DECIZIE nr. 200 din 14 decembrie 2015 privind stabilirea cazurilor de prelucrare a datelor cu caracter personal pentru care nu este necesară notificarea, precum şi pentru modificarea şi abrogarea unor decizii
Văzând Referatul de aprobare nr. 18 din 2 iunie 2015 al Serviciului înregistrare
operatori din cadrul Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu
Caracter Personal,
luând în considerare necesitatea asigurării unei protecţii eficiente a drepturilor
persoanelor ale căror date cu caracter personal sunt supuse prelucrării, în special în
cazul anumitor operaţiuni de prelucrare a datelor cu caracter personal care prezintă
riscuri pentru drepturile şi libertăţile persoanelor, datorită naturii datelor prelucrate,
scopului prelucrării, caracterului specific al categoriilor de persoane vizate sau
mecanismelor utilizate pentru prelucrarea datelor,
ţinând cont de dispoziţiile art. 23 alin. (1) din Legea nr. 677/2001 pentru protecţia
persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie
a acestor date, cu modificările şi completările ulterioare, potrivit cărora autoritatea
de supraveghere stabileşte categoriile de operaţiuni de prelucrare care sunt
susceptibile de a prezenta riscuri speciale pentru drepturile şi libertăţile
persoanelor,
având în vedere considerentul (49) al Directivei 95/46/CE a Parlamentului
European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice
în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a
acestor date, care prevede că, pentru a evita formalităţile administrative
inadecvate, statele membre pot prevedea exonerări sau simplificări ale notificării în
cazurile în care prelucrarea datelor nu poate aduce atingere drepturilor şi libertăţilor
persoanelor vizate, cu condiţia ca aceasta să se realizeze în conformitate cu o
măsură luată de un stat membru care îi precizează limitele; întrucât exonerările sau
simplificările pot fi, în mod similar, prevăzute de către statele membre atunci când
o persoană împuternicită de operator se asigură că prelucrarea realizată nu poate
să aducă atingere drepturilor şi libertăţilor persoanelor vizate; întrucât o astfel de
persoană împuternicită cu protejarea datelor, fie că este sau nu un angajat al
operatorului, trebuie să fie în măsură să îşi exercite atribuţiile în deplină
independenţă;
având în vedere considerentul (52) al Directivei 95/46/CE potrivit căruia controlul
a posteriori de către autorităţile competente trebuie să fie, în general, considerat o
măsură suficientă;
având în vedere considerentul (53) al Directivei 95/46/CE potrivit căruia anumite
prelucrări pot să prezinte totuşi riscuri specifice pentru drepturile şi libertăţile
persoanelor vizate prin însăşi natura lor, domeniul de aplicare sau scopurile lor,
cum ar fi excluderea persoanei de la beneficiul unui drept, unei prestaţii sau unui
contract, sau prin utilizarea specifică a unei tehnologii noi; întrucât le revine
statelor membre, dacă doresc acest lucru, obligaţia de a preciza astfel de riscuri în
legislaţia lor;
având în vedere considerentul (54) al Directivei 95/46/CE conform căruia numărul
celor care prezintă astfel de riscuri specifice trebuie să fie foarte restrâns în ceea ce
priveşte totalul prelucrărilor efectuate în societate; întrucât statele membre trebuie
să prevadă, pentru aceste prelucrări, o verificare prealabilă punerii lor în practică,
efectuată de autoritatea de supraveghere sau de persoana împuternicită cu
protejarea datelor în cooperare cu aceasta; întrucât, în urma acestei verificări
prealabile, autoritatea de supraveghere poate, în conformitate cu dreptul intern,
emite un aviz sau poate autoriza prelucrarea datelor; întrucât o astfel de verificare
poate fi, de asemenea, efectuată în timpul elaborării fie a unei măsuri legislative a
parlamentului naţional, fie a unei măsuri întemeiate pe o astfel de măsură
legislativă, care să definească natura prelucrării şi să stabilească garanţiile
corespunzătoare;
ţinând cont de prevederile art. 22 alin. (9) din Legea nr. 677/2001, cu modificările
şi completările ulterioare, conform cărora autoritatea de supraveghere poate stabili
şi cazuri în care notificarea nu este necesară,
în temeiul prevederilor art. 3 alin. (5) şi (6) din Legea nr. 102/2005 privind
înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a
Prelucrării Datelor cu Caracter Personal, cu modificările şi completările ulterioare, şi
ale art. 6 alin. (2) lit. b) din Regulamentul de organizare şi funcţionare a Autorităţii
Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, aprobat prin
Hotărârea Biroului permanent al Senatului nr. 16/2005, cu modificările şi
completările ulterioare,
preşedintele Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu
Caracter Personal emite prezenta decizie.
