Home » Guide
 Română | English | Francais

Notification Guidance

 

GHID DE COMPLETARE A FORMULARULUI DE NOTIFICARE

 

1. Informaţii generale privind formularul de notificare

DECIZIA nr. 95/2008 privind stabilirea formularului tipizat al notificărilor prevăzute de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date a fost publicată în Monitorul Oficial nr. 876/24.12.2008 şi a intrat în vigoare la 1 martie 2009.

Formularul acceptat este numai cel obţinut din Monitorul Oficial mai sus menţionat sau de pe site-ul autorităţii: www.dataprotection.ro.

Notificările completate pe formularele aprobate prin Decizia nr. 60 din 6 iunie 2006 şi înregistrate în registrul de evidenţă a prelucrărilor de date cu caracter personal până la data intrării în vigoare a Deciziei nr. 95/2008 rămân valabile.

Întrucât Autoritatea de supraveghere a implementat Registrul Electronic de Evidenţă a Prelucrărilor de Date cu Caracter Personal, ce poate fi consultat on-line, prelucrările de date personale, notificate de operatori, vor fi declarate prin completarea formularului de notificare în sistem on-line.

După depunerea on-line a notificării, se va transmite, prin poştă, Autorităţii de supraveghere, în cel mult 30 de zile, prima pagină a formularului de notificare, semnată şi ştampilată, în original. În caz contrar, notificarea va fi ştearsă automat din sistemul electronic de evidenţă.

Ataşat primei pagini, trebuie transmisă şi copia mesajului electronic primit din partea autorităţii de supraveghere intitulat „confirmare înregistrare document", în care figurează numărul de înregistrare al formularului de notificare în Registrul General al instituţiei noastre.

Completarea formularului de notificare se efectuează, după caz, prin marcarea cu semnul "X" a rubricilor de la fiecare secţiune sau prin completarea spaţiilor libere, conform cerinţelor de la punctele respective.

Formularul de notificare se poate completa în 3 modalităţi, şi anume:

Notificare generală

Notificare simplificată

Notificare specială

Formularul de notificare se completează la toate secţiunile, după caz, potrivit specificului prelucrării, sub forma notificării generale, în următoarele situaţii:

• când operatorul notifică pentru prima dată o prelucrare de date cu caracter personal;

• când operatorul notifică o prelucrare de date într-un scop diferit faţă de cel declarat printr-o notificare anterioară;

• când operatorul transferă date cu caracter personal în străinătate, deşi este scutit de obligaţia de a notifica prelucrarea datelor cu caracter personal;

• când operatorul completează şi/sau modifică o notificare înscrisă deja în evidenţele autorităţii de supraveghere ca notificare generală.

Având în vedere faptul că anumite prelucrări de date se efectuează în mod frecvent în temeiul legii sau în interesul persoanelor vizate şi nu sunt susceptibile de a afecta drepturile acestora, preşedintele autorităţii de supraveghere a emis Decizia nr. 91/2006 privind cazurile în care este permisă notificarea simplificată a prelucrării datelor cu caracter personal, modificată prin intrarea în vigoare a Deciziei nr. 23/2012, emisă de preşedintele autorităţii de supraveghere.

Notificarea simplificată se completează, bifându-se secţiunile indicate pe prima pagină din formularul de notificare, respectiv I, II, III, IV, VI, IX, X, XI, XII, XIII şi XIV, de operatorii care prelucrează date cu caracter personal pentru următoarele scopuri:

-  prelucrarea datelor cu caracter personal efectuată de instituţiile de învăţământ public şi privat, în scopul gestionării bazei de date a cursanţilor, precum şi a celei cu caracter economic-financiar şi administrativ;

- prelucrarea datelor cu caracter personal, efectuată în scopul furnizării gazelor, energiei electrice, termice, precum şi a serviciilor de alimentare cu apă şi de canalizare şi a celor de salubrizare de către unităţile de drept public şi privat, în baza contractelor încheiate cu clienţii.

Notificarea specială se completează de autorităţile publice care prelucrează date cu caracter personal în cadrul activităţilor de prevenire, cercetare, reprimare a infracţiunilor şi de menţinere a ordinii publice, precum şi în cadrul altor activităţi desfăşurate în domeniul dreptului penal (art. 2 alin. (5) din Legea nr. 677/2001). În acest sens, se vor completa numai rubricile I, III, IV, V, IX, X şi XI din formularul de notificare.

Pentru aspectele notificate operatorilor le revine întreaga responsabilitate cu privire la efectuarea prelucrării notificate potrivit cerinţelor legislaţiei din domeniul protecţiei datelor cu caracter personal, iar nerespectarea lor se sancţionează conform dispoziţiilor art. 31, 32 şi 33 din Legea nr. 677/2001, modificată şi completată.

2. Modalitatea de completare a formularului de notificare

2.1 Prima pagină a formularului de notificare

Spaţiul rezervat autorităţii de supraveghere se va completa doar de către aceasta.

După ce se bifează forma sub care completează formularul de notificare, se va marca cu „X", după caz, rubrica notificare nouă, dacă operatorul notifică pentru prima dată (o notificare generală, simplificată sau specială) sau rubrica modificarea/completarea unei notificări înregistrate, dacă operatorul completează/modifică o notificare înregistrată în Registrul de Evidenţă a Prelucrărilor de Date cu Caracter Personal.

În cazul în care se intenţionează modificarea/completarea unei notificări înregistrate, se va preciza numărul sub care notificarea pe care intenţionează să o modifice/completeze figurează în Registrul de Evidenţă a Prelucrărilor de Date cu Caracter Personal, precum şi codul electronic de regăsire, comunicat electronic în momentul încheierii completării primei notificări.

2.1.1 SECŢIUNEA I: Operatorul

          Numele/denumirea operatorului:

Operatorii care au calitatea de persoane fizice precizează numele şi prenumele acestora (conform actului de identitate).

Operatorii care au calitatea de persoane fizice autorizate precizează numele şi prenumele acestora, respectiv denumirea, aşa cum rezultă din documentul ce le permite desfăşurarea unei activităţi independente, autorizate în baza unei legi speciale.

Operatorii care au calitatea de persoane juridice române precizează denumirea oficială şi completă a acestora, aşa cum rezultă din actul normativ de înfiinţare (pentru operatorii din sectorul public), iar operatorii români din sectorul privat vor menţiona denumirea din certificatul de înregistrare la Oficiul Naţional al Registrului Comerţului sau în Registrul asociaţiilor şi fundaţiilor.

Operatorii care au calitatea de persoane juridice străine, precizează denumirea oficială şi completă a acestora, aşa cum rezultă din documentul de înregistrare la camera de comerţ de care aparţine.


            Adresa/sediul operatorului

Se completează adresa operatorului persoană fizică (domiciliul şi/sau reşedinţa) şi, respectiv, sediul persoanei juridice, aşa cum este stabilit potrivit legii, în actul normativ de înfiinţare sau aşa cum este prevăzut în certificatul de înregistrare la Oficiul Naţional al Registrului Comerţului sau în Registrul asociaţiilor şi fundaţiilor.

Apoi, operatorul bifează în ce calitate notifică autoritatea de supraveghere, respectiv dacă este persoană fizică, persoană fizică autorizată sau persoană juridică. În această din urmă situaţie, alege sectorul căruia îi aparţine, respectiv public (cu precizarea categoriei de autorităţi din care face parte - autoritate centrală, locală sau „altele", cum ar fi: regii autonome, companii sau societăţi naţionale) sau privat.

Dacă operatorul este membru al unei asociaţii profesionale sau al unei alte forme de asociere, se menţionează denumirea acesteia.

           Persoana de contact

Se completează datele solicitate (nume, prenume şi telefon) ale persoanei de contact, desemnate de operator, pentru menţinerea legăturii cu A.N.S.P.D.C.P. Este de preferat ca, în cadrul operatorului, să fie desemnată o persoană responsabilă cu aplicarea Legii nr. 677/2001, modificată şi completată.

Secţiunea „DECLARAŢIE" va fi completată de persoana abilitată (operatorul «persoană fizică» sau «reprezentantul legal» în cazul persoanei juridice).

În cazul operatorului «persoană juridică», notificarea se semnează de reprezentantul său legal şi trebuie să poarte ştampila operatorului.

            Atenţie!
            Formularele a căror „DECLARAŢIE" nu este completată, semnată şi ştampilată potrivit cerinţelor, nu vor fi analizate.


