Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal - ANSPDCP

Decizia nr. 200/2015 privind stabilirea cazurilor de prelucrare a datelor cu caracter personal pentru care nu este necesară notificarea, precum și pentru modificarea și abrogarea unor decizii

Text publicat în M.Of. al României.

În vigoare de la 28 decembrie 2015

Acest document poate avea modificări ulterioare. Cumpărați documentul în formă actualizată sau alegeți un abonament Lege5 care permite accesul la orice formă actualizată.

Cumpără forma actualizată

sau autentifică-te

  •  

Văzând Referatul de aprobare nr. 18 din 2 iunie 2015 al Serviciului înregistrare operatori din cadrul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal,

luând în considerare necesitatea asigurării unei protecții eficiente a drepturilor persoanelor ale căror date cu caracter personal sunt supuse prelucrării, în special în cazul anumitor operațiuni de prelucrare a datelor cu caracter personal care prezintă riscuri pentru drepturile și libertățile persoanelor, datorită naturii datelor prelucrate, scopului prelucrării, caracterului specific al categoriilor de persoane vizate sau mecanismelor utilizate pentru prelucrarea datelor,

ținând cont de dispozițiile art. 23 alin. (1) din Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, cu modificările și completările ulterioare, potrivit cărora autoritatea de supraveghere stabilește categoriile de operațiuni de prelucrare care sunt susceptibile de a prezenta riscuri speciale pentru drepturile și libertățile persoanelor,

având în vedere considerentul (49) al Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, care prevede că, pentru a evita formalitățile administrative inadecvate, statele membre pot prevedea exonerări sau simplificări ale notificării în cazurile în care prelucrarea datelor nu poate aduce atingere drepturilor și libertăților persoanelor vizate, cu condiția ca aceasta să se realizeze în conformitate cu o măsură luată de un stat membru care îi precizează limitele; întrucât exonerările sau simplificările pot fi, în mod similar, prevăzute de către statele membre atunci când o persoană împuternicită de operator se asigură că prelucrarea realizată nu poate să aducă atingere drepturilor și libertăților persoanelor vizate; întrucât o astfel de persoană împuternicită cu protejarea datelor, fie că este sau nu un angajat al operatorului, trebuie să fie în măsură să își exercite atribuțiile în deplină independență;

având în vedere considerentul (52) al Directivei 95/46/CE potrivit căruia controlul a posteriori de către autoritățile competente trebuie să fie, în general, considerat o măsură suficientă;

având în vedere considerentul (53) al Directivei 95/46/CE potrivit căruia anumite prelucrări pot să prezinte totuși riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura lor, domeniul de aplicare sau scopurile lor, cum ar fi excluderea persoanei de la beneficiul unui drept, unei prestații sau unui contract, sau prin utilizarea specifică a unei tehnologii noi; întrucât le revine statelor membre, dacă doresc acest lucru, obligația de a preciza astfel de riscuri în legislația lor;

având în vedere considerentul (54) al Directivei 95/46/CE conform căruia numărul celor care prezintă astfel de riscuri specifice trebuie să fie foarte restrâns în ceea ce privește totalul prelucrărilor efectuate în societate; întrucât statele membre trebuie să prevadă, pentru aceste prelucrări, o verificare prealabilă punerii lor în practică, efectuată de autoritatea de supraveghere sau de persoana împuternicită cu protejarea datelor în cooperare cu aceasta; întrucât, în urma acestei verificări prealabile, autoritatea de supraveghere poate, în conformitate cu dreptul intern, emite un aviz sau poate autoriza prelucrarea datelor; întrucât o astfel de verificare poate fi, de asemenea, efectuată în timpul elaborării fie a unei măsuri legislative a parlamentului național, fie a unei măsuri întemeiate pe o astfel de măsură legislativă, care să definească natura prelucrării și să stabilească garanțiile corespunzătoare;

ținând cont de prevederile art. 22 alin. (9) din Legea nr. 677/2001, cu modificările și completările ulterioare, conform cărora autoritatea de supraveghere poate stabili și cazuri în care notificarea nu este necesară,

în temeiul prevederilor art. 3 alin. (5) și (6) din Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările și completările ulterioare, și ale art. 6 alin. (2) lit. b) din Regulamentul de organizare și funcționare a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, aprobat prin Hotărârea Biroului permanent al Senatului nr. 16/2005, cu modificările și completările ulterioare,

președintele Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal emite prezenta decizie.

Art. 1. -

(1) Notificarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal nu este necesară, cu excepția următoarelor cazuri privind:

a) prelucrarea datelor cu caracter personal legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice ori de natură similară, de apartenența sindicală, precum și a datelor privind starea de sănătate și viața sexuală;

b) prelucrarea datelor genetice și biometrice;

c) prelucrarea datelor care permit, direct sau indirect, localizarea geografică a persoanelor fizice prin mijloace de comunicații electronice;

d) prelucrarea datelor cu caracter personal referitoare la săvârșirea de infracțiuni de către persoana vizată ori la condamnări penale, măsuri de siguranță sau sancțiuni administrative ori contravenționale aplicate persoanei vizate, efectuată de către entități de drept privat;

e) prelucrarea datelor cu caracter personal prin mijloace electronice, având ca scop monitorizarea și/sau evaluarea unor aspecte de personalitate, precum competența profesională, credibilitatea, comportamentul sau alte asemenea aspecte;

f) prelucrarea datelor cu caracter personal prin mijloace electronice în cadrul unor sisteme de evidență având ca scop adoptarea unor decizii automate individuale în legătură cu analizarea solvabilității, a situației economico-financiare, a faptelor susceptibile de a atrage răspunderea disciplinară, contravențională sau penală a persoanelor fizice, de către entități de drept privat;

g) prelucrarea datelor cu caracter personal ale minorilor efectuată în cadrul activităților de marketing direct;

h) prelucrarea datelor cu caracter personal ale minorilor efectuată prin intermediul internetului sau al mesageriei electronice;

i) prelucrarea datelor cu caracter personal prevăzute la lit. a), referitoare la propriii membri, efectuată de asociații, fundații sau orice alte organizații fără scop patrimonial exclusiv în vederea realizării specificului activității organizației, în măsura în care datele sunt dezvăluite unor terți fără consimțământul persoanei vizate.