Art. 1
(1) Notificarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu
Caracter Personal nu este necesară, cu excepţia următoarelor cazuri privind:
a) prelucrarea datelor cu caracter personal legate de originea rasială sau etnică, de
convingerile politice, religioase, filozofice ori de natură similară, de apartenenţa
sindicală, precum şi a datelor privind starea de sănătate şi viaţa sexuală;
b) prelucrarea datelor genetice şi biometrice;
c) prelucrarea datelor care permit, direct sau indirect, localizarea geografică a
persoanelor fizice prin mijloace de comunicaţii electronice;
d) prelucrarea datelor cu caracter personal referitoare la săvârşirea de infracţiuni de
către persoana vizată ori la condamnări penale, măsuri de siguranţă sau sancţiuni
administrative ori contravenţionale aplicate persoanei vizate, efectuată de către
entităţi de drept privat;
e) prelucrarea datelor cu caracter personal prin mijloace electronice,
având ca scop monitorizarea şi/sau evaluarea unor aspecte de personalitate,
precum competenţa profesională, credibilitatea, comportamentul sau alte asemenea
aspecte;
f) prelucrarea datelor cu caracter personal prin mijloace electronice în cadrul unor
sisteme de evidenţă având ca scop adoptarea unor decizii automate individuale în
legătură cu analizarea solvabilităţii, a situaţiei economico-financiare, a faptelor
susceptibile de a atrage răspunderea disciplinară, contravenţională sau penală a
persoanelor fizice, de către entităţi de drept privat;
g) prelucrarea datelor cu caracter personal ale minorilor efectuată în cadrul
activităţilor de marketing direct;
h) prelucrarea datelor cu caracter personal ale minorilor efectuată prin intermediul
internetului sau al mesageriei electronice;
i) prelucrarea datelor cu caracter personal prevăzute la lit. a), referitoare la propriii
membri, efectuată de asociaţii, fundaţii sau orice alte organizaţii fără scop
patrimonial exclusiv în vederea realizării specificului activităţii organizaţiei, în
măsura în care datele sunt dezvăluite unor terţi fără consimţământul persoanei
vizate.
(2) În situaţiile prevăzute la alin. (1) notificarea nu este necesară atunci când
prelucrarea este prevăzută de lege.
Art. 2
(1) Cu excepţia cazurilor prevăzute la art. 29 alin. (5) şi (6) din Legea nr.
677/2001, cu modificările şi completările ulterioare, în toate situaţiile, inclusiv în
cele prevăzute la art. 1, transferul datelor cu caracter personal către statele situate
în afara Uniunii Europene, a Zonei Economice Europene, precum şi către statele
cărora Comisia Europeană nu le-a recunoscut, prin decizie, un nivel de protecţie
adecvat va face obiectul notificării Autorităţii Naţionale de Supraveghere a
Prelucrării Datelor cu Caracter Personal.
(2) Transferurile prevăzute la alin. (1), efectuate în baza art. 29 alin. (4) din Legea
nr. 677/2001, cu modificările şi completările ulterioare, sunt supuse autorizării de
către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter
Personal.
Art. 3
(1) Operatorii sunt obligaţi să notifice Autorităţii Naţionale de Supraveghere a
Prelucrării Datelor cu Caracter Personal prelucrările datelor cu caracter personal
stabilite la art. 1 alin. (1) şi art. 2, înainte de începerea prelucrării.
(2) Dacă pe baza notificării Autoritatea Naţională de Supraveghere a Prelucrării
Datelor cu Caracter Personal constată că prelucrarea se încadrează în una dintre
situaţiile prevăzute la art. 1 alin. (1) lit. a), b), d), g) sau h), dispune efectuarea
unui control prealabil, în condiţiile prevăzute de art. 23 din Legea nr. 677/2001,
cu modificările şi completările ulterioare.
