Protecţia datelor cu caracter personal
Responsabil cu protecția datelor cu caracter personal
comisar șef de poliție Roman Mihaela
email : mihaela.roman@ar.politiaromana.ro
tel. : 0257207100
Cadrul legal privind protecția datelor cu caracter personal adoptat la nivel european și aplicabil statelor membre UE
La data de 4 mai 2016, a fost publicat în Jurnalul Oficial al Uniunii Europene pachetul legislativ care va reglementa protecția datelor cu caracter personal, respectiv:
- Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor – RGPD);
- Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului.
Regulamentul (UE) 2016/679 a intrat în vigoare la 25 mai 2016 și este aplicabil din 25 mai 2018. Dispozițiile Regulamentului sunt aplicabile direct pe teritoriile statelor membre UE, fără ca, în principiu, să mai fie necesare măsuri de transpunere ori implementare. Totuși, Regulamentul de referință prevede faptul că în anumite situații sunt necesare dispoziții de implementare la nivel național sau statele membre sunt abilitate să adopte anumite dispoziții legale.
Directiva (UE) 2016/680 a intrat în vigoare la 5 mai 2016, dată de la care a început să curgă termenul de doi ani de transpunere în legislația națională.
În ceea ce privește domeniile de aplicare ale celor două instrumente juridice, precizăm faptul că acestea sunt complementare, Regulamentul având aplicabilitate generală cu excepția:
- activităților care nu intră sub incidența dreptului Uniunii;
- activităţilor desfăşurate de statele membre care intră sub incidenţa capitolului 2 al titlului V din Tratatul UE
- activităților desfășurate de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice;
- activităților desfășurate de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora (domeniu care este reglementat de Directiva (UE) 2016/680).
Ce este Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal și care sunt sarcinile sale?
Potrivit legii de înfiinţare, organizare şi funcţionare (Legea nr. 102/2005), Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.) este autoritatea publică cu personalitate juridică, autonomă şi independentă faţă de orice altă autoritate a administrației publice, ca şi faţă de orice persoană fizică sau juridică din domeniul privat.
Autoritatea are ca principal obiectiv apărarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special a dreptului la viaţă intimă, familială şi privată în legătură cu prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date. Acest drept are un conţinut complex, de mare importanţă pentru libertatea şi personalitatea cetăţeanului, iar în ţara noastră este garantat prin Constituţie (art. 26).
Legalitatea prelucrărilor de date cu caracter personal care cad sub incidenţa Regulamentului și a legislației de transpunere a Directivei este monitorizată şi controlată de Autoritatea de supraveghere.
În acest scop autoritatea de supraveghere are următoarele sarcini (art. 57 din Regulament):
a) monitorizează şi asigură aplicarea regulamentului;
b) promovează acţiuni de sensibilizare şi de înţelegere în rândul publicului a riscurilor, normelor, garanţiilor şi drepturilor în materie de prelucrare. Se acordă atenţie specială activităţilor care se adresează în mod specific copiilor;
c) oferă consiliere, în conformitate cu dreptul intern, parlamentului naţional, guvernului şi altor instituţii şi organisme cu privire la măsurile legislative şi administrative referitoare la protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea;
d) promovează acţiuni de sensibilizare a operatorilor şi a persoanelor împuternicite de aceştia cu privire la obligaţiile care le revin în temeiul regulamentului;
e) la cerere, furnizează informaţii oricărei persoane vizate în legătură cu exercitarea drepturilor sale în conformitate cu regulamentul şi, dacă este cazul, cooperează cu autorităţile de supraveghere din alte state membre în acest scop;
f) tratează plângerile depuse de o persoană vizată, un organism, o organizaţie sau o asociaţie în conformitate cu articolul 80 din RGPD şi investighează într-o măsură adecvată obiectul plângerii şi informează reclamantul cu privire la evoluţia şi rezultatul investigaţiei, într-un termen rezonabil, în special dacă este necesară efectuarea unei investigaţii mai amănunţite sau coordonarea cu o altă autoritate de supraveghere;
