Home » Înregistrare » Ghid de notificare
 Română | English | Francais

GHID DE COMPLETARE A FORMULARULUI DE NOTIFICARE

 

1. Informaţii generale privind formularul de notificare

Notificarea prelucrărilor de date efectuate de operatori se efectuează prin completarea formularului de notificare, aprobat prin Decizia nr. 95/2008 şi accesibil la adresa de site www.dataprotection.ro, secţiunea „Depunere notificare on-line”, obţinându-se, ulterior, un număr de înregistrare în registrul electronic de evidenţă a prelucrărilor de date cu caracter personal.

După depunerea on-line a notificării, se va transmite, prin poştă, Autorităţii de supraveghere, în cel mult 30 de zile, prima pagină a formularului de notificare, semnată, în original.

Ataşat primei pagini, trebuie transmisă şi copia mesajului electronic primit din partea autorităţii de supraveghere intitulat „confirmare înregistrare document", în care figurează numărul de înregistrare al formularului de notificare în Registrul General al instituţiei noastre.

În data de 28 decembrie 2015 a intrat în vigoare DECIZIA nr. 200/2015 privind stabilirea cazurilor de prelucrare pentru care nu este necesară notificarea, precum şi pentru modificarea şi abrogarea unor decizii, publicată în Monitorul Oficial nr. 969/28.12.2015.

Scutirea de obligaţia de a notifica autoritatea de supraveghere nu va exonera operatorul în sensul Legii nr. 677/2001, de îndeplinirea celorlalte obligaţii care vă revin potrivit dispoziţiilor legale aplicabile în domeniul protecţiei datelor cu caracter personal, cu precădere a celor privind asigurarea drepturilor persoanelor vizate, precum şi a confidenţialităţii şi securităţii datelor.

NU mai este necesară completarea/modificarea notificărilor înscrise anterior intrării în vigoare a Deciziei 200/2015 pentru care sunt incidente prevederile acestui act normativ.

Nu este necesară notificarea transferului când acesta se face în baza prevederilor unei legi speciale sau ale unui acord internaţional ratificat de România, în special, dacă transferul se face în scopul prevenirii, cercetării sau reprimării unei infracţiuni.

Nu mai este necesară notificarea transferului de date către state din Uniunea Europeană, Zona Economică Europeană, precum şi către state cărora Comisia Europeană le-a recunoscut, prin decizie, un nivel de protecţie adecvat.

Transferul datelor cu caracter personal către entităţi din Statele Unite ale Americii se poate realiza în temeiul Scutului de confidenţialitate UE-SUA, publicat  în Jurnalul Oficial al Uniunii Europene Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European şi a Consiliului (EU-U.S. Privacy Shield).

Potrivit acestei decizii, Statele Unite garantează un nivel adecvat de protecţie a datelor cu caracter personal transferate din Uniunea Europeană către organizaţii din Statele Unite în temeiul Scutului de confidenţialitate UE-SUA, cu condiţia ca respectivele entităţi să prelucreze datele cu caracter personal în conformitate cu un set puternic de principii şi garanţii pentru protecţia vieţii private şi a datelor cu caracter personal care sunt echivalente cu cele din Uniunea Europeană.

Completarea formularului de notificare se efectuează, după caz, prin marcarea cu semnul "X" a rubricilor de la fiecare secţiune sau prin completarea spaţiilor libere, conform cerinţelor de la punctele respective.

Formularul de notificare se poate completa în 2 modalităţi, şi anume:

  • Notificare generală
  • Notificare specială

Formularul de notificare se completează la toate secţiunile, după caz, potrivit specificului prelucrării, sub forma notificării generale, în următoarele situaţii:

  • când operatorul notifică pentru prima dată o prelucrare de date cu caracter personal;
  • când operatorul transferă date cu caracter personal către statele situate în afara Uniunii Europene, a Zonei Economice Europene, precum şi către statele cărora Comisia Europeană nu le-a recunoscut, prin decizie, un nivel de protecţie adecvat, deşi este scutit de obligaţia de a notifica prelucrarea datelor cu caracter personal;
  • când operatorul notifică o altă prelucrare de date faţă de cea declarată printr-o notificare anterioară;
  • când operatorul completează şi/sau modifică o notificare înscrisă deja în evidenţele autorităţii de supraveghere ca notificare generală pentru care există, în continuare, obligaţia de a notifica.

Notificarea specială se completează de autorităţile publice care prelucrează date cu caracter personal în cadrul activităţilor de prevenire, cercetare, reprimare a infracţiunilor şi de menţinere a ordinii publice, precum şi în cadrul altor activităţi desfăşurate în domeniul dreptului penal (art. 2 alin. (5) din Legea nr. 677/2001). În acest sens, se vor completa numai rubricile I, III, IV, V, IX, X şi XI din formularul de notificare.

Notificarea specială se completează de autorităţile publice menţionate mai sus doar în situaţia în care există dispoziţii legale care prevăd obligaţia de notificare.

2. Modalitatea de completare a formularului de notificare

2.1 Prima pagină a formularului de notificare

Spaţiul rezervat autorităţii de supraveghere se va completa doar de către aceasta.

Se va selecta, după caz, rubrica notificare nouă, dacă operatorul notifică pentru prima dată (o notificare generală sau specială) sau rubrica modificarea/completarea unei notificări înregistrate, dacă operatorul completează/modifică o notificare înregistrată în Registrul de Evidenţă a Prelucrărilor de Date cu Caracter Personal.

În cazul în care se intenţionează modificarea/completarea unei notificări înregistrate, se va preciza numărul sub care notificarea pe care intenţionează să o modifice/completeze figurează în Registrul de Evidenţă a Prelucrărilor de Date cu Caracter Personal, precum şi codul electronic de regăsire, comunicat electronic în momentul încheierii completării primei notificări.

2.1.1 SECŢIUNEA I: Operatorul

          Numele/denumirea operatorului:

Operatorii care au calitatea de persoane fizice precizează numele şi prenumele acestora (conform actului de identitate).

Operatorii care au calitatea de persoane fizice autorizate precizează numele şi prenumele acestora, respectiv denumirea, aşa cum rezultă din documentul ce le permite desfăşurarea unei activităţi independente, autorizate în baza unei legi speciale.