2.2 Completarea celorlalte secţiuni ale formularului de notificare

2.2.1. SECŢIUNEA II: Reprezentantul operatorului situat într-un stat terţ

a) Operatorul care nu este stabilit în state din Uniunea Europeană sau în alte state din Zona Economică Europeană, trebuie să îşi desemneze un reprezentant. Acesta poate fi o persoană juridică sau fizică care are sediul sau domiciliul/reşedinţa pe teritoriul statului român sau o altă entitate fără personalitate juridică, desemnată de operator pentru prelucrarea datelor în România (spre exemplu, o reprezentanţă sau o sucursală).

În acest context, precizăm că dispoziţiile Legii nr. 677/2001, modificată şi completată, sunt aplicabile şi reprezentantului operatorului.

În situaţia în care operatorul îşi desemnează un reprezentant, rubricile de la această secţiune se completează potrivit instrucţiunilor de la SECŢIUNEA I.

 b) Operatorul care este stabilit în state din Uniunea Europeană sau în alte state din Zona Economică Europeană şi care prelucrează date cu caracter personal prin utilizarea de mijloace de orice natură situate pe teritoriul României, nu are obligaţia de a-şi desemna un reprezentant în înţelesul Legii nr. 677/2001, modificată şi completată.

Acesta nu are obligaţia de a notifica prelucrările de date efectuate pe teritoriul României, nici de a notifica transmiterea/transferul datelor cu caracter personal în străinătate, efectuat de către împuterniciţii săi. În această situaţie, împuterniciţilor stabiliţi pe teritoriul României le revine însă obligaţia de a respecta celelalte prevederi ale Legii nr. 677/2001, în special, cele referitoare la cerinţele minime de securitate şi confidenţialitate a datelor (art. 19 şi 20 din Legea nr. 677/2001), precum şi la informarea persoanelor vizate (art. 12 din lege).

În ceea ce priveşte obligaţiile operatorilor care au sediul pe teritoriul unui stat membru, vă informăm că, potrivit Directivei 95/46/EC a Parlamentului European şi a Consiliului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, fiecare stat membru stabileşte circumstanţele generale în care prelucrarea datelor pe teritoriul său este legală.

2.2.2 SECŢIUNEA III: Împuternicitul care prelucrează datele pe seama operatorului

 Legea nr. 677/2001, modificată şi completată defineşte persoana împuternicită de operator ca fiind orice persoană fizică sau juridică (de drept privat ori de drept public) care prelucrează date cu caracter personal pe seama operatorului.

Pentru prelucrarea datelor cu caracter personal prin intermediul persoanei/persoanelor împuternicite de operator se va anexa, pe suport de hârtie sau on-line, documentul/documentele cu următoarele date ale acesteia/acestora: nume/denumire, adresa/sediul, judeţul, localitatea, sectorul, ţara, codul poştal, telefon, fax, e-mail (aşa cum rezultă din contractul încheiat în condiţiile reglementate de art. 20 alin. (5) din Legea nr. 677/2001, modificată şi completată).


2.2.3 SECŢIUNEA IV: Scopul prelucrării

Operatorul este obligat să notifice autorităţii de supraveghere înainte de efectuarea oricărei prelucrări ori a oricărui ansamblu de prelucrări având acelaşi scop sau scopuri corelate. În cazul în care operatorul prelucrează date personale pentru două sau mai multe scopuri care nu au legătură între ele, atunci este obligat să completeze câte un formular tipizat, pentru fiecare scop în parte.

             Atenţie!

Prelucrarea datelor personale în alte scopuri decât cele declarate în notificare se poate sancţiona contravenţional, cu excepţia cazurilor scutite de obligaţia de notificare.

 În cadrul acestei secţiuni, se marchează cu „X" rubrica/rubricile corespunzătoare scopului sau scopurilor corelate în care operatorul desfăşoară activităţi ce implică prelucrarea datelor cu caracter personal ale persoanelor fizice. Dacă scopul sau scopurile corelate în care operatorul prelucrează datele nu se regăsesc în secţiunea de faţă, se completează spaţiul aferent rubricii 32 „altele".

La completarea secţiunii IV operatorul trebuie să verifice dacă scopul sau scopurile corelate şi/sau distincte în care prelucrează datele personale se regăsesc printre cazurile care permit completarea formularului de notificare în formă simplificată sau îl scutesc de obligaţia de a notifica, potrivit deciziilor emise de preşedintele autorităţii de supraveghere.

În acest sens, precizăm că acordarea acestor facilităţi nu exonerează operatorul de îndeplinirea obligaţiilor ce-i revin potrivit legislaţiei din domeniul protecţiei datelor cu caracter personal.

Ca urmare, exemplificăm situaţiile în care pot fi bifate anumite scopuri ale prelucrării prevăzute în formularul de notificare şi cum pot fi corelate între ele:

1. Resurse umane 

Nu este necesară completarea notificării în cazul prelucrării datelor cu caracter personal ale propriilor angajaţi (resurse umane, inclusiv completarea şi transmiterea datelor personale la REVISAL) în situaţiile prevăzute de dispoziţiile Deciziei nr. 90/2006 şi Deciziei nr. 100/2007, cu excepţia situaţiei în care se efectuează transferul datelor în străinătate.

Scopul resurse umane este specific tuturor entităţilor de drept public şi de drept privat pentru prelucrarea datelor propriilor angajaţi, şi poate fi declarat în situaţii, spre exemplu, de felul :

-  acordarea unor facilităţi destinate stimulării şi/sau fidelizării angajaţilor operatorului sau pentru perfecţionare continuă a acestora;

-  schimburi de experienţă, cursuri de perfecţionare.

Acest scop poate fi detaliat la pct. 32 „alte scopuri" (unde operatorul trebuie să indice scopul/scopurile în care prelucrează datele propriilor angajaţi).

2. Gestiune economică financiară şi administrativă

Scop specific entităţilor de drept public şi de drept privat care au obligaţii legale în domeniu, exceptat de la obligaţia de a fi notificat la autoritatea de supraveghere în legătură cu prelucrarea datelor cu caracter personal, potrivit prevederilor art. 1 lit. a) din Decizia nr. 100/2007, cu excepţia situaţiei în care se efectuează transferul datelor în străinătate.

Decizia nr. 100/2007 prevede că nu este necesară notificarea prelucrărilor de date cu caracter personal efectuate de compartimentele/persoanele competente ale entităţilor de drept public şi privat, pentru organizarea şi desfăşurarea activităţii proprii curente de gestiune economico-financiară şi administrativă.

3. Selecţie şi plasare forţă de muncă

Scopul “selecţie şi plasare forţă de muncă” se declară, de regulă, de autorităţile şi instituţiile publice cu competenţe în acest domeniu (agenţii de ocupare a forţei de muncă, centre profesionale) sau alte persoane juridice care au, ca obiect de activitate, medierea angajării persoanelor care solicită încheierea unui contract de muncă cu un angajator din ţară sau străinătate.

Acest scop poate fi corelat cu pct. 4 (reclamă, marketing şi publicitate), în măsura în care datele persoanelor fizice sunt utilizate pentru promovarea activităţii operatorului, iar în cazul autorităţilor/instituţiilor publice şi cu pct. 7 (protecţie şi asistenţă socială).

4. Reclamă, marketing şi publicitate

Scopul “reclamă, marketing şi publicitate” se declară, de regulă, de agenţii şi societăţi de marketing direct şi advertising, necorelat cu alt scop, precum şi de alte entităţi de drept public sau de drept privat, ca scop secundar, corelat cu scopul specific activităţii de bază al operatorului, utilizat pentru promovarea acesteia.

5. Servicii de sănătate

Scopul “servicii de sănătate” se declară, în general, de entităţile care acordă persoanelor fizice asistenţă medicală, indiferent de forma de organizare a acestora (cabinete medicale, spitale, policlinici, laboratoare, farmacii).

Acest scop poate fi corelat cu pct. 4 „reclamă, marketing şi publicitate" (pentru promovarea serviciilor de sănătate) şi pct. 16 „cercetare ştiinţifică" (în măsura în care datele pacienţilor sunt utilizate în astfel de activităţi).

În cazul prelucrărilor de date efectuate în scopul de mai sus pot fi aplicabile prevederile Deciziei nr. 23/2012 conform cărora notificarea nu este necesară când prelucrarea datelor cu caracter personal este efectuată de persoanele fizice sau de entităţile private care desfăşoară o activitate independent, autorizată în baza unei legi, în scopul îndeplinirii atribuţiilor lor legale.

