Autorit. Naț. de Suprav. a Preluc. Datelor cu Caracter Personal

 

Decizie nr. 132 din 20/12/2011

privind condițiile prelucrării codului numeric personal și a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală

 

Publicat in Monitorul Oficial, Partea I nr. 929 din 28/12/2011

 

Văzând Referatul de aprobare nr. 1.089 din 2 august 2011 privind necesitatea clarificării modalității de prelucrare a codului numeric personal și a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală, întrucât din practică a rezultat colectarea și prelucrarea fără o justificare temeinică a acestor date, precum și a copiilor documentelor ce le conțin,

având în vedere intrarea în vigoare a Tratatului de la Lisabona, la data de 1 decembrie 2009, cu consecințe asupra cadrului juridic al protecției datelor în Uniunea Europeană, prin dispozițiile art. 16 din Tratatul privind funcționarea Uniunii Europene,

văzând dispozițiile considerentelor (22), (23) și (68) ale Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, denumită în continuare Directiva 95/46/CE, potrivit cărora se permite statelor membre, independent de normele generale, să prevadă condiții de prelucrare speciale pentru sectoare specifice, fiind împuternicite să asigure punerea în aplicare a protecției persoanei și prin acte cu putere de lege în anumite sectoare, completând sau clarificând cu norme speciale principiile cu privire la protecția drepturilor și libertăților persoanelor, în special a dreptului la viață privată, în ceea ce privește prelucrarea datelor cu caracter personal,

văzând dispozițiile art. 8 din Convenția pentru apărarea drepturilor omului și libertăților fundamentale, care consfințesc respectarea vieții private și de familie a oricărei persoane, inclusiv protejarea datelor personale, precum și cele ale art. 26 din Constituția României, republicată, care garantează respectarea dreptului fundamental la viață intimă, familială și privată, drept reafirmat și în Carta drepturilor fundamentale a Uniunii Europene,

întrucât dreptul la viață intimă, familială și privată, în special la protecția datelor personale, nu este un drept absolut, iar când se confruntă cu alte drepturi fundamentale trebuie să se găsească un echilibru în respectarea acestora, ele fiind de aceeași natură și importanță,

luând în considerare principiile de bază pentru protecția datelor instituite prin Convenția pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981 și ratificată de România prin Legea nr. 682/2001, cu modificările ulterioare, mai ales cele privind asigurarea securității datelor și garanțiile conferite persoanei ale cărei date sunt prelucrate,

ținând cont de faptul că, chiar dacă colectarea și stocarea unor date de către un operator nu ar putea constitui în sine o ingerință în viața privată, comunicarea acestora unui terț poate aduce atingere vieții private a persoanei în cauză, oricare ar fi utilizarea ulterioară a informațiilor comunicate,

având în vedere condițiile stabilite de dispozițiile art. 8 din Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, cu modificările și completările ulterioare, prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală se efectuează numai dacă persoana vizată și-a dat în mod expres consimțământul sau dacă prelucrarea este prevăzută în mod expres de o dispoziție legală, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal fiind în măsură să stabilească și alte cazuri în care se poate efectua prelucrarea acestor date numai cu condiția instituirii unor garanții adecvate pentru respectarea drepturilor persoanelor vizate,

întrucât, potrivit art. 2 lit. h) din Directiva 95/46/CE, "consimțământul persoanei vizate" înseamnă orice manifestare de voință, liberă, specifică și informată, prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc,

luând în considerare faptul că principiul de bază ce guvernează prelucrarea datelor personale trebuie să fie consimțământul, astfel încât, ca regulă generală, datele personale trebuie colectate, prelucrate sau dezvăluite unor terți numai cu consimțământul dat în mod expres și neechivoc de către persoana în cauză; consimțământul poate fi obținut numai după ce persoana vizată a fost complet și exact informată cu privire la scopul prelucrării acestora; exercitarea autonomiei de voință a persoanei vizate în privința prelucrării datelor sale presupune faptul că în orice moment aceasta își poate retrage consimțământul pentru prelucrarea tuturor sau a unora dintre datele sale personale, fără consecințe negative asupra sa,

având în vedere faptul că documentele create și deținute de autoritățile și instituțiile publice pot conține, prin modul în care au fost reglementate în legislația specifică aplicabilă, și codul numeric personal sau alte date cu caracter personal având o funcție de identificare de aplicabilitate generală, cum ar fi seria și numărul actului de identitate, situație în care intervin prevederile legale privind protecția datelor cu caracter personal,

întrucât, potrivit considerentelor (42) și (72) ale Directivei 95/46/CE, în interesul persoanei vizate sau în vederea protejării drepturilor și libertăților celorlalți, statele membre pot restrânge drepturile de acces la informații, iar Directiva 95/46/CE permite să se ia în considerare principiul dreptului de acces public la documente administrative atunci când se pun în aplicare principiile privind protecția datelor personale,

