Home » Ghid notificare
 Română | English | Francais

Depune notificarea

Ghid de notificare

Depunere Notificare ONLINE

Registrul on-line al notificărilor

Ultimile stiri

Contacte

Contactaţi-ne

Informaţie utilă

Legături utile

Întrebări frecvente

Ghid de Notificare


GHID DE COMPLETARE

A FORMULARULUI DE NOTIFICARE

 

1. Informaţii generale privind formularul de notificare

DECIZIA nr. 95/2008 privind stabilirea formularului tipizat al notificărilor prevăzute de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date a fost publicată în Monitorul Oficial                      nr. 876/24.12.2008 şi a intrat în vigoare la 1 martie 2009.

Formularul acceptat este numai cel obţinut din Monitorul Oficial mai sus menţionat sau de pe site-ul autorităţii: www.dataprotection.ro.

Notificările completate pe formularele aprobate prin Decizia nr. 60 din 6 iunie 2006 şi înregistrate în registrul de evidenţă a prelucrărilor de date cu caracter personal până la data intrării în vigoare a Deciziei nr. 95/2008 rămân valabile.

Întrucât autoritatea de supraveghere a implementat registrul electronic de evidenţă a prelucrărilor de date cu caracter personal notificate de operatorii aflaţi în evidenţele proprii, iar acesta poate fi consultat on-line, recomandăm ca formularul de notificare să fie transmis, cu precădere, în sistem on-line.

După depunerea on-line a notificării, se va transmite autorităţii de supraveghere, în cel mult 30 de zile, prima pagină a formularului de notificare, semnată şi ştampilată. În caz contrar, notificarea va fi ştearsă automat din sistemul electronic de evidenţă. Ataşat primei pagini, trebuie transmisă şi copia mesajului electronic primit din partea autorităţii de supraveghere intitulat „confirmare înregistrare document", în care figurează numărul de înregistrare al formularului de notificare în Registrul General al instituţiei noastre.

Completarea formularului de notificare se efectuează, după caz, prin marcarea cu semnul "X" a rubricilor de la fiecare secţiune sau prin completarea spaţiilor libere, conform cerinţelor de la punctele respective.

Formularul de notificare se poate completa în 3 modalităţi, respectiv sub formă de:

  • Notificare generală
  • Notificare simplificată
  • Notificare specială

Formularul de notificare se completează la toate secţiunile, după caz, potrivit specificului prelucrării, sub forma notificării generale, în următoarele situaţii:

  • când operatorul notifică pentru prima dată o prelucrare de date cu caracter personal;
  • când operatorul notifică o prelucrare de date într-un scop diferit faţă de cel declarat printr-o notificare anterioară;
  • când operatorul transferă date cu caracter personal în străinătate, deşi este scutit de obligaţia de a notifica prelucrarea datelor cu caracter personal;
  • când operatorul completează şi/sau modifică o notificare înscrisă deja în evidenţele autorităţii de supraveghere ca notificare generală.

Având în vedere faptul că anumite prelucrări de date se efectuează în mod frecvent în temeiul legii sau în interesul persoanelor vizate şi nu sunt susceptibile de a afecta drepturile acestora, preşedintele autorităţii de supraveghere a emis Decizia nr. 91/2006 privind cazurile în care este permisă notificarea prelucrării datelor cu caracter personal prin completarea formularului în formă simplificată.

Notificarea simplificată se completează de operatorii care prelucrează date cu caracter personal pentru scopurile stabilite prin decizia susmenţionată, bifându-se secţiunile indicate pe prima pagină din formularul de notificare, respectiv I, II, III, IV, VI, IX, X, XI, XII, XIII şi XIV.

Notificarea specială se completează de autorităţile publice care prelucrează date cu caracter personal în cadrul activităţilor de prevenire, cercetare, reprimare a infracţiunilor şi de menţinere a ordinii publice, precum şi în cadrul altor activităţi desfăşurate în domeniul dreptului penal (art. 2 alin. (5) din Legea nr. 677/2001). În acest sens, se vor completa numai rubricile I, III, IV, V, IX, X şi XI din formularul de notificare.

 

2. Modalitatea de completare a formularului de notificare

2.1 Prima pagină a formularului de notificare

Spaţiul rezervat autorităţii de supraveghere se va completa doar de către aceasta.

După ce bifează forma sub care completează formularul de notificare se va marca cu „X", după caz, dacă:

  • operatorul notifică pentru prima dată (o notificare generală, simplificată sau specială);
  • operatorul completează/modifică o notificare anterioară, situaţie în care se va preciza numărul sub care notificarea pe care intenţionează să o modifice sau să o completeze figurează în registrul de evidenţă a prelucrărilor de date cu caracter personal.

2.1.1 SECŢIUNEA I: Operatorul

Numele/denumirea operatorului:

În cazul operatorilor ce au calitatea de persoane fizice se precizează numele şi prenumele acestora (conform actului de identitate).

În cazul operatorilor ce au calitatea de persoane fizice autorizate se precizează numele şi prenumele acestora, respectiv denumirea, aşa cum rezultă din documentul ce le permite desfăşurarea unei activităţi independente, autorizată în baza unei legi speciale.

În cazul operatorilor ce au calitatea de persoane juridice române se precizează denumirea oficială şi completă a acestora, aşa cum rezultă din actul normativ de înfiinţare (pentru operatorii din sectorul public), iar pentru operatorii români din sectorul privat se va menţiona denumirea din certificatul de înregistrare la Oficiul Naţional al Registrului Comerţului sau în Registrul asociaţiilor şi fundaţiilor.

În cazul operatorilor ce au calitatea de persoane juridice străine, se precizează denumirea oficială şi completă a acestora, aşa cum rezultă din documentul de înregistrare la camera de comerţ de care aparţine.


Adresa/sediul operatorului

Se completează adresa operatorului persoană fizică (domiciliul şi/sau reşedinţa) şi, respectiv, sediul persoanei juridice, aşa cum este stabilit potrivit legii, în actul normativ de înfiinţare sau aşa cum este prevăzut în certificatul de înregistrare la Oficiul Naţional al Registrului Comerţului sau în Registrul asociaţiilor şi fundaţiilor.

Apoi, operatorul bifează în ce calitate notifică autoritatea de supraveghere, respectiv dacă este persoană fizică, persoană fizică autorizată sau persoană juridică. În această din urmă situaţie, alege sectorul căruia îi aparţine, respectiv public (cu precizarea categoriei de autorităţi din care face parte - autoritate centrală, locală sau „altele" - cum ar fi: regii autonome, companii sau societăţi naţionale) sau privat.

Dacă operatorul este membru al unei asociaţii profesionale sau al unei alte forme de asociere, se menţionează denumirea acesteia.

În acest sens, precizăm că, potrivit art. 28 din Legea nr. 677/2001, asociaţiile profesionale au obligaţia de a elabora coduri de conduită, supuse avizării ANSPDCP, care să conţină reguli de protecţie a datelor personale prelucrate de membrii acestora.


Persoana de contact

Se completează datele solicitate (nume, prenume şi telefon) ale persoanei de contact desemnate de operator pentru menţinerea legăturii cu A.N.S.P.D.C.P. Este de preferat ca, în cadrul operatorului, să fie desemnată o persoană responsabilă cu aplicarea Legii nr. 677/2001, modificată şi completată.


