Decizia Nr. 132 din 20 decembrie 2011

privind condiţiile prelucrării codului numeric personal şi a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală

EMITENT:      AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL

PUBLICATĂ ÎN: MONITORUL OFICIAL  NR. 929 din 28 decembrie 2011

Văzând Referatul de aprobare nr. 1.089 din 2 august 2011 privind necesitatea clarificării modalităţii de prelucrare a codului numeric personal şi a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală, întrucât din practică a rezultat colectarea şi prelucrarea fără o justificare temeinică a acestor date, precum şi a copiilor documentelor ce le conţin,

având în vedere intrarea în vigoare a Tratatului de la Lisabona, la data de 1 decembrie 2009, cu consecinţe asupra cadrului juridic al protecţiei datelor în Uniunea Europeană, prin dispoziţiile art. 16 din Tratatul privind funcţionarea Uniunii Europene,

văzând dispoziţiile considerentelor (22), (23) şi (68) ale Directivei 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, denumită în continuare Directiva 95/46/CE, potrivit cărora se permite statelor membre, independent de normele generale, să prevadă condiţii de prelucrare speciale pentru sectoare specifice, fiind împuternicite să asigure punerea în aplicare a protecţiei persoanei şi prin acte cu putere de lege în anumite sectoare, completând sau clarificând cu norme speciale principiile cu privire la protecţia drepturilor şi libertăţilor persoanelor, în special a dreptului la viaţă privată, în ceea ce priveşte prelucrarea datelor cu caracter personal,

văzând dispoziţiile art. 8 din Convenţia pentru apărarea drepturilor omului şi libertăţilor fundamentale, care consfinţesc respectarea vieţii private şi de familie a oricărei persoane, inclusiv protejarea datelor personale, precum şi cele ale art. 26 din Constituţia României, republicată, care garantează respectarea dreptului fundamental la viaţă intimă, familială şi privată, drept reafirmat şi în Carta drepturilor fundamentale a Uniunii Europene,

întrucât dreptul la viaţă intimă, familială şi privată, în special la protecţia datelor personale, nu este un drept absolut, iar când se confruntă cu alte drepturi fundamentale trebuie să se găsească un echilibru în respectarea acestora, ele fiind de aceeaşi natură şi importanţă,

luând în considerare principiile de bază pentru protecţia datelor instituite prin Convenţia pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981 şi ratificată de România prin Legea nr. 682/2001, cu modificările ulterioare, mai ales cele privind asigurarea securităţii datelor şi garanţiile conferite persoanei ale cărei date sunt prelucrate,

ţinând cont de faptul că, chiar dacă colectarea şi stocarea unor date de către un operator nu ar putea constitui în sine o ingerinţă în viaţa privată, comunicarea acestora unui terţ poate aduce atingere vieţii private a persoanei în cauză, oricare ar fi utilizarea ulterioară a informaţiilor comunicate,

având în vedere condiţiile stabilite de dispoziţiile art. 8 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare, prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală se efectuează numai dacă persoana vizată şi-a dat în mod expres consimţământul sau dacă prelucrarea este prevăzută în mod expres de o dispoziţie legală, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal fiind în măsură să stabilească şi alte cazuri în care se poate efectua prelucrarea acestor date numai cu condiţia instituirii unor garanţii adecvate pentru respectarea drepturilor persoanelor vizate,

întrucât, potrivit art. 2 lit. h) din Directiva 95/46/CE, „consimţământul persoanei vizate” înseamnă orice manifestare de voinţă, liberă, specifică şi informată, prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc,

luând în considerare faptul că principiul de bază ce guvernează prelucrarea datelor personale trebuie să fie consimţământul, astfel încât, ca regulă generală, datele personale trebuie colectate, prelucrate sau dezvăluite unor terţi numai cu consimţământul dat în mod expres şi neechivoc de către persoana în cauză; consimţământul poate fi obţinut numai după ce persoana vizată a fost complet şi exact informată cu privire la scopul prelucrării acestora; exercitarea autonomiei de voinţă a persoanei vizate în privinţa prelucrării datelor sale presupune faptul că în orice moment aceasta îşi poate retrage consimţământul pentru prelucrarea tuturor sau a unora dintre datele sale personale, fără consecinţe negative asupra sa,

având în vedere faptul că documentele create şi deţinute de autorităţile şi instituţiile publice pot conţine, prin modul în care au fost reglementate în legislaţia specifică aplicabilă, şi codul numeric personal sau alte date cu caracter personal având o funcţie de identificare de aplicabilitate generală, cum ar fi seria şi numărul actului de identitate, situaţie în care intervin prevederile legale privind protecţia datelor cu caracter personal,

