În Monitorul Oficial al României, partea I, nr. 13 din data de 7 ianuarie 2019, a fost publicată Legea nr. 363/2018 care reglementează prelucrarea datelor cu caracter personal în scopul realizării activităților de prevenire, descoperire, cercetare, urmărire penală și combatere a infracțiunilor, de executare a pedepselor, măsurilor educative și de siguranță, precum și de menținere și asigurare a ordinii și siguranței publice de către autoritățile competente, în limitele competențelor stabilite prin lege.
Prezenta inra în vigoare la data de 6 februarie 2019 si nu se aplică prelucrărilor de date cu caracter personal efectuate pentru realizarea activităților din domeniul apărării naționale și securității naționale, în limitele și cu restricțiile stabilite prin legislația în materie.
Art. 6 din Lege prevede următoarele obligații pentru prelucrarea datelor:
– Actele normative, indiferent de nivelul de legiferare, care instituie prelucrări de date cu caracter personal în scopul realizării activităților prevăzute de Lege, trebuie să stabilească cel puțin următoarele aspecte:
a) contextul general al prelucrării și obiectivele acesteia;
b) datele cu caracter personal care urmează să fie prelucrate;
c) scopurile prelucrării;
d) termenele de stocare generale și, după caz, specifice a datelor cu caracter personal.
– Stabilirea termenelor specifice de păstrare este obligatorie în următoarele situații:
a) prelucrarea datelor cu caracter personal referitoare la minori;
b) prelucrarea categoriilor speciale de date cu caracter personal;
c) prelucrarea datelor cu caracter personal a căror acuratețe nu a fost stabilită sau nu a putut fi stabilită;
d) în orice altă situație în care prelucrarea presupune riscuri majore pentru persoana vizată.
– Termenele specifice de stocare nu pot fi mai mari decât jumătate din termenul general de stocare corespunzător scopului prelucrări.
– La împlinirea termenelor de stocare, datele cu caracter personal pot fi:
a) arhivate în interes public în conformitate cu legislația specială;
b) stocate în evidența pasivă pentru o durată care nu poate depăși jumătate din termenul inițial de stocare;
c) distruse sau șterse prin utilizarea unor proceduri ireversibile, dacă nu se încadrează în una dintre situațiile prevăzute la lit. a) sau b).
Interesant este că Legea impune obligația operatorului de date să prezinte o serie de informații persoanei vizate ((identitatea și datele de contact ale operatorului; datele de contact ale responsabilului cu protecția datelor, scopurile în care sunt prelucrate datele cu caracter personal etc. – art. 13 și 14); totuși art. 15 prevede dreptul operatorului de a dispune, după caz, măsura amânării (maxim 1 an, persoana vizată fiind informată în 60 de zile de la dispunerea măsurii cu privire la existența acesteia), restricționării (nu este limitată în timp) sau omiterii furnizării de informații persoanei vizate în condițiile prevăzute la art. 14 numai dacă, ținând seama de drepturile fundamentale și interesele legitime ale persoanei vizate, o astfel de măsură este necesară și proporțională într-o societate democratică pentru:
a) evitarea obstrucționării bunei desfășurări a procesului penal;
b) evitarea prejudicierii prevenirii, descoperirii, cercetării, urmăririi penale și combaterii infracțiunilor sau a executării pedepselor;
c) protejarea ordinii și siguranței publice;
d) protejarea securității naționale;
e) protejarea drepturilor și libertăților celorlalți.
Persoana vizată poate cere rectificarea datelor cu caracter personal deținute/prelucrate de operator, în acest caz operatorul are obligația să verifice modul în care acestea au fost colectate (art. 19).
Persoana vizată are oricând la dispoziție posibilitatea adresării la autoritatea de supraveghere pentru ași valorifica drepturile.
Legea prevede la art. 23 obligația operatorului de a utiliza măsuri tehnice și organizatorice adecvate pentru prelucrarea datelor cu caracter personal.
Operatorul poate desemna persoane împuternicite cu prelucrarea datelor (atunci când există suficiente garanții pentru punerea în aplicare a măsurilor tehnice și organizatorice adecvate), acestora fiindu-le interzis să prelucreze datele cu caracter personal cu depășirea instrucțiunilor primite de la operator, cu excepția situațiilor prevăzute expres de lege.
Art. 27-29 prevede obligația operatorului de a ține evidența tuturor categoriilor de activități de prelucrare aflate în responsabilitatea sa.
În situația în care se intenționează introducerea unei noi prelucrări de date cu caracter personal, în special în situația în care aceasta implică utilizarea de noi tehnologii, operatorul este obligat să evalueze următoarele aspecte ale prelucrării:
a) natura datelor cu caracter personal prelucrate;
b) domeniul de aplicare;
c) contextul și scopurile prelucrării.
În măsura în care prelucrarea este susceptibilă să genereze un risc ridicat la adresa drepturilor și libertăților persoanelor fizice, operatorul este obligat ca înaintea prelucrării să efectueze o evaluare a impactului operațiunilor de prelucrare preconizate asupra datelor cu caracter personal.
În atare situație operatorul este obligat să consulte autoritatea de supraveghere, atunci când:
a) evaluarea impactului asupra protecției datelor cu caracter personal indică faptul că prelucrarea ar genera un risc ridicat în absența măsurilor luate de operator pentru atenuarea riscului;
b) tipul de prelucrare, în special în cazul în care se utilizează noi tehnologii, mecanisme sau proceduri, implică un risc ridicat la adresa drepturilor și libertăților persoanelor vizate.
Operatorul are obligația în cazul încălcărilor de securitate a prelucrării datelor să notifice imediat autoritatea de supraveghere. În acest sens el urmează a se documenta și să păstreze documentația pentru o perioadă de 5 de la transmiterea notificării (art. 36-37).
Operatorul este obligat să desemneze un responsabil cu protecția datelor cu caracter personal.
Poate fi desemnată responsabil cu protecția datelor persoana care îndeplinește următoarele condiții:
a) deține calități profesionale corespunzătoare;
b) deține cunoștințe de specialitate în domeniul legislației și practicilor privind protecția datelor cu caracter personal;
c) are capacitatea de a îndeplini următoarele sarcini: informează și consiliază operatorul și angajații acestuia care efectuează prelucrarea cu privire la obligațiile care le revin în temeiul prezentei legi și al altor dispoziții legale privind protecția datelor cu caracter personal; monitorizează respectarea dispozițiilor prezentei legi, a altor dispoziții legale privind protecția datelor cu caracter personal și a politicilor operatorului în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunilor de conștientizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente; consiliază, la cerere, cu privire la evaluarea impactului asupra protecției datelor cu caracter personal și monitorizarea funcționării acesteia etc. (art. 42).
Legea mai prevede condițiile transferului de date.
Pentru mai multe detalii vă invitam să parcurgeți Legea 363/2018 integral.
Legal Insight