La secţiunea „DECLARAŢIE", persoana abilitată (operatorul - persoană fizică sau reprezentantul legal - în cazul persoanei juridice) să dea această declaraţie îşi menţionează numele şi prenumele, funcţia sau profesia (după caz), indică data completării şi semnează.

În cazul operatorului persoană juridică notificarea se semnează de reprezentantul său legal şi trebuie să poarte şi ştampila acestuia.


Atenţie!

Formularele a căror „DECLARAŢIE" nu este completată, semnată şi ştampilată potrivit cerinţelor, nu vor fi analizate.


2.2 Completarea celorlalte secţiuni ale formularului de notificare

 2.2.1. SECŢIUNEA II: Reprezentantul operatorului situat într-un stat terţ

În cazul în care operatorul nu este stabilit în state din Uniunea Europeană sau în alte state din Zona Economică Europeană, trebuie să îşi desemneze un reprezentant. Acesta poate fi o persoană juridică sau fizică care are sediul sau domiciliul/reşedinţa pe teritoriul statului român sau o altă entitate fără personalitate juridică, desemnată de operator pentru prelucrarea datelor în România (spre exemplu, o reprezentanţă sau o sucursală).

În acest context, precizăm că dispoziţiile Legii nr. 677/2001, modificată şi completată, sunt aplicabile şi reprezentantului operatorului.

În situaţia în care operatorul îşi desemnează un reprezentant, rubricile de la această secţiune se completează potrivit instrucţiunilor de la SECŢIUNEA I.


2.2.2 SECŢIUNEA III: Împuternicitul care prelucrează datele pe seama operatorului

Legea nr. 677/2001, modificată şi completată defineşte persoana împuternicită de operator ca fiind orice persoană fizică sau juridică (de drept privat ori de drept public) care prelucrează date cu caracter personal pe seama operatorului.

Pentru prelucrarea datelor cu caracter personal prin intermediul persoanei/persoanelor împuternicite de operator se va anexa, pe suport de hârtie sau on-line, documentul/documentele cu următoarele date ale acesteia/acestora: nume/denumire, adresa/sediul, judeţul, localitatea, sectorul, ţara, codul poştal, telefon, fax, e-mail (aşa cum rezultă din contractul încheiat în condiţiile reglementate de art. 20 alin. (5) din Legea nr. 677/2001, modificată şi completată).

 2.2.3 SECŢIUNEA IV: Scopul prelucrării

În acest spaţiu se marchează cu „X" rubrica/rubricile corespunzătoare scopului sau scopurilor corelate în care operatorul desfăşoară activităţi ce implică prelucrarea datelor cu caracter personal ale persoanelor fizice. Dacă scopul sau scopurile corelate în care operatorul prelucrează datele nu se regăsesc în secţiunea de faţă, se completează spaţiul aferent rubricii „altele".

Ca urmare, vă prezentăm situaţiile în care pot fi bifate scopurile prelucrării prevăzute în formularul de notificare şi cum pot fi corelate între ele:

Resurse umane - scop specific tuturor entităţilor de drept public şi de drept privat pentru prelucrarea datelor propriilor angajaţi, în alte scopuri decât cele pentru care trebuie avute în vedere prevederile art. 1 lit. b) din Decizia nr. 90/2006 şi art. 1 lit. b), lit. c), lit. d) din Decizia nr. 100/2007 (emise de Preşedintele Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal şi publicate în Monitorul Oficial al României, Partea I, nr. 654 din 28 iulie 2006, respectiv nr. 823 din 3 decembrie 2007).

În aceste decizii sunt prevăzute situaţiile pentru care nu este necesară completarea notificării în cazul prelucrării datelor cu caracter personal ale propriilor angajaţi.

Situaţii în care este necesară completarea notificării în cazul prelucrării datelor cu caracter personal ale propriilor angajaţi (exemple):

- acordarea unor facilităţi destinate stimulării şi/sau fidelizării angajaţilor operatorului sau pentru perfecţionare continuă a acestora;

- schimburi de experienţă, cursuri de perfecţionare.

Acest scop poate fi precizat cu pct. 32 „alte scopuri" (unde operatorul trebuie să indice scopul/scopurile în care prelucrează datele propriilor angajaţi).

Gestiune economică financiară şi administrativă - scop specific entităţilor de drept public şi de drept privat care au obligaţii legale în domeniu, iar excepţia de la obligaţia de a notifica prelucrarea datelor având acest scop se regăseşte în Decizia nr. 100/2007.

Selecţie şi plasare forţă de muncă - scop specific autorităţilor şi instituţiilor publice cu competenţe în acest domeniu (agenţii de ocupare a forţei de muncă, centre profesionale) sau altor persoane juridice care au ca obiect de activitate medierea angajării persoanelor care solicită încheierea unui contract de muncă cu un angajator din ţară sau străinătate.

Acest scop poate fi corelat cu pct. 4 (reclamă, marketing şi publicitate), în măsura în care datele persoanelor fizice sunt utilizate pentru promovarea activităţii operatorului, iar în cazul autorităţilor/instituţiilor publice şi cu pct. 7 (protecţie şi asistenţă socială)

Reclamă, marketing şi publicitate - scop specific agenţiilor şi societăţilor de marketing direct şi nu se corelează cu nici un alt scop, precum şi altor entităţi de drept public sau de drept privat, ca scop secundar corelat cu scopul specific activităţii de bază al operatorului utilizat pentru promovarea acesteia.

Servicii de sănătate - scop specific entităţilor care acordă persoanelor fizice asistenţă medicală, indiferent de forma de organizare a acestora (cabinete medicale, spitale, policlinici, laboratoare).

Acest scop poate fi corelat cu pct. 4 „reclamă, marketing şi publicitate" (pentru promovarea serviciilor de sănătate) şi pct. 16 „cercetare ştiinţifică" (în măsura în care datele pacienţilor sunt utilizate în astfel de activităţi).

Educaţie şi cultură - acest scop poate fi declarat de instituţiile de învăţământ şi de cultură (grădiniţe, şcoli, licee, universităţi, centre, institute culturale, asociaţii, fundaţii cu acest specific, stabilimente de spectacole - teatre, filarmonici, cinematografe, şi se poate corela cu pct. 32 „alte scopuri" (unde se poate detalia scopul prelucrării care nu intră sub incidenţa Deciziei 91/2006).

Protecţie şi asistenţă socială - scop specific entităţilor care desfăşoară activităţi în acest domeniu (de ex: direcţii de protecţie şi asistenţă socială, centre de plasament, orfelinate, cămine de bătrâni, case de pensii, oficii de şomaj, agenţii pentru ocuparea forţei de muncă, autorităţi în domeniul protecţiei persoanelor cu handicap), precum şi celor care desfăşoară acţiuni privind ajutorarea persoanelor aflate în nevoie (orfani, bătrâni, copii, handicapaţi) şi acordă asistenţă de specialitate instituţiilor publice care au ca obiect de activitate protecţia acestor categorii de persoane.

Acest scop se poate corela cu pct. 3 (selecţie şi plasare forţă de muncă), pct. 5 (servicii de sănătate), în cazul CNAS, spitalelor şi serviciilor de ambulanţă, şi pct. 15 (statistică).