ținând cont de constatările Curții Europene a Drepturilor Omului rezultate din cauzele referitoare la divulgarea datelor cu caracter personal, în sensul că trebuie recunoscută autorităților competente o anumită putere de a stabili un just echilibru între interesele publice și cele private care ar fi concurente (Cauza Peck contra Regatul Unit din 28 ianuarie 2003),

văzând dispozițiile art. 12 alin. (1) lit. d) și ale art. 14 alin. (1) din Legea nr. 544/2001 privind liberul acces la informațiile de interes public, cu modificările și completările ulterioare, care stabilesc că datele cu caracter personal nu pot fi făcute publice decât în condițiile legii, iar informațiile cu privire la datele personale ale cetățeanului pot deveni informații de interes public numai în măsura în care afectează capacitatea de exercitare a unei funcții publice,

luând în considerare jurisprudența Curții Constituționale (Decizia nr. 615/2006) în care aceasta a reținut că în privința anumitor categorii de cetățeni și datele personale reprezintă un evident interes public, dar numai "în măsura în care afectează capacitatea de exercitare a unei funcții publice"; în caz contrar, și în asemenea situații, datele referitoare la viața intimă, familială și privată, precum și dreptul la propria imagine trebuie protejate prin lege, așa cum prevăd dispozițiile constituționale ale art. 26 alin. (1),

ținând cont de faptul că, deși art. 11 din Legea nr. 677/2001, cu modificările și completările ulterioare, prevede o serie de excepții în situația în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice, în sensul neaplicării art. 5, 6, 7 și 10 din aceeași lege, fără a se face mențiune însă și despre art. 8, care stabilește condițiile prelucrării codului numeric personal și a altor date având o funcție de identificare de aplicabilitate generală,

ținând cont de faptul că există și situații de excepție de la regula obținerii consimțământului persoanei vizate cu privire la prelucrarea datelor sale, de strictă interpretare și aplicare, reglementate de art. 5 alin. (2) din Legea nr. 677/2001, cu modificările și completările ulterioare, dar acestea nu aduc atingere dispozițiilor legale care reglementează obligația autorităților publice de a respecta și de a ocroti viața intimă, familială și privată,

văzând condițiile de exercitare a drepturilor persoanelor vizate, stabilite de art. 12-18 din Legea nr. 677/2001, cu modificările și completările ulterioare,

întrucât, potrivit art. 15 din Legea nr. 677/2001, cu modificările și completările ulterioare, persoana vizată are dreptul de a se opune în orice moment, din motive întemeiate și legitime legate de situația sa particulară, ca date care o vizează să facă obiectul unei prelucrări, cu excepția cazurilor în care există dispoziții legale contrare,

luând în considerare caracterul special al codului numeric personal, pentru care operatorul este obligat să ia măsuri tehnice și organizatorice destinate să îi asigure confidențialitatea și securitatea, în scopul de a preveni toate riscurile de dezvăluire sau acces neautorizat,

având în vedere că, potrivit Legii nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative, republicată, cu modificările și completările ulterioare, în categoria actelor normative intră legile, ordonanțele și hotărârile Guvernului, actele normative ale celorlalte autorități cu atribuții de inițiativă legislativă, precum și ordinele, instrucțiunile, alte acte normative emise de conducătorii autorităților administrative autonome și organele administrației publice centrale de specialitate, precum și actele cu caracter normativ emise de autoritățile administrației publice locale,

întrucât Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal este consultată, în condițiile art. 21 alin. (3) lit. h) din Legea nr. 677/2001, cu modificările și completările ulterioare, la elaborarea proiectelor de acte normative referitoare la protecția drepturilor și libertăților persoanelor, în privința prelucrării datelor cu caracter personal;

având în vedere obligațiile instituite în sarcina operatorului prin art. 19 și art. 20 alin. (1) din Legea nr. 677/2001, cu modificările și completările ulterioare, potrivit cărora acesta este obligat să aplice măsurile tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii ori accesului neautorizat, în special dacă prelucrarea respectivă comportă transmisii de date în cadrul unei rețele, precum și împotriva oricărei alte forme de prelucrare ilegală,

în baza art. 3 alin. (5) din Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările și completările ulterioare, și ale art. 6 alin. (2) lit. b) din Regulamentul de organizare și funcționare a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, aprobat prin Hotărârea Biroului permanent al Senatului nr. 16/2005, cu modificările și completările ulterioare,

 

președintele Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal emite prezenta decizie.

 

Art. 1. (1) Codul numeric personal reprezintă un număr semnificativ care individualizează în mod unic o persoană fizică, constituind un instrument de verificare a stării civile a acesteia și de identificare în anumite sisteme informatice de către persoanele autorizate.

(2) Datele cu caracter personal cu funcție de identificare de aplicabilitate generală sunt acele numere prin care se identifică o persoană fizică în anumite sisteme de evidență și care au aplicabilitate generală, cum ar fi: codul numeric personal, seria și numărul actului de identitate, numărul pașaportului, al permisului de conducere, numărul de asigurare socială sau de sănătate.

(3) Datele prevăzute la alin. (1) și (2) fac parte din categoria datelor cu caracter special supuse regulilor specifice de prelucrare.