g) cooperează, inclusiv prin schimb de informaţii, cu alte autorităţi de supraveghere şi îşi oferă asistenţă reciprocă pentru a asigura coerenţa aplicării şi respectării regulamentului;
h) desfăşoară investigaţii privind aplicarea regulamentului, inclusiv pe baza unor informaţii primite de la o altă autoritate de supraveghere sau de la o altă autoritate publică;
i) monitorizează evoluţiile relevante, în măsura în care acestea au impact asupra protecţiei datelor cu caracter personal, în special evoluţia tehnologiilor informaţiei şi comunicaţiilor şi a practicilor comerciale;
j) adoptă clauze contractuale standard menţionate la articolul 28 alineatul (8) şi la articolul 46 alineatul (2) litera (d) din regulament;
k) întocmeşte şi menţine la zi o listă în legătură cu cerinţa privind evaluarea impactului asupra protecţiei datelor, în conformitate cu articolul 35 alineatul (4) din regulament;
l) oferă consiliere cu privire la operaţiunile de prelucrare menţionate la articolul 36 alineatul (2) din regulament;
m) încurajează elaborarea de coduri de conduită în conformitate cu articolul 40 alineatul (1), îşi dă avizul cu privire la acestea şi le aprobă pe cele care oferă suficiente garanţii, în conformitate cu articolul 40 alineatul (5) din regulament;
n) încurajează stabilirea unor mecanisme de certificare, precum şi a unor sigilii şi mărci în domeniul protecţiei datelor în conformitate cu articolul 42 alineatul (1) şi aprobă criteriile de certificare în conformitate cu articolul 42 alineatul (5) din regulament;
o) acolo unde este cazul, efectuează o revizuire periodică a certificărilor acordate, în conformitate cu articolul 42 alineatul (7) din regulament;
p) elaborează şi publică criteriile de acreditare a unui organism de monitorizare a codurilor de conduită în conformitate cu articolul 41 şi a unui organism de certificare în conformitate cu articolul 43 din regulament;
q) coordonează procedura de acreditare a unui organism de monitorizare a codurilor de conduită în conformitate cu articolul 41 şi a unui organism de certificare în conformitate cu articolul 43 din regulament;
r) autorizează clauzele şi dispoziţiile contractuale menţionate la articolul 46 alineatul (3) din regulament;
s) aprobă regulile corporatiste obligatorii în conformitate cu articolul 47 din regulament;
t) contribuie la activităţile comitetului;
u) menţine la zi evidenţe interne privind încălcările prezentului regulament şi măsurile luate, în special avertismentele emise şi sancţiunile impuse în conformitate cu articolul 58 alineatul (2) din regulament;
v) îndeplineşte orice alte sarcini legate de protecţia datelor cu caracter personal.
A.N.S.P.D.C.P. facilitează depunerea plângerilor menţionate la litera (f) prin măsuri precum punerea la dispoziţie a unui formular de depunere a plângerii care să poată fi completat inclusiv în format electronic, fără a exclude alte mijloace de comunicare.
Îndeplinirea sarcinilor autorităţii de supraveghere este gratuită pentru persoana vizată. În cazul în care cererile sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, autoritatea de supraveghere poate percepe o taxă rezonabilă, bazată pe costurile administrative, sau poate refuza să le trateze.
Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care îşi are reşedinţa obişnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă regulamentul.
Pentru a depune o plângere la A.N.S.P.D.C.P. click aici .
Pentru alte detalii, coordonatele de contact ale Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal sunt:
Sediul în B-dul G-ral Gheorghe Magheru 28-30, sector 1, cod poștal 010336, București
Telefon: 031.805.92.11, 031.805.92.12
Fax: 031.805.96.02
Internet: www.dataprotection.ro
E-mail: anspdcp@dataprotection.ro
În ceea ce priveşte instituţia Poliţiei Române, conform Legii nr. 218/2002, exercită atribuţii privind apărarea drepturilor şi libertăţilor fundamentale ale persoanei, a proprietăţii private şi publice, prevenirea şi descoperirea infracţiunilor, respectarea ordinii şi liniştii publice, în condiţiile legii.