6. Educaţie şi cultură

Scopul “educaţie şi cultură” poate fi declarat de instituţiile de învăţământ şi de cultură (grădiniţe, şcoli, licee, universităţi, centre, institute culturale, asociaţii, fundaţii cu acest specific, stabilimente de spectacole - teatre, filarmonici, cinematografe), precum şi de alte entităţi de drept public sau de drept privat care desfăşoară o activitate instructiv-educativă, şi se poate detalia la pct. 32 „altele.

7. Protecţie şi asistenţă socială

Scopul protecţie şi asistenţă socialăse declară, de regulă, de entităţile care desfăşoară activităţi în acest domeniu (de ex: direcţii de protecţie şi asistenţă socială, centre de plasament, orfelinate, cămine de bătrâni, case de pensii, oficii de şomaj, agenţii pentru ocuparea forţei de muncă, autorităţi în domeniul protecţiei persoanelor cu handicap), precum şi celor care desfăşoară acţiuni privind ajutorarea persoanelor aflate în nevoie (orfani, bătrâni, copii, handicapaţi) şi acordă asistenţă de specialitate instituţiilor publice care au ca obiect de activitate protecţia acestor categorii de persoane.

8. Urbanism şi amenajarea teritoriului

Scopul “urbanism şi amenajarea teritoriului” se declară de regulă de serviciile publice locale, prin intermediul cărora se realizează o activitate de utilitate publică. De regulă, acest scop poate fi declarat de primării, prin serviciile specializate şi poate fi corelat cu pct. 14 (emitere autorizaţii/licenţe) şi pct. 15 (statistică).

În cazul prelucrărilor de date efectuate în scopul de mai sus pot fi aplicabile prevederile Deciziei nr. 23/2012 conform cărora notificarea nu este necesară când prelucrarea datelor cu caracter personal este efectuată de autorităţile administraţiei publice locale, precum şi de autorităţile administraţiei publice de la nivel judeţean şi al municipiului Bucureşti, în scopul îndeplinirii atribuţiilor lor legale.

9. Fond funciar

Scopul “fond funciarse declară de primării şi prefecturi, pentru activităţi reglementate de acte normative (activitate agricolă, acordarea de despăgubiri sau compensaţii, reconstituirea dreptului de proprietate asupra terenurilor) şi poate fi corelat cu pct. 10 (cadastru şi publicitate imobiliară) şi pct. 15 (statistică).

În cazul prelucrărilor de date efectuate în scopul de mai sus sunt aplicabile prevederile Deciziei nr. 23/2012 conform cărora notificarea nu este necesară când prelucrarea datelor cu caracter personal este efectuată de autorităţile administraţiei publice locale, precum şi de autorităţile administraţiei publice de la nivel judeţean şi al municipiului Bucureşti, în scopul îndeplinirii atribuţiilor lor legale.

10. Cadastru şi publicitate imobiliară

Scopul “cadastru şi publicitate imobiliarăse declară, de regulă, de ministere, alte instituţii centrale de stat, regii autonome şi alte persoane juridice, care organizează cadastrul de specialitate în domeniile: agricol, forestier, apelor, industrial, extractiv, imobiliar-edilitar, transporturilor rutiere, feroviare, navale, aeriene, turismului, zonelor protejate naturale şi construite, celor cu risc ridicat de calamităţi naturale ori supuse poluării şi degradării şi altele, pentru activităţi necesare înscrierii în cartea funciară şi poate fi corelat cu pct. 14 (emitere autorizaţii/licenţe), pct. 15 (statistică) şi pct. 29 (în cazul aplicării de sancţiuni contravenţionale, potrivit Legii nr. 7/1996, republicată, a cadastrului şi publicităţii imobiliare).

În cazul prelucrărilor de date efectuate în scopul de mai sus pot fi aplicabile prevederile Deciziei nr. 23/2012 conform cărora notificarea nu este necesară când prelucrarea datelor cu caracter personal este efectuată de autorităţile administraţiei publice locale, precum şi de autorităţile administraţiei publice de la nivel judeţean şi al municipiului Bucureşti, în scopul îndeplinirii atribuţiilor lor legale.

11. Taxe şi impozite

Scopul taxe şi impozitese declară de către autorităţile administraţiei publice care au atribuţiile stabilite prin acte normative speciale (ex : primării, direcţii ale finanţelor publice), cu privire la stabilirea cuantumurilor taxelor şi impozitelor şi încasarea lor, şi se poate corela cu pct. 23 (colectare debite/recuperare creanţe).

În cazul prelucrărilor de date efectuate în scopul de mai sus sunt aplicabile prevederile Deciziei nr. 23/2012 conform cărora notificarea nu este necesară când prelucrarea datelor cu caracter personal este efectuată de autorităţile administraţiei publice locale, precum şi de autorităţile administraţiei publice de la nivel judeţean şi al municipiului Bucureşti, în scopul îndeplinirii atribuţiilor lor legale.

12. Evidenţa populaţiei şi stare civilă

Scopul evidenţa populaţiei şi stare civilăse declară de către serviciile publice comunitare de evidenţă a persoanelor care asigură întocmirea, păstrarea, evidenţa şi eliberarea, actelor de stare civilă şi a celor de identitate şi se poate corela cu pct. 13 (evidenţă electorală) şi pct. 15 (statistică).

În cazul prelucrărilor de date efectuate în scopul de mai sus sunt aplicabile prevederile Deciziei nr. 23/2012 conform cărora notificarea nu este necesară când prelucrarea datelor cu caracter personal este efectuată de autorităţile administraţiei publice locale, precum şi de autorităţile administraţiei publice de la nivel judeţean şi al municipiului Bucureşti, în scopul îndeplinirii atribuţiilor lor legale.

13. Evidenţă electorală

Scopul evidenţa electorală se declară de serviciile publice comunitare de evidenţă a persoanelor care asigură întocmirea, păstrarea, evidenţa şi eliberarea, cărţilor de alegător, listelor electorale permanente, precum şi de Autoritatea Electorală Permanentă. Acest scop se poate corela cu pct. 12 (evidenţa populaţiei şi stare civilă) şi pct. 15 (statistică).

În cazul prelucrărilor de date efectuate în scopul de mai sus sunt aplicabile prevederile Deciziei nr. 23/2012 conform cărora notificarea nu este necesară când prelucrarea datelor cu caracter personal este efectuată de autorităţile administraţiei publice locale, precum şi de autorităţile administraţiei publice de la nivel judeţean şi al municipiului Bucureşti, în scopul îndeplinirii atribuţiilor lor legale.

14. Emitere autorizaţii/licenţe

Scopul emitere autorizaţii/licenţe se declară, de regulă, de către autorităţile şi instituţiile publice care desfăşoară activităţi în acest sens. Acest scop se poate corela cu pct. 8 (urbanism şi amenajarea teritoriului), pct. 9 (fond funciar) şi pct. 10 (cadastru şi publicitate imobiliară).

15. Statistică

Scopul statistică poate fi bifat de Institutul Naţional de Statistică şi de structurile sale teritoriale. Acest scop poate fi bifat şi de către alte entităţi doar corelat cu alte scopuri (dacă datele cu caracter personal colectate în vederea realizării acestora sunt utilizate şi la întocmirea unor analize statistice).

16. Cercetare ştiinţifică

Scopul cercetare ştiinţifică se declară, de regulă, de operatorii care iniţiază studii de cercetare ştiinţifică în diferite domenii de activitate, inclusiv studii clinice. Acest scop se poate corela cu pct. 5 (servicii de sănătate) şi scopul specific activităţii operatorului (dacă realizarea acestuia implică şi efectuarea unor cercetări în domeniul respectiv).

17. Administrarea justiţiei

 Scopul “administrarea justiţieise declară, de regulă, de instanţele judecătoreşti şi executorii judecătoreşti.

În cazul prelucrărilor de date efectuate în scopul de mai sus sunt aplicabile prevederile Deciziei nr. 23/2012 conform cărora notificarea nu este necesară când prelucrarea datelor cu caracter personal este efectuată de autoritatea judecătorească în scopul îndeplinirii atribuţiilor lor legale.

18. Activitate notarială

Scopul activitate notarială se declară de notarii publici.

