DECIZIE nr. 200 din 14 decembrie 2015 privind stabilirea cazurilor de prelucrare a datelor cu caracter personal pentru care nu este necesară notificarea, precum şi pentru modificarea şi abrogarea unor decizii

DECIZIE nr. 200 din 14 decembrie 2015 privind stabilirea cazurilor de prelucrare a datelor cu caracter personal pentru care nu este necesară notificarea, precum şi pentru modificarea şi abrogarea unor decizii

Văzând Referatul de aprobare nr. 18 din 2 iunie 2015 al Serviciului înregistrare operatori din cadrul Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal,

luând în considerare necesitatea asigurării unei protecţii eficiente a drepturilor persoanelor ale căror date cu caracter personal sunt supuse prelucrării, în special în cazul anumitor operaţiuni de prelucrare a datelor cu caracter personal care prezintă riscuri pentru drepturile şi libertăţile persoanelor, datorită naturii datelor prelucrate, scopului prelucrării, caracterului specific al categoriilor de persoane vizate sau mecanismelor utilizate pentru prelucrarea datelor,

ţinând cont de dispoziţiile art. 23 alin. (1) din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare, potrivit cărora autoritatea de supraveghere stabileşte categoriile de operaţiuni de prelucrare care sunt susceptibile de a prezenta riscuri speciale pentru drepturile şi libertăţile persoanelor,

având în vedere considerentul (49) al Directivei 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, care prevede că, pentru a evita formalităţile administrative inadecvate, statele membre pot prevedea exonerări sau simplificări ale notificării în cazurile în care prelucrarea datelor nu poate aduce atingere drepturilor şi libertăţilor persoanelor vizate, cu condiţia ca aceasta să se realizeze în conformitate cu o măsură luată de un stat membru care îi precizează limitele; întrucât exonerările sau simplificările pot fi, în mod similar, prevăzute de către statele membre atunci când o persoană împuternicită de operator se asigură că prelucrarea realizată nu poate să aducă atingere drepturilor şi libertăţilor persoanelor vizate; întrucât o astfel de persoană împuternicită cu protejarea datelor, fie că este sau nu un angajat al operatorului, trebuie să fie în măsură să îşi exercite atribuţiile în deplină independenţă;

având în vedere considerentul (52) al Directivei 95/46/CE potrivit căruia controlul a posteriori de către autorităţile competente trebuie să fie, în general, considerat o măsură suficientă;

având în vedere considerentul (53) al Directivei 95/46/CE potrivit căruia anumite prelucrări pot să prezinte totuşi riscuri specifice pentru drepturile şi libertăţile persoanelor vizate prin însăşi natura lor, domeniul de aplicare sau scopurile lor, cum ar fi excluderea persoanei de la beneficiul unui drept, unei prestaţii sau unui contract, sau prin utilizarea specifică a unei tehnologii noi; întrucât le revine statelor membre, dacă doresc acest lucru, obligaţia de a preciza astfel de riscuri în legislaţia lor;

având în vedere considerentul (54) al Directivei 95/46/CE conform căruia numărul celor care prezintă astfel de riscuri specifice trebuie să fie foarte restrâns în ceea ce priveşte totalul prelucrărilor efectuate în societate; întrucât statele membre trebuie să prevadă, pentru aceste prelucrări, o verificare prealabilă punerii lor în practică,efectuată de autoritatea de supraveghere sau de persoana împuternicită cu protejarea datelor în cooperare cu aceasta; întrucât, în urma acestei verificări prealabile, autoritatea de supraveghere poate, în conformitate cu dreptul intern, emite un aviz sau poate autoriza prelucrarea datelor; întrucât o astfel de verificare poate fi, de asemenea, efectuată în timpul elaborării fie a unei măsuri legislative a parlamentului naţional, fie a unei măsuri întemeiate pe o astfel de măsură legislativă, care să definească natura prelucrării şi să stabilească garanţiile corespunzătoare;

ţinând cont de prevederile art. 22 alin. (9) din Legea nr. 677/2001, cu modificările şi completările ulterioare, conform cărora autoritatea de supraveghere poate stabili şi cazuri în care notificarea nu este necesară,

în temeiul prevederilor art. 3 alin. (5) şi (6) din Legea nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările şi completările ulterioare, şi ale art. 6 alin. (2) lit. b) din Regulamentul de organizare şi funcţionare a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, aprobat prin Hotărârea Biroului permanent al Senatului nr. 16/2005, cu modificările şi completările ulterioare,

preşedintele Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal emite prezenta decizie.