Operatorii care au calitatea de persoane juridice române precizează denumirea oficială şi completă a acestora, aşa cum rezultă din actul normativ de înfiinţare (pentru operatorii din sectorul public), iar operatorii români din sectorul privat vor menţiona denumirea din certificatul de înregistrare la Oficiul Naţional al Registrului Comerţului sau în Registrul asociaţiilor şi fundaţiilor.

Operatorii care au calitatea de persoane juridice străine, precizează denumirea oficială şi completă a acestora, aşa cum rezultă din documentul de înregistrare la camera de comerţ de care aparţine.

       Adresa/sediul operatorului

Se completează adresa operatorului persoană fizică (domiciliul şi/sau reşedinţa) şi, respectiv, sediul persoanei juridice, aşa cum este stabilit potrivit legii, în actul normativ de înfiinţare sau aşa cum este prevăzut în certificatul de înregistrare la Oficiul Naţional al Registrului Comerţului sau în Registrul asociaţiilor şi fundaţiilor.

Apoi, operatorul bifează în ce calitate notifică autoritatea de supraveghere, respectiv dacă este persoană fizică, persoană fizică autorizată sau persoană juridică. În această din urmă situaţie, alege sectorul căruia îi aparţine, respectiv public (cu precizarea categoriei de autorităţi din care face parte - autoritate centrală, locală sau „altele", cum ar fi: regii autonome, companii sau societăţi naţionale) sau privat.

Dacă operatorul este membru al unei asociaţii profesionale sau al unei alte forme de asociere, se menţionează denumirea acesteia.

           Persoana de contact

Se completează datele solicitate (nume, prenume şi telefon) ale persoanei de contact, desemnate de operator, pentru menţinerea legăturii cu A.N.S.P.D.C.P. Este de preferat ca, în cadrul operatorului, să fie desemnată o persoană responsabilă cu aplicarea Legii nr. 677/2001, modificată şi completată.

Secţiunea „DECLARAŢIE" va fi completată de persoana abilitată (operatorul «persoană fizică» sau «reprezentantul legal» în cazul persoanei juridice).

În cazul operatorului «persoană juridică», notificarea se semnează de reprezentantul său legal.

          Atenţie!

Formularele a căror „DECLARAŢIE" nu este completată şi semnată potrivit cerinţelor, nu vor fi analizate.

Pentru aspectele notificate operatorilor le revine întreaga responsabilitate cu privire la efectuarea prelucrării notificate potrivit cerinţelor legislaţiei din domeniul protecţiei datelor cu caracter personal, iar nerespectarea lor se sancţionează conform dispoziţiilor art. 31, 32 şi 33 din Legea nr. 677/2001, modificată şi completată.

2.2 Completarea celorlalte secţiuni ale formularului de notificare

2.2.1. SECŢIUNEA II: Reprezentantul operatorului situat într-un stat terţ

a) Operatorul care nu este stabilit în state din Uniunea Europeană sau în alte state din Zona Economică Europeană, precum şi în state cărora Comisia Europeană nu le-a recunoscut, prin decizie, un nivel de protecţie adecvat trebuie să îşi desemneze un reprezentant. Acesta poate fi o persoană juridică sau fizică care are sediul sau domiciliul/reşedinţa pe teritoriul statului român sau o altă entitate fără personalitate juridică, desemnată de operator pentru prelucrarea datelor în România (spre exemplu, o reprezentanţă sau o sucursală).

În acest context, precizăm că dispoziţiile Legii nr. 677/2001, modificată şi completată, sunt aplicabile şi reprezentantului operatorului.

În situaţia în care operatorul îşi desemnează un reprezentant, rubricile de la această secţiune se completează potrivit instrucţiunilor de la SECŢIUNEA I.

b) Operatorul care este stabilit în state din Uniunea Europeană sau în alte state din Zona Economică Europeană, precum şi în state cărora Comisia Europeană nu le-a recunoscut, prin decizie, un nivel de protecţie adecvat şi care prelucrează date cu caracter personal prin utilizarea de mijloace de orice natură situate pe teritoriul României, nu are obligaţia de a-şi desemna un reprezentant în înţelesul Legii nr. 677/2001, modificată şi completată.

Acesta nu are obligaţia de a notifica prelucrările de date efectuate pe teritoriul României, nici de a notifica transmiterea/transferul datelor cu caracter personal în străinătate, efectuat de către împuterniciţii săi. În această situaţie, împuterniciţilor stabiliţi pe teritoriul României le revine însă obligaţia de a respecta celelalte prevederi ale Legii nr. 677/2001, în special, cele referitoare la cerinţele minime de securitate şi confidenţialitate a datelor (art. 19 şi 20 din Legea nr. 677/2001), precum şi la informarea persoanelor vizate (art. 12 din lege).

În ceea ce priveşte obligaţiile operatorilor care au sediul în state din Uniunea Europeană sau în alte state din Zona Economică Europeană, precum şi în state cărora Comisia Europeană nu le-a recunoscut, prin decizie, un nivel de protecţie adecvat, vă informăm că, potrivit Directivei 95/46/EC a Parlamentului European şi a Consiliului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, fiecare stat stabileşte circumstanţele generale în care prelucrarea datelor pe teritoriul său este legală.

2.2.2. SECŢIUNEA III: Împuternicitul care prelucrează datele pe seama operatorului

Legea nr. 677/2001, modificată şi completată defineşte persoana împuternicită de operator ca fiind orice persoană fizică sau juridică (de drept privat ori de drept public) care prelucrează date cu caracter personal pe seama operatorului.

Pentru prelucrarea datelor cu caracter personal prin intermediul persoanei/persoanelor împuternicite de operator se va anexa, pe suport de hârtie sau on-line, documentul/documentele cu următoarele date ale acesteia/acestora: nume/denumire, adresa/sediul, judeţul, localitatea, sectorul, ţara, codul poştal, telefon, fax, e-mail (aşa cum rezultă din contractul încheiat în condiţiile reglementate de art. 20 alin. (5) din Legea nr. 677/2001, modificată şi completată).