 În cazul prelucrărilor de date efectuate în scopul de mai sus sunt aplicabile prevederile Deciziei nr. 23/2012 conform cărora notificarea nu este necesară când prelucrarea datelor cu caracter personal este efectuată de persoanele fizice sau de entităţile private care desfăşoară o activitate independent, autorizată în baza unei legi, în scopul îndeplinirii atribuţiilor lor legale.

19. Activitate politică

Scopul activitate politicăpoate fi declarată de partidele politice şi candidaţii independenţi pentru prelucrarea datelor personale ale susţinătorilor (necesare la depunerea candidaturilor la alegeri) şi se poate corela, după caz, cu pct. 4 (reclamă, marketing şi publicitate) şi pct. 13 (evidenţă electorală).

20. Servicii de consiliere legală şi reprezentare în justiţie

Scopul servicii de consiliere legală şi reprezentare în justiţiese declară, de regulă, de persoanele fizice autorizate sau persoanele juridice care prestează servicii de consultanţă juridică şi/sau de reprezentare în justiţie (ex: cabinetele de avocatură)

În cazul prelucrărilor de date efectuate în scopul de mai sus sunt aplicabile prevederile Deciziei nr. 23/2012 conform cărora notificarea nu este necesară când prelucrarea datelor cu caracter personal este efectuată de autoritatea judecătorească în scopul îndeplinirii atribuţiilor lor legale.

21. Servicii financiar-bancare

Scopul servicii financiar-bancare se declară, de regulă, de operatorii cărora le sunt aplicabile prevederile Ordonanţei de Urgenţă nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului (în sensul art. 7 alin. (1) pct. 10 din acelaşi act normativ), respectiv bănci, case de ajutor reciproc, instituţii financiare nebancare şi societăţi al căror obiect principal de activitate îl constituie acest scop. Se poate corela cu pct. 4 (reclamă, marketing şi publicitate), pct. 22 (rapoarte de credit), pct. 23 (colectare debite/recuperare creanţe), pct. 24 (servicii de asigurări şi reasigurări), şi cu pct. 32 (pentru prevenirea fraudelor).

22. Rapoarte de credit

Scopul rapoarte de creditse declară, de regulă, de societăţi de tipul birourilor de credit, banci, instituţii financiare nebancare şi societăţi al căror obiect principal de activitate îl constituie acest scop (trebuie avută în vedere Decizia nr. 105/2007). Se poate corela cu pct. 21 (servicii financiar-bancare), pct. 24 (servicii de asigurări şi reasigurări) şi scopul specific activităţii desfăşurate de diverse entităţi beneficiare a serviciilor oferite de birourile de credit.

23. Colectare debite/recuperare creanţe

Scopul colectare debite/recuperare creanţe se declară, în general, de entităţile care prelucrează date cu caracter personal în vederea colectării debitelor/recuperării creanţelor de la proprii clienţi/angajaţi/membrii şi se poate corela cu scopul care rezultă din activitatea principala desfăşurată de operator.

Acest scop poate fi declarat şi de către entităţile care au ca obiect de activitate colectare debite/recuperare creanţe, numai pentru prelucrările de date efectuate în calitate de operator, în nume propriu. Nu se bifează de entităţile care colectează debite/recuperează creanţe în calitate de împuternicit al operatorului, în baza contractului de prestări servicii încheiat cu acesta.

24. Servicii de asigurări şi reasigurări

Scopul servicii de asigurări şi reasigurări se declară, în general, de societăţile de asigurări şi/sau reasigurări, dar poate fi bifat şi de alte entităţi (bănci, instituţii financiare nebancare, agenţii de turism, case de ajutor reciproc) care utilizează datele persoanelor vizate în vederea asigurării/reasigurării serviciului/produsului contractat de acestea. Se poate corela cu pct. 4 (reclamă, marketing şi publicitate), pct. 21 (servicii financiar-bancare) şi pct. 32 alte scopuri (pentru servicii financiare nebancare).

În ceea ce priveşte activitatea brokerilor de asigurări, apreciem că pot fi bifate pct. 24 şi 32 (unde se va face referire la activităţile de consultanţă la încheierea poliţelor de asigurare şi asistenţă în domeniul asigurărilor, precum şi la derularea procedurii de comisionare a activităţii de intermediere cu societăţile de asigurări, precum şi cele care fac obiectul cerinţelor Ordinului CSA nr. 5/2011 cu privire la prevenirea fraudelor din categoria operaţiunilor de spălare de bani prin intermediul pieţei asigurărilor, dacă sunt desfăşurate în calitate de operator).

25. Tranzacţii imobiliare

Scop specific agenţiilor imobiliare, dar poate fi bifat şi de alte entităţi, în măsura în care acestea desfăşoară activităţi similare, respectiv pentru intermedierea vânzării-cumpărării de imobile către/de la persoane fizice. Se poate corela cu pct. 4 (reclamă, marketing şi publicitate).

În cazul prelucrărilor de date efectuate în scopul de mai sus sunt aplicabile prevederile Deciziei nr. 23/2012 conform cărora notificarea nu este necesară când prelucrarea datelor cu caracter personal este efectuată în scopul intermedierii tranzacţiilor imobiliare.

26. Servicii hoteliere şi de turism

Se declară,  de regulă, de unităţile hoteliere şi agenţiile de turism, dar poate fi declarat şi de către entităţile care deţin spaţii pentru odihnă şi/sau tratament (în care sunt cazaţi propriii angajaţi şi familiile acestora pe perioada concediilor de odihnă), precum şi de unităţile de învăţământ care deţin cămine şi/sau tabere pentru elevi şi studenţi. Se poate corela cu pct. 4 (reclamă, marketing şi publicitate).

27. Monitorizarea/securitatea persoanelor, spaţiilor şi/sau bunurilor publice/private

Se declară, în general, de operatorul care monitorizează accesul angajaţilor şi al vizitatorilor în sediul său prin diverse mijloace (ex. registre, cartele şi supraveghere video, registrul de acces al persoanelor), precum şi de entităţile care supraveghează video locuri şi spaţii deschise sau destinate publicului şi căile publice de acces.

Operatorii care prelucrează date cu caracter personal prin mijloace de supraveghere video sunt obligaţi să respecte prevederile Deciziei Preşedintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 52/2012 (publicată în Monitorul Oficial al României, Partea I, nr. 389 din 11 iunie 2012).

28. Servicii de comunicaţii electronice

 Conceptul de „comunicaţii electronice" înglobează toate sistemele de transmisie şi echipamentele de comutare sau rutare, precum şi orice alte resurse, care permit transportul semnalelor prin fir, radio, fibră optică sau orice alte mijloace electromagnetice). Această definiţie acoperă reţelele fixe (cu comutare de circuite sau de pachete, inclusiv Internet) şi reţelele mobile terestre, reţelele de comunicaţii prin satelit, reţelele utilizate pentru transmiterea comunicaţiei audiovizuale şi reţelele de cablu TV). Scopul este specific entităţilor furnizoare de servicii de comunicaţii electronice (telefonie, radiocomunicaţii, internet, televiziune prin cablu) şi celor care oferă servicii prin intermediul internetului (comerţ on-line, concursuri on-line).

29. Constatarea şi sancţionarea contravenţiilor

 Scopul “constatarea şi sancţionarea contravenţiilorse declară, de regulă, de autorităţile şi instituţiile publice care au astfel de competenţe în baza unor dispoziţii legale (de exemplu: Garda Financiară, Curtea de Conturi, Poliţia Comunitară).

30. Prevenirea, cercetarea, reprimarea infracţiunilor, menţinerea ordinii publice

Scopul “prevenirea, cercetarea, reprimarea infracţiunilor, menţinerea ordinii publice se declară de instanţe şi parchete.

31. Alte activităţi defăşurate în domeniul dreptului penal pot fi declarate, în principal, de instanţe şi parchete, inspectoratele de poliţie şi de jandarmi, precum şi de alte instituţii publice care desfăşoară astfel de activităţi.

32. Alte scopuri

Această rubrică se completează în situaţia în care scopul sau scopurile corelate în care persoanele fizice şi/sau juridice ce au calitatea de operator în sensul Legii nr. 677/2001, prelucrează date cu caracter personal, nu se regăsesc la punctele 1 - 31.