Art. 1
(1)Notificarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nu este necesară, cu excepţia următoarelor cazuri privind:
a)prelucrarea datelor cu caracter personal legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice ori de natură similară, de apartenenţa sindicală, precum şi a datelor privind starea de sănătate şi viaţa sexuală;
b)prelucrarea datelor genetice şi biometrice;
c)prelucrarea datelor care permit, direct sau indirect, localizarea geografică a persoanelor fizice prin mijloace de comunicaţii electronice;
d)prelucrarea datelor cu caracter personal referitoare la săvârşirea de infracţiuni de către persoana vizată ori la condamnări penale, măsuri de siguranţă sau sancţiuni administrative ori contravenţionale aplicate persoanei vizate, efectuată de către entităţi de drept privat;
e)prelucrarea datelor cu caracter personal prin mijloace electronice, având ca scop monitorizarea şi/sau evaluarea unor aspecte de personalitate, precum competenţa profesională, credibilitatea, comportamentul sau alte asemenea
aspecte;
f)prelucrarea datelor cu caracter personal prin mijloace electronice în cadrul unor sisteme de evidenţă având ca scop adoptarea unor decizii automate individuale în legătură cu analizarea solvabilităţii, a situaţiei economico-financiare, a faptelor susceptibile de a atrage răspunderea disciplinară, contravenţională sau penală a persoanelor fizice, de către entităţi de drept privat;
g)prelucrarea datelor cu caracter personal ale minorilor efectuată în cadrul activităţilor de marketing direct;
h)prelucrarea datelor cu caracter personal ale minorilor efectuată prin intermediul internetului sau al mesageriei electronice;
i)prelucrarea datelor cu caracter personal prevăzute la lit. a), referitoare la propriii membri, efectuată de asociaţii, fundaţii sau orice alte organizaţii fără scoppatrimonial exclusiv în vederea realizării specificului activităţii organizaţiei, în măsura în care datele sunt dezvăluite unor terţi fără consimţământul persoanei
vizate.
(2)În situaţiile prevăzute la alin. (1) notificarea nu este necesară atunci când prelucrarea este prevăzută de lege.

Art. 2
(1)Cu excepţia cazurilor prevăzute la art. 29 alin. (5) şi (6) din Legea nr. 677/2001, cu modificările şi completările ulterioare, în toate situaţiile, inclusiv în cele prevăzute la art. 1, transferul datelor cu caracter personal către statele situate în afara Uniunii Europene, a Zonei Economice Europene, precum şi către statele cărora Comisia Europeană nu le-a recunoscut, prin decizie, un nivel de protecţie adecvat va face obiectul notificării Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal.
(2)Transferurile prevăzute la alin. (1), efectuate în baza art. 29 alin. (4) din Legea nr. 677/2001, cu modificările şi completările ulterioare, sunt supuse autorizării de către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Art. 3
(1)Operatorii sunt obligaţi să notifice Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal prelucrările datelor cu caracter personal stabilite la art. 1 alin. (1) şi art. 2, înainte de începerea prelucrării.
(2)Dacă pe baza notificării Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal constată că prelucrarea se încadrează în una dintre situaţiile prevăzute la art. 1 alin. (1) lit. a), b), d), g) sau h), dispune efectuarea unui control prealabil, în condiţiile prevăzute de art. 23 din Legea nr. 677/2001, cu modificările şi completările ulterioare.
(3)Excepţiile de la obligaţia de a notifica nu exonerează operatorul de îndeplinirea celorlalte obligaţii care îi revin potrivit dispoziţiilor legale aplicabile în domeniul protecţiei datelor cu caracter personal, cu precădere a celor privind asigurarea drepturilor persoanelor vizate, precum şi a confidenţialităţii şi securităţii datelor.