Dispoziţiile referitoare la activitatea poliţiei, cuprinse secvențial în alte legi de organizare și funcționare a instituţiilor statului, sunt completate cu legi speciale ce vizează combaterea unui anumit gen de infracționalitate.
Conform prevederilor legale în vigoare, Poliția Română are obligaţia de a respecta caracterul privat şi securitatea prelucrării datelor cu caracter personal ale fiecărei persoane.
De asemenea, are obligația de a administra, în condiţii de siguranţă, bazele de date anume create pentru îndeplinirea atribuţiilor legale ce-i revin şi de a asigura persoanelor înregistrate, în calitate de persoane vizate, drepturile anume prevăzute în cuprinsul Regulamentul (UE) 2016/679.
Poliția Română are în structura sa unități centrale, unități teritoriale și unități de învățământ care prelucrează date cu caracter personal.
Astfel, în cadrul Poliţiei Române, Inspectoratul de Poliţie Judeţean Arad este operator de date cu caracter personal. La nivelul unităţii, domeniul protecției persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date este gestionat de structura responsabilă cu protecţia datelor personale, din care fac parte:
Ø comisar şef de poliţie Nicolae BĂTRÎN, şeful structurii, tel: 57/20003, 0758882003, fax 0257/253151;
Ø comisar şef de poliţie Mihaela ROMAN, responsabil protecţia datelor personale, tel: 0257/253151, fax: 0257/253151, e-mail: mihaela.roman@ar.politiaromana.ro;
Ø subcomisar de poliţie Maria MUNTEAN, responsabil I.T., tel: 57/20021, 0758882002
.
Prelucrarea datelor cu caracter personal de către IPJ Arad
Scopurile în care instituţia nostră prelucrează date cu caracter personal sunt următoarele:
- prevenirea, depistarea, investigarea, urmărirea penală a infracţiunilor/ executării pedepselor;
- protejarea împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora, precum și menținerea ordinii publice;
- verificarea autenticităţii datelor furnizate de persoana vizată sau în legătură cu persona vizată;
- introducerea şi actualizarea datelor cu privire la persoanele verificate/cercetate penal pentru săvârşirea unor contravenţii/infracţiuni ca Evidenta centralizata a tuturor evenimentelor produse pe raza de competenta si a actiunilor de interes operativ;
- monitorizarea și securitatea persoanelor, spațiilor și/sau bunurilor private/publice;
- gestionarea resurselor umane la niveul I.P.J. Arad;
- gestionarea resurselor economico-financiare și administrative la nivelul I.P.J. Arad;
- emitere de autorizații și licențe conform competențelor Poliției Române;
- servicii de consiliere juridică și reprezentare în justiție, conform competențelor Poliței Române;
- prelucrare de imagini video: camere de supraveghere pentru acces în unităţi, body camera/camere video/radare/alte dispozitive de înregistrare video şi audio – personalul care desfășoară activități de poliţie rutieră, ordine publică și investigații, camere portabile, camere de anchetă pentru prevenirea, depistarea, investigarea, verificarea, cercetarea, constatarea, combaterea, reprimarea și urmărirea penală a infracţiunilor sau al executării pedepselor, precum și pentru prevenirea, verificarea, cercetarea, constatarea contravenților;
- desfășurarea activităților psihologice la nivelul I.P.J. Arad
Categorii de date cu caracter personal prelucrate la nivelul I.P.J. Arad:
- Numele și prenumele
- Numele și prenumele membrilor de familie
- Sexul
- Porecla/pseudonimul
- Data și locul nașterii
- Cetățenia
- Semnătura
- Datele din actele de stare civilă
- Datele din permisiul de conducere / certificatul de înmatriculare
- Numărul dosarului de pensie
- Numărul asigurării sociale / asigurării de sănătate
- Caracteristici fizice / antropometrice
- Telefon / fax
- Adresă domiciliu / reședință
- Profesie
- Loc de muncă
- Formare profesională – diplome – studii
- Situație familială
- Situație militară
- Situație economică și financiară
- Date privind bunurile deținute
- Date bancare
- Obișnuințe, preferințe, comportament
- Imagine
- Voce
- Date de geolocalizare / date de trafic
Categorii speciale de date cu caracter personal prelucrate:
- CNP – codul numeric personal
- Seria și numărul actului de identitate / pașaportului
- Date privind starea de sănătate
- Date genetice
- Date biometrice
- Date privind săvârșirea de infracțiuni
- Date privind condamnări penale / măsuri de siguranță
- Date privind sancțiuni disciplinare / administrative
- Date privind sancțiuni contravenționale
- Date privind cazierul judiciar
Categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale:
- Persoana vizată
- Reprezentanții legali ai persoanei vizate
- Personal M.A.I.