întrucât, potrivit considerentelor (42) şi (72) ale Directivei 95/46/CE, în interesul persoanei vizate sau în vederea protejării drepturilor şi libertăţilor celorlalţi, statele membre pot restrânge drepturile de acces la informaţii, iar Directiva 95/46/CE permite să se ia în considerare principiul dreptului de acces public la documente administrative atunci când se pun în aplicare principiile privind protecţia datelor personale,

ţinând cont de constatările Curţii Europene a Drepturilor Omului rezultate din cauzele referitoare la divulgarea datelor cu caracter personal, în sensul că trebuie recunoscută autorităţilor competente o anumită putere de a stabili un just echilibru între interesele publice şi cele private care ar fi concurente (Cauza Peck contra Regatul Unit din 28 ianuarie 2003),

văzând dispoziţiile art. 12 alin. (1) lit. d) şi ale art. 14 alin. (1) din Legea nr. 544/2001 privind liberul acces la informaţiile de interes public, cu modificările şi completările ulterioare, care stabilesc că datele cu caracter personal nu pot fi făcute publice decât în condiţiile legii, iar informaţiile cu privire la datele personale ale cetăţeanului pot deveni informaţii de interes public numai în măsura în care afectează capacitatea de exercitare a unei funcţii publice,

luând în considerare jurisprudenţa Curţii Constituţionale (Decizia nr. 615/2006) în care aceasta a reţinut că în privinţa anumitor categorii de cetăţeni şi datele personale reprezintă un evident interes public, dar numai „în măsura în care afectează capacitatea de exercitare a unei funcţii publice”; în caz contrar, şi în asemenea situaţii, datele referitoare la viaţa intimă, familială şi privată, precum şi dreptul la propria imagine trebuie protejate prin lege, aşa cum prevăd dispoziţiile constituţionale ale art. 26 alin. (1),

ţinând cont de faptul că, deşi art. 11 din Legea nr. 677/2001, cu modificările şi completările ulterioare, prevede o serie de excepţii în situaţia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice, în sensul neaplicării art. 5, 6, 7 şi 10 din aceeaşi lege, fără a se face menţiune însă şi despre art. 8, care stabileşte condiţiile prelucrării codului numeric personal şi a altor date având o funcţie de identificare de aplicabilitate generală,

ţinând cont de faptul că există şi situaţii de excepţie de la regula obţinerii consimţământului persoanei vizate cu privire la prelucrarea datelor sale, de strictă interpretare şi aplicare, reglementate de art. 5 alin. (2) din Legea nr. 677/2001, cu modificările şi completările ulterioare, dar acestea nu aduc atingere dispoziţiilor legale care reglementează obligaţia autorităţilor publice de a respecta şi de a ocroti viaţa intimă, familială şi privată,

văzând condiţiile de exercitare a drepturilor persoanelor vizate, stabilite de art. 12 – 18 din Legea nr. 677/2001, cu modificările şi completările ulterioare,

întrucât, potrivit art. 15 din Legea nr. 677/2001, cu modificările şi completările ulterioare, persoana vizată are dreptul de a se opune în orice moment, din motive întemeiate şi legitime legate de situaţia sa particulară, ca date care o vizează să facă obiectul unei prelucrări, cu excepţia cazurilor în care există dispoziţii legale contrare,

luând în considerare caracterul special al codului numeric personal, pentru care operatorul este obligat să ia măsuri tehnice şi organizatorice destinate să îi asigure confidenţialitatea şi securitatea, în scopul de a preveni toate riscurile de dezvăluire sau acces neautorizat,

având în vedere că, potrivit Legii nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative, republicată, cu modificările şi completările ulterioare, în categoria actelor normative intră legile, ordonanţele şi hotărârile Guvernului, actele normative ale celorlalte autorităţi cu atribuţii de iniţiativă legislativă, precum şi ordinele, instrucţiunile, alte acte normative emise de conducătorii autorităţilor administrative autonome şi organele administraţiei publice centrale de specialitate, precum şi actele cu caracter normativ emise de autorităţile administraţiei publice locale,