2.2.3 SECŢIUNEA IV: Scopul prelucrării

Operatorul este obligat să notifice autorităţii de supraveghere înainte de efectuarea oricărei prelucrări ori a oricărui ansamblu de prelucrări având acelaşi scop sau scopuri corelate. În cazul în care operatorul prelucrează date personale pentru două sau mai multe scopuri care nu au legătură între ele, atunci este obligat să completeze câte un formular tipizat, pentru fiecare scop în parte.

În cadrul acestei secţiuni, se marchează cu „X" rubrica/rubricile corespunzătoare scopului sau scopurilor corelate în care operatorul desfăşoară activităţi ce implică prelucrarea datelor cu caracter personal ale persoanelor fizice.

Dacă scopul sau scopurile corelate în care operatorul prelucrează datele nu se regăsesc în secţiunea de faţă, se completează spaţiul aferent rubricii 32 „altele".

La completarea secţiunii IV operatorul trebuie să verifice dacă pentru prelucrările efectuate există obligaţia de a notifica.

În acest context, este necesar să se aibă în vedere prevederile Deciziei nr. 200/2015 potrivit căreia notificarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nu este necesară, cu excepţia anumitor cazuri.

În consecinţă, potrivit deciziei menţionată mai sus, operatorii sunt obligaţi să notifice Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal următoarele prelucrări de date cu caracter personal:

a) prelucrarea datelor cu caracter personal legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice ori de natură similară, de apartenenţa sindicală sau starea de sănătate şi viaţa sexuală; (ex: sondaje şi cercetare de piaţă,  colectare donaţii pentru persoane cu dizabilităţi);

b) prelucrarea datelor genetice şi biometrice; (ex: cercetare ştiinţifică);

c) prelucrarea datelor care permit, direct sau indirect, localizarea geografică a persoanelor fizice prin mijloace de comunicaţii electronice; (ex: monitorizarea/securitatea persoanelor şi/sau bunurilor publice/private prin utilizarea  GPS-ului);

d) prelucrarea datelor cu caracter personal referitoare la săvârşirea de infracţiuni de către persoana vizată ori la condamnări penale, măsuri de siguranţă sau sancţiuni administrative ori contravenţionale aplicate persoanei vizate, efectuată de către entităţi de drept privat; (ex: sisteme de evidenţă de tipul birourilor de credit);

e) prelucrarea datelor cu caracter personal prin mijloace electronice, având ca scop monitorizarea şi/sau evaluarea unor aspecte de personalitate, precum competenţa profesională, credibilitatea, comportamentul sau alte asemenea  (ex: crearea şi utilizarea de profiluri ale persoanelor vizate în vederea transmiterii unor newsletter-uri, monitorizarea activităţii angajaţilor pe internet, semnalarea încălcării codurilor de conduită în mediul privat -  whistleblowing);

f)prelucrarea datelor cu caracter personal prin mijloace electronice în cadrul unor sisteme de evidenţă având ca scop adoptarea unor decizii automate individuale în legătură cu analizarea solvabilităţii, a situaţiei economico-financiare, a faptelor susceptibile de a atrage răspunderea disciplinară, contravenţională sau penală a persoanelor fizice, de către entităţi de drept privat (ex: rapoarte de credit);

g)prelucrarea datelor cu caracter personal ale minorilor efectuată în cadrul activităţilor de marketing direct;

h)prelucrarea datelor cu caracter personal ale minorilor efectuată prin intermediul internetului sau al mesageriei electronice (ex: publicarea rezultatelor la diferite concursuri şcolare şi extraşcolare, catalogul on-line, publicare imagini din cadrul activităţilor extraşcolare -tabere);

 i)prelucrarea datelor cu caracter personal prevăzute la lit. a), referitoare la propriii membri, efectuată de asociaţii, fundaţii sau orice alte organizaţii fără scop patrimonial exclusiv în vederea realizării specificului activităţii organizaţiei, în măsura în care datele sunt dezvăluite unor terţi fără consimţământul persoanei vizate.

Prelucrarea datelor personale prin sisteme de supraveghere video, inclusiv transferul acestora într-un stat terţ, trebuie notificată Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, anterior începerii prelucrării, conform prevederilor Deciziei nr. 52/2012 (excepţie: prelucrarea efectuată de o persoană fizică, pentru uz personal, printr-un sistem de supraveghere care captează imagini inclusiv din spaţii publice).

2.2.4. SECŢIUNEA V: Temeiul legal al prelucrării

Această secţiune se completează numai în cazul notificărilor speciale pentru prelucrările efectuate în cadrul activităţilor de prevenire, cercetare şi reprimare a infracţiunilor şi de menţinere a ordinii publice, precum şi al altor activităţi desfăşurate în domeniul dreptului penal, în limitele şi cu restricţiile stabilite de lege.

La această secţiune se menţionează actul sau actele normative în baza cărora operatorul efectuează prelucrarea datelor cu caracter personal.

2.2.5. SECŢIUNEA VI: Categorii de persoane vizate

În accepţiunea Legii nr. 677/2001, modificată şi completată, persoanele vizate sunt reprezentate de persoanele fizice ale căror date personale sunt colectate de operator, în vederea efectuării asupra acestora, a operaţiunilor prevăzute de art. 3 lit. b) din acest act normativ, respectiv de înregistrare, organizare, stocare, adaptare ori modificare, extragere, consultare, utilizare, dezvăluire, ştergere, distrugere, etc.

La această secţiune se marchează cu „X" căsuţele corespunzătoare categoriilor generice de persoane vizate ale căror date personale sunt prelucrate, în funcţie de scopul sau scopurile corelate ale prelucrării declarate la secţiunea IV. În situaţia în care categoriile de persoane vizate nu se regăsesc, în totalitate sau în parte, la punctele 1-23 de la această secţiune, se completează spaţiul aferent rubricii „altele".

            Exemple:

  • dacă scopul prelucrării este " publicarea rezultatelor la diferite concursuri şcolare şi extraşcolare ", categoriile de persoane vizate pot fi: "cadre didactice", "studenţi", "minori"; 
  • dacă scopul prelucrării este utilizarea de profiluri ale persoanelor vizate în vederea transmiterii newsletter-uri, categoriile de persoane vizate pot fi „clienţi/potenţiali clienţi”.