2.2.4. SECŢIUNEA V: Temeiul legal al prelucrării

Această secţiune se completează numai în cazul notificărilor speciale pentru prelucrările efectuate în cadrul activităţilor de prevenire, cercetare şi reprimare a infracţiunilor şi de menţinere a ordinii publice, precum şi al altor activităţi desfăşurate în domeniul dreptului penal, în limitele şi cu restricţiile stabilite de lege.

La această secţiune se menţionează actul sau actele normative în baza cărora operatorul efectuează prelucrarea datelor cu caracter personal.


2.2.5. SECŢIUNEA VI: Categorii de persoane vizate

În accepţiunea Legii nr. 677/2001, modificată şi completată, persoanele vizate sunt reprezentate de persoanele fizice ale căror date personale sunt colectate de operator, în vederea efectuării asupra acestora, a operaţiunilor prevăzute de art. 3 lit. b) din acest act normativ, respectiv de înregistrare, organizare, stocare, adaptare ori modificare, extragere, consultare, utilizare, dezvăluire, ştergere, distrugere, etc.

La această secţiune se marchează cu „X" căsuţele corespunzătoare categoriilor generice de persoane vizate ale căror date personale sunt prelucrate, în funcţie de scopul sau scopurile corelate ale prelucrării declarate la secţiunea IV. În situaţia în care categoriile de persoane vizate nu se regăsesc, în totalitate sau în parte, la punctele 1-23 de la această secţiune, se completează spaţiul aferent rubricii „altele".

            Exemple:
            - dacă scopul prelucrării este "educaţie şi cultură", categoriile de persoane vizate pot fi: "cadre didactice", "studenţi", "minori", "membrii familiei persoanei vizate" ;
            - dacă scopul prelucrării este "reclamă, marketing şi publicitate", categoriile de persoane vizate pot fi: „clienţi/potenţiali clienţi", „consumatori/potenţiali consumatori".


2.2.6. SECŢIUNEA VII: Motivele care justifică aplicarea prevederilor art. 11, art. 12 alin. (3) sau alin. (4) ori ale art. 13 alin. (5) sau alin. (6) din Legea nr. 677/2001

Se completează motivele pentru care se aplică prevederile legale susmenţionate, în funcţie de scopul prelucrării declarat la secţiunea IV din formularul de notificare, respectiv, faptul că prelucrarea se efectuează exclusiv în scopuri scopuri statistice, de cercetare istorică sau ştiinţifică.

Prevederile art. 11, art. 12 alin. (3) sau alin. (4) ori ale art. 13 alin. (5) sau alin. (6) din Legea nr. 677/2001, modificată şi completată se aplică în situaţia în care au loc prelucrări de date cu caracter personal în scopuri statistice, de cercetare istorică sau ştiinţifică, care determină următoarele:

- lipsa obligaţiei de a informa persoana vizată, atunci când datele nu sunt obţinute direct de la persoana vizată, în situaţia în care prelucrarea datelor se face în scopuri statistice, de cercetare istorică sau ştiinţifică (art. 12 alin. (4) din Legea nr. 677/2001);
            - comunicarea informaţiilor solicitate de persoana vizată în exercitarea dreptului de acces, într-un termen mai mare de 15 zile, în situaţia în care prelucrarea datelor cu caracter personal legate de starea de sănătate se face în scop de cercetare ştiinţifică (art. 13 alin. (5) din Legea nr. 677/2001);

- adresarea cererii de exercitare a dreptului de acces de către persoana vizată, în altă formă decât printr-o cerere scrisă, semnată şi datată, în situaţia în care prelucrarea datelor cu caracter personal se face exclusiv în scopuri jurnalistice, literare sau artistice (art. 13 alin. (6) din Legea nr. 677/2001).


2.2.7. SECŢIUNEA VIII: Modul în care persoanele vizate sunt informate asupra drepturilor lor

Operatorul bifează corespunzător, cu „X", una sau mai multe dintre modalităţile enumerate în această secţiune, prin care persoanelor vizate le sunt aduse la cunoştinţă informaţiile prevăzute la art. 12 din Legea nr. 677/2001, modificată şi completată. Acesta are obligaţia de a comunica persoanei vizate, în principal, informaţii privind:

1. identitatea operatorului sau, în cazul în care există, a reprezentantului sau a împuternicitului;

2. scopul prelucrării;

3. categoriile de date prelucrate (în cazul în care nu sunt colectate direct de la persoanele vizate);

4. caracterul obligatoriu sau facultativ de a furniza datele personale;

5. consecinţele refuzului de a le furniza;

6. destinatarii sau categoriile de destinatari ai datelor;

7. existenţa dreptului de acces, de intervenţie asupra datelor, de opoziţie la prelucrarea datelor, de a nu fi supus unei decizii individuale, condiţiile de exercitare a acestor drepturi, precum şi a dreptului de a se adresa justiţiei;

8. eventualul transfer al datelor în străinătate.

Această obligaţie există şi în cazul în care datele nu sunt obţinute direct de la persoana vizată. În acest caz, operatorul este obligat, ca în momentul colectării datelor sau, dacă se intenţionează dezvăluirea acestora către terţi, cel mai târziu până în momentul primei dezvăluiri, să furnizeze persoanei vizate informaţiile susmenţionate.

Informarea persoanelor vizate trebuie să fie adecvată circumstanţelor specifice de prelucrare (respectiv modalităţii de prelucrare a datelor, suportului pe care sunt colectate datele etc.) şi se poate realiza prin intermediul documentelor prin care datele personale sunt colectate şi/sau prin afişarea unei note informative la sediul operatorului sau pe pagina web. (prin adaptarea modelelor de mai jos).

                       
            MODEL DE NOTĂ DE INFORMARE ÎN SCRIS (pentru formularele de colectare a datelor, gen taloane, cupoane şi altele asemenea)


          ............................................................. (se indică identitatea operatorului sau a reprezentantului, precum şi, dacă este cazul, pe cea a împuternicitului) prelucrează datele cu caracter personal furnizate de dumneavoastră prin acest document.............(se precizează categoriile de date, dacă acestea nu sunt colectate direct de la persoanele vizate) în scopul ............(se precizează scopul). Datele vor fi dezvăluite ..................................(se precizează destinatarii cărora le vor fi dezvăluite datele). Pe viitor, aceste date/datele .............. (se precizează concret datele) ne permit să vă ţinem la curent cu activitatea noastră.

În cazul în care nu doriţi aceasta, bifaţi □NU

Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de intervenţie asupra datelor, dreptul de a nu fi supus unei decizii individuale. Aveţi dreptul să vă opuneţi prelucrării datelor personale care vă privesc şi să solicitaţi ştergerea datelor*. Pentru exercitarea acestor drepturi, vă puteţi adresa cu o cerere scrisă, datată şi semnată la .................................................(se precizează serviciul, organismul sau persoana responsabilă). De asemenea, vă este recunoscut dreptul de a vă adresa justiţiei.

Datele dumneavoastră vor fi transferate în ............... (precizaţi statele), în vederea....................(se precizează scopul transferului datelor în străinătate)."

 

        MODEL DE NOTĂ DE INFORMARE (în scris sau prin afişare, recomandată autorităţilor şi instituţiilor publice)



............................................................... (se indică identitatea operatorului sau, dacă este cazul, şi pe cea a împuternicitului), prin intermediul serviciului (iilor) ............................... (dacă este cazul, se precizează denumirea serviciilor respective), prelucrează datele dumneavoastră cu caracter personal .............(se precizează categoriile de date, dacă acestea nu sunt colectate direct de la persoanele vizate), prin mijloace automatizate/manuale, destinate .............................. (se indică scopul prelucrării).

Sunteţi/nu sunteţi obligat(ă) să furnizaţi datele, acestea fiind necesare......................... (se precizează scopul).

Refuzul dvs. determină.................. (se precizează consecinţele refuzului).

Informaţiile înregistrate sunt destinate utilizării de către operator şi sunt comunicate numai următorilor destinatari: ................. (se precizează destinatarii).

Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de intervenţie asupra datelor şi de dreptul de a nu fi supus unei decizii individuale. Totodată, aveţi dreptul să vă opuneţi prelucrării datelor personale care vă privesc şi să solicitaţi ştergerea datelor*. Pentru exercitarea acestor drepturi, vă puteţi adresa cu o cerere scrisă, datată şi semnată la .................................................(se precizează serviciul, organismul sau persoana responsabilă). De asemenea, vă este recunoscut dreptul de a vă adresa justiţiei.