- Autorități publice sau locale de aplicare a legii
- Servicii sociale și de sănătate
- Instituții de învățământ și educație
- Societăți bancare
- Birouri de credit
- Agenții de colectare a debitelor / recuperare a creanțelor
- Societăți de asigurare și reasigurare
- Organizații profesionale
- Asociații și fundații
- Mass-media
- Angajatorul / potențialul angajator al persoanei vizate
- destinatarii din țări terțe sau organizații internaționale: statele aparținând spațiului Schengen - SIS, INTEROPL, EUROPOL etc – strict prin IGPR – CCPI și / sau punctele de contact.
Perioada de stocare a datelor cu caracter personal
Ca regulă generală datele sunt stocate doar pentru perioada necesară atingerii scopului pentru care sunt colectate, dar pot fi stabilite și termene maxime de păstrare, prin acte normative, regulamente și dispoziții interioare, cu avizul A.N.S.P.D.C.P.
Drepturile persoanelor vizate
Ca o garanţie a realizării scopului declarat al Regulamentului, drepturile ce revin persoanei vizate sunt:
- dreptul la informare (art. 13, 14, 34)
- dreptul de acces al persoanei vizate (art. 15)
- dreptul la rectificare (art. 16)
- dreptul la ștergerea datelor - ”dreptul de a fi uitat” (art. 17)
- dreptul la restricționarea prelucrării (art. 18)
- dreptul la notificare privind rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrării (art. 19)
- dreptul la portabilitatea datelor (art. 20)
- dreptul la opoziţie (art. 21)
- dreptul de a nu face obiectul unei decizii individuale automatizate, inclusiv crearea de profiluri (art. 22)
- dreptul de a depune o plângere la o autoritate de supraveghere (art. 77)
- dreptul de a se adresa justiţiei (art. 79)
PRELUCRAREA DATELOR PERSONALE DE CĂTRE IPJ ARAD, PRIN UTILIZAREA ÎNREGISTRATOARELOR AUDIO-VIDEO PORTABILE DE TIP BODY WORN CAMERA
- Legea nr. 218/2002, privind organizarea şi funcţionarea Poliţiei Române, republicată; - Legea nr. 363/2018, privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date; - Regulamentul (UE) nr. 679/2016 (RGPD), privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE.
Poliţia Română, conform Legii nr. 218/2002, exercită atribuţii privind apărarea drepturilor şi libertăților fundamentale ale persoanei, a proprietății private şi publice, prevenirea şi descoperirea infracţiunilor, respectarea ordinii şi liniștii publice, în condiţiile legii. Conform prevederilor legale în vigoare, Poliția Română are obligaţia de a respecta caracterul privat şi securitatea prelucrării datelor cu caracter personal ale fiecărei persoane. De asemenea, are obligația de a administra, în condiţii de siguranţă, datele colectate de înregistratoarele audio-video portabile de tip Body Worn Camera pentru îndeplinirea atribuţiilor legale ce-i revin şi de a asigura persoanelor înregistrate, în calitate de persoane vizate, drepturile anume prevăzute în cuprinsul Legii nr. 363/2018, respectiv Regulamentului (UE) 2016/679.
