţinând cont de faptul cã existã şi situaţii de excepţie de la regula obţinerii consimţãmântului persoanei vizate cu privire la prelucrarea datelor sale, de strictã interpretare şi aplicare, reglementate de art. 5 alin. (2) din Legea nr. 677/2001, cu modificãrile şi completãrile ulterioare, dar acestea nu aduc atingere dispoziţiilor legale care reglementeazã obligaţia autoritãţilor publice de a respecta şi de a ocroti viaţa intimã, familialã şi privatã,
vãzând condiţiile de exercitare a drepturilor persoanelor vizate, stabilite de art. 12-18 din Legea nr. 677/2001, cu modificãrile şi completãrile ulterioare,
întrucât, potrivit art. 15 din Legea nr. 677/2001, cu modificãrile şi completãrile ulterioare, persoana vizatã are dreptul de a se opune în orice moment, din motive întemeiate şi legitime legate de situaţia sa particularã, ca date care o vizeazã sã facã obiectul unei prelucrãri, cu excepţia cazurilor în care existã dispoziţii legale contrare,
luând în considerare caracterul special al codului numeric personal, pentru care operatorul este obligat sã ia mãsuri tehnice şi organizatorice destinate sã îi asigure confidenţialitatea şi securitatea, în scopul de a preveni toate riscurile de dezvãluire sau acces neautorizat,
având în vedere cã, potrivit Legii nr. 24/2000 privind normele de tehnicã legislativã pentru elaborarea actelor normative, republicatã, cu modificãrile şi completãrile ulterioare, în categoria actelor normative intrã legile, ordonanţele şi hotãrârile Guvernului, actele normative ale celorlalte autoritãţi cu atribuţii de iniţiativã legislativã, precum şi ordinele, instrucţiunile, alte acte normative emise de conducãtorii autoritãţilor administrative autonome şi organele administraţiei publice centrale de specialitate, precum şi actele cu caracter normativ emise de autoritãţile administraţiei publice locale,
întrucât Autoritatea Naţionalã de Supraveghere a Prelucrãrii Datelor cu Caracter Personal este consultatã, în condiţiile art. 21 alin. (3) lit. h) din Legea nr. 677/2001, cu modificãrile şi completãrile ulterioare, la elaborarea proiectelor de acte normative referitoare la protecţia drepturilor şi libertãţilor persoanelor, în privinţa prelucrãrii datelor cu caracter personal;
având în vedere obligaţiile instituite în sarcina operatorului prin art. 19 şi art. 20 alin. (1) din Legea nr. 677/2001, cu modificãrile şi completãrile ulterioare, potrivit cãrora acesta este obligat sã aplice mãsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificãrii, dezvãluirii ori accesului neautorizat, în special dacã prelucrarea respectivã comportã transmisii de date în cadrul unei reţele, precum şi împotriva oricãrei alte forme de prelucrare ilegalã,
în baza art. 3 alin. (5) din Legea nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autoritãţii Naţionale de Supraveghere a Prelucrãrii Datelor cu Caracter Personal, cu modificãrile şi completãrile ulterioare, şi ale art. 6 alin. (2) lit. b) din Regulamentul de organizare şi funcţionare a Autoritãţii Naţionale de Supraveghere a Prelucrãrii Datelor cu Caracter Personal, aprobat prin Hotãrârea Biroului permanent al Senatului nr. 16/2005, cu modificãrile şi completãrile ulterioare,
preşedintele Autoritãţii Naţionale de Supraveghere a Prelucrãrii Datelor cu Caracter Personal emite prezenta decizie.
ART. 1
(1) Codul numeric personal reprezintã un numãr semnificativ care individualizeazã în mod unic o persoanã fizicã, constituind un instrument de verificare a stãrii civile a acesteia şi de identificare în anumite sisteme informatice de cãtre persoanele autorizate.
(2) Datele cu caracter personal cu funcţie de identificare de aplicabilitate generalã sunt acele numere prin care se identificã o persoanã fizicã în anumite sisteme de evidenţã şi care au aplicabilitate generalã, cum ar fi: codul numeric personal, seria şi numãrul actului de identitate, numãrul paşaportului, al permisului de conducere, numãrul de asigurare socialã sau de sãnãtate.
(3) Datele prevãzute la alin. (1) şi (2) fac parte din categoria datelor cu caracter special supuse regulilor specifice de prelucrare.
ART. 2
Prelucrarea datelor prevãzute la art. 1, inclusiv dezvãluirea acestora cãtre terţi, se face numai în condiţiile stabilite la art. 8 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificãrile şi completãrile ulterioare, şi anume:
a) persoana vizatã şi-a dat în mod expres consimţãmântul; sau
b) prelucrarea este prevãzutã în mod expres de o dispoziţie legalã; sau
c) în alte cazuri, cu avizul Autoritãţii Naţionale de Supraveghere a Prelucrãrii Datelor cu Caracter Personal şi numai cu condiţia instituirii unor garanţii adecvate pentru respectarea drepturilor persoanelor vizate.
ART. 3
(1) În domeniul prelucrãrii datelor cu caracter personal, consimţãmântul persoanei vizate reprezintã orice manifestare de voinţã expresã, liberã, specificã şi informatã, prin care persoana vizatã acceptã sã fie prelucrate datele cu caracter personal care o privesc.