Art. 4
Formularul tipizat al notificărilor din anexa la Decizia preşedintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 95/2008 privind stabilirea formularului tipizat al notificărilor prevăzute de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, publicată în Monitorul Oficial al României, Partea I, nr. 876 din 24 decembrie 2008, cu modificările ulterioare, se modifică prin înlocuirea coordonatelor de contact ale Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal cu actualele coordonate, astfel: “Bd. Gheorghe Magheru nr. 28-30, sectorul 1, Bucureşti, telefon 031.805.9211″.

Art. 5
La data intrării în vigoare a prezentei decizii, art. 15 din Decizia preşedintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video, publicată în Monitorul Oficial al României, Partea I, nr. 389 din 11 iunie 2012, se modifică şi va avea următorul cuprins:
“- Art. 15(1)Prelucrarea datelor personale prin sisteme de supraveghere video, inclusiv transferul acestora într-un stat terţ, trebuie notificată Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, anterior începerii prelucrării.
(2)Face excepţie de la alin. (1) prelucrarea datelor cu caracter personal efectuată de o persoană fizică, pentru uz personal, printr-un sistem de supraveghere video care captează imagini inclusiv din spaţii publice.”

Art. 6
Prezenta decizie nu aduce atingere altor dispoziţii legale care prevăd obligaţia de notificare, precum şi celorlalte decizii ale preşedintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în vigoare.

Art. 7
(1)Prezenta decizie intră în vigoare la data publicării în Monitorul Oficial al României, Partea I.
(2)La data intrării în vigoare a prezentei decizii se abrogă Decizia preşedintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 90/2006 privind cazurile în care nu este necesară notificarea prelucrării unor date cu caracter personal, publicată în Monitorul Oficial al României, Partea I, nr. 654 din 28 iulie 2006, Decizia preşedintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 91/2006 privind cazurile în care este permisă notificarea simplificată a prelucrării datelor cu caracter personal, publicată în Monitorul Oficial al României, Partea I, nr. 654 din 28 iulie 2006, Decizia preşedintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 100/2007 privind stabilirea cazurilor în care nu este necesară notificarea prelucrării unor date cu caracter personal, publicată în Monitorul Oficial al României, Partea I, nr. 823 din 3 decembrie 2007, Decizia preşedintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 28/2007 privind transferurile datelor cu caracter personal către alte state, publicată în Monitorul Oficial al României, Partea I, nr. 182 din 16 martie 2007, Decizia preşedintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 11/2009 privind stabilirea categoriilor de operaţiuni de prelucrare a datelor cu caracter personal, susceptibile de a prezenta riscuri speciale pentru drepturile şi libertăţile persoanelor, publicată în Monitorul Oficial al României, Partea I, nr. 155 din 12 martie 2009, precum şi Decizia preşedintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 23/2012 privind stabilirea cazurilor în care nu este necesară notificarea prelucrării unor date cu caracter personal, publicată în Monitorul Oficial al României, Partea I, nr. 216 din 2 aprilie 2012.

-****-
Preşedintele Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal,
Ancuţa Gianina Opre
Publicat în Monitorul Oficial cu numărul 969 din data de 28 decembrie 2015

5 Comments

  1. Pingback: Situațiile când este necesară notificarea prelucrării datelor personale. Decizia ANSPDCP nr. 200/2015 | Date personale si viata privata

  2. Titus

    Buna ziua,

    Pentru magazine online, care colecteaza date referitoare la : nume si prenume, adresa de livrare, telefon, date de facturare, adresa email este necesara Notificarea A.N.S.P.D.C.P.? (aceste date vor fi utilizate, suplimentar, doar in scop de marketing/publicitate, pentru propria activitate)

    Reply
  3. bogdan

    Din ce citim noi mai sus in decizie, nu ar trebui sa fie necesara notificarea.

    Reply
  4. Mihaela

    Buna ziua,pt scoli de pilotaj auto care intocmesc dosare de scolarizare este necesara notificarea ?

    Reply
    1. Valentina (Post author)

      Buna ziua. Daca printre datele pe care le prelucrati nu se afla cele mentionate la art. 1 (1) literele a)-i) din Decizia 200/2015, atunci nu este necesara notificarea la ANSPDCP.

      Reply

Leave a Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>