2.2.6. SECŢIUNEA VII: Motivele care justifică aplicarea prevederilor art. 11, art. 12 alin. (3) sau alin. (4) ori ale art. 13 alin. (5) sau alin. (6) din Legea nr. 677/2001

Se completează motivele pentru care se aplică prevederile legale susmenţionate, în funcţie de scopul prelucrării declarat la secţiunea IV din formularul de notificare, respectiv, faptul că prelucrarea se efectuează exclusiv în scopuri statistice, de cercetare istorică sau ştiinţifică.

Prevederile art. 11, art. 12 alin. (3) sau alin. (4) ori ale art. 13 alin. (5) sau alin. (6) din Legea nr. 677/2001, modificată şi completată se aplică în situaţia în care au loc prelucrări de date cu caracter personal în scopuri statistice, de cercetare istorică sau ştiinţifică, care determină următoarele:

  • lipsa obligaţiei de a informa persoana vizată, atunci când datele nu sunt obţinute direct de la persoana vizată, în situaţia în care prelucrarea datelor se face în scopuri statistice, de cercetare istorică sau ştiinţifică (art. 12 alin. (4) din Legea nr. 677/2001);
  • comunicarea informaţiilor solicitate de persoana vizată în exercitarea dreptului de acces, într-un termen mai mare de 15 zile, în situaţia în care prelucrarea datelor cu caracter personal legate de starea de sănătate se face în scop de cercetare ştiinţifică (art. 13 alin. (5) din Legea nr. 677/2001);
  • adresarea cererii de exercitare a dreptului de acces de către persoana vizată, în altă formă decât printr-o cerere scrisă, semnată şi datată, în situaţia în care prelucrarea datelor cu caracter personal se face exclusiv în scopuri jurnalistice, literare sau artistice (art. 13 alin. (6) din Legea nr. 677/2001).

2.2.7. SECŢIUNEA VIII: Modul în care persoanele vizate sunt informate asupra drepturilor lor

Operatorul bifează corespunzător, cu „X", una sau mai multe dintre modalităţile enumerate în această secţiune, prin care persoanelor vizate le sunt aduse la cunoştinţă informaţiile prevăzute la art. 12 din Legea nr. 677/2001, modificată şi completată. Acesta are obligaţia de a comunica persoanei vizate, în principal, informaţii privind:

  1. identitatea operatorului sau, în cazul în care există, a reprezentantului sau a împuternicitului;
  2. scopul prelucrării;
  3. categoriile de date prelucrate (în cazul în care nu sunt colectate direct de la persoanele vizate);
  4. caracterul obligatoriu sau facultativ de a furniza datele personale;
  5. consecinţele refuzului de a le furniza;
  6. destinatarii sau categoriile de destinatari ai datelor;
  7. existenţa dreptului de acces, de intervenţie asupra datelor, de opoziţie la prelucrarea datelor, de a nu fi supus unei decizii individuale, condiţiile de exercitare a acestor drepturi, precum şi a dreptului de a se adresa justiţiei;
  8. eventualul transfer al datelor în străinătate.

Această obligaţie există şi în cazul în care datele nu sunt obţinute direct de la persoana vizată. În acest caz, operatorul este obligat, ca în momentul colectării datelor sau, dacă se intenţionează dezvăluirea acestora către terţi, cel mai târziu până în momentul primei dezvăluiri, să furnizeze persoanei vizate informaţiile susmenţionate.

Informarea persoanelor vizate trebuie să fie adecvată circumstanţelor specifice de prelucrare (respectiv modalităţii de prelucrare a datelor, suportului pe care sunt colectate datele etc.) şi se poate realiza prin intermediul documentelor prin care datele personale sunt colectate şi/sau prin afişarea unei note informative la sediul operatorului sau pe pagina web. (prin adaptarea modelelor de mai jos).

                       
            MODEL DE NOTĂ DE INFORMARE ÎN SCRIS (pentru formularele de colectare a datelor, gen taloane, cupoane şi altele asemenea)


          ............................................................. (se indică identitatea operatorului sau a reprezentantului, precum şi, dacă este cazul, pe cea a împuternicitului) prelucrează datele cu caracter personal furnizate de dumneavoastră prin acest document.............(se precizează categoriile de date, dacă acestea nu sunt colectate direct de la persoanele vizate) în scopul ............(se precizează scopul). Datele vor fi dezvăluite ..................................(se precizează destinatarii cărora le vor fi dezvăluite datele). Pe viitor, aceste date/datele .............. (se precizează concret datele) ne permit să vă ţinem la curent cu activitatea noastră.

În cazul în care nu doriţi aceasta, bifaţi □NU

Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de intervenţie asupra datelor, dreptul de a nu fi supus unei decizii individuale. Aveţi dreptul să vă opuneţi prelucrării datelor personale care vă privesc şi să solicitaţi ştergerea datelor*. Pentru exercitarea acestor drepturi, vă puteţi adresa cu o cerere scrisă, datată şi semnată la .................................................(se precizează operatorul sau persoana responsabilă). De asemenea, vă este recunoscut dreptul de a vă adresa justiţiei.

Datele dumneavoastră vor fi transferate în ............... (precizaţi statele), în vederea....................(se precizează scopul transferului datelor în străinătate)."

 

        MODEL DE NOTĂ DE INFORMARE (în scris sau prin afişare, recomandată autorităţilor şi instituţiilor publice)



            .............................................................. (se indică identitatea operatorului sau, dacă este cazul, şi pe cea a împuternicitului), prin intermediul serviciului (iilor) ............................... (dacă este cazul, se precizează denumirea serviciilor respective), prelucrează datele dumneavoastră cu caracter personal .............(se precizează categoriile de date, dacă acestea nu sunt colectate direct de la persoanele vizate), prin mijloace automatizate/manuale, destinate .............................. (se indică scopul prelucrării).

Sunteţi/nu sunteţi obligat(ă) să furnizaţi datele, acestea fiind necesare......................... (se precizează scopul).

Refuzul dvs. determină.................. (se precizează consecinţele refuzului).

Informaţiile înregistrate sunt destinate utilizării de către operator şi sunt comunicate numai următorilor destinatari: ................. (se precizează destinatarii).

Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de intervenţie asupra datelor şi de dreptul de a nu fi supus unei decizii individuale. Totodată, aveţi dreptul să vă opuneţi prelucrării datelor personale care vă privesc şi să solicitaţi ştergerea datelor*. Pentru exercitarea acestor drepturi, vă puteţi adresa cu o cerere scrisă, datată şi semnată la .................................................(se precizează serviciul, organismul sau persoana responsabilă). De asemenea, vă este recunoscut dreptul de a vă adresa justiţiei.

Datele dumneavoastră pot fi transferate în ............... (precizaţi statele), în vederea....................(se precizează scopul transferului datelor în străinătate)."



           MODEL DE NOTĂ DE INFORMARE PRIVIND PROTECŢIA DATELOR PERSONALE (pentru afişare pe pagina web sau în cazul colectării datelor prin formulare on-line)

Conform cerinţelor Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, modificată şi completată şi ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice (se precizează şi acest act normativ, după caz)..............................................(se precizează denumirea operatorului sau a reprezentantului, precum şi, dacă este cazul, pe cea a împuternicitului) are obligaţia de a administra în condiţii de siguranţă şi numai pentru scopurile specificate, datele personale pe care ni le furnizaţi despre dumneavoastră, un membru al familiei dumneavoastră ori o altă persoană.

Scopul colectării datelor este:.............................. (se indică scopul prelucrării).

Sunteţi/nu sunteţi obligat(ă) să furnizaţi datele, acestea fiind necesare................................(se precizează scopul). Refuzul dvs. determină.................. (se precizează consecinţele refuzului).

Informaţiile înregistrate sunt destinate utilizării de către operator şi sunt comunicate numai următorilor destinatari:................. (se precizează destinatarii).

Doriţi să primiţi informaţii despre produsele, serviciile, evenimentele etc. oferite de.................(se precizează denumirea operatorului sau a reprezentantului, precum şi, dacă este cazul, pe cea a împuternicitului)?

□DA □NU

Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de intervenţie asupra datelor, dreptul de a nu fi supus unei decizii individuale şi dreptul de a vă adresa justiţiei. Totodată, aveţi dreptul să vă opuneţi prelucrării datelor personale care vă privesc şi să solicitaţi ştergerea datelor*. Pentru exercitarea acestor drepturi, vă puteţi adresa cu o cerere scrisă, datată şi semnată la .................................................(se precizează serviciul, organismul sau persoana responsabilă). De asemenea, vă este recunoscut dreptul de a vă adresa justiţiei.

Datele dumneavoastră vor fi transferate în ............... (precizaţi statele), în vederea....................(se precizează scopul transferului datelor în străinătate)."

 Dacă unele din datele despre dumneavoastră sunt incorecte, vă rugăm să ne informaţi cât mai curând posibil.

_______________________________________________________________

Observaţie:

*orice persoană are dreptul de a se opune, pentru motive legitime, la prelucrarea datelor ce o privesc. Acest drept de opoziţie poate fi exclus pentru anumite prelucrări prevăzute de lege (de ex.: prelucrări efectuate de serviciile financiare şi fiscale, de poliţie, justiţie, securitate socială). Prin urmare, această menţiune nu poate figura dacă prelucrarea are un caracter obligatoriu;

*orice persoană are, de asemenea, dreptul de a se opune, în mod gratuit şi fără nici o justificare, la prelucrarea datelor sale personale în scopuri de marketing direct.

 Modalitatea de informare „verbal" se utilizează, în mod excepţional, în situaţia în care nu se poate realiza informarea în alte modalităţi (ex: informare prin intermediul convorbiri telefonice, dacă acestea sunt înregistrate).

 

MODEL DE NOTA DE INFORMARE PENTRU OPERATORII CARE PRELUCREAZĂ DATE CU CARACTER PERSONAL PRIN MIJLOACE DE SUPRAVEGHERE VIDEO

În cazul prelucrării datelor cu caracter personal prin mijloace de supraveghere video, operatorii sunt obligaţi să furnizeze persoanelor care intră în zona supravegheată  video, informaţiile prevăzute de art. 12 din Legea nr. 677/2001, modificată şi completată, şi de art. 11 din Decizia Preşedintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 52/2012 (publicată în Monitorul Oficial al României, Partea I, nr. 389 din 11 iunie 2012). Aceste informaţii trebuie aduse la cunoştinţa persoanelor vizate în mod clar şi permanent, prin intermediul unui afiş postat în locurile monitorizate, poziţionat la o distanţă rezonabilă de locul unde sunt amplasate echipamentele de supraveghere, astfel încât să poată fi văzut de orice persoană. Afişul trebuie să conţină o pictogramă reprezentativă alături de informaţiile prevăzute de art. 11 alin. 1 din Decizia nr. 52/2012 (se propune modelul de mai jos).

 MODEL

 

zona_video.png

 

............................................................... (se indică identitatea operatorului sau, dacă este cazul, şi pe cea a împuternicitului) prelucrează datele dumneavoastră cu caracter personal, respectiv …………….. prin mijloace automatizate, în vederea monitorizării/ securităţii persoanelor, spaţiilor şi/sau bunurilor publice/private . Datele personale înregistrate sunt comunicate următorilor destinatari:................. (se precizează destinatarii).

Conform Legii nr. 677/2001, beneficiaţi de dreptul de acces, de intervenţie asupra datelor, dreptul de opoziţie, dreptul de a nu fi supus unei decizii individuale şi dreptul de a vă adresa justiţiei.

Pentru exercitarea acestor drepturi, vă puteţi adresa cu o cerere scrisă, datată şi semnată la .................................................(se precizează serviciul, organismul sau persoana responsabilă).

Datele dumneavoastră nu/vor fi transferate în ............... (precizaţi statele), în vederea....................(se precizează scopul transferului datelor în străinătate)."

 

2.2.8. SECŢIUNEA IX: Categorii de date prelucrate

Reprezintă date cu caracter personal, potrivit Legii nr. 677/2001 orice date referitoare la o persoană fizică identificată sau identificabilă (de ex.: nume şi prenume, adresa, locul şi data naşterii, cod numeric personal, serie şi număr de BI /CI, cetăţenie, profesie, e-mail, telefon/fax, imaginea, locul de muncă, sexul, situaţia familială, etc.).