Datele dumneavoastră pot fi transferate în ............... (precizaţi statele), în vederea....................(se precizează scopul transferului datelor în străinătate)."



            MODEL DE NOTĂ DE INFORMARE PRIVIND PROTECŢIA DATELOR PERSONALE (pentru afişare pe pagina web sau în cazul colectării datelor prin formulare on-line)

Conform cerinţelor Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, modificată şi completată şi ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice (se precizează şi acest act normativ, după caz)..............................................(se precizează denumirea operatorului sau a reprezentantului, precum şi, dacă este cazul, pe cea a împuternicitului) are obligaţia de a administra în condiţii de siguranţă şi numai pentru scopurile specificate, datele personale pe care ni le furnizaţi despre dumneavoastră, un membru al familiei dumneavoastră ori o altă persoană.

Scopul colectării datelor este:.............................. (se indică scopul prelucrării).

Sunteţi/nu sunteţi obligat(ă) să furnizaţi datele, acestea fiind necesare................................(se precizează scopul). Refuzul dvs. determină.................. (se precizează consecinţele refuzului).

Informaţiile înregistrate sunt destinate utilizării de către operator şi sunt comunicate numai următorilor destinatari:................. (se precizează destinatarii).

Doriţi să primiţi informaţii despre produsele, serviciile, evenimentele etc. oferite de.................(se precizează denumirea operatorului sau a reprezentantului, precum şi, dacă este cazul, pe cea a împuternicitului)?

□DA □NU

Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de intervenţie asupra datelor, dreptul de a nu fi supus unei decizii individuale şi dreptul de a vă adresa justiţiei. Totodată, aveţi dreptul să vă opuneţi prelucrării datelor personale care vă privesc şi să solicitaţi ştergerea datelor*. Pentru exercitarea acestor drepturi, vă puteţi adresa cu o cerere scrisă, datată şi semnată la .................................................(se precizează serviciul, organismul sau persoana responsabilă). De asemenea, vă este recunoscut dreptul de a vă adresa justiţiei.

Datele dumneavoastră vor fi transferate în ............... (precizaţi statele), în vederea....................(se precizează scopul transferului datelor în străinătate)."

 Dacă unele din datele despre dumneavoastră sunt incorecte, vă rugăm să ne informaţi cât mai curând posibil.

_______________________________________________________________

Observaţie:

*orice persoană are dreptul de a se opune, pentru motive legitime, la prelucrarea datelor ce o privesc. Acest drept de opoziţie poate fi exclus pentru anumite prelucrări prevăzute de lege (de ex.: prelucrări efectuate de serviciile financiare şi fiscale, de poliţie, justiţie, securitate socială). Prin urmare, această menţiune nu poate figura dacă prelucrarea are un caracter obligatoriu;

*orice persoană are, de asemenea, dreptul de a se opune, în mod gratuit şi fără nici o justificare, la prelucrarea datelor sale personale în scopuri de marketing direct.

 Modalitatea de informare „verbal" se utilizează, în mod excepţional, în situaţia în care nu se poate realiza informarea în alte modalităţi (ex: informare prin intermediul convorbiri telefonice, dacă acestea sunt înregistrate).

 

MODEL DE NOTA DE INFORMARE PENTRU OPERATORII CARE PRELUCREAZĂ DATE CU CARACTER PERSONAL PRIN MIJLOACE DE SUPRAVEGHERE VIDEO

În cazul prelucrării datelor cu caracter personal prin mijloace de supraveghere video, operatorii sunt obligaţi să furnizeze persoanelor care intră în raza de acţiune a camerelor video, informaţiile prevăzute de art. 12 din Legea nr. 677/2001, modificată şi completată, şi de art. 11 din Decizia Preşedintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 52/2012 (publicată în Monitorul Oficial al României, Partea I, nr. 389 din 11 iunie 2012). Aceste informaţii trebuie aduse la cunoştinţa persoanelor vizate în mod clar şi permanent, prin intermediul unui afiş postat în locurile monitorizate, poziţionat la o distanţă rezonabilă de locul unde sunt amplasate echipamentele de supraveghere, astfel încât să poată fi văzut de orice persoană. Afişul trebuie să conţină o pictogramă reprezentativă alături de informaţiile prevăzute de art. 11 alin. 1 din Decizia nr. 52/2012 (se propune modelul de mai jos).

 MODEL


............................................................... (se indică identitatea operatorului sau, dacă este cazul, şi pe cea a împuternicitului) prelucrează datele dumneavoastră cu caracter personal, respectiv imaginea prin mijloace automatizate, în vederea monitorizării accesului persoanelor şi asigurării securităţii acestora şi a spaţiilor şi bunurilor operatorului. Datele personale înregistrate sunt comunicate următorilor destinatari:................. (se precizează destinatarii).

Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de intervenţie asupra datelor, dreptul de opoziţie, dreptul de a nu fi supus unei decizii individuale şi dreptul de a vă adresa justiţiei.

Pentru exercitarea acestor drepturi, vă puteţi adresa cu o cerere scrisă, datată şi semnată la .................................................(se precizează serviciul, organismul sau persoana responsabilă).

Datele dumneavoastră nu/vor fi transferate în ............... (precizaţi statele), în vederea....................(se precizează scopul transferului datelor în străinătate)."


                                         zona_video.png

 

 2.2.8. SECŢIUNEA IX: Categorii de date prelucrate


            Datele cu caracter personal sunt acele informaţii care se referă la o persoană fizică identificată sau identificabilă, direct sau indirect, printr-un număr de identificare sau prin referire la o serie de factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale, inclusiv datele biometrice (amprenta digitală, maxilo-facială, retina şi altele asemenea) sau datele genetice (ADN-ul).

În acest spaţiu, se marchează cu „X" căsuţele corespunzătoare datelor sau categoriilor de date personale prelucrate, în funcţie de scopul sau scopurile corelate, declarate la secţiunea IV din formularul de notificare.

Dacă datele sau categoriile de date nu se regăsesc, în totalitate sau în parte, în secţiunea de faţă, se completează spaţiul aferent rubricii „altele".
            De asemenea, art. 4 alin. (1) lit. c) din Legea nr. 677/2001, modificată şi completată, stabileşte că datele cu caracter personal destinate a face obiectul unei prelucrări trebuie să fie adecvate, pertinente şi neexcesive prin raportare la scopul în care sunt colectate şi ulterior prelucrate.


            Exemple:

- dacă scopul prelucrării este "educaţie şi cultură", categoriile de date prelucrate pot fi: „numele şi prenumele", „numele şi prenumele membrilor de familie", „data şi locul naşterii", „cetăţenia", „semnătura", „date din actele de stare civilă", „telefon", „adresă", „formare profesională/diplome/studii".

- dacă scopul prelucrării este "monitorizarea/securitatea persoanelor, spaţiilor şi/sau bunurilor publice/private" (şi se realizează prin intermediul mijloacelor de supraveghere video şi registrului de acces al persoanelor), categoriile de date prelucrate pot fi „numele şi prenumele", „semnătura", „imaginea" şi „seria şi numărului actului de identitate" (ce face parte din categoria datelor cu caracter special).

            Atenţie !

Se vor colecta doar datele strict necesare realizării scopului/scopurilor corelate declarate.


2.2.9. SECŢIUNEA X: Categorii de date cu caracter special


            Potrivit Legii nr. 677/2001, datele cu caracter special sunt cele legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice sau de natură similară, de apartenenţa sindicală, datele cu caracter personal privind starea de sănătate sau viaţa sexuală, precum şi datele având funcţie de identificare de aplicabilitate generală (codul numeric personal şi seria şi numărul actului de identitate).

De asemenea, datele referitoare la fapte penale sau contravenţii, sancţiuni disciplinare, precum şi datele privind cazierul judiciar fac parte din această categorie de date.

Prelucrarea datelor cu caracter special este interzisă.

De la acestă regulă, legea prevede anumite excepţii, principala excepţie fiind consimţământul persoanei vizate (art. 7 alin. (2) şi art. 8 din Legea nr. 677/2001). Consimţământul persoanelor vizate trebuie să fie expres şi neechivoc, respectiv explicit, liber exprimat şi informat.

Completarea acestei secţiuni din formularul de notificare se realizează în mod similar secţiunii anterioare.


            Exemple:

- dacă scopul prelucrării este "selecţie şi plasare forţă de muncă", categoriile de date cu caracter special prelucrate pot fi: „codul numeric personal", „ seria şi numărul actului de identitate", „date din cazierul judiciar".