Urbanism şi amenajarea teritoriului - scop specific serviciilor publice de interes local, prin intermediul cărora se realizează o activitate de utilitate publică. De regulă, acest scop poate fi declarat de primării, prin serviciile specializate şi poate fi corelat cu pct. 14 (emitere autorizaţii/licenţe) şi pct. 15 (statistică).

Fond funciar - de regulă acest scop este declarat de primării şi prefecturi, pentru activităţi reglementate de acte normative (activitate agricolă, acordarea de despăgubiri sau compensaţii, reconstituirea dreptului de proprietate asupra terenurilor) şi poate fi corelat cu pct. 10 (cadastru şi publicitate imobiliară) şi pct. 15 (statistică).

Cadastru şi publicitate imobiliară - scop declarat de Agenţia Naţională de Cadastru şi Publicitate Imobiliară, oficiile judeţene de cadastru şi publicitate imobiliară, pentru activităţi necesare înscrierii în cartea funciară şi poate fi corelat cu pct. 14 (emitere autorizaţii/licenţe), pct. 15 (statistică) şi pct. 29 (în cazul aplicării de sancţiuni contravenţionale, potrivit Legii nr. 7/1996, republicată, a cadastrului şi publicităţii imobiliare).

Taxe şi impozite - se declară de către autorităţile administraţiei publice care au atribuţiile stabilite prin acte normative speciale (primării, direcţii ale finanţelor publice), cu privire la stabilirea cuantumurilor taxelor şi impozitelor şi încasarea lor, şi se poate corela cu pct. 23 (colectare debite/recuperare creanţe).

Evidenţa populaţiei şi stare civilă - se declară de către serviciile publice comunitare de evidenţă a persoanelor care asigură întocmirea, păstrarea, evidenţa şi eliberarea, actelor de stare civilă şi a celor de identitate şi se poate corela cu pct. 13 (evidenţă electorală) şi pct. 15 (statistică).

Evidenţă electorală - se declară de serviciile publice comunitare de evidenţă a persoanelor care asigură întocmirea, păstrarea, evidenţa şi eliberarea, cărţilor de alegător, listelor electorale permanente, precum şi de Autoritatea Electorală Permanentă. Acest scop se poate corela cu pct. 12 (evidenţa populaţiei şi stare civilă) şi pct. 15 (statistică).

Emitere autorizaţii/licenţe - se declară de către autorităţile şi instituţiile publice care desfăşoară activităţi în acest sens. Acest scop se poate corela cu pct. 8 (urbanism şi amenajarea teritoriului), pct. 9 (fond funciar) şi pct. 10 (cadastru şi publicitate imobiliară).

Statistică - scop ce poate fi bifat de Institutul Naţional de Statistică şi structurile sale teritoriale. Acest scop poate fi bifat şi de către alte entităţi doar corelat cu alte scopuri (dacă datele cu caracter personal colectate în vederea realizării acestora sunt utilizate şi la întocmirea unor analize statistice).

Cercetare ştiinţifică - scop specific operatorilor care iniţiază studii de cercetare ştiinţifică în diferite domenii de activitate, inclusiv studii clinice. Acest scop se poate corela cu pct. 5 (servicii de sănătate) şi scopul specific activităţii operatorului (dacă realizarea acestuia implică şi efectuarea unor cercetări în domeniul respectiv).

Administrarea justiţiei - este specific instanţelor şi executorilor judecătoreşti.

Activitate notarială - scop specific activităţii desfăşurată de notarii publici

Activitate politică - scop specific activităţii desfăşurate de partidele politice şi candidaţii independenţi pentru prelucrarea datelor personale ale susţinătorilor (necesare la depunerea candidaturilor la alegeri) şi se poate corela, după caz, cu pct. 4 (reclamă, marketing şi publicitate) şi pct. 13 (evidenţă electorală).

Servicii de consiliere legală şi reprezentare în justiţie - scop specific persoanelor fizice autorizate sau persoanelor juridice care prestează servicii de consultanţă juridică şi/sau de reprezentare în justiţie (ex: cabinetele de avocatură, direcţii de protecţie a copilului) şi se poate corela cu pct. 7 (protecţie şi asistenţă socială, în cazul direcţiilor de asistenţă şi protecţia copilului), pct. 23 (colectare debite/recuperare creanţe) şi pct. 32 (pentru prevenirea fraudelor).

Servicii financiar-bancare - poate fi bifat numai în măsura în care operatorului îi sunt aplicabile prevederile Ordonanţei de Urgenţă nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului (în sensul art. 7 alin. (1) pct. 10 din acelaşi act normativ), respectiv bănci, case de ajutor reciproc, instituţii financiare nebancare şi societăţi al căror obiect principal de activitate îl constituie acest scop. Se poate corela cu pct. 4 (reclamă, marketing şi publicitate), pct. 22 (rapoarte de credit), pct. 23 (colectare debite/recuperare creanţe), pct. 24 (servicii de asigurări şi reasigurări), pct. 25 (tranzacţii imobiliare) şi pct. 32 (pentru prevenirea fraudelor).

Rapoarte de credit - poate fi declarat de societăţi de tipul birourilor de credit (trebuie avută în vedere Decizia nr. 105/2007). Se poate corela cu pct. 21 (servicii financiar-bancare), pct. 24 (servicii de asigurări şi reasigurări) şi scopul specific activităţii desfăşurate de diverse entităţi beneficiare a serviciilor oferite de birourile de credit.

Colectare debite/recuperare creanţe - este specific tuturor entităţilor care prelucrează date cu caracter personal în vederea colectării debitelor/recuperării creanţelor de la proprii clienţi/angajaţi/membrii şi se poate corela cu scopul care rezultă din activitatea principala desfăşurată de operator. Acest scop poate fi declarat şi de către entităţile care au ca obiect de activitate colectare debite/recuperare creanţe, numai pentru prelucrările de date efectuate în calitate de operator, în nume propriu. Nu se bifează de entităţile care colectează debite/recuperează creanţe în calitate de împuternicit al operatorului, în baza contractului de prestări servicii încheiat cu acesta.

Servicii de asigurări şi reasigurări - scop specific societăţilor de asigurări şi/sau reasigurări, dar poate fi bifat şi de alte entităţi (bănci, instituţii financiare nebancare, agenţii de turism, case de ajutor reciproc) care utilizează datele persoanelor vizate în vederea asigurării/reasigurării serviciului/produsului contractat de acestea. Se poate corela cu pct. 4 (reclamă, marketing şi publicitate), pct. 21 (servicii financiar-bancare) şi pct. 32 alte scopuri (pentru servicii financiare nebancare).

Tranzacţii imobiliare - scop specific agenţiilor imobiliare, dar poate fi bifat şi de alte entităţi, în măsura în care acestea desfăşoară activităţi similare, respectiv pentru intermedierea vânzării-cumpărării de imobile către/de la persoane fizice. Se poate corela cu pct. 4 (reclamă, marketing şi publicitate)

Servicii hoteliere şi de turism - scop specific unităţilor hoteliere şi agenţiilor de turism, dar poate fi declarat şi de către entităţile care deţin spaţii pentru odihnă şi/sau tratament (în care sunt cazaţi propriii angajaţi şi familiile acestora pe perioada concediilor de odihnă), precum şi de unităţile de învăţământ care deţin cămine şi/sau tabere pentru elevi şi studenţi. Se poate corela cu pct. 4 (reclamă, marketing şi publicitate).

