Condiţiile legale de prelucrare a datelor cu caracter personal. Cazuistică

7 iulie 2016 Drept Civil

În anul 2015, atât persoanele vizate, cât şi operatorii au solicitat Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, opinii cu privire la condiţiile legale de prelucrare a datelor cu caracter personal.

Câteva dintre cele mai semnificative cazuri:

I. Utilizarea de dispozitive de geolocalizare a vehiculelor folosite de angajaţi

Utilizarea sistemului de geolocalizare GPS reprezintă o modalitate de prelucrare de date cu caracter personal, întrucât permite angajatorului identificarea unui angajat, în mod indirect, prin localizarea vehiculului utilizat de către salariatul său, chiar dacă scopul principal al prelucrării este cel al protecției bunurilor societății de eventuale furturi.

Prin urmare, societatea care doreşte să recurgă la astfel de sisteme de localizare geografică a vehiculelor intră sub incidenţa dispozițiile Legii nr. 677/2001 şi a Deciziei nr. 200/2015.

În sensul celor de mai sus, întrucât astfel de dispozitive de geolocalizare comportă anumite riscuri în privinţa drepturilor şi libertăţilor persoanei care conduce vehiculul monitorizat (angajatul), înainte de instalarea unor astfel de sisteme de supraveghere, angajatorul trebuie să facă o evaluare a riscurilor la care se supune activitatea sa pentru a stabili necesitatea implementării lor, precum şi existența altor posibilități de îndeplinire a scopului propus. Totodată, întrucât pot fi afectate drepturile salariaților, este necesară și consultarea organismelor reprezentative ale acestora.

Sub aspectul obligației de notificare, s-a precizat că pentru această activitate este necesară completarea și depunerea notificării la Autoritatea națională de supraveghere.

II. Instalarea unui sistem de supraveghere video în sălile de naștere ale unui spital

Potrivit Legii nr. 677/2001, regula este aceea că prelucrarea datelor personale ale unei persoane fizice, de către o altă persoană fizică sau juridică, în calitatea sa de operator, se efectuează numai cu consimţământul persoanei în cauză, dat în mod expres şi neechivoc. De asemenea, aceeaşi lege menţionată anterior stabileşte în mod expres şi anumite situaţii de excepţie de la obligativitatea obţinerii consimţământului în cazul prelucrării datelor personale, reglementate de art. 5 alin. (2) din Legea nr. 677/2001.

În acelaşi timp, art. 7 din Legea nr. 677/2001 stabileşte ca regulă generală interzicerea prelucrării datelor personale privind starea de sănătate, viața sexuală, originea etnică şi altele. În conformitate cu dispoziţiile legale de mai sus, art. 3 coroborat cu art. 6 din Decizia nr. 52/2012 stabileşte că prelucrarea datelor cu caracter personal prin utilizarea sistemelor de supraveghere video se efectuează cu respectarea regulilor generale prevăzute la art. 4 din Legea nr. 677/2001, în special a principiului proporţionalităţii prelucrărilor efectuate raportat la scopul propus.

Citeste mai mult  Sechestru asigurător. Condiții de înființare atunci când creanța nu este exigibilă

Prin urmare, s-a comunicat că nu se poate recurge la o monitorizare prin supraveghere video, decât în temeiul dispoziţiilor legale de mai sus şi numai dacă această măsură este proporţională cu riscurile cu care se confruntă operatorul, astfel încât să se justifice luarea unei asemenea măsuri intruzive în viaţa privată. În acelaşi timp, trebuie să se ţină cont şi de interesele, drepturile şi libertăţile persoanelor vizate (angajaţii spitalului, pacientele şi copiii), raportat la dreptul la viaţă privată al acestora ocrotit de art. 26 din Constituţia României.

În același timp, în ceea ce priveşte angajaţii (cadrele medicale şi personalul auxiliar), întrucât implementarea unui sistem de supraveghere video poate afecta drepturile lor în calitate de angajaţi, în plus faţă de dispoziţiile Legii nr. 677/2001 şi ale art. 8 din Decizia nr. 52/2012, trebuie respectate şi cele prevăzute de Codul Muncii.

Totodată, raportat la situaţia prezentată referitoare la intenţia unei unităţi medicale de a instala camere video în sălile de naştere, s-a precizat că art. 5 alin. (4) din Decizia nr. 52/2012 prevede că ”este interzisă prelucrarea datelor cu caracter personal prin mijloace de supraveghere video în spaţii în care se impune asigurarea intimităţii persoanelor”, iar camerele individuale de naştere fac parte din această categorie de spaţii.

Mai mult, art. 9 din Decizia nr. 52/2012 stabileşte că prelucrarea datelor cu caracter personal ale minorilor prin mijloace de supraveghere video, inclusiv dezvăluirea acestora, este permisă cu acordul expres al reprezentantului legal sau în situaţiile prevăzute la art. 5 alin. (2) din Legea nr. 677/2001, cu respectarea drepturilor acestora, în special a informării prealabile.

Având în vedere textele legale sus menţionate, prin raportare la conţinutul solicitării, s-a subliniat că nu sunt îndeplinite condiţiile de prelucrare a datelor cu caracter personal prevăzute de Legea nr. 677/2001 şi de Decizia nr. 52/2012.