Dispoziția inspectorului șef al Inspectoratului de Poliție Județean Arad nr 1555 din 06.11.2020, privind stabilirea regulilor de utilizare a înregistratoarelor audio-video portabile de tip Body Worn Camera.
Date cu caracter personal: orice informaţii referitoare la o persoană fizică identificată sau identificabilă (”persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau la mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
IPJ Arad prelucrează date cu caracter personal, prin utilizarea înregistratoarelor audio-video portabile de tip Body Worn Camera, în spațiul public, fără consimțământul persoanei vizate, în scopul îndeplinirii atribuţiilor de serviciu, în condiţiile legii. Înregistratoarele audio-video portabile de tip Body Worn Camera se utilizează și în situația în care intervenția sau acțiunea polițistului se realizează într-o locuinţă sau într-un spaţiu delimitat ce aparţine ori este folosit de o persoană fizică sau juridică, fără consimţământul acesteia sau al reprezentatului legal, în condițiile art. 52 alin. (2) din Legea nr. 218/2002, ori pentru executarea unui mandat.
Înregistratoarele audio-video portabile de tip body worn camera, sunt utilizate de către polițiștii în exercitarea atribuțiilor de serviciu referitoare la activităţile de prevenire, depistare, investigare sau urmărire penală a infracţiunilor sau executării pedepselor, prevenire şi combatere a altor fapte ilegale, precum şi de menținere a ordinii şi siguranţei publice. Utilizarea înregistratoarelor vizează următoarele categorii de intervenții și acțiuni: a) legitimarea persoanelor; b) conducerea persoanelor la sediul poliției; c) utilizarea forței și a mijloacelor de constrângere şi de protecţie din dotare; d) punerea în executare a mandatelor emise de organele judiciare competente, potrivit legii;
e) efectuarea controlului corporal al persoanei legitimate şi, după caz, al bagajelor sau vehiculului utilizat de aceasta; f) oprirea și controlul vehiculelor și ocupanților acestuia; g) constatarea infracțiunilor și contravențiilor, precum și aplicarea măsurilor legale corespunzătoare; h) înlăturarea pericolelor care amenință ordinea publică sau siguranța persoanelor; i) intervenții la apelurile de urgență transmise prin S.N.U.A.U. 112 sau orice alt mijloc electronic de comunicare; j) asigurarea primelor măsuri la locul producerii unui eveniment sau al săvârșirii unei infracțiuni.
Înregistrările audio şi video pot fi comunicate în temeiul unei dispoziții legale exprese, circumscrise îndeplinirii funcțiilor judiciare cu care autoritatea publică solicitantă a fost învestită. Astfel, înregistrările pot fi comunicate către orice autoritate publică sau orice alt organism sau entitate învestită cu exercițiul autorităţii de stat, competentă în materie de prevenire, descoperire, cercetare, urmărire penală şi combatere a infracţiunilor sau de executare a pedepselor, inclusiv în materia menținerii şi asigurării ordinii şi siguranţei publice. Categorii de destinatari ai datelor personale:
Înregistrările audio şi video se păstrează pe o perioadă de 6 luni de la data înregistrării. Înregistrările audio şi video care fac obiectul unor proceduri judiciare se pot păstra, după caz, și după această perioadă, urmând regimul probelor. Cel puțin o dată la doi ani, la nivelul unității care prelucrează datele se verifică necesitatea continuării stocării acestor date. La împlinirea termenului de 6 luni sau, după caz, după atingerea scopului pentru care au fost păstrate mai mult de 6 luni, înregistrările audio şi video se distrug, prin proceduri ireversibile.
Înregistrările audio și video pot cuprinde date personal care se referă la:
DREPTURILE PERSOANELOR VIZATE Ca o garanție a realizării scopului declarat al Legii nr. 363/2018/Regulamentului UE nr. 679/2016, drepturile ce revin persoanei vizate sunt:
Drepturile cuprinse în Legea nr. 363/2018 sunt redate mai jos: Dreptul la informare (art. 12, 13, 14 din Legea nr. 363/2018) ART. 12 (1) Operatorii sunt obligați să instituie măsurile organizatorice, tehnice şi de procedură pentru a furniza persoanei vizate informaţiile necesare potrivit prevederilor art. 13 şi art. 16-21 şi pentru a asigura transmiterea unui răspuns în legătură cu prelucrările desfăşurate în condiţiile prevăzute la art. 11 sau în legătură cu notificarea persoanelor vizate în cazul apariției unui incident de securitate, în condiţiile prevederilor art. 39. (2) Răspunsul trebuie formulat într-o formă concisă, inteligibilă şi ușor accesibilă, utilizând un limbaj clar şi simplu. (3) Comunicarea informaţiilor în condiţiile prevăzute la alin. (2) se realizează în același format în care cererea a fost formulată, cu următoarele excepții: a) identitatea solicitantului nu poate fi stabilită cu exactitate, în condiţiile prevăzute la alin. (10); b) formatul ales pentru transmiterea cererii presupune riscuri de prelucrare neautorizată sau ilegală ori de pierdere, distrugere sau deteriorare accidentală, prin raportare la cantitatea de date cu caracter personal, gradul de sensibilitate al informaţiei, în special în situaţia categoriilor de date prevăzute la art. 10 ori a datelor referitoare la minori. (4) Operatorul este obligat să instituie măsuri organizatorice şi de procedură în scopul facilitării exercitării drepturilor persoanei vizate în temeiul prevederilor art. 11 şi art. 16-21. (5) Operatorul are obligaţia de a informa persoana vizată, în scris, cu privire la modul de soluţionare a cererilor formulate în temeiul prezentei legi. Răspunsul se transmite în mod gratuit, în cel mult 60 de zile calendaristice. a) să perceapă o taxă rezonabilă care să țină cont de costurile administrative pentru transmiterea sau comunicarea informaţiilor sau pentru luarea măsurilor solicitate; sau b) să refuze să dea curs cererii. (7) Cuantumul taxei prevăzute la alin. (6) lit. a) va fi stabilit, respectiv actualizat prin act administrativ emis la nivelul operatorului. (8) Caracterul nefondat sau excesiv al cererii se stabileşte de la caz la caz, în funcţie de următoarele criterii: b) caracterul repetitiv al cererii; c) existenţa unor prelucrări suplimentare de date cu caracter personal, prin raportare la cele desfăşurate la momentul formulării cererii precedente. (9) Caracterul nefondat sau excesiv al cererii, în condiţiile prevăzute la alin. (6), trebuie demonstrat de operator. (11) Informaţiile suplimentare colectate potrivit prevederilor alin. (10) nu pot fi prelucrate în niciun alt scop decât pentru confirmarea identităţii şi se distrug în termen de 3 ani de la colectare. Operatorul poate stabili termene de păstrare mai mici. ART. 13 Operatorii sunt obligaţi să instituie măsuri organizatorice, tehnice şi de procedură în scopul punerii la dispoziţia persoanelor interesate a următoarelor categorii de informaţii: a) identitatea şi datele de contact ale operatorului; b) datele de contact ale responsabilului cu protecţia datelor, după caz; c) scopurile în care sunt prelucrate datele cu caracter personal; d) dreptul de a depune o plângere la autoritatea de supraveghere şi datele de contact ale acesteia; e) dreptul de a solicita operatorului acces la datele cu caracter personal referitoare la persoana vizată ori rectificarea sau ştergerea acestor date sau restricţionarea prelucrării lor. ART. 14 La cerere, atunci când legea nu prevede altfel, operatorul comunică persoanei vizate informaţiile prevăzute la art. 13, precum şi următoarele informaţii suplimentare: a) temeiul juridic al prelucrării; b) perioada pentru care sunt stocate datele cu caracter personal sau, în cazul în care nu este posibil, criteriile utilizate pentru a stