Ce sunt datele personale din categoriile speciale și cum se prelucrează?

Avem din ce în ce mai puțin control asupra datelor noastre personale și de obicei este netransparent modul în care acestea sunt prelucrate de operatori. Nu este întotdeauna clar explicat la cine ajung datele noastre, în ce scop sunt prelucrate, ce măsuri de protecție s-au luat și pentru ce durată se păstrează.

În episodul 8 din seria de videoclipuri animate despre viața privată, Cătă merge la oftalmologie și descoperă o ofertă de nerefuzat; dacă dă un sms primește gratuit o pereche de lentile de contact. O întâmplare aparent simplă, dar ce ascunde de fapt?

Mai jos sunt o serie de întrebări și răspunsuri despre ce sunt datele personale din categoriile speciale și care sunt regulile de prelucrare pe care orice operator trebuie să le îndeplinească. FAQ-ul face parte dintr-un ghid despre prelucrarea datelor speciale pe care îl vom publica în curând.

Care sunt categoriile speciale de date personale?

  • rasa
  • etnia
  • orientarea politică
  • religia
  • convingerile filozofice sau de natură similară
  • apartenența sindicală
  • date privind starea de sănătate
  • date despre viața sexuală

În plus sunt considerate date cu un regim special:

  • date cu caracter personal având o funcţie de identificare de aplicabilitate generală, cum este codul numeric personal (CNP)
  • date personale referitoare la fapte penale sau contravenții

 

Ce reguli speciale presupune prelucrarea acestor date?

În general, prelucrarea acestor date este interzisă, dar există o serie de excepții.

Unde găsești regulile speciale de prelucrare a datelor din categoriile speciale?

Capitolul III din Legea 677/2001.

Care sunt situațiile când pot prelucra date cu caracter special?

1. când persoana vizată și-a dat acordul expres

Adică practic cum este exprimat acest acord expres? Consimțământ expres exprimat, înseamnă că persoana a înțeles cum vor fi prelucrate datele din aceste categorii, la cine vor ajunge și pentru ce scop.  Dacă nu există transparență cu privire la aceste informații, nici persoana nu își poate da un acord valabil și cuprinzător. “Accept termenii și condițiile” bifând o căsuță, din punctul nostru de vedere, nu înseamnă un acord expres pentru că conține toate informațiile cu privire la publicarea acestora..

În afara mediului online, atunci când găsești scris mic undeva într-un colț ceva de Legea 677/2001, nu este tocmai cea mai bună metodă de a obține consimțămăntul unei persoane pentru prelucrarea datelor. Cine citește un scris cu un font mic și într-un limbaj de lemn?

2. când trebuie să respecți obligațiile din dreptul muncii

Ca angajator ai nevoie să respecți obligațiile specifice domeniului dreptului muncii, de exemplu înregistrarea angajatului în sistemul Revisal. Pentru ca obligațiile pentru protecția datelor personale să nu contrazică prevederile din dreptul muncii, este nevoie de această excepție. Cu toate acestea, sfătuim să nu se ceară la angajare mai multe date personale decât este strict necesar (de exemplu, pentru angajarea într-un call center nu ar trebui să ceri să detalii despre viața sexuală a angajatului). Mai mult, indiferent de datele pe care le prelucrezi ca angajator, este interzis a da datele pe care le colectezi unei alte companii, instituții, organizații, asociații.

Pot exista cazuri când ai o obligație legală în calitate de operator să transmiți mai departe datele (de exemplu dacă este o obligație legală către ANAF) sau dacă persoana și-a dat acordul expres că poți dezvălui datele.

3. în cazul în care este vorba chiar despre protecția unei persoane

În alte cuvinte, dacă nu se realizează prelucrarea, viața, integritatea fizică sau sănătatea unei persoane (ori a persoanei în cauză, ori a altei persoane) ar fi în afectate sau în pericol. Sau dacă persoana în cauză nu își poate exprima consimțământul – poate fi un motiv de ordin fizic (de exemplu din motive medicale) sau juridic (de exemplu este o persoană sub 18 ani, vârsta legală în România pentru dobândirea capacității depline de exercițiu).

4. în cazul fundațiilor și asociațiilor (sau orice altă organizație cu scop nelucrativ și cu specific politic, filozofic, religios ori sindical) atunci când prelucrarea este conformă activităților sale din statut.

De exemplu, un scop legitim este atunci când un ONG pentru promovarea drepturilor sexuale și ale reproducerii reprezintă în instanță o persoană care consideră că i-au fost încălcate drepturile, iar reprezentarea în instanță a persoanelor vulnerabile face parte din activitățile cuprinse în statutul asociației.

Condiția esențială pentru prelucrarea legitimă a datelor speciale este ca persoana vizată să fie membră a acelei organizații sau să aibă relații cu ONG-ul respectiv. În niciun caz datele nu pot fi dezvăluite terților fără consimțământul persoanei.

5. când prelucrarea se referă la date făcute publice în mod manifest de către persoana vizată

Un exemplu este atunci când persoana respectivă are un blog public în care face dezvăluiri despre apartenența politică sau despre viața sa sexuală.

6. când prelucrarea este necesară pentru îndreptarea unei situații juridice (de exemplu pentru constatarea, exercitarea sau apărarea unui drept în instanță)

7. când prelucrarea este necesară în scopuri medicale precum:

  • de medicină preventivă
  • de stabilire a diagnosticelor medicale
  • de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizată
  • de gestionare a serviciilor de sănătate care acționează în interesul persoanei vizate

Condiția esențială este ca prelucrarea datelor să fie efectuate ori sub supravegherea unui cadru medical supus secretului profesional, ori sub supravegherea unei alte persoane supuse unei obligații echivalente în ceea ce privește secretul.

8. dacă este vorba de protejarea unui interes public important

Ce înseamnă interes public important și în ce condiții se poate realiza această prelucrare de date speciale? Interesul public nu este clar definit în lege și nici nu este oportun a fi explicat, fiindcă vizează situații foarte particulare care trebuie judecate de la caz la caz, nu după o rețetă generală care poate genera disproporționalități. Condiția si aici este ca prelucrarea să se efectueze cu respectarea drepturilor persoanei în cauză (adică nu doar drepturile generale, ci trebuie avută în vedere situația specifică a persoanei vizate) și a celorlalte garanții prevăzute de Legea 677/2001.

Chiar dacă pentru toate situațiile de mai sus se pot prelucra date personale din categoriile speciale, asta nu înseamnă că autoritățile publice nu mai au obligația de a respecta și de a ocroti viața intimă, familială și privată. Respectarea dreptului la viață privată este un drept fundamental, prevăzut în Constituție, așadar, felul în care prelucrarea datelor personale din categoriile speciale se efectuează trebuie să respecte întru-totul suita de obligații privind drepturile omului.  În alte cuvinte, autoritățile publice trebuie să acorde o atenție specială prelucrărilor de date personale și să nu acorde excepțiilor o importanță mai mare decât celorlalte obligații legale pe care trebuie să le respecte și au un impact asupra dreptului la viața intimă, familială și privată.

Autoritatea pentru Protecția Datelor (ANSPDCP) are puterea de a interzice prelucrarea de date din categoriile speciale, chiar dacă persoana vizată și-a date acordul.

1 Comment

  1. Pingback: Date sensibile – Date personale în era digitală – Episodul 8 – ApTI | Date personale si viata privata

Leave a Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>