- dacă scopul prelucrării este "reclamă, marketing şi publicitate", categoriile de date cu caracter special prelucrate pot fi: „codul numeric personal", „seria şi numărul actului de identitate" pentru câştigătorii promoţiilor (OUG nr. 99/2000).

    

            Atenţie!

Prelucrarea de date cu caracter personal de orice fel, altele decât cele declarate de operator în formularul de notificare, poate constitui contravenţie.

 

2.2.10. SECŢIUNEA XI: Categorii de destinatari

Destinatar este, în sensul art. 3 lit. h) din Legea nr. 677/2001, orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, căreia îi sunt dezvăluite date, indiferent dacă este sau nu terţ.

Autorităţile publice cărora li se comunică date în cadrul unei competenţe speciale de anchetă nu vor fi considerate destinatari (de ex. datele personale solicitate de instanţele de judecată, procurori, organe de urmărire penală, dacă sunt necesare desfăşurării unei anchete).
La această secţiune, se marchează cu „X" căsuţele corespunzătoare categoriilor de destinatari cărora li se vor dezvălui datele prelucrate de operator în scopul sau scopurile corelate declarate.


            Atenţie !

Dezvăluirea datelor cu caracter personal, unei persoane sau categorii de persoane care nu sunt menţionate în formularul de notificare, poate constitui contravenţie.

2.2.11. SECŢIUNEA XII: Garanţiile care însoţesc dezvăluirea datelor către terţi

 

Se marchează cu „X" tipurile de garanţii specifice scopului şi mijloacelor de prelucrare, care să ateste îndeplinirea condiţiilor de legitimitate a prelucrării prevăzute de art. 5 din Legea nr. 677/2001.

Consimţământul persoanei vizate reprezintă una din garanţiile în baza cărora se pot dezvălui datele cu caracter personal. Consimţământul trebuie să fie dat în mod expres şi neechivoc (art. 5 alin. 1 din Legea nr. 677/2001).

Actele normative (în special în cazul instituţiilor publice) reprezintă o altă garanţie în baza căreia are loc dezvăluirea datelor cu caracter personal. În acest caz, este necesar să se precizeze numărul, data şi titlul actului normativ invocat pentru prelucrarea respectivă.

 Alte tipuri de garanţii se pot referi cu privire la obligaţiile de confidenţialitate sau de respectare a secretului profesional ori de serviciu de către persoanele care au acces la datele cu caracter personal prelucrate etc.

 

2.2.12. SECŢIUNEA XIII: Încheierea operaţiunilor de prelucrare


            a) Data estimată

Această secţiune se completează când operatorul notifică pentru prima dată o prelucrare de date cu caracter personal.

Este necesar să se delimiteze durata prelucrării notificate, în funcţie de specificul activităţii operatorului, precizând în acest sens o anumită dată cunoscută sau aproximativă pentru terminarea tuturor operaţiunilor de prelucrare (inclusiv arhivarea, care este o operaţiune de prelucrare şi nu se poate efectua decât pe o durată limitată de timp), întrucât art. 4 alin. (1) lit. e) din Legea nr. 677/2001 stabileşte că datele cu caracter personal destinate a face obiectul unei prelucrări trebuie să fie stocate într-o formă care să permită identificarea persoanelor vizate strict pe durata necesară realizării scopurilor în care acestea au fost colectate şi ulterior prelucrate.

Exemple:

- durata valabilităţii contractului încheiat cu persoana vizată pentru furnizarea produselor sau serviciilor operatorului şi, eventual, o perioadă rezonabilă de arhivare a acestora, stabilită prin acte normative sau prin nomenclatorul arhivistic propriu, care trebuie specificată în notificare (ex :perioada de valabilitate a contractului încheiat cu beneficiarul pachetului de servicii turistice şi durata arhivării documentelor ce conţin datele personale ale acestuia)

- perioada cât pacientul beneficiază de serviciile oferite de furnizorul de servicii medicale în evidenţele căruia se află;

- perioada necesară verificării îndeplinirii obligaţiilor ce revin lucrătorilor responsabili cu completarea chestionarelor utilizate în cercetări statistice şi ştiinţifice, ulterior acesteia datele personale trebuie depersonalizate, deoarece rezultatul cercetării nu trebuie să facă referire la persoane identificabile;

- pentru activitatea de marketing direct datele pot fi prelucrate până la exercitarea dreptului de opoziţie;

- pentru scopul financiar- bancar datele pot fi prelucrate pe perioada în care persoana vizată are calitatea de client şi beneficiar al serviciilor financiar bancare, precum şi durata stocării documentelor ce conţin datele personale prevăzută de legislaţia aplicabilă în sectorul bancar şi nomenclatorul arhivistic.

           b) Data certă a încetării operaţiunilor de prelucrare 

Aceasta poate fi indicată fie în momentul înregistrării notificării iniţiale, fie la data încheierii tuturor operaţiunilor de prelucrare, inclusiv arhivare (când trebuie completată notificarea depusă anterior), precizându-se data exactă a încetării prelucrării (ex: 31 decembrie 2010).

În acest caz, se va marca cu „X" modalitatea prin care se încheie prelucrarea de date cu caracter personal (potrivit art. 6 alin. 1 din Legea nr. 677/2001, modificată şi completată), şi anume:

a) prelucrarea în alt scop, cu consimţământul persoanei vizate; 

b) ştergere, distrugere, arhivare;

c) transformare în date anonime şi stocare exclusiv în scopuri statistice, de cercetare istorică sau ştiinţifică;

d) transferare unui alt operator.

 

În situaţia în care persoana vizată îşi dă consimţământul pentru altă prelucrare decât cea pentru care operatorul a notificat autoritatea de supraveghere, este necesar ca operatorul să notifice pentru prelucrarea de date efectuată într-un scop diferit faţă de cel declarat în notificarea anterioară.

În ceea ce priveşte ştergerea, distrugerea şi arhivarea, procedura internă şi modalităţile de realizare a acestor operaţiuni, se stabilesc de către fiecare operator, cu excepţia procedurii care se desfăşoară potrivit prevederilor legale privind arhivele naţionale.

De asemenea, există situaţii în care operatorul, datorită activităţii pe care o desfăşoară, este obligat, în baza unor legi speciale, să păstreze datele o anumită perioadă de timp, dar după expirarea acesteia trebuie să procedeze în una din modalităţile prevăzute mai sus. În alte cazuri, operatorii sunt creatori de arhivă şi sunt obligaţi să procedeze conform dispoziţiilor legale privind păstrarea arhivelor.

În cazul transferului datelor către alt operator, este necesar ca operatorul iniţial să garanteze că prelucrările efectuate de terţ au scopuri similare cu prelucrarea iniţială. În acelaşi timp, trebuie informată autoritatea de supraveghere şi încheiat un contract cu operatorul căruia i se predă baza de date, care să conţină garanţiile menţionate anterior.

Totodată, operatorul care obţine datele cu caracter personal este obligat ca, în momentul colectării datelor sau, dacă se intenţionează dezvăluirea acestora către terţi, cel mai târziu până în momentul primei dezvăluiri, să furnizeze persoanei vizate, informaţiile prevăzute la art. 12 alin. (1) din Legea nr. 677/2001. 

Modalitatea de încheiere a operaţiunilor de prelucrare, referitoare la transferare, nu trebuie confundată cu transferul datelor în străinătate, ale cărui condiţii sunt reglementate de art. 29 şi art. 30 din Legea nr. 677/2001.


2.2.13. SECŢIUNEA XIV: Transferuri de date în străinătate

Transferul datelor cu caracter personal în străinătate este reglementat la art. 29 şi art. 30 din Legea nr. 677/2001.

Nu este necesară notificarea transferului când acesta se face în baza prevederilor unei legi speciale sau ale unui acord internaţional ratificat de România, în special, dacă transferul se face în scopul prevenirii, cercetării sau reprimării unei infracţiuni.

 
   Regulile generale care trebuie respectate în cazul transmiterii/transferului datelor în străinătate sunt:

• scopul în care se transmit/transferă datele nu poate fi incompatibil cu cel în care acestea sunt prelucrate pe teritoriul României;

• nu pot fi transmise/transferate mai multe date decât au fost menţionate că se prelucrează;
            • în cazurile în care operatorul este scutit de obligaţia de a notifica prelucrarea datelor, dar nu este scutit de cea de a notifica transmiterea/transferul datelor în străinătate (ex.
Decizia nr. 90/2006  şi art. 1 lit. a) şi g) din  Decizia nr. 100/2007), este necesară completarea formularului de notificare.