Monitorizarea/securitatea persoanelor, spaţiilor şi/sau bunurilor publice/private - acest scop poate fi declarat de operatorul care monitorizează accesul angajaţilor şi al vizitatorilor în sediul său prin diverse mijloace (ex. registre, cartele şi supraveghere video, registrul de acces al persoanelor) precum şi de entităţile care supraveghează video locuri şi spaţii deschise sau destinate publicului şi căile publice de acces.

Servicii de comunicaţii electronice - conceptul de „comunicaţii electronice" înglobează toate sistemele de transmisie şi echipamentele de comutare sau rutare, precum şi orice alte resurse, care permit transportul semnalelor prin fir, radio, fibră optică sau orice alte mijloace electromagnetice. Această definiţie acoperă reţelele fixe (cu comutare de circuite sau de pachete, inclusiv Internet) şi reţelele mobile terestre, reţelele de comunicaţii prin satelit, reţelele utilizate pentru transmiterea comunicaţiei audiovizuale şi reţelele de cablu TV. Scop specific entităţilor furnizoare de servicii de comunicaţii electronice (telefonie, radiocomunicaţii, internet, televiziune prin cablu) şi celor care oferă servicii prin intermediul internetului (comerţ on-line, concursuri on-line).

Constatarea şi sancţionarea contravenţiilor - scop specific autorităţilor şi instituţiilor publice care au astfel de competenţe în baza unor dispoziţii legale (de exemplu: Garda Financiară, Curtea de Conturi, Poliţia Comunitară).

Prevenirea, cercetarea, reprimarea infracţiunilor, menţinerea ordinii publice - scop specific instanţelor şi parchetelor.

Alte activităţi defăşurate în domeniul dreptului penal - scop specific instanţelor şi parchetelor, inspectoratelor de poliţie şi de jandarmi, precum şi altor instituţii publice care desfăşoară astfel de activităţi.

Alte scopuri - în situaţia în care scopul sau scopurile corelate în care persoanele fizice şi/sau juridice ce au calitatea de operator în sensul Legii nr. 677/2001 prelucrează date cu caracter personal nu se regăsesc la punctele 1 - 31 acestea vor fi indicate la pct. 32.


La completarea secţiunii IV operatorul trebuie să verifice dacă scopul sau scopurile corelate şi/sau distincte în care prelucrează datele personale se regăsesc printre cazurile care permit completarea formularului de notificare în formă simplificată sau îl scutesc de obligaţia de a notifica, potrivit deciziilor emise de preşedintele autorităţii de supraveghere.

În acest sens, precizăm că acordarea acestor facilităţi nu exonerează operatorul de îndeplinirea obligaţiilor ce-i revin potrivit legislaţiei din domeniul protecţiei datelor cu caracter personal.

În acelaşi timp, precizăm că operatorul este obligat să notifice autorităţii de supraveghere înainte de efectuarea oricărei prelucrări ori a oricărui ansamblu de prelucrări având acelaşi scop sau scopuri corelate.

În cazul în care operatorul prelucrează date personale pentru două sau mai multe scopuri care nu au legătură între ele, atunci este obligat să completeze câte un formular tipizat, pentru fiecare scop în parte.

În situaţia în care scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt stabilite de operator, autoritatea de supraveghere poate solicita actul din care să reiasă modul de stabilire a scopului şi a mijloacelor de prelucrare.

Observaţie: Prelucrarea datelor personale în alte scopuri decât cele declarate în notificare se poate sancţiona contravenţional, cu excepţia cazurilor scutite de obligaţia de notificare.


2.2.4. SECŢIUNEA V: Temeiul legal al prelucrării

Această secţiune se completează numai în cazul notificărilor speciale pentru prelucrările efectuate în cadrul activităţilor de prevenire, cercetare şi reprimare a infracţiunilor şi de menţinere a ordinii publice, precum şi al altor activităţi desfăşurate în domeniul dreptului penal, în limitele şi cu restricţiile stabilite de lege.

La această secţiune se menţionează actul sau actele normative în baza cărora operatorul efectuează prelucrarea datelor cu caracter personal.


2.2.5 SECŢIUNEA VI: Categorii de persoane vizate

În accepţiunea Legii nr. 677/2001, modificată şi completată, persoanele vizate sunt reprezentate de persoanele fizice ale căror date personale sunt colectate de operator, în vederea efectuării asupra acestora, a operaţiunilor prevăzute de art. 3 lit. b) din acest act normativ, respectiv de înregistrare, organizare, stocare, adaptare ori modificare, extragere, consultare, utilizare, dezvăluire, ştergere, distrugere, etc.

La această secţiune se marchează cu „X" căsuţele corespunzătoare categoriilor de persoane vizate ale căror date personale sunt prelucrate, în funcţie de scopul sau scopurile corelate ale prelucrării declarate la secţiunea IV. Dacă categoriile de persoane vizate nu se regăsesc, în totalitate sau în parte, la punctele 1-23 de la această secţiune, se completează spaţiul aferent rubricii „altele".

Exemple:

Dacă scopul prelucrării este "educaţie şi cultură", categoriile de persoane vizate pot fi: "cadre didactice", "studenţi", "minori", "membrii familiei persoanei vizate".

Dacă scopul prelucrării este "reclamă, marketing şi publicitate", categoriile de persoane vizate pot fi: „clienţi/potenţiali clienţi", „consumatori/potenţiali consumatori".

Dacă scopul prelucrării este „servicii de consiliere legală şi reprezentare în justiţie", categoriile de persoane vizate pot fi „justiţiabili".


2.2.6 SECŢIUNEA VII: Motivele care justifică aplicarea prevederilor art. 11, art. 12 alin. (3) sau alin. (4) ori ale art. 13 alin. (5) sau alin. (6) din Legea nr. 677/2001

Se completează motivele pentru care se aplică prevederile legale susmenţionate, în funcţie de scopul prelucrării declarat la secţiunea IV din formularul de notificare, respectiv, faptul că prelucrarea se efectuează exclusiv în scopuri scopuri statistice, de cercetare istorică sau ştiinţifică.

Prevederile art. 11, art. 12 alin. (3) sau alin. (4) ori ale art. 13 alin. (5) sau alin. (6) din Legea nr. 677/2001, modificată şi completată se aplică în situaţia în care au loc prelucrări de date cu caracter personal în scopuri statistice, de cercetare istorică sau ştiinţifică, care determină următoarele:

- lipsa obligaţiei de a informa persoana vizată, atunci când datele nu sunt obţinute direct de la persoana vizată, în situaţia în care prelucrarea datelor se face în scopuri statistice, de cercetare istorică sau ştiinţifică (art. 12 alin. (4) din Legea nr. 677/2001);

- comunicarea informaţiilor solicitate de persoana vizată în exercitarea dreptului de acces, într-un termen mai mare de 15 zile, în situaţia în care prelucrarea datelor cu caracter personal legate de starea de sănătate se face în scop de cercetare ştiinţifică (art. 13 alin. (5) din Legea nr. 677/2001);

- adresarea cererii de exercitare a dreptului de acces de către persoana vizată, în altă formă decât printr-o cerere scrisă, semnată şi datată, în situaţia în care prelucrarea datelor cu caracter personal se face exclusiv în scopuri jurnalistice, literare sau artistice (art. 13 alin. (6) din Legea nr. 677/2001).