În acest spaţiu, se marchează cu „X" căsuţele corespunzătoare datelor sau categoriilor de date personale prelucrate, în funcţie de scopul sau scopurile corelate, declarate la secţiunea IV din formularul de notificare.

Dacă datele sau categoriile de date nu se regăsesc, în totalitate sau în parte, în secţiunea de faţă, se completează spaţiul aferent rubricii „altele".
De asemenea, art. 4 alin. (1) lit. c) din Legea nr. 677/2001, modificată şi completată, stabileşte că datele cu caracter personal destinate a face obiectul unei prelucrări trebuie să fie adecvate, pertinente şi neexcesive prin raportare la scopul în care sunt colectate şi ulterior prelucrate.


            Exemple:

  • dacă scopul prelucrării este "monitorizarea/securitatea persoanelor, spaţiilor şi/sau bunurilor publice/private" (şi se realizează prin intermediul mijloacelor de supraveghere video), categoriile de date prelucrate pot fi „imaginea" şi eventual „vocea”;
  • dacă scopul prelucrării este „monitorizarea/securitatea persoanelor şi/sau bunurilor publice/private prin utilizarea, spre exemplu, a  GPS-ului” categoriile de date prelucrate pot fi „numele şi prenumele”, „date din permisul de conducere/certificatul de înmatriculare”, „profesie”, „loc de muncă”, „date de geolocalizare”.

            Atenţie !

Se vor colecta doar datele strict necesare realizării scopului/scopurilor corelate declarate.

2.2.9. SECŢIUNEA X: Categorii de date cu caracter special

Potrivit Legii nr. 677/2001, datele cu caracter special sunt cele legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice sau de natură similară, de apartenenţa sindicală, datele cu caracter personal privind starea de sănătate sau viaţa sexuală, precum şi datele având funcţie de identificare de aplicabilitate generală (codul numeric personal şi seria şi numărul actului de identitate).

De asemenea, datele referitoare la fapte penale sau contravenţii, sancţiuni disciplinare, precum şi datele privind cazierul judiciar fac parte din această categorie de date.

Prelucrarea datelor cu caracter special este interzisă.

De la această regulă, legea prevede anumite excepţii, principala excepţie fiind consimţământul persoanei vizate (art. 7 alin. (2) şi art. 8 din Legea nr. 677/2001). Consimţământul persoanelor vizate trebuie să fie expres şi neechivoc, respectiv explicit, liber exprimat şi informat.

Completarea acestei secţiuni din formularul de notificare se realizează în mod similar secţiunii anterioare.

            Atenţie!

Prelucrarea de date cu caracter personal de orice fel, altele decât cele declarate de operator în formularul de notificare, poate constitui contravenţie.

2.2.10. SECŢIUNEA XI: Categorii de destinatari

Destinatar este, în sensul art. 3 lit. h) din Legea nr. 677/2001, orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, căreia îi sunt dezvăluite date, indiferent dacă este sau nu terţ.

Autorităţile publice cărora li se comunică date în cadrul unei competenţe speciale de anchetă nu vor fi considerate destinatari (de ex. datele personale solicitate de instanţele de judecată, procurori, organe de urmărire penală, dacă sunt necesare desfăşurării unei anchete).

La această secţiune, se marchează cu „X" căsuţele corespunzătoare categoriilor de destinatari cărora li se vor dezvălui datele prelucrate de operator în scopul sau scopurile corelate declarate.


            Atenţie !

Dezvăluirea datelor cu caracter personal, unei persoane sau categorii de persoane care nu sunt menţionate în formularul de notificare, poate constitui contravenţie.

2.2.11. SECŢIUNEA XII: Garanţiile care însoţesc dezvăluirea datelor către terţi

Se marchează cu „X" tipurile de garanţii specifice scopului şi mijloacelor de prelucrare, care să ateste îndeplinirea condiţiilor de legitimitate a prelucrării prevăzute de art. 5 din Legea nr. 677/2001.

Consimţământul persoanei vizate reprezintă una din garanţiile în baza cărora se pot dezvălui datele cu caracter personal. Consimţământul trebuie să fie dat în mod expres şi neechivoc (art. 5 alin. 1 din Legea nr. 677/2001).

Actele normative (în special în cazul instituţiilor publice) reprezintă o altă garanţie în baza căreia are loc dezvăluirea datelor cu caracter personal. În acest caz, este necesar să se precizeze numărul, data şi titlul actului normativ invocat pentru prelucrarea respectivă.

 Alte tipuri de garanţii se pot referi cu privire la obligaţiile de confidenţialitate sau de respectare a secretului profesional ori de serviciu de către persoanele care au acces la datele cu caracter personal prelucrate, precum şi la avizul Autorităţii de supraveghere etc.

2.2.12. SECŢIUNEA XIII: Încheierea operaţiunilor de prelucrare


            a) Data estimată

Această secţiune se completează când operatorul notifică pentru prima dată o prelucrare de date cu caracter personal.

Este necesar să se delimiteze durata prelucrării notificate, în funcţie de specificul activităţii operatorului, precizând în acest sens o anumită dată cunoscută sau aproximativă pentru terminarea tuturor operaţiunilor de prelucrare (inclusiv arhivarea, care este o operaţiune de prelucrare şi nu se poate efectua decât pe o durată limitată de timp), întrucât art. 4 alin. (1) lit. e) din Legea nr. 677/2001 stabileşte că datele cu caracter personal destinate a face obiectul unei prelucrări trebuie să fie stocate într-o formă care să permită identificarea persoanelor vizate strict pe durata necesară realizării scopurilor în care acestea au fost colectate şi ulterior prelucrate.

Exemple:

perioada necesară verificării îndeplinirii obligaţiilor ce revin lucrătorilor responsabili cu completarea chestionarelor utilizate în cercetări de piaţă, ulterior acesteia datele personale trebuie depersonalizate, deoarece rezultatul cercetării nu trebuie să facă referire la persoane identificabile;

pentru scopul „monitorizarea/securitatea persoanelor, spaţiilor şi/sau bunurilor publice/private”, durata stocării înregistrărilor efectuate de mijloacele de supraveghere video, trebuie să fie proporţională cu scopul pentru care se prelucrează datele, dar nu mai mult de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.

           b) Data certă a încetării operaţiunilor de prelucrare 

Aceasta poate fi indicată fie în momentul înregistrării notificării iniţiale, fie la data încheierii tuturor operaţiunilor de prelucrare, inclusiv arhivare (când trebuie completată notificarea depusă anterior), precizându-se data exactă a încetării prelucrării (ex: 31 decembrie 2010).