întrucât Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal este consultată, în condiţiile art. 21 alin. (3) lit. h) din Legea nr. 677/2001, cu modificările şi completările ulterioare, la elaborarea proiectelor de acte normative referitoare la protecţia drepturilor şi libertăţilor persoanelor, în privinţa prelucrării datelor cu caracter personal;

având în vedere obligaţiile instituite în sarcina operatorului prin art. 19 şi art. 20 alin. (1) din Legea nr. 677/2001, cu modificările şi completările ulterioare, potrivit cărora acesta este obligat să aplice măsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii ori accesului neautorizat, în special dacă prelucrarea respectivă comportă transmisii de date în cadrul unei reţele, precum şi împotriva oricărei alte forme de prelucrare ilegală,

în baza art. 3 alin. (5) din Legea nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările şi completările ulterioare, şi ale art. 6 alin. (2) lit. b) din Regulamentul de organizare şi funcţionare a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, aprobat prin Hotărârea Biroului permanent al Senatului nr. 16/2005, cu modificările şi completările ulterioare,

 

preşedintele Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal emite prezenta decizie.

 

ART. 1

(1) Codul numeric personal reprezintă un număr semnificativ care individualizează în mod unic o persoană fizică, constituind un instrument de verificare a stării civile a acesteia şi de identificare în anumite sisteme informatice de către persoanele autorizate.

(2) Datele cu caracter personal cu funcţie de identificare de aplicabilitate generală sunt acele numere prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care au aplicabilitate generală, cum ar fi: codul numeric personal, seria şi numărul actului de identitate, numărul paşaportului, al permisului de conducere, numărul de asigurare socială sau de sănătate.

(3) Datele prevăzute la alin. (1) şi (2) fac parte din categoria datelor cu caracter special supuse regulilor specifice de prelucrare.

ART. 2

Prelucrarea datelor prevăzute la art. 1, inclusiv dezvăluirea acestora către terţi, se face numai în condiţiile stabilite la art. 8 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare, şi anume:

  1. a) persoana vizată şi-a dat în mod expres consimţământul; sau
  2. b) prelucrarea este prevăzută în mod expres de o dispoziţie legală; sau
  3. c) în alte cazuri, cu avizul Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal şi numai cu condiţia instituirii unor garanţii adecvate pentru respectarea drepturilor persoanelor vizate.

ART. 3

(1) În domeniul prelucrării datelor cu caracter personal, consimţământul persoanei vizate reprezintă orice manifestare de voinţă expresă, liberă, specifică şi informată, prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc.

(2) Consimţământul trebuie dat în mod expres, într-o formă care să permită dovedirea acestuia de către operator.

(3) Anterior obţinerii consimţământului, operatorul are obligaţia de a informa persoana vizată, în concordanţă cu prevederile art. 12 alin. (1) din Legea nr. 677/2001, cu modificările şi completările ulterioare.

(4) Cazurile în care informarea se dovedeşte imposibilă sau ar implica un efort disproporţionat faţă de interesul legitim care ar putea fi lezat, prevăzute de art. 12 alin. (3) şi (4) din Legea nr. 677/2001, cu modificările şi completările ulterioare, trebuie temeinic justificate şi documentate de către operator.

ART. 4

(1) Proiectele de acte normative care stabilesc prelucrarea categoriilor de date de natura celor prevăzute la art. 1 vor respecta principiul caracterului adecvat, pertinent şi neexcesiv al acestora prin raportare la scopul în care sunt colectate şi ulterior prelucrate, potrivit art. 4 alin. (1) lit. c) din Legea nr. 677/2001, cu modificările şi completările ulterioare.

(2) La elaborarea proiectelor de acte normative prevăzute la alin. (1), Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal este consultată, în condiţiile art. 21 alin. (3) lit. h) din Legea nr. 677/2001, cu modificările şi completările ulterioare.