2.2.7. SECŢIUNEA VIII: Modul în care persoanele vizate sunt informate asupra drepturilor lor

Operatorul bifează corespunzător, cu „X", una sau mai multe dintre modalităţile enumerate în această secţiune, prin care persoanelor vizate le sunt aduse la cunoştinţă informaţiile prevăzute la art. 12 din Legea nr. 677/2001, modificată şi completată. Acesta are obligaţia de a comunica persoanei vizate, în principal, informaţii privind:

1. identitatea operatorului sau, în cazul în care există, a reprezentantului sau a împuternicitului;

2. scopul prelucrării;

3. categoriile de date prelucrate (în cazul în care nu sunt colectate direct de la persoanele vizate);

4. caracterul obligatoriu sau facultativ de a furniza datele personale;

5. consecinţele refuzului de a le furniza;

6. destinatarii sau categoriile de destinatari ai datelor;

7. existenţa dreptului de acces, de intervenţie asupra datelor, de opoziţie la prelucrarea datelor, de a nu fi supus unei decizii individuale, condiţiile de exercitare a acestor drepturi, precum şi a dreptului de a se adresa justiţiei;

8. eventualul transfer al datelor în străinătate.

            Această obligaţie există şi în cazul în care datele nu sunt obţinute direct de la persoana vizată.

În acest caz, operatorul este obligat, ca în momentul colectării datelor sau, dacă se intenţionează dezvăluirea acestora către terţi, cel mai târziu până în momentul primei dezvăluiri, să furnizeze persoanei vizate informaţiile susmenţionate.
            Informarea persoanelor vizate trebuie să fie adecvată circumstanţelor specifice de prelucrare (respectiv modalităţii de prelucrare a datelor, suportului pe care sunt colectate datele etc.) şi se poate realiza prin intermediul documentelor prin care datele personale sunt colectate şi/sau prin afişarea unei note informative la sediul operatorului sau pe pagina web. (prin adaptarea modelelor de mai jos).

Modalitatea de informare „verbal" se utilizează, în mod excepţional, în situaţia în care nu se poate realiza informarea în alte modalităţi (ex: informare prin intermediul convorbiri telefonice, dacă acestea sunt înregistrate).

În cazul prelucrării imaginii persoanei vizate (colectată prin intermediul camerelor video), în vederea monitorizării accesului persoanelor şi asigurării securităţii acestora şi a spaţiilor şi bunurilor operatorului, îndeplinirea obligaţii legale de informare, potrivit art. 12 din Legea nr. 677/2001, modificată şi completată, poate fi efectuată prin intermediul unui afiş postat la sediile monitorizate, poziţionat la o distanţă rezonabilă de locurile unde sunt amplasate echipamentele de supraveghere, astfel încât să poată fi văzut de orice persoană

Afişul trebuie să conţină o pictogramă reprezentativă alături de alte informaţii privind identitatea operatorului şi persoana/serviciul responsabil la care se poate apela pentru informaţii suplimentare, existenţa înregistrării imaginilor şi destinatarii acestora.


MODEL DE NOTĂ DE INFORMARE ÎN SCRIS (pentru formularele de colectare a datelor, gen taloane, cupoane şi altele asemenea)

           ............................................................. (se indică identitatea operatorului sau a reprezentantului, precum şi, dacă este cazul, pe cea a împuternicitului) prelucrează datele cu caracter personal furnizate de dumneavoastră prin acest document.............(se precizează categoriile de date, dacă acestea nu sunt colectate direct de la persoanele vizate) în scopul ............(se precizează scopul). Datele vor fi dezvăluite ..................................(se precizează destinatarii cărora le vor fi dezvăluite datele). Pe viitor, aceste date/datele .............. (se precizează concret datele) ne permit să vă ţinem la curent cu activitatea noastră.
În cazul în care nu doriţi aceasta, bifaţi □NU

Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de intervenţie asupra datelor, dreptul de a nu fi supus unei decizii individuale. Aveţi dreptul să vă opuneţi prelucrării datelor personale care vă privesc şi să solicitaţi ştergerea datelor*. Pentru exercitarea acestor drepturi, vă puteţi adresa cu o cerere scrisă, datată şi semnată la .................................................(se precizează serviciul, organismul sau persoana responsabilă). De asemenea, vă este recunoscut dreptul de a vă adresa justiţiei.

Datele dumneavoastră vor fi transferate în ............... (precizaţi statele), în vederea....................(se precizează scopul transferului datelor în străinătate)."


MODEL DE NOTĂ DE INFORMARE (în scris sau prin afişare, recomandată autorităţilor şi instituţiilor publice)


............................................................... (se indică identitatea operatorului sau, dacă este cazul, şi pe cea a împuternicitului), prin intermediul serviciului (iilor) ............................... (dacă este cazul, se precizează denumirea serviciilor respective), prelucrează datele dumneavoastră cu caracter personal .............(se precizează categoriile de date, dacă acestea nu sunt colectate direct de la persoanele vizate), prin mijloace automatizate/manuale, destinate .............................. (se indică scopul prelucrării).

Sunteţi/nu sunteţi obligat(ă) să furnizaţi datele, acestea fiind necesare......................... (se precizează scopul).

Refuzul dvs. determină.................. (se precizează consecinţele refuzului).

Informaţiile înregistrate sunt destinate utilizării de către operator şi sunt comunicate numai următorilor destinatari: ................. (se precizează destinatarii).

Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de intervenţie asupra datelor şi de dreptul de a nu fi supus unei decizii individuale. Totodată, aveţi dreptul să vă opuneţi prelucrării datelor personale care vă privesc şi să solicitaţi ştergerea datelor*. Pentru exercitarea acestor drepturi, vă puteţi adresa cu o cerere scrisă, datată şi semnată la .................................................(se precizează serviciul, organismul sau persoana responsabilă). De asemenea, vă este recunoscut dreptul de a vă adresa justiţiei. Datele dumneavoastră pot fi transferate în ............... (precizaţi statele), în vederea....................(se precizează scopul transferului datelor în străinătate)."



MODEL DE NOTĂ DE INFORMARE PRIVIND PROTECŢIA DATELOR PERSONALE (pentru afişare pe pagina web sau în cazul colectării datelor prin formulare on-line)

Conform cerinţelor Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, modificată şi completată şi ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice (se precizează şi acest act normativ, după caz)..............................................(se precizează denumirea operatorului sau a reprezentantului, precum şi, dacă este cazul, pe cea a împuternicitului) are obligaţia de a administra în condiţii de siguranţă şi numai pentru scopurile specificate, datele personale pe care ni le furnizaţi despre dumneavoastră, un membru al familiei dumneavoastră ori o altă persoană. Scopul colectării datelor este:.............................. (se indică scopul prelucrării).

Sunteţi/nu sunteţi obligat(ă) să furnizaţi datele, acestea fiind necesare................................(se precizează scopul). Refuzul dvs. determină.................. (se precizează consecinţele refuzului).
Informaţiile înregistrate sunt destinate utilizării de către operator şi sunt comunicate numai următorilor destinatari:................. (se precizează destinatarii).

Doriţi să primiţi informaţii despre produsele, serviciile, evenimentele etc. oferite de.................(se precizează denumirea operatorului sau a reprezentantului, precum şi, dacă este cazul, pe cea a împuternicitului)?
□ DA □NU

Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de intervenţie asupra datelor, dreptul de a nu fi supus unei decizii individuale şi dreptul de a vă adresa justiţiei. Totodată, aveţi dreptul să vă opuneţi prelucrării datelor personale care vă privesc şi să solicitaţi ştergerea datelor*. Pentru exercitarea acestor drepturi, vă puteţi adresa cu o cerere scrisă, datată şi semnată la .................................................(se precizează serviciul, organismul sau persoana responsabilă). De asemenea, vă este recunoscut dreptul de a vă adresa justiţiei. Datele dumneavoastră vor fi transferate în ............... (precizaţi statele), în vederea....................(se precizează scopul transferului datelor în străinătate)."
Dacă unele din datele despre dumneavoastră sunt incorecte, vă rugăm să ne informaţi cât mai curând posibil.

_______________________________________________________________

Observaţie:

*orice persoană are dreptul de a se opune, pentru motive legitime, la prelucrarea datelor ce o privesc. Acest drept de opoziţie poate fi exclus pentru anumite prelucrări prevăzute de lege (de ex.: prelucrări efectuate de serviciile financiare şi fiscale, de poliţie, justiţie, securitate socială). Prin urmare, această menţiune nu poate figura dacă prelucrarea are un caracter obligatoriu;

*orice persoană are, de asemenea, dreptul de a se opune, în mod gratuit şi fără nici o justificare, la prelucrarea datelor sale personale în scopuri de marketing direct.


2.2.8 SECŢIUNEA IX: Categorii de date prelucrate

Datele cu caracter personal sunt acele informaţii care se referă la o persoană fizică identificată sau identificabilă, direct sau indirect, printr-un număr de identificare sau prin referire la o serie de factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale, inclusiv datele biometrice (amprenta digitală, maxilo-facială, retina şi altele asemenea) sau datele genetice (ADN-ul).

În acest spaţiu, se marchează cu „X" căsuţele corespunzătoare datelor sau categoriilor de date personale prelucrate, în funcţie de scopul sau scopurile corelate declarate la secţiunea IV din formularul de notificare.

Dacă datele sau categoriile de date nu se regăsesc, în totalitate sau în parte, în secţiunea de faţă, se completează spaţiul aferent rubricii „altele".

De asemenea, art. 4 alin. (1) lit. c) din Legea nr. 677/2001, modificată şi completată, stabileşte că datele cu caracter personal destinate a face obiectul unei prelucrări trebuie să fie adecvate, pertinente şi neexcesive prin raportare la scopul în care sunt colectate şi ulterior prelucrate.


Exemple:

Dacă scopul prelucrării este "educaţie şi cultură", categoriile de date prelucrate pot fi:numele şi prenumele", „numele şi prenumele membrilor de familie", „data şi locul naşterii", „cetăţenia", „semnătura", „date din actele de stare civilă", „telefon", „adresă", „formare profesională/diplome/studii".

Dacă scopul prelucrării este "Monitorizarea/securitatea persoanelor, spaţiilor şi/sau bunurilor publice/private" (şi se realizează prin intermediul mijloacelor de supraveghere video şi registrului de acces al persoanelor), categoriile de date prelucrate pot fi „numele şi prenumele", „semnătura", „imaginea" şi „seria şi numărului actului de identitate" (ce face parte din categoria datelor cu caracter special).


2.2.9 SECŢIUNEA X: Categorii de date cu caracter special

Potrivit Legii nr. 677/2001, datele cu caracter special sunt cele legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice sau de natură similară, de apartenenţa sindicală, datele cu caracter personal privind starea de sănătate sau viaţa sexuală, precum şi datele având funcţie de identificare de aplicabilitate generală (codul numeric personal şi seria şi numărul actului de identitate).

De asemenea, datele referitoare la fapte penale sau contravenţii, sancţiuni disciplinare, precum şi datele privind cazierul judiciar fac parte din această categorie de date.

Prelucrarea datelor cu caracter special este interzisă. De la acestă regulă, legea prevede anumite excepţii, principala excepţie fiind consimţământul persoanei vizate (art. 7 alin. (2) şi art. 8 din Legea nr. 677/2001).

Consimţământul persoanelor vizate trebuie să fie expres şi neechivoc, respectiv explicit, liber exprimat şi informat.

Completarea acestei secţiuni din formularul de notificare se realizează în mod similar secţiunii anterioare.


Observaţie:

Prelucrarea de date cu caracter personal de orice fel, altele decât cele declarate de operator în formularul de notificare, poate constitui contravenţie.

Exemple:

Dacă scopul prelucrării este "selecţie şi plasare forţă de muncă", categoriile de date cu caracter special prelucrate pot fi:codul numeric personal", „ seria şi numărul actului de identitate", „date din cazierul judiciar".

Dacă scopul prelucrării este "reclamă, marketing şi publicitate", categoriile de date cu caracter special prelucrate pot fi: „codul numeric personal", „seria şi numărul actului de identitate" pentru câştigătorii promoţiilor (OUG nr. 99/2000).

Dacă scopul prelucrării este "servicii de sănătate", categoriile de date cu caracter special prelucrate pot fi: „codul numeric personal", „seria şi numărul actului de identitate", „date privind starea de sănătate", „date privind viaţa sexuală".


2.2.10 SECŢIUNEA XI: Categorii de destinatari

Destinatar este, în sensul art. 3 lit. h) din Legea nr. 677/2001, orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, căreia îi sunt dezvăluite date, indiferent dacă este sau nu terţ.

Autorităţile publice cărora li se comunică date în cadrul unei competenţe speciale de anchetă nu vor fi considerate destinatari (de ex. datele personale solicitate de instanţele de judecată, procurori, organe de urmărire penală, dacă sunt necesare desfăşurării unei anchete).

La această secţiune, se marchează cu „X" căsuţele corespunzătoare destinatarilor cărora li se vor dezvălui datele prelucrate de operator în scopul sau scopurile corelate declarate.

Observaţie: Dezvăluirea datelor cu caracter personal, unei persoane sau categorii de persoane care nu sunt menţionate în formularul de notificare, poate constitui contravenţie.


2.2.11 SECŢIUNEA XII: Garanţiile care însoţesc dezvăluirea datelor către terţi

Se marchează cu „X" tipurile de garanţii specifice scopului şi mijloacelor de prelucrare, care să ateste îndeplinirea condiţiilor de legitimitate a prelucrării prevăzute de art. 5 din Legea nr. 677/2001.

Consimţământul persoanei vizate reprezintă una din garanţiile în baza cărora se pot dezvălui datele cu caracter personal. Consimţământul trebuie să fie exprimat neechivoc pentru acea prelucrare şi în mod expres şi (art. 5 alin. 1 din Legea nr. 677/2001).

Actele normative (în special în cazul instituţiilor publice) reprezintă o altă garanţie în baza căreia are loc dezvăluirea datelor cu caracter personal. În acest caz, este necesar să se precizeze numărul, data şi titlul actului normativ invocat pentru prelucrarea respectivă.

Alte tipuri de garanţii se pot referi cu privire la obligaţiile de confidenţialitate sau de respectare a secretului profesional ori de serviciu de către persoanele care au acces la datele cu caracter personal prelucrate etc.


2.2.12 SECŢIUNEA XIII: Încheierea operaţiunilor de prelucrare

a) Data estimată - această secţiune se completează când operatorul notifică pentru prima dată o prelucrare de date cu caracter personal. Este necesar să se delimiteze durata prelucrării notificate, în funcţie de specificul activităţii operatorului, precizând în acest sens o anumită dată cunoscută sau aproximativă pentru terminarea tuturor operaţiunilor de prelucrare (inclusiv arhivarea, care este o operaţiune de prelucrare şi nu se poate efectua decât pe o durată limitată de timp), întrucât art. 4 alin. (1) lit. e) din Legea nr. 677/2001 stabileşte că datele cu caracter personal destinate a face obiectul unei prelucrări trebuie să fie stocate într-o formă care să permită identificarea persoanelor vizate strict pe durata necesară realizării scopurilor în care acestea au fost colectate şi ulterior prelucrate.

Exemple:

- durata valabilităţii contractului încheiat cu persoana vizată pentru furnizarea produselor sau serviciilor operatorului şi, eventual, o perioadă rezonabilă de arhivare a acestora, stabilită prin acte normative sau prin nomenclatorul arhivistic propriu, care trebuie specificată în notificare;

- perioada cât pacientul beneficiază de serviciile oferite de furnizorul de servicii medicale în evidenţele căruia se află;

- perioada necesară verificării îndeplinirii obligaţiilor ce revin lucrătorilor responsabili cu completarea chestionarelor utilizate în cercetări statistice şi ştiinţifice, ulterior acesteia datele personale trebuie depersonalizate, deoarece rezultatul cercetării nu trebuie să facă referire la persoane identificabile;

- perioada necesară colectării datelor/recuperării creanţelor;

- pentru activitatea de marketing direct datele pot fi prelucrate până la exercitarea dreptului de opoziţie;

- pentru activitatea de intermediere a serviciilor oferite persoanei vizate de către partenerii operatorului, datele necesare realizării acesteia pot fi prelucrate până în momentul încasării comisionului perceput pentru această activitate.


b) Data certă a încetării operaţiunilor de prelucrare - Aceasta poate fi indicată fie în momentul înregistrării notificării iniţiale, fie la data încheierii tuturor operaţiunilor de prelucrare, inclusiv arhivare (când trebuie completată notificarea depusă anterior), precizându-se data exactă a încetării prelucrării (ex: 31 decembrie 2010). În acest caz, se va marca cu „X" modalitatea prin care se încheie prelucrarea de date cu caracter personal (potrivit art. 6 alin. 1 din Legea nr. 677/2001, modificată şi completată), şi anume:

  • prelucrarea în alt scop cu consimţământul persoanei vizate;
  • ştergere, distrugere, arhivare;
  • transformare în date anonime şi stocare exclusiv în scopuri statistice, de cercetare istorică sau ştiinţifică;
  • transferare unui alt operator;

În situaţia în care persoana vizată îşi dă consimţământul pentru altă prelucrare decât cea pentru care operatorul a notificat autoritatea de supraveghere, este necesar ca operatorul să notifice pentru prelucrarea de date efectuată într-un scop diferit faţă de cel declarat în notificarea anterioară.

În ceea ce priveşte ştergerea, distrugerea şi arhivarea, procedura internă şi modalităţile de realizare a acestor operaţiuni, se stabilesc de către fiecare operator, cu excepţia procedurii care se desfăşoară potrivit prevederilor legale privind arhivele naţionale.

De asemenea, există situaţii în care operatorul, datorită activităţii pe care o desfăşoară, este obligat, în baza unor legi speciale, să păstreze datele o anumită perioadă de timp, dar după expirarea acesteia trebuie să procedeze în una din modalităţile prevăzute mai sus.

În alte cazuri, operatorii sunt creatori de arhivă şi sunt obligaţi să procedeze conform dispoziţiilor legale privind păstrarea arhivelor.

În cazul transferului datelor către alt operator, este necesar ca operatorul iniţial să garanteze că prelucrările efectuate de terţ au scopuri similare cu prelucrarea iniţială. În acelaşi timp, trebuie informată autoritatea de supraveghere şi încheiat un contract cu operatorul căruia i se predă baza de date, care să conţină garanţiile menţionate anterior.

Totodată, operatorul care obţine datele cu caracter personal este obligat ca, în momentul colectării datelor sau, dacă se intenţionează dezvăluirea acestora către terţi, cel mai târziu până în momentul primei dezvăluiri, să furnizeze persoanei vizate, informaţiile prevăzute la art. 12 alin. (1) din Legea nr. 677/2001.

Modalitatea de încheiere a operaţiunilor de prelucrare, referitoare la transferare, nu trebuie confundată cu transferul datelor în străinătate, ale cărui condiţii sunt reglementate de art. 29 şi art. 30 din Legea nr. 677/2001.

 

2.2.13 SECŢIUNEA XIV: Transferuri de date în străinătate

Transferul datelor cu caracter personal în străinătate este reglementat la art. 29 şi art. 30 din Legea nr. 677/2001.

Nu este necesară notificarea transferului când acesta se face în baza prevederilor unei legi speciale sau ale unui acord internaţional ratificat de România, în special dacă transferul se face în scopul prevenirii, cercetării sau reprimării unei infracţiuni.

            Regulile generale care trebuie respectate în cazul transmiterii/transferului datelor în străinătate:

  • scopul în care se transmit/transferă datele nu poate fi incompatibil cu cel în care acestea sunt prelucrate pe teritoriul României;
  • nu pot fi transmise/transferate mai multe date decât au fost menţionate că se prelucrează;
  • în cazurile în care operatorul este scutit de obligaţia de a notifica prelucrarea datelor, dar nu este scutit de cea de a notifica transmiterea/transferul datelor în străinătate (ex. Decizia nr. 90/2006 şi art. 1 lit. a) şi g) din Decizia nr. 100/2007) este necesară completarea formularului de notificare.

 

Se marchează cu „X", la Secţiunea XIV, „indicele 1" dacă se transmit date cu caracter personal în state din Uniunea Europeană.

Se marchează cu „X", la Secţiunea XIV, „indicele 2" dacă se transmit date cu caracter personal în state din Zona Economică Europeană (Islanda, Liechtenstein şi Norvegia).

 Se marchează cu „X", la Secţiunea XIV, „indicele 3" dacă se transmit date cu caracter personal în state cărora Comisia Europeană le-a recunoscut prin decizie un nivel de protecţie adecvat (Argentina, Canada, Elveţia, Guernsey, Jersey, Insula Man şi Statele Unite ale Americii (când operatorul din SUA a aderat la principiile Safe Harbour), sau în alte state.

