Definiția datelor cu caracter personal este stabilită actualmente prin legea 677/2001 și cuprinde următoarele informații cheie:
- Datele cu caracter personal sunt informații referitoare la o persoană fizică, deci date care pot identifica un individ, nu despre date care pot identifica companii;
- Datele cu caracter personal pot fi orice informații care duc la o persoana fizică identificată sau identificabilă.
Dacă în cazul informațiilor care fac referire la o persoană identificată, acestea sunt mai ușor de observat ( de exemplu, identificată prin nume si prenume), în ceea ce privește informațiile despre persoane fizice identificabile, spectrul este mult mai larg.
Acest lucru înseamnă că o persoană identificabilă este acea persoană care poate fi identificată, în mod direct sau indirect, în mod particular cu referirea la un număr de identificare ori la unul sau la mai mulți factori specifici identității sale fizice, fiziologice, psihice, economice, culturale sau sociale. Cu alte cuvinte, în mod direct nu putem ști cine este acea persoană, dar ea poate fi identificată prin intermediul coroborării de informații din alte surse (de ex.: diverse baze de date).
Pot fi considerate date cu caracter personal:
- Numărul și seria actului de identitate;
- Adresa de e-mail;
- Data nașterii (doar coroborată cu alte informații poate duce la identificarea persoanei, întrucât există un număr mare de oameni născuți în aceeași zi și în același an);
- Numărul de înmatriculare al unei mașini (pentru că poate da informații despre cine este proprietarul mașinii sau cine a condus autovehiculul la un anumit moment);
- Adresa IP.
Nu există o listă definitivă a ceea ce înseamnă date cu caracter personal, întrucât, în multe situații, pot fi luate în considerare două sau mai multe elemente separate care, coroborate, pot duce la identificarea unei persoane. Colectarea acestor date nu este ilegală, dar legile din România și din UE spun că trebuie respectate unele principii:
Datele trebuie procesate legal și cu bună-credință.
- În cazul trimiterii unui newsletter, de exemplu, datele procesate legal și cu bună-credință înseamnă că acele date sunt folosite doar cu consimțământul persoanei (de exemplu, nu se pot folosi baze de date cu adrese găsite pe Internet) și doar pentru ceea ce ONG-ul promite ca scop al utilizării lor, atunci când obține acordul persoanei pentru colectare și procesare de date personale.
Datele trebuie colectate în scop determinat și explicit.
- În cazul unui newsletter, scopul este trimiterea newsletter-ului. Asta înseamnă că utilizatorul știe în momentul în care se abonează că va primi un newsletter, nu alte informații (de ex.: marșuri sau alte oportunități care nu fac parte din newsletter).
Datele trebuie să fie adecvate, pertinente și neexcesive în raport cu scopul declarat.
- Practic, în cazul trimiterii unui newsletter, singura informație necesară este adresa de e-mail. Orice altă informație suplimentară legată de e-mail nu este adecvată în raport cu scopul. În plus, nu îi putem cere utilizatorului numărul, seria de buletin și data nașterii, pentru că am avea o colectarea de date excesive în raport cu scopul. Dacă este vorba despre un newsletter personalizat, e în regulă să fie cerute mai multe date personale, ca prenumele sau alte informații, daca explici de ce este nevoie. De asemenea, furnizarea anumitor date poate fi opțională și însoțită de o explicație pentru care acele date sunt necesare (de ex.: “Data nașterii este necesară pentru că, de obicei, trimitem un e-mail de felicitare la zile de naștere”).
Datele trebuie să fie exacte și actualizate și șterse când nu mai sunt necesare.