Art. 2. Prelucrarea datelor prevăzute la art. 1, inclusiv dezvăluirea acestora către terți, se face numai în condițiile stabilite la art. 8 din Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, cu modificările și completările ulterioare, și anume:

a) persoana vizată și-a dat în mod expres consimțământul; sau

b) prelucrarea este prevăzută în mod expres de o dispoziție legală; sau

c) în alte cazuri, cu avizul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal și numai cu condiția instituirii unor garanții adecvate pentru respectarea drepturilor persoanelor vizate.

Art. 3. (1) în domeniul prelucrării datelor cu caracter personal, consimțământul persoanei vizate reprezintă orice manifestare de voință expresă, liberă, specifică și informată, prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc.

(2) Consimțământul trebuie dat în mod expres, într-o formă care să permită dovedirea acestuia de către operator.

(3) Anterior obținerii consimțământului, operatorul are obligația de a informa persoana vizată, în concordanță cu prevederile art. 12 alin. (1) din Legea nr. 677/2001, cu modificările și completările ulterioare.

(4) Cazurile în care informarea se dovedește imposibilă sau ar implica un efort disproporționat față de interesul legitim care ar putea fi lezat, prevăzute de art. 12 alin. (3) și (4) din Legea nr. 677/2001, cu modificările și completările ulterioare, trebuie temeinic justificate și documentate de către operator.

Art. 4. (1) Proiectele de acte normative care stabilesc prelucrarea categoriilor de date de natura celor prevăzute la art. 1 vor respecta principiul caracterului adecvat, pertinent și neexcesiv al acestora prin raportare la scopul în care sunt colectate și ulterior prelucrate, potrivit art. 4 alin. (1) lit. c) din Legea nr. 677/2001, cu modificările și completările ulterioare.

(2) La elaborarea proiectelor de acte normative prevăzute la alin. (1), Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal este consultată, în condițiile art. 21 alin. (3) lit. h) din Legea nr. 677/2001, cu modificările și completările ulterioare.

Art. 5. (1) în situația prevăzută la art. 2 lit. c), operatorul trebuie să respecte principiul caracterului adecvat, pertinent și neexcesiv, precum și măsurile de confidențialitate și de securitate a prelucrărilor. în acest sens va avea în vedere, în principal, instituirea următoarelor garanții adecvate:

a) scopul prelucrării să fie determinat, explicit și legitim;

b) stabilirea și aplicarea unor măsuri prin care să se asigure exercitarea drepturilor persoanelor vizate;

c) durata de stocare a datelor să fie pe perioada strict necesară îndeplinirii scopului, după care datele vor fi șterse sau distruse, după caz;

d) stabilirea modalităților de acces la sistemele de evidență în vederea colectării datelor, în funcție de care va stabili și va respecta măsuri tehnice și organizatorice adecvate pentru protejarea datelor;

e) utilizarea datelor numai în limitele scopului stabilit;

f) dezvăluirea către alți destinatari este interzisă, cu excepția situației în care există consimțământul persoanei vizate sau o prevedere legală expresă;

g) desemnarea, în scris, a persoanei/persoanelor care va/vor prelucra datele și care trebuie să își asume răspunderea păstrării confidențialității acestora; lista conținând evidența acestor persoane va fi actualizată ori de câte ori se impune;

h) numirea, în scris, a unei persoane specializate în securitatea informației care să vegheze la prelucrarea datelor, inclusiv la buna funcționare a sistemelor informatice utilizate în această activitate;

i) stabilirea unui plan de securitate a informațiilor care să cuprindă, în principal, securitatea tehnică pe plan informatic și securitatea spațiilor în care se prelucrează datele, ținând cont de cerințele minime de securitate;

j) stabilirea, în scris, a drepturilor și obligațiilor operatorului care transmite datele și ale operatorului care le primește.

(2) Drepturile persoanelor vizate vor fi asigurate în condițiile art. 12-18 din Legea nr. 677/2001, cu modificările și completările ulterioare.

(3) în cazul în care operatorul desemnează o persoană împuternicită, în condițiile Legii nr. 677/2001, cu modificările și completările ulterioare, prevederile alin. (1) lit. b)-i) devin aplicabile.

Art. 6. Colectarea și prelucrarea datelor prevăzute la art. 1, inclusiv dezvăluirea acestora, prin efectuarea și reținerea de copii de pe cartea de identitate sau de pe documente care le conțin, sunt interzise, cu excepția situațiilor prevăzute la art. 2.

Art. 7. Prelucrarea datelor prevăzute la art. 1, inclusiv dezvăluirea acestora, efectuată exclusiv în scopuri jurnalistice, literare sau artistice, se realizează cu respectarea condițiilor stabilite de Legea nr. 677/2001, cu modificările și completările ulterioare, și de prezenta decizie.

Art. 8. Colectarea și prelucrarea ulterioară a datelor prevăzute la art. 1, inclusiv dezvăluirea acestora, obținute din documente accesibile publicului, se pot realiza de către operatori în condițiile prezentei decizii.

Art. 9. Prezenta decizie nu aduce atingere dispozițiilor legale în vigoare care reglementează expres colectarea și prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală.

Art. 10. Prezenta decizie se publică în Monitorul Oficial al României, Partea I, și intră în vigoare în termen de 30 de zile de la data publicării.