În cazul transmiterii/transferului datelor în statele cărora Comisia Europeană le-a recunoscut prin decizie un nivel de protecţie adecvat, trebuie enumerate statele către care se efectuează transferul, scopul transferului şi categoriile de date transferate, prin menţionarea indicativului corespunzător de la secţiunea IV, IX şi secţiunea X.

În situaţia în care scopul prelucrării nu este identic cu scopul transmiterii/transferului datelor, operatorul va face menţiuni la Secţiunea IV, indicele 32, „altele" precizând scopul efectiv al transmiterii/transferului datelor. În mod corespunzător, în cadrul Secţiunii XIV privind transferurile de date în străinătate operatorul va debifa din această secţiune indicii selectaţi deja la Secţiunile IV, IX şi X şi care nu corespund transferului.

În toate cele trei situaţii operatorii (exportatori de date) nu sunt supuşi procedurii de autorizare, conform Deciziei Preşedintelui ANSPDCP nr. 28/2007.

În cazul transferului datelor personale către destinatarii din SUA, atunci când operatorii declară acest transfer în cadrul Secţiunii XIV, indicele 3, aceştia trebuie să se asigure că destinatarul din SUA deţine un certificat valabil Safe Harbor şi că menţiunile care se efectuează în cadrul acestei secţiuni sunt corespunzătoare celor din certificatul de aderare la Principiile Safe Harbor.

În cazul transferului datelor personale în state terţe, operatorul marchează cu „X", la Secţiunea XIV, „indicele 4"  unde trebuie enumerate statele către care se efectuează transferul şi, de asemenea, precizat scopul transferului şi categoriile de date transferate, prin menţionarea indicativului de la secţiunea IV, IX şi/sau secţiunea X, după caz.

În situaţia în care scopul prelucrării nu este identic cu scopul transmiterii/transferului datelor, operatorul va face menţiuni la Secţiunea IV, indicele 32, „altele" precizând scopul efectiv al transmiterii/transferului datelor. În mod corespunzător, în cadrul Secţiunii XIV privind transferurile de date în străinătate operatorul va debifa din această secţiune indicii selectaţi deja la Secţiunile IV, IX şi X şi care nu corespund transferului.

În plus, este necesar ca operatorul să marcheze cu X articolul în baza căruia se efectuează  transferul datelor, respectiv:

- în baza art. 29 alin. (4) din Legea nr. 677/2001, situaţie în care operatorul (exportator al datelor) va anexa copia contractului cu clauze standard încheiat cu importatorul de date;

- în baza art. 30 din Legea nr. 677/2001.


1) Transfer în baza art. 29 alin. (4) din Legea nr. 677/2001 se bifează în cazul în care operatorul din România (exportatorul de date) transferă date către un importator de date situat într-un stat care nu asigură un nivel de protecţie adecvat, în baza unui contract încheiat între exportatorul şi importatorul de date.  În acest caz operatorul este  supus procedurii autorizării.

Astfel, în cazul în care statul de destinaţie nu asigură un nivel de protecţie adecvat, respectiv statul de destinaţie este stat terţ, care nu face parte din comunitatea europeană, operatorul care exportă datele trebuie să prezinte garanţii suficiente cu privire la protecţia drepturilor fundamentale ale persoanelor vizate, printr-un contract încheiat cu importatorul de date. În acest scop, în funcţie de calitatea importatorului de date (operator/împuternicit) vor fi avute în vedere:

  • clauzele contractuale standard care reglementează transferul datelor de la un operator din România către un operator stabilit într-un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română;
  • clauzele contractuale standard care reglementează transferul datelor de la un operator din România către un împuternicit stabilit într-un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română.


* Clauzele contractuale standard se vor transmite cu precădere în limba română.


2) Transfer în baza art.30 Legea nr. 677/2001, se bifează în cazul în care operatorul din România transferă date către un stat care nu asigură un nivel de protecţie adecvat, în baza uneia dintre condiţiile enumerate la acest articol, respectiv:

   a) când persoana vizată şi-a dat în mod explicit consimţământul pentru efectuarea transferului; în cazul în care transferul de date se face în legătură cu oricare dintre datele prevăzute la art. 7, 8 şi 10, consimţământul trebuie dat în scris;

   b) când este necesar pentru executarea unui contract încheiat între persoana vizata si operator sau pentru executarea unor masuri precontractuale dispuse la cererea persoanei vizate;

  c) când este necesar pentru încheierea sau pentru executarea unui contract încheiat ori care se va încheia, în interesul persoanei vizate, între operator şi un terţ;

  d) când este necesar pentru satisfacerea unui interes public major, precum apărarea naţională, ordinea publică sau siguranţa naţională, pentru buna desfăşurare a procesului penal ori pentru constatarea, exercitarea sau apărarea unui drept în justiţie, cu condiţia ca datele să fie prelucrate în legătură cu acest scop şi nu mai mult timp decât este necesar;

  e) când este necesar pentru a proteja viaţa, integritatea fizică sau sănătatea persoanei vizate;

   f) când intervine ca urmare a unei cereri anterioare de acces la documente oficiale care sunt publice ori a unei cereri privind informaţii care pot fi obţinute din registre sau prin orice alte documente accesibile publicului.

Excepţiile reglementate de aceste dispoziţii legale sunt însă de strictă interpretare.


             Observaţii:

 Transferarea datelor cu caracter personal într-un alt stat, decât cel/cele  menţionate în formularul de notificare, poate constitui contravenţie.

            În toate cazurile în care operatorii transmit/transferă date în străinătate aceştia sunt obligaţi să informeze persoanele vizate cu privire la acest aspect.

 

2.2.14 SECŢIUNEA XV: Măsurilor luate pentru asigurarea securităţii prelucrării

Potrivit art. 19 şi 20 din Legea nr. 677/2001, modificată şi completată, operatorul este obligat să aplice măsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat.

Ca urmare, la această secţiune trebuie descrise măsurile pe care le ia operatorul pentru a proteja datele persoanelor vizate pe care le prelucrează, indiferent de mijloacele utilizate (automatizate, manuale ori mixte), în special dacă printre acestea se numără şi date cu caracter special, care trebuie să respecte cerinţele minime de securitate a prelucrărilor de date cu caracter personal ce se regăsesc în prevederile Ordinului 52 din 18 aprilie 2002, publicat în Monitorul Oficial nr. 383 din 5 iunie 2002.

Totodată, se anexează documentul care conţine politica de securitate a prelucrărilor de date cu caracter personal.


2.2.15 SECŢIUNEA XVI: Sistemul de evidenţă utilizat şi legăturile cu alte prelucrări sau sisteme de evidenţă

Sistemul de evidenţă, potrivit definiţiei date de art. 3 lit. d) din Legea nr. 677/2001, este orice structură de date cu caracter personal, accesibilă potrivit unor criterii determinate, indiferent dacă această structură este organizată în mod centralizat ori descentralizat sau este repartizată după criterii funcţionale ori geografice.

Se bifează cu „X" sistemul de evidenţă al operatorului, după cum sunt utilizate mijloace automate sau neautomate ori mixte pentru prelucrarea datelor cu caracter personal.

De asemenea, se marchează dacă prelucrarea notificată are legătură cu alte prelucrări sau cu alte sisteme de evidenţă a datelor cu caracter personal. În caz afirmativ, se marchează locul unde este situat sistemul de evidenţă.