III. Legalitatea solicitării, de către o asociație de proprietari, a copiei cărții de identitate

Legea nr. 677/2001 stabileşte condiţiile în care datele cu caracter personal pot fi prelucrate, inclusiv dezvăluite, regula generală ce guvernează prelucrarea datelor personale fiind consimţământul persoanei în cauză, dat în mod expres şi neechivoc.

Citeste mai mult  Procedura specială a evacuării. Acordarea unui termen de grație pentru executarea hotărârii de evacuare

În mod excepţional însă, datele cu caracter personal pot fi prelucrate (inclusiv dezvăluite) fără consimţământul persoanei vizate, în mai multe situaţii de excepţie. Aceste cazuri sunt menţionate în mod expres la art. 5 alin. (2) din Legea nr. 677/2001.

Referitor la codul numeric personal, potrivit art. 8 din Legea nr. 677/2001, prelucrarea (inclusiv dezvăluirea) acestuia şi a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală poate fi efectuată numai dacă persoana vizată şi-a dat în mod expres consimţământul sau prelucrarea este prevăzută în mod expres de o dispoziţie legală ori cu avizul Autorităţii naționale de supraveghere.

În acest context, pentru clarificarea și detalierea modalității de prelucrare a codului numeric personal, precum şi reținerii copiei cărţii de identitate, Autoritatea națională de supraveghere a emis Decizia nr. 132/2011.

În privinţa copiei cărţii de identitate, art. 6 din decizia sus-menționată interzice colectarea acesteia, cu excepţia situaţiilor de la art. 2 al deciziei: consimţământul persoanei vizate, o prevedere legală expresă sau avizul Autorităţii naționale de supraveghere.

În ceea ce privește evidența locatarilor prin cartea de imobil, potrivit Hotărârii Guvernului nr. 1375/2006 privind aprobarea Normelor metodologice din 4 octombrie 2006 de aplicare unitară a dispoziţiilor legale privind evidenţa, domiciliul, reşedinţa şi actele de identitate ale cetăţenilor români, responsabilul cărţii de imobil are atribuția de a solicita persoanelor care locuiesc în imobil prezentarea actelor de identitate, în termen de 15 zile de la sosire, în vederea înscrierii datelor în cartea de imobil.

Totodată, înscrierea persoanelor în cartea de imobil se face în baza actului de identitate, iar pentru copiii sub 14 ani, în baza certificatului de naştere. Instruirea responsabililor cărţii de imobil se face de către poliţistul de ordine publică anume desemnat de şeful unităţii de poliţie pe a cărei rază teritorială este situat imobilul.

În consecință, Autoritatea națională de supraveghere a apreciat că solicitarea copiei cărții de identitate de către asociația de proprietari nu se încadrează în condițiile stabilite de prevederile legale amintite.

Citeste mai mult  Motive obiective privind suspendarea executării silite

IV. Monitorizarea accesului persoanelor prin camere video

O autoritate publică a solicitat punctul de vedere cu privire la necesitatea notificării în cazul monitorizării accesului persoanelor prin camere video, raportat la prevederile art. 1 lit. e) din Decizia nr. 23/2012 (notificarea nu este necesară când prelucrarea datelor cu caracter personal este efectuată de autorităţile administraţiei publice locale, precum şi de autorităţile administraţiei publice de la nivel judeţean şi al municipiului Bucureşti, în scopul îndeplinirii atribuţiilor lor legale).

În contextul solicitării formulate, s-a apreciat că prelucrările de date prin sistemul de supraveghere video nu se încadrează în situaţiile de excepţie de la obligaţia de notificare stabilite de dispoziţiile art. 22 alin. (2) din Legea nr. 677/2001 şi de cele ale Deciziilor nr. 90/2006, nr. 100/2007 şi nr. 23/2012 ale preşedintelui Autorităţii naționale de supraveghere.

Această prelucrare se supune atât prevederilor Legii nr. 677/2001, ale Deciziei nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video, cât şi ale Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor.

În consecinţă, s-a apreciat că este necesară depunerea notificării pentru prelucrarea efectuată în scopul monitorizării accesului persoanelor în sediul autorităţii respective.

V. Transferul datelor cu caracter personal, prin utilizarea serviciilor de cloud computing

O societate de avocatură a solicitat punctul de vedere al autorităţii în ceea ce priveşte transferul datelor cu caracter personal, prin utilizarea serviciilor de cloud computing, în Statele Unite ale Americii în baza principiilor Safe Harbor.

Faţă de informaţiile transmise, Autoritatea națională de supraveghere a arătat că operatorului din România, ce utilizează tehnologia tip cloud, îi revine obligaţia de a notifica Autorităţii naționale de supraveghere prelucrarea efectuată, precum şi transferul în străinătate, în vederea înscrierii acesteia în Registrul de evidenţă a prelucrărilor de date cu caracter personal.

De asemenea, s-a subliniat necesitatea identificării unor condiţii care să permită transferul datelor cu caracter personal în Statele Unite ale Americii, întrucât prin decizia Curţii Europene de Justiţie din data de 06.10.2015 s-a declarat nevalidă decizia Comisiei Europene din 26 iulie 2000 prin care se constata că Statele Unite asigură un nivel adecvat de protecţie a datelor cu caracter personal transferate (Safe Harbor).

Sursa: Raportul de activitate pe anul 2015 al ANSPDCP

Cuvinte cheie: > > >