(3) Excepţiile de la obligaţia de a notifica nu exonerează operatorul de îndeplinirea
celorlalte obligaţii care îi revin potrivit dispoziţiilor legale aplicabile în domeniul
protecţiei datelor cu caracter personal, cu precădere a celor privind asigurarea
drepturilor persoanelor vizate, precum şi a confidenţialităţii şi securităţii datelor.
Art. 4
Formularul tipizat al notificărilor din anexa la Decizia preşedintelui Autorităţii
Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 95/2008
privind stabilirea formularului tipizat al notificărilor prevăzute de Legea nr.
677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu
caracter personal şi libera circulaţie a acestor date, publicată în Monitorul Oficial al
României, Partea I, nr. 876 din 24 decembrie 2008, cu modificările ulterioare, se
modifică prin înlocuirea coordonatelor de contact ale Autorităţii Naţionale de
Supraveghere a Prelucrării Datelor cu Caracter Personal cu actualele coordonate,
astfel: "Bd. Gheorghe Magheru nr. 28-30, sectorul 1, Bucureşti, telefon
031.805.9211".
Art. 5
La data intrării în vigoare a prezentei decizii, art. 15 din Decizia preşedintelui
Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr.
52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor
de supraveghere video, publicată în Monitorul Oficial al României, Partea I, nr. 389
din 11 iunie 2012, se modifică şi va avea următorul cuprins:
"- Art. 15
(1) Prelucrarea datelor personale prin sisteme de supraveghere video, inclusiv
transferul acestora într-un stat terţ, trebuie notificată Autorităţii Naţionale de
Supraveghere a Prelucrării Datelor cu Caracter Personal, anterior începerii
prelucrării.
(2) Face excepţie de la alin. (1) prelucrarea datelor cu caracter personal efectuată
de o persoană fizică, pentru uz personal, printr-un sistem de supraveghere video
care captează imagini inclusiv din spaţii publice."
Art. 6
Prezenta decizie nu aduce atingere altor dispoziţii legale care prevăd obligaţia de
notificare, precum şi celorlalte decizii ale preşedintelui Autorităţii Naţionale de
Supraveghere a Prelucrării Datelor cu Caracter Personal, în vigoare.
Art. 7
(1) Prezenta decizie intră în vigoare la data publicării în Monitorul Oficial al
României, Partea I.
(2) La data intrării în vigoare a prezentei decizii se abrogă Decizia preşedintelui
Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr.
90/2006 privind cazurile în care nu este necesară notificarea prelucrării unor date
cu caracter personal, publicată în Monitorul Oficial al României, Partea I, nr. 654 din
28 iulie 2006, Decizia preşedintelui Autorităţii Naţionale de Supraveghere a
Prelucrării Datelor cu Caracter Personal nr. 91/2006 privind cazurile în care este
permisă notificarea simplificată a prelucrării datelor cu caracter personal, publicată
în Monitorul Oficial al României, Partea I, nr. 654 din 28 iulie 2006, Decizia
preşedintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter
Personal nr. 100/2007 privind stabilirea cazurilor în care nu este necesară
notificarea prelucrării unor date cu caracter personal, publicată în Monitorul Oficial
al României, Partea I, nr. 823 din 3 decembrie 2007, Decizia preşedintelui
Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr.
28/2007 privind transferurile datelor cu caracter personal către alte state,
publicată în Monitorul Oficial al României, Partea I, nr. 182 din 16 martie 2007,
Decizia preşedintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu
Caracter Personal nr. 11/2009 privind stabilirea categoriilor de operaţiuni de
prelucrare a datelor cu caracter personal, susceptibile de a prezenta riscuri speciale
pentru drepturile şi libertăţile persoanelor, publicată în Monitorul Oficial al
României, Partea I, nr. 155 din 12 martie 2009, precum şi Decizia preşedintelui
Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr.
23/2012 privind stabilirea cazurilor în care nu este necesară notificarea prelucrării
unor date cu caracter personal, publicată în Monitorul Oficial al României, Partea I,
nr. 216 din 2 aprilie 2012.
-****-
Preşedintele Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal,
Ancuţa Gianina Opre
Publicat în Monitorul Oficial cu numărul 969 din data de 28 decembrie 2015
Sursa: dataprotection.ro