(2) În situațiile prevăzute la alin. (1) notificarea nu este necesară atunci când prelucrarea este prevăzută de lege.

Art. 2. -

(1) Cu excepția cazurilor prevăzute la art. 29 alin. (5) și (6) din Legea nr. 677/2001, cu modificările și completările ulterioare, în toate situațiile, inclusiv în cele prevăzute la art. 1, transferul datelor cu caracter personal către statele situate în afara Uniunii Europene, a Zonei Economice Europene, precum și către statele cărora Comisia Europeană nu le-a recunoscut, prin decizie, un nivel de protecție adecvat va face obiectul notificării Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

(2) Transferurile prevăzute la alin. (1), efectuate în baza art. 29 alin. (4) din Legea nr. 677/2001, cu modificările și completările ulterioare, sunt supuse autorizării de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Art. 3. -

(1) Operatorii sunt obligați să notifice Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal prelucrările datelor cu caracter personal stabilite la art. 1 alin. (1) și art. 2, înainte de începerea prelucrării.

(2) Dacă pe baza notificării Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal constată că prelucrarea se încadrează în una dintre situațiile prevăzute la art. 1 alin. (1) lit. a), b), d), g) sau h), dispune efectuarea unui control prealabil, în condițiile prevăzute de art. 23 din Legea nr. 677/2001, cu modificările și completările ulterioare.

(3) Excepțiile de la obligația de a notifica nu exonerează operatorul de îndeplinirea celorlalte obligații care îi revin potrivit dispozițiilor legale aplicabile în domeniul protecției datelor cu caracter personal, cu precădere a celor privind asigurarea drepturilor persoanelor vizate, precum și a confidențialității și securității datelor.

Art. 4. -

Formularul tipizat al notificărilor din anexa la Decizia președintelui Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 95/2008 privind stabilirea formularului tipizat al notificărilor prevăzute de Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, publicată în Monitorul Oficial al României, Partea I, nr. 876 din 24 decembrie 2008, cu modificările ulterioare, se modifică prin înlocuirea coordonatelor de contact ale Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal cu actualele coordonate, astfel: "Bd. Gheorghe Magheru nr. 28-30, sectorul 1, București, telefon 031.805.9211".

Art. 5. -

La data intrării în vigoare a prezentei decizii, art. 15 din Decizia președintelui Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video, publicată în Monitorul Oficial al României, Partea I, nr. 389 din 11 iunie 2012, se modifică și va avea următorul cuprins:

"

Art. 15. -

(1) Prelucrarea datelor personale prin sisteme de supraveghere video, inclusiv transferul acestora într-un stat terț, trebuie notificată Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, anterior începerii prelucrării.

(2) Face excepție de la alin. (1) prelucrarea datelor cu caracter personal efectuată de o persoană fizică, pentru uz personal, printr-un sistem de supraveghere video care captează imagini inclusiv din spații publice."

Art. 6. -

Prezenta decizie nu aduce atingere altor dispoziții legale care prevăd obligația de notificare, precum și celorlalte decizii ale președintelui Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în vigoare.

Art. 7. -

(1) Prezenta decizie intră în vigoare la data publicării în Monitorul Oficial al României, Partea I.

(2) La data intrării în vigoare a prezentei decizii se abrogă Decizia președintelui Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 90/2006 privind cazurile în care nu este necesară notificarea prelucrării unor date cu caracter personal, publicată în Monitorul Oficial al României, Partea I, nr. 654 din 28 iulie 2006, Decizia președintelui Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 91/2006 privind cazurile în care este permisă notificarea simplificată a prelucrării datelor cu caracter personal, publicată în Monitorul Oficial al României, Partea I, nr. 654 din 28 iulie 2006, Decizia președintelui Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 100/2007 privind stabilirea cazurilor în care nu este necesară notificarea prelucrării unor date cu caracter personal, publicată în Monitorul Oficial al României, Partea I, nr. 823 din 3 decembrie 2007, Decizia președintelui Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 28/2007 privind transferurile datelor cu caracter personal către alte state, publicată în Monitorul Oficial al României, Partea I, nr. 182 din 16 martie 2007, Decizia președintelui Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 11/2009 privind stabilirea categoriilor de operațiuni de prelucrare a datelor cu caracter personal, susceptibile de a prezenta riscuri speciale pentru drepturile și libertățile persoanelor, publicată în Monitorul Oficial al României, Partea I, nr. 155 din 12 martie 2009, precum și Decizia președintelui Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 23/2012 privind stabilirea cazurilor în care nu este necesară notificarea prelucrării unor date cu caracter personal, publicată în Monitorul Oficial al României, Partea I, nr. 216 din 2 aprilie 2012.

Președintele Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal,
Ancuța Gianina Opre

București, 14 decembrie 2015.

Nr. 200.

;
loading ...