ART. 5

(1) În situaţia prevăzută la art. 2 lit. c), operatorul trebuie să respecte principiul caracterului adecvat, pertinent şi neexcesiv, precum şi măsurile de confidenţialitate şi de securitate a prelucrărilor. În acest sens va avea în vedere, în principal, instituirea următoarelor garanţii adecvate:

  1. a) scopul prelucrării să fie determinat, explicit şi legitim;
  2. b) stabilirea şi aplicarea unor măsuri prin care să se asigure exercitarea drepturilor persoanelor vizate;
  3. c) durata de stocare a datelor să fie pe perioada strict necesară îndeplinirii scopului, după care datele vor fi şterse sau distruse, după caz;
  4. d) stabilirea modalităţilor de acces la sistemele de evidenţă în vederea colectării datelor, în funcţie de care va stabili şi va respecta măsuri tehnice şi organizatorice adecvate pentru protejarea datelor;
  5. e) utilizarea datelor numai în limitele scopului stabilit;
  6. f) dezvăluirea către alţi destinatari este interzisă, cu excepţia situaţiei în care există consimţământul persoanei vizate sau o prevedere legală expresă;
  7. g) desemnarea, în scris, a persoanei/persoanelor care va/vor prelucra datele şi care trebuie să îşi asume răspunderea păstrării confidenţialităţii acestora; lista conţinând evidenţa acestor persoane va fi actualizată ori de câte ori se impune;
  8. h) numirea, în scris, a unei persoane specializate în securitatea informaţiei care să vegheze la prelucrarea datelor, inclusiv la buna funcţionare a sistemelor informatice utilizate în această activitate;
  9. i) stabilirea unui plan de securitate a informaţiilor care să cuprindă, în principal, securitatea tehnică pe plan informatic şi securitatea spaţiilor în care se prelucrează datele, ţinând cont de cerinţele minime de securitate;
  10. j) stabilirea, în scris, a drepturilor şi obligaţiilor operatorului care transmite datele şi ale operatorului care le primeşte.

(2) Drepturile persoanelor vizate vor fi asigurate în condiţiile art. 12 – 18 din Legea nr. 677/2001, cu modificările şi completările ulterioare.

(3) În cazul în care operatorul desemnează o persoană împuternicită, în condiţiile Legii nr. 677/2001, cu modificările şi completările ulterioare, prevederile alin. (1) lit. b) – i) devin aplicabile.

ART. 6

Colectarea şi prelucrarea datelor prevăzute la art. 1, inclusiv dezvăluirea acestora, prin efectuarea şi reţinerea de copii de pe cartea de identitate sau de pe documente care le conţin, sunt interzise, cu excepţia situaţiilor prevăzute la art. 2.

ART. 7

Prelucrarea datelor prevăzute la art. 1, inclusiv dezvăluirea acestora, efectuată exclusiv în scopuri jurnalistice, literare sau artistice, se realizează cu respectarea condiţiilor stabilite de Legea nr. 677/2001, cu modificările şi completările ulterioare, şi de prezenta decizie.

ART. 8

Colectarea şi prelucrarea ulterioară a datelor prevăzute la art. 1, inclusiv dezvăluirea acestora, obţinute din documente accesibile publicului, se pot realiza de către operatori în condiţiile prezentei decizii.

ART. 9

Prezenta decizie nu aduce atingere dispoziţiilor legale în vigoare care reglementează expres colectarea şi prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală.

ART. 10

Prezenta decizie se publică în Monitorul Oficial al României, Partea I, şi intră în vigoare în termen de 30 de zile de la data publicării.

 

Preşedintele Autorităţii Naţionale de Supraveghere

a Prelucrării Datelor cu Caracter Personal,

Georgeta Basarabescu

 

Bucureşti, 20 decembrie 2011.

 

2018-04-11T07:20:51+00:00
Aveti nevoie de ajutor in
implementarea GDPR?
Lasati-ne cateva detalii despre dvs. si compania pe care o reprezentati,
iar noi vom reveni cu mai multe informatii. 
Vreau sa fiu contactat!
Ma mai gandesc
close-link