În acest caz, se va marca cu „X" modalitatea prin care se încheie prelucrarea de date cu caracter personal (potrivit art. 6 alin. 1 din Legea nr. 677/2001, modificată şi completată), şi anume:

a) prelucrarea în alt scop, cu consimţământul persoanei vizate; 

b) ştergere, distrugere, arhivare;

c) transformare în date anonime şi stocare exclusiv în scopuri statistice, de cercetare istorică sau ştiinţifică;

d) transferare unui alt operator.

În situaţia în care persoana vizată îşi dă consimţământul pentru altă prelucrare decât cea pentru care operatorul a notificat autoritatea de supraveghere, este necesar ca operatorul să notifice pentru prelucrarea de date efectuată într-un scop diferit faţă de cel declarat în notificarea anterioară (dacă este cazul).

În ceea ce priveşte ştergerea, distrugerea şi arhivarea, procedura internă şi modalităţile de realizare a acestor operaţiuni, se stabilesc de către fiecare operator, cu excepţia procedurii care se desfăşoară potrivit prevederilor legale privind arhivele naţionale.

De asemenea, există situaţii în care operatorul, datorită activităţii pe care o desfăşoară, este obligat, în baza unor legi speciale, să păstreze datele o anumită perioadă de timp, dar după expirarea acesteia trebuie să procedeze în una din modalităţile prevăzute mai sus. În alte cazuri, operatorii sunt creatori de arhivă şi sunt obligaţi să procedeze conform dispoziţiilor legale privind păstrarea arhivelor.

În cazul transferului datelor către alt operator, este necesar ca operatorul iniţial să garanteze că prelucrările efectuate de terţ au scopuri similare cu prelucrarea iniţială. În acelaşi timp, trebuie informată autoritatea de supraveghere şi încheiat un contract cu operatorul căruia i se predă baza de date, care să conţină garanţiile menţionate anterior.

Totodată, operatorul care obţine datele cu caracter personal este obligat ca, în momentul colectării datelor sau, dacă se intenţionează dezvăluirea acestora către terţi, cel mai târziu până în momentul primei dezvăluiri, să furnizeze persoanei vizate, informaţiile prevăzute la art. 12 alin. (1) din Legea nr. 677/2001. 

Modalitatea de încheiere a operaţiunilor de prelucrare, referitoare la transferare, nu trebuie confundată cu transferul datelor în străinătate, ale cărui condiţii sunt reglementate de art. 29 şi art. 30 din Legea nr. 677/2001.

2.2.13. SECŢIUNEA XIV: Transferuri de date în străinătate

Transferul datelor cu caracter personal în străinătate este reglementat la art. 29 şi art. 30 din Legea nr. 677/2001.

Nu este necesară notificarea transferului când acesta se face în baza prevederilor unei legi speciale sau ale unui acord internaţional ratificat de România, în special, dacă transferul se face în scopul prevenirii, cercetării sau reprimării unei infracţiuni.

Nu este necesară notificarea transferului de date către state din Uniunea Europeană, Zona Economică Europeană, precum şi către state cărora Comisia Europeană le-a recunoscut, prin decizie, un nivel de protecţie adecvat.

Regulile generale care trebuie respectate în cazul transferului datelor în străinătate sunt:

  • scopul în care se transmit/transferă datele nu poate fi incompatibil cu cel în care acestea sunt prelucrate pe teritoriul României;
  • nu pot fi transmise/transferate mai multe date decât au fost menţionate că se prelucrează;

În cazul transferului datelor personale în state terţe, operatorul marchează cu „X”, la Secţiunea XIV, „indicele 4”  unde trebuie enumerate statele către care se efectuează transferul, şi, de asemenea, se va preciza scopul transferului şi categoriile de date transferate, prin menţionarea indicativului de la secţiunea IV, IX şi/sau secţiunea X, după caz.

În situaţia în care scopul prelucrării nu este identic cu scopul transmiterii/transferului datelor, operatorul va face menţiuni la Secţiunea IV, indicele 32, „altele” precizând scopul efectiv al transmiterii/transferului datelor. În mod corespunzător, în cadrul Secţiunii XIV privind transferurile de date în străinătate, operatorul va debifa din această secţiune indicii selectaţi deja la Secţiunile IV, IX şi X care nu corespund transferului. În plus, este necesar ca operatorul să marcheze cu X articolul în baza căruia se efectuează transferul datelor, şi anume:

- fie în baza art. 29 alin. (4) din Legea nr. 677/2001,

- fie în baza art. 30 din Legea nr. 677/2001.

1) Transferul în baza art. 29 alin. (4) din Legea nr. 677/2001 se bifează în cazul în care operatorul (exportatorul de date) transferă date către un importator de date, situat într-un stat care nu asigură un nivel de protecţie adecvat, în baza unui contract cu clauze standard încheiat între exportatorul şi importatorul de date sau în baza normelor corporatiste obligatorii (binding corporate rules). 

În aceste cazuri, transferul este supus procedurii autorizării

a) În cazul în care statul de destinaţie nu asigură un nivel de protecţie adecvat, respectiv, statul de destinaţie este stat terţ, care nu face parte din Uniunea Europeană sau Zona Economică Europeană, sau stat căruia Comisia Europeană nu i-a recunoscut, prin decizie, un nivel de protecţie adecvat, operatorul care exportă datele trebuie să prezinte garanţii suficiente cu privire la protecţia drepturilor fundamentale ale persoanelor vizate, printr-un contract încheiat cu importatorul de date. În acest scop, în funcţie de calitatea importatorului de date (operator/împuternicit) vor fi avute în vedere:

•    clauzele contractuale standard (conform Deciziilor 2001/497/CE sau 2004/915/CE) care reglementează transferul datelor de la un operator din România către un operator stabilit într-un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română;

•    clauzele contractuale standard (conform Deciziei Comisiei Europene 2010/87/UE)  care reglementează transferul datelor de la un operator din România către un împuternicit stabilit într-un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română.