- Legea spune că utilizatorul trebuie să aibă posibilitatea să își actualizeze datele personale (de exemplu, să își poată schimba adresa de e-mail pe care primește newsletter-ul). În plus, datele trebuie să fie șterse când nu mai sunt necesare. În practică, însă, în toată zona de tehnologie a informației, de obicei aceste date nu sunt șterse, ci rămân stocate pe un server (care poate fi atacat) și datele pot fi folosite într-un scop neadecvat. În cazul unui newsletter, datele ar putea fi șterse pentru că devin inutile dacă, de exemplu, utilizatorul nu a deschis 20 de e-mailuri succesive sau nu a interacționat cu newsletter-ul o perioadă foarte lungă de timp.
Datele trebuie păstrate doar pe perioada scopului declarat.
- În funcție de scop, se stabilește perioada de păstrare. Datele nu ar trebui păstrate pe o perioadă nedeterminată sau pe tot parcursul vieții unei persoane pentru că ar însemna o prelucrare excesivă și acest lucru poate afecta dreptul la viață privată al persoanei respective.
Categoriile speciale de date cu caracter pesonal
- Originea rasială sau etnică;
- Convingerile religioase, politice, filosofice sau de natură similară;
- Apartenența sindicală;
- Date cu caracter personal privind starea de sănătate sau viața sexuală;
- + CNP și alte date având funcție de identificare de aplicabilitate generală;
- Date legate de fapte penale/contravenții/cazier.
Pentru aceste date, în principiu, prelucrarea și colectarea sunt interzise pentru că sunt considerate date sensibile și pot afecta dreptul la viață privată al unei persoane. Totuși, există excepții:
- Colectarea și prelucrarea se fac cu acordul expres al persoanei. Însă asta nu înseamnă semnarea unui formular lung de către acea persoană, ci exprimarea unui acord clar, care stipulează și la ce vor fi folosite datele (de ex.: “Da, sunt de acord cu colectarea și prelucrarea acestor date care vor fi folosite pentru…”);
- Dreptul muncii – dispoziții specifice. În temeiul unui contract de muncă, de exemplu;
- În cazul unui ONG, când prelucrarea este efectuată în cadrul activităților sale legitime de către o fundație, asociație, cu condiția ca persoana vizată să fie membră sau să întrețină cu aceasta relații care privesc specificul activității organizației. Așadar, colectarea și prelucrarea de date cu caracter special este permisă dacă organizația se ocupă chiar de domeniul respectiv.
Prelucrarea acestor date necesită multă atenție și grijă întrucât sancțiunile pentru nerespectarea legii sunt pe măsură. Alte excepții:
- Date făcute publice în mod manifest de către persoana vizată;
- Prelucrarea de date este necesară în scopuri de medicină preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizată – doar dacă prelucrarea este făcută de un medic;
- Prelucrarea datelor privind starea de sănătate poate fi efectuată numai de către ori sub supravegherea unui cadru medical (excepție: pericol eminent sau consimțământ expres scris).
ONG-urile trebuie să fie interesate de protecția datelor?
Dacă ONG-ul păstrează sau procesează orice informație cu privire la persoane fizice în viață atunci da, pentru că ONG-ul devine operator de date cu caracter personal și i se aplică legislația în domeniu.
Noua legislație în domeniu
Noua legislație care se va aplica din mai 2018 se numește GDPR (General Data Protection Regulation – Regulamentul General privind Protecția Datelor) – Regulamentul UE 2016/679. El are directă aplicare în legislația internă din data de 25 mai 2018 (adică va înlocui legea 677/2001). Până la data de 25 mai 2018, obligațiile actuale din legea română (inclusiv notificarea către ANSPDCP, care în unele cazuri e obligatorie) rămân valabile.
Regulamentul UE are un domeniu larg de aplicare, adică vizează orice persoană (fizică sau juridică) care prelucrează date cu caracter personal. Noua legislație, care se va aplica din mai 2018, prevede sancțiuni impresionante pentru nereguli:
Pe scurt, Regulamentul va aduce o serie de noutăți pentru România:
- Renunțarea la orice notificare/înregistrare la ANSPDCP. Practic, dispare birocrația;
- Responsabilitate și conformare (compliance). Practic, operatorul de date personale trebuie să aibă toate informațiile cu privire la colectarea și prelucrarea de date personale, iar aceste informații să poată fi prezentate oricând Autorității;
- Se introduce notificarea pentru încălcarea securității; imediat ce constați că serverul ți-a fost atacat și datele personale au fost compromise, trebuie să notifici Autoritatea;
- Responsabilul pentru protecția datelor. O persoană din cadrul organizației poate avea rolul de responsabil cu protecția datelor cu caracter personal și poate ține legătura cu Autoritatea. Pentru ONG-uri nu este obligatoriu, dar este recomandat ca această persoană să existe, dacă organizația colectează date cu caracter special sau o cantitate mare de date;
- Coduri de conduită și certificare.
Organizațiile ar trebui să aibă și să poată prezenta oricând autorităților documente care să demonstreze că datele sunt prelucrate în mod legal, echitabil și transparent, fiind colectate în scopuri determinate, explicite și legitime, adecvate, relevante și limitate. În plus, datele trebuie să fie exacte, actualizate și stocate pe o perioadă determinată în condiții de integralitate și confidențialitate.
De reținut:
- Datele personale sunt orice fel de date care pot duce, direct sau indirect, la identificarea unei persoane fizice;
- Datele personale trebuie colectate și procesate legal, transparent și cu bună-credință. Dateleși doar pentru scopul pentru care au fost colectate. Daca va bazati pe consimtamant, acordul persoanelor trebuie cerut clar și precis, astfel încât persoanele să știe exact pentru ce furnizează acele date și să le și poată actualiza la nevoie;
- Securitatea datelor cu caracter personal poate fi asigurată și prin limitarea numărului de oameni din organizație care au acces la date și prin proceduri ca parolarea bazelor de date. În plus, există obligația legală de includere a unor clauze de confidențialitate în contractele de muncă ale angajaților organizației sau în contractele cu terții care au acces la date;
- Datele personale pot fi colectate și procesate de un operator sau de o persoană împuternicită de operator;
- Datele personale colectate nu trebuie păstrate pe perioadă nedeterminată, ci trebuie șterse atunci când nu mai sunt utile scopului pentru care au fost colectate;
- Colectarea de semnături sau petițiile reprezintă colectare de date cu caracter personal, iar atât persoanele care le colectează cât și cele care le furnizează ar trebui informate clar și transparent cu privire la scopul colectării datelor;
- Datele persoanelor juridice nu sunt date cu caracter personal, însă datele administratorilor organizației sunt;
- Prelucrarea de date cu caracter special este interzisă, dar există o serie de excepții;
- Nu există noțiunea de înregistrare la ANSPDCP, dar cei care colectează și prelucrează date din categoria de date speciale trebuie să trimită o notificare către Autoritate prin care să anunțe începerea acestei activități pentru anumite tipuri de date cu caracter special dacă aceasta activitate are loc pina în 25 mai 2018;
- Din data de 25 mai 2018, va intra în vigoare un Regulament UE cu privire la colectarea și prelucrarea de date persoanale care va înlocui actuala lege, dar până atunci legea din România rămâne în vigoare.
Alte întrebări esențiale pentru a stabili următorii pași: Ce informație personală este păstrată? Cum se utilizează informația și pentru ce? și câteva întrebări utile pentru a clarifica raportul pe care o organizație îl are cu colectarea și prelucrarea de date personale: în articolul de aici. Mai multe informații despre GDPR, pe site-ul Asociației pentru Tehnologie și Internet, aici: http://apti.ro/gdpr-informatii-esentiale-1 și http://apti.ro/gdpr-informatii-esentiale-2.
Urmărește înregistrarea webinarului pe canalul Techsoup de Youtube AICI.
Prezentare completă:
Sursa: Protecția datelor personale în cadrul unui ONG - de la Asociatia Techsoup Romania