(2) Consimţãmântul trebuie dat în mod expres, într-o formã care sã permitã dovedirea acestuia de cãtre operator.
(3) Anterior obţinerii consimţãmântului, operatorul are obligaţia de a informa persoana vizatã, în concordanţã cu prevederile art. 12 alin. (1) din Legea nr. 677/2001, cu modificãrile şi completãrile ulterioare.
(4) Cazurile în care informarea se dovedeşte imposibilã sau ar implica un efort disproporţionat faţã de interesul legitim care ar putea fi lezat, prevãzute de art. 12 alin. (3) şi (4) din Legea nr. 677/2001, cu modificãrile şi completãrile ulterioare, trebuie temeinic justificate şi documentate de cãtre operator.
ART. 4
(1) Proiectele de acte normative care stabilesc prelucrarea categoriilor de date de natura celor prevãzute la art. 1 vor respecta principiul caracterului adecvat, pertinent şi neexcesiv al acestora prin raportare la scopul în care sunt colectate şi ulterior prelucrate, potrivit art. 4 alin. (1) lit. c) din Legea nr. 677/2001, cu modificãrile şi completãrile ulterioare.
(2) La elaborarea proiectelor de acte normative prevãzute la alin. (1), Autoritatea Naţionalã de Supraveghere a Prelucrãrii Datelor cu Caracter Personal este consultatã, în condiţiile art. 21 alin. (3) lit. h) din Legea nr. 677/2001, cu modificãrile şi completãrile ulterioare.
ART. 5
(1) În situaţia prevãzutã la art. 2 lit. c), operatorul trebuie sã respecte principiul caracterului adecvat, pertinent şi neexcesiv, precum şi mãsurile de confidenţialitate şi de securitate a prelucrãrilor. În acest sens va avea în vedere, în principal, instituirea urmãtoarelor garanţii adecvate:
a) scopul prelucrãrii sã fie determinat, explicit şi legitim;
b) stabilirea şi aplicarea unor mãsuri prin care sã se asigure exercitarea drepturilor persoanelor vizate;
c) durata de stocare a datelor sã fie pe perioada strict necesarã îndeplinirii scopului, dupã care datele vor fi şterse sau distruse, dupã caz;
d) stabilirea modalitãţilor de acces la sistemele de evidenţã în vederea colectãrii datelor, în funcţie de care va stabili şi va respecta mãsuri tehnice şi organizatorice adecvate pentru protejarea datelor;
e) utilizarea datelor numai în limitele scopului stabilit;
f) dezvãluirea cãtre alţi destinatari este interzisã, cu excepţia situaţiei în care existã consimţãmântul persoanei vizate sau o prevedere legalã expresã;
g) desemnarea, în scris, a persoanei/persoanelor care va/vor prelucra datele şi care trebuie sã îşi asume rãspunderea pãstrãrii confidenţialitãţii acestora; lista conţinând evidenţa acestor persoane va fi actualizatã ori de câte ori se impune;
h) numirea, în scris, a unei persoane specializate în securitatea informaţiei care sã vegheze la prelucrarea datelor, inclusiv la buna funcţionare a sistemelor informatice utilizate în aceastã activitate;
i) stabilirea unui plan de securitate a informaţiilor care sã cuprindã, în principal, securitatea tehnicã pe plan informatic şi securitatea spaţiilor în care se prelucreazã datele, ţinând cont de cerinţele minime de securitate;
j) stabilirea, în scris, a drepturilor şi obligaţiilor operatorului care transmite datele şi ale operatorului care le primeşte.
(2) Drepturile persoanelor vizate vor fi asigurate în condiţiile art. 12-18 din Legea nr. 677/2001, cu modificãrile şi completãrile ulterioare.
(3) În cazul în care operatorul desemneazã o persoanã împuternicitã, în condiţiile Legii nr. 677/2001, cu modificãrile şi completãrile ulterioare, prevederile alin. (1) lit. b)-i) devin aplicabile.
ART. 6
Colectarea şi prelucrarea datelor prevãzute la art. 1, inclusiv dezvãluirea acestora, prin efectuarea şi reţinerea de copii de pe cartea de identitate sau de pe documente care le conţin, sunt interzise, cu excepţia situaţiilor prevãzute la art. 2.
ART. 7
Prelucrarea datelor prevãzute la art. 1, inclusiv dezvãluirea acestora, efectuatã exclusiv în scopuri jurnalistice, literare sau artistice, se realizeazã cu respectarea condiţiilor stabilite de Legea nr. 677/2001, cu modificãrile şi completãrile ulterioare, şi de prezenta decizie.
ART. 8
Colectarea şi prelucrarea ulterioarã a datelor prevãzute la art. 1, inclusiv dezvãluirea acestora, obţinute din documente accesibile publicului, se pot realiza de cãtre operatori în condiţiile prezentei decizii.
ART. 9
Prezenta decizie nu aduce atingere dispoziţiilor legale în vigoare care reglementeazã expres colectarea şi prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generalã.
ART. 10
Prezenta decizie se publicã în Monitorul Oficial al României, Partea I, şi intrã în vigoare în termen de 30 de zile de la data publicãrii.
Preşedintele Autoritãţii Naţionale de Supraveghere
a Prelucrãrii Datelor cu Caracter Personal,
Georgeta Basarabescu
Bucureşti, 20 decembrie 2011.
Nr. 132.
-------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect: