Home » Intrebari frecvente
 Română | English | Francais

Întrebări Frecvente  

 

Sunt operator de date cu caracter personal?

Operatorul de date cu caracter personal este persoana fizică sau juridică, de drept public ori de drept privat care stabileşte scopul şi mijloacele prelucrării. Aceasta înseamnă că operatorul a decis să prelucreze date cu caracter personal prin anumite operaţiuni, efectuate prin mijloace automate, precum şi prin alte mijloace decât cele automate. De asemenea, persoana fizică sau juridică poate fi desemnată ca operator printr-un act normativ sau în baza unui act normativ care determină scopul şi mijloacele de prelucrare a datelor cu caracter personal. Pentru ca o prelucrare să intre sub incidenţa prevederilor Legii nr. 677/2001 este necesar ca ea să se desfăşoare în cadrul unui sistem de evidenţă. Prin sistem de evidenţă se înţelege o bază de date, structurată potrivit unor criterii, criterii pe baza cărora datele pot fi accesate (de exemplu, pe criteriul alfabetic).      

Ce este Registrul de Evidenţă a Prelucărilor de Date cu Caracter Personal?

Registrul de Evidenţă a Prelucărilor de Date cu Caracter Personal, aşa cum rezultă şi din definiţia acestuia, conţine o evidenţă a notificărilor efectuate de operatorii de date cu caracter personal. Acest Registru este public, are rolul de a asigura transparenţa în ceea ce priveşte activitatea operatorilor de prelucrare a datelor şi poate fi consultat de orice persoană interesată

Când sunt obligat să notific prelucrările de date efectuate?    

Conform Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, modificată şi completată, operatorii de date trebuie să notifice prelucrările pe care le efectuează la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.) în situaţiile prevăzute de Decizia nr. 200/2015 privind stabilirea cazurilor de prelucrare a datelor cu caracter personal pentru care nu este necesară notificarea, precum şi pentru modificarea şi abrogarea unor decizii.

Ce obligaţii am în situaţia în care nu este necesar să notific prelucrările de date?

Scutirea de obligaţia de a notifica autoritatea de supraveghere nu exonerează operatorul de îndeplinirea celorlalte obligaţii care îi revin potrivit dispoziţiilor legale aplicabile în domeniul protecţiei datelor cu caracter personal (informarea persoanelor vizate în condiţiile reglementate de art. 12 din Legea nr. 677/2001, precum şi adoptarea unor măsuri adecvate pentru asigurarea securităţii prelucrării datelor conform prevederilor art. 20 alin. 1 din acelaşi act normativ şi cerinţelor minime aprobate prin Ordinul nr. 52/2002).

Când trebuie să completez notificarea în formă generală?

Formularul de notificare se completează la toate secţiunile, după caz, potrivit specificului prelucrării, sub forma notificării generale, în următoarele situaţii:

  • când operatorul notifică pentru prima dată o prelucrare de date cu caracter personal;
  • când operatorul transferă date cu caracter personal către statele situate în afara Uniunii Europene, a Zonei Economice Europene, precum şi către statele cărora Comisia Europeană nu le-a recunoscut, prin decizie, un nivel de protecţie adecvat;
  • când operatorul notifică o altă prelucrare de date faţă de cea declarată printr-o notificare anterioară;
  • când operatorul completează şi/sau modifică o notificare înscrisă deja în evidenţele autorităţii de supraveghere ca notificare generală pentru care există, în continuare, obligaţia de a notifica.

Când se completează notificarea specială?

Notificarea specială se completează de autorităţile publice care prelucrează date cu caracter personal în cadrul activităţilor de prevenire, cercetare, reprimare a infracţiunilor şi de menţinere a ordinii publice, precum şi în cadrul altor activităţi desfăşurate în domeniul dreptului penal (art. 2 alin. (5) din Legea nr. 677/2001). În acest sens, se vor completa numai rubricile I, III, IV, V, IX, X şi XI din formularul de notificare.

Notificarea specială se completează de autorităţile publice menţionate mai sus doar în situaţia în care există dispoziţii legale care prevăd obligaţia de notificare. 

Care este modalitatea de transmitere a formularului de notificare? 

Notificarea prelucrărilor de date efectuate de operatori se efectuează prin completarea on-line formularului de notificare, aprobat prin Decizia nr. 95/2008 şi accesibil la adresa de site www.dataprotection.ro, secţiunea „Depunere notificare on-line”, obţinându-se, ulterior, un număr de înregistrare în registrul electronic de evidenţă a prelucrărilor de date cu caracter personal.

Ulterior transmiterii formularului de notificare on-line, prima pagină a acestuia semnată şi ştampilată, în original, va fi remisă Autorităţii prin poştă sau depusă direct la registratură în maxim 30 de zile. În caz contrar, nu poate fi luată în considerare notificarea transmisă on-line.

Totodată, este necesară ataşarea copiei mesajului electronic primit din partea Autorităţii de supraveghere intitulat „confirmare înregistrare document”, în care figurează numărul de înregistrare al formularului de notificare în Registrul General al instituţiei noastre.

Notificarea trebuie transmisă autorităţii de supraveghere cu un anumit termen înainte? 

Notificarea se depune la Autoritatea de Supraveghere înainte de începerea prelucrării. 

Trebuie să plătesc o taxă pentru notificare?  

Nu, deoarece prin OUG nr. 36/17.05.2007 a fost abrogată Legea nr. 476/2003 privind aprobarea taxei de notificare a prelucrărilor de date cu caracter personal, care cad sub incidenţa Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date. 

Dacă prelucrez date personale pentru două sau mai multe scopuri, trebuie să completez mai multe notificări?    

Dacă operatorul prelucrează date personale pentru două sau mai multe scopuri care nu au legătură între ele şi pentru care există obligaţia de notificare (conform Deciziei nr. 200/2015), atunci este obligat să completeze câte un formular tipizat separat pentru fiecare dintre aceste scopuri. Înregistrările separate permit delimitări clare ale diferitelor baze de date deţinute de operator, utilizate în scopuri diferite. În cazul în care prelucrarea are un singur scop sau mai multe scopuri corelate, operatorul completează o singură notificare. 

Pot prelucra date cât timp notificarea nu este înregistrată în Registrul de Evidenţă a Prelucrărilor de Date cu Caracter Personal?

Operatorul este obligat să notifice autorităţii de supraveghere, personal sau prin reprezentant, înainte de efectuarea oricărei prelucrări ori a oricărui ansamblu de prelucrări având acelaşi scop sau scopuri corelate. Omisiunea de a efectua notificarea, în situaţiile în care această notificare este obligatorie, precum şi notificarea incompletă sau care conţine informaţii false constituie contravenţii, dacă nu sunt savârşite în astfel de condiţii încât să constituie infracţiuni şi se sancţionează cu amendă.

În ce situaţii este necesară notificarea transferului de date în străinătate?

Transferul datelor cu caracter personal se va notifica autorităţii de supraveghere atunci când se efectuează către state situate în afara Uniunii Europene, a Zonei Economice Europene, precum şi către state cărora Comisia Europeană le-a recunoscut, prin decizie, un nivel de protecţie adecvat.

Cum se declară transferul de date în state terţe efectuat în baza art. 29 din Legea nr. 677/2001? 

Transferul de date în state terţe se declară în cazul în care operatorul din România (exportatorul de date) transferă date către un importator de date, situat într-un stat care nu asigură un nivel de protecţie adecvat, în baza unui contract cu clauze standard încheiat între exportatorul şi importatorul de date sau în baza normelor corporatiste obligatorii (binding corporate rules).

În cazul în care transferul se efectuează în baza unui contract cu clauze standard ce documente trebuie să am în vedere ?

În funcţie de calitatea importatorului de date (operator/împuternicit) vor fi avute în vedere:

  • clauzele contractuale standard (conform Deciziilor 2001/497/CE sau 2004/915/CE) care reglementează transferul datelor de la un operator din România către un operator stabilit într-un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română;
  • clauzele contractuale standard (conform Deciziei Comisiei Europene 2010/87/UE)  care reglementează transferul datelor de la un operator din România către un împuternicit stabilit într-un stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de legea română.

Contractele cu clauze standard se vor transmite autorităţii de supraveghere atât în limba engleză, cât şi în limba română.(traducere autorizată).

Ce documente trebuie să depun la autoritatea de supraveghere în situaţia în care transferul datelor cu caracter personal se realizează în baza normelor corporatiste obligatorii (binding corporate rules)?

Trebuie să transmiteţi autorităţii de supraveghere următoarele documente:

  • normele corporatiste obligatorii în forma aprobată de către autoritatea coordonatoare (lead authority);
  • autorizaţia emisă de către autoritatea coordonatoare sau adresa prin care operatorul a fost înştiinţat despre aprobarea normele corporatiste obligatorii de către autoritatea coordonatoare;
  • formularul de solicitare a aprobării normelor corporatiste obligatorii pentru transferul datelor cu caracter personal prevăzut în WP 133 al Grupului de lucru art. 29;
  • documentul ce conţine lista entităţilor care fac parte din grupul  operatorului, în măsura în care este posibil.

Aceste documente se vor transmite atât în limba engleză, cât şi în limba română (traducere autorizată).

Trebuie să declar transferul de date în baza Scutului de Confidenţialitate (Privacy Shield)?

Transferul de date efectuat în temeiul Deciziei de punere în aplicare a (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European şi a Consiliului (EU-U.S. Privacy Shield) referitoare la Scutul de Confidenţialitate UE-SUA, nu se declară decât în situaţia în care prelucrarea se încadrează în situaţiile prevăzute în Decizia nr. 200/2015 a Preşedintelui Autorităţii de Supraveghere.

Prelucrările efectuate prin sisteme de supraveghere video se notifică autorităţii de supraveghere?

Prelucrarea datelor cu caracter personal prin sisteme de supraveghere video, inclusiv transferul acestora într-un stat terţ, trebuie notificată autorităţii de supraveghere, anterior începerii prelucrării şi se supune prevederilor Deciziei nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video.

Cum se prelungeşte înregistrarea notificării? 

Înregistrarea este valabilă pe durata declarată de operator în formularul de notificare. În cazul în care aceasta are o dată limită şi operatorul doreşte continuarea prelucrării de date, înainte de expirarea duratei declarate, este obligat să completeze notificarea. Dacă operatorul nu procedează la completarea notificării în sensul prelungirii duratei acesteia, atunci săvârşeşte o contravenţie, fiind pasibil de aplicarea unor sancţiuni. 

Ce măsuri trebuie să iau pentru asigurarea securităţii prelucrării datelor cu caracter personal? 

Cerinţele minime de securitate a prelucrărilor de date cu caracter personal se regăsesc în Ordinul nr. 52/2002, publicat în Monitorul Oficial al României, Partea I, nr. 383 din 5 iunie 2002, şi prevederile art. 20 alin. (1) din Legea nr. 677/2001, modificată şi completată.

Dacă intervin schimbări în activitatea mea de prelucrare a datelor cu caracter personal, trebuie să completez şi/sau să modific notificarea? 

Dacă declaraţiile din notificare au suferit schimbări, operatorul este obligat să completeze formularul tipizat de notificare, prin care modifică si/sau completează numai punctele interesate dar numai în măsura în care aceste modificări/completări vizează prelucrările prevăzute de Decizia nr. 200/2015. Acest lucru este important întrucât, în situaţia în care operatorul efectuează prelucrări de date care nu sunt conforme cu declaraţiile din notificarea sa, atunci comite o contravenţie. 

Cum se completează/modifică o notificare? 

Completarea/modificarea unei notificări, ca urmare a apariţiei unor schimbări în activitatea operatorului şi/sau la solicitarea autorităţii de supraveghere, se realizează prin modalitatea on-line, accesând adresa de internet a autorităţii, www.dataprotection.ro, secţiunea „Depunere notificare on-line – Modificarea unei notificări”, unde se va introduce numărul de notificare şi codul electronic de regăsire primit pe e-mail la momentul transmiterii notificării on-line. După efectuarea on-line a completării/modificării notificării se va informa autoritatea de supraveghere, în cel mult 30 de zile, prin remiterea prin poştă a primei pagini a formularului de notificare, semnată şi ştampilată, în original. În caz contrar, nu vor fi luate în considerare completările/modificările efectuate de operator, urmând ca notificarea să fie anulată din sistemul electronic de evidenţă. Ataşat primei pagini, este necesar să transmiteţi copia mesajului electronic primit din partea autorităţii de supraveghere intitulat „confirmare înregistrare document”, în care figurează numărul de înregistrare al formularului de notificare în Registrul General al instituţiei noastre.

Răspund pentru informaţiile declarate în formularul de notificare?

Da, pentru aspectele notificate vă revine întreaga responsabilitate cu privire la efectuarea prelucrării notificate potrivit cerinţelor legislaţiei din domeniul protecţiei datelor cu caracter personal, iar nerespectarea lor se sancţionează cu amendă, conform dispoziţiilor art. 31, 32 şi 33 din Legea nr. 677/2001, modificată şi completată.