Se marchează cu „X”, la Secţiunea XIV, „indicele 1” dacă se transmit date cu caracter personal în state din Uniunea Europeană.

Se marchează cu „X”, la Secţiunea XIV, „indicele 2” dacă se transmit date cu caracter personal în state din Zona Economică Europeană (Islanda, Liechtenstein şi Norvegia).
            Se marchează cu „X”, la Secţiunea XIV, „indicele 3” dacă se transmit date cu caracter personal în state cărora Comisia Europeană le-a recunoscut prin decizie un nivel de protecţie adecvat (Andorra, Australia, Argentina, Canada, Elveţia, Guernsey, Jersey, Insula Man Insilele Feroe, Israel, Noua Zeelandă, Uruguay şi Statele Unite ale Americii - când operatorul din SUA a aderat la principiile Safe Harbour).

În cazul transmiterii/transferului datelor în statele cărora Comisia Europeană le-a recunoscut prin decizie un nivel de protecţie adecvat, trebuie enumerate statele către care se efectuează transferul, scopul transferului şi categoriile de date transferate, prin menţionarea indicativului corespunzător de la secţiunea IV, IX şi secţiunea X. În situaţia în care scopul prelucrării nu este identic cu scopul transmiterii/transferului datelor, operatorul va face menţiuni la Secţiunea IV, indicele 32, „altele” precizând scopul efectiv al transmiterii/transferului datelor.

În cazul transferului datelor personale către destinatarii din SUA, atunci când operatorii declară acest transfer la indicele 3, din cadrul Secţiunii XIV, aceştia trebuie să se asigure că destinatarul din SUA deţine un certificat valabil Safe Harbor şi că menţiunile care se efectuează în cadrul acestei secţiuni sunt corespunzătoare celor din certificatul de aderare la Principiile Safe Harbor (se va anexa la prima pagină a formularului de notificare, copia certificatului Safe Harbor).

În toate cele trei situaţii, operatorii (exportatori de date) nu sunt supuşi procedurii de autorizare, conform Deciziei Preşedintelui ANSPDCP nr. 28/2007.

În cazul transferului datelor personale în state terţe, operatorul marchează cu „X”, la Secţiunea XIV, „indicele 4”  unde trebuie enumerate statele către care se efectuează transferul, şi, de asemenea, se va preciza scopul transferului şi categoriile de date transferate, prin menţionarea indicativului de la secţiunea IV, IX şi/sau secţiunea X, după caz.

În situaţia în care scopul prelucrării nu este identic cu scopul transmiterii/transferului datelor, operatorul va face menţiuni la Secţiunea IV, indicele 32, „altele” precizând scopul efectiv al transmiterii/transferului datelor. În mod corespunzător, în cadrul Secţiunii XIV privind transferurile de date în străinătate, operatorul va debifa din această secţiune indicii selectaţi deja la Secţiunile IV, IX şi X şi care nu corespund transferului. În plus, este necesar ca operatorul să marcheze cu X articolul în baza căruia se efectuează transferul datelor, şi anume:

-  în baza art. 29 alin. (4) din Legea nr. 677/2001, situaţie în care operatorul (exportator al datelor) va anexa copia contractului cu clauze standard încheiat cu importatorul de date,

fie

- în baza art. 30 din Legea nr. 677/2001.

1) Transferul în baza art. 29 alin. (4) din Legea nr. 677/2001 se bifează în cazul în care operatorul din România (exportatorul de date) transferă date către un importator de date, situat într-un stat care nu asigură un nivel de protecţie adecvat, în baza unui contract încheiat între exportatorul şi importatorul de date. 

În acest caz, operatorul este supus procedurii autorizării

Astfel, în cazul în care statul de destinaţie nu asigură un nivel de protecţie adecvat, respectiv, statul de destinaţie este stat terţ, care nu face parte din comunitatea europeană, operatorul care exportă datele, trebuie să prezinte garanţii suficiente cu privire la protecţia drepturilor fundamentale ale persoanelor vizate, printr-un contract încheiat cu importatorul de date. În acest scop, în funcţie de calitatea importatorului de date (operator/împuternicit) vor fi avute în vedere:

•    clauzele contractuale standard (conform Deciziilor 2001/497/CE sau 2004/915/CE) care reglementează transferul datelor de la un operator din România către un operator stabilit într-un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română;

•    clauzele contractuale standard (conform Deciziei Comisiei Europene 2010/87/UE)  care reglementează transferul datelor de la un operator din România către un împuternicit stabilit într-un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română.


* Clauzele contractuale standard se vor transmite în limba română.

2) Transferul în baza art. 30 Legea nr. 677/2001, se bifează în cazul în care operatorul din România transferă date către un stat care nu asigură un nivel de protecţie adecvat, în baza uneia dintre condiţiile enumerate la acest articol, respectiv:

a) când persoana vizată şi-a dat în mod explicit consimţământul pentru efectuarea transferului; în cazul în care transferul de date se face în legătură cu oricare dintre datele prevăzute la art. 7, 8 şi 10, consimţământul trebuie dat în scris;

b) când este necesar pentru executarea unui contract încheiat între persoana vizata si operator sau pentru executarea unor masuri precontractuale dispuse la cererea persoanei vizate;

c) când este necesar pentru încheierea sau pentru executarea unui contract încheiat ori care se va încheia, în interesul persoanei vizate, între operator şi un terţ;

d) când este necesar pentru satisfacerea unui interes public major, precum apărarea naţională, ordinea publică sau siguranţa naţională, pentru buna desfăşurare a procesului penal ori pentru constatarea, exercitarea sau apărarea unui drept în justiţie, cu condiţia ca datele să fie prelucrate în legătură cu acest scop şi nu mai mult timp decât este necesar;

e) când este necesar pentru a proteja viaţa, integritatea fizică sau sănătatea persoanei vizate;

f) când intervine ca urmare a unei cereri anterioare de acces la documente oficiale care sunt publice ori a unei cereri privind informaţii care pot fi obţinute din registre sau prin orice alte documente accesibile publicului.

Excepţiile reglementate de aceste dispoziţii legale sunt însă de strictă interpretare.
   
            Antenţie!
            Transferarea datelor cu caracter personal într-un alt stat, decât cel/cele  menţionate în formularul de notificare, poate constitui contravenţie.
             În toate cazurile în care operatorii transmit/transferă date în străinătate, aceştia sunt obligaţi să informeze persoanele vizate cu privire la acest aspect.


2.2.14. SECŢIUNEA XV: Măsurile luate pentru asigurarea securităţii prelucrării

Potrivit art. 19 şi 20 din Legea nr. 677/2001, modificată şi completată, operatorul este obligat să aplice măsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat.

Ca urmare, la această secţiune trebuie descrise măsurile pe care le ia operatorul pentru a proteja datele persoanelor vizate pe care le prelucrează, indiferent de mijloacele utilizate (automatizate, manuale ori mixte), în special, dacă printre acestea se numără şi date cu caracter special, care trebuie să respecte cerinţele minime de securitate a prelucrărilor de date cu caracter personal ce se regăsesc în prevederile Ordinului 52 din 18 aprilie 2002, publicat în Monitorul Oficial nr. 383 din 5 iunie 2002.

Totodată, se anexează documentul care conţine politica de securitate a prelucrărilor de date cu caracter personal.


2.2.15. SECŢIUNEA XVI: Sistemul de evidenţă utilizat şi legăturile cu alte prelucrări sau sisteme de evidenţă

Sistemul de evidenţă, potrivit definiţiei date de art. 3 lit. d) din Legea nr. 677/2001, este orice structură de date cu caracter personal, accesibilă potrivit unor criterii determinate, indiferent dacă această structură este organizată în mod centralizat ori descentralizat sau este repartizată după criterii funcţionale ori geografice.

Se bifează cu „X" sistemul de evidenţă al operatorului, după cum sunt utilizate mijloace automate sau neautomate ori mixte pentru prelucrarea datelor cu caracter personal. De asemenea, se marchează dacă prelucrarea notificată are legătură cu alte prelucrări sau cu alte sisteme de evidenţă a datelor cu caracter personal. În caz afirmativ, se marchează locul unde este situat sistemul de evidenţă.