* Se va ataşa on-line copia contractului cu clauze standard, semnată şi ştampilată, în limba engleză, iar pe suport hârtie traducerea autorizată a acestuia în limba română.

b) În situaţia în care transferul datelor cu caracter personal se realizează în baza normelor corporatiste obligatorii (binding corporate rules) operatorul trebuie să transmită autorităţii de supraveghere următoarele documente:

- normele corporatiste obligatorii în forma aprobată de către autoritatea coordonatoare (lead authority);

- autorizaţia emisă de către autoritatea coordonatoare sau adresa prin care operatorul a fost înştiinţat despre aprobarea normele corporatiste obligatorii de către autoritatea coordonatoare;

- formularul de solicitare a aprobării normelor corporatiste obligatorii pentru transferul datelor cu caracter personal prevăzut în WP 133 al Grupului de lucru art. 29;

 - documentul ce conţine lista entităţilor care fac parte din grupul  operatorului, în măsura în care este posibil.

Aceste documente se vor transmite atât în limba engleză, cât şi în limba română.

2) Transferul în baza art. 30 Legea nr. 677/2001, se bifează în cazul în care operatorul transferă date către un stat care nu asigură un nivel de protecţie adecvat, în baza uneia dintre condiţiile enumerate la acest articol, respectiv:

a) când persoana vizată şi-a dat în mod explicit consimţământul pentru efectuarea transferului; în cazul în care transferul de date se face în legătură cu oricare dintre datele prevăzute la art. 7, 8 şi 10, consimţământul trebuie dat în scris;

b) când este necesar pentru executarea unui contract încheiat între persoana vizata si operator sau pentru executarea unor masuri precontractuale dispuse la cererea persoanei vizate;

c) când este necesar pentru încheierea sau pentru executarea unui contract încheiat ori care se va încheia, în interesul persoanei vizate, între operator şi un terţ;

d) când este necesar pentru satisfacerea unui interes public major, precum apărarea naţională, ordinea publică sau siguranţa naţională, pentru buna desfăşurare a procesului penal ori pentru constatarea, exercitarea sau apărarea unui drept în justiţie, cu condiţia ca datele să fie prelucrate în legătură cu acest scop şi nu mai mult timp decât este necesar;

e) când este necesar pentru a proteja viaţa, integritatea fizică sau sănătatea persoanei vizate;

f) când intervine ca urmare a unei cereri anterioare de acces la documente oficiale care sunt publice ori a unei cereri privind informaţii care pot fi obţinute din registre sau prin orice alte documente accesibile publicului.

Excepţiile reglementate de aceste dispoziţii legale sunt însă de strictă interpretare.
   
          Atenţie!

Transferarea datelor cu caracter personal într-un alt stat, decât cel/cele  menţionat(e) în formularul de notificare, poate constitui contravenţie.

În toate cazurile în care operatorii transferă date în străinătate, aceştia sunt obligaţi să informeze persoanele vizate cu privire la acest aspect.

Transferul datelor cu caracter personal către entităţi din Statele Unite ale Americii se poate realiza în temeiul Scutului de confidenţialitate UE-SUA, publicat  în Jurnalul Oficial al Uniunii Europene Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European şi a Consiliului (EU-U.S. Privacy Shield).

Potrivit acestei decizii, Statele Unite garantează un nivel adecvat de protecţie a datelor cu caracter personal transferate din Uniunea Europeană către organizaţii din Statele Unite în temeiul Scutului de confidenţialitate UE-SUA, cu condiţia ca respectivele entităţi să prelucreze datele cu caracter personal în conformitate cu un set puternic de principii şi garanţii pentru protecţia vieţii private şi a datelor cu caracter personal care sunt echivalente cu cele din Uniunea Europeană.

În situaţia în care se transferă date cu caracter personal către organizaţii din Statele Unite în temeiul Scutului de confidenţialitate UE-SUA, iar prelucrarea/transferul se încadrează în situaţiile reglementate de Decizia 200/2015  care impun obligaţia notificării, se va marca cu „X” secţiunea XIV din cadrul formularului de notificare, „indicele 3”, respectiv rubrica „state cărora Comisia Europeană le-a recunoscut prin decizie un nivel de protecţie adecvat”.

2.2.14. SECŢIUNEA XV: Măsurile luate pentru asigurarea securităţii prelucrării

Potrivit art. 19 şi 20 din Legea nr. 677/2001, modificată şi completată, operatorul este obligat să aplice măsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat.

Ca urmare, la această secţiune trebuie descrise măsurile pe care le ia operatorul pentru a proteja datele persoanelor vizate pe care le prelucrează, indiferent de mijloacele utilizate (automatizate, manuale ori mixte), în special, dacă printre acestea se numără şi date cu caracter special, care trebuie să respecte cerinţele minime de securitate a prelucrărilor de date cu caracter personal ce se regăsesc în prevederile Ordinului 52 din 18 aprilie 2002, publicat în Monitorul Oficial nr. 383 din 5 iunie 2002.

Totodată, se anexează documentul care conţine politica de securitate a prelucrărilor de date cu caracter personal.

2.2.15. SECŢIUNEA XVI: Sistemul de evidenţă utilizat şi legăturile cu alte prelucrări sau sisteme de evidenţă

Sistemul de evidenţă, potrivit definiţiei date de art. 3 lit. d) din Legea nr. 677/2001, este orice structură de date cu caracter personal, accesibilă potrivit unor criterii determinate, indiferent dacă această structură este organizată în mod centralizat ori descentralizat sau este repartizată după criterii funcţionale ori geografice.

Se bifează cu „X" sistemul de evidenţă al operatorului, după cum sunt utilizate mijloace automate sau neautomate ori mixte pentru prelucrarea datelor cu caracter personal. De asemenea, se marchează dacă prelucrarea notificată are legătură cu alte prelucrări sau cu alte sisteme de evidenţă a datelor cu caracter personal. În caz afirmativ, se marchează locul unde este situat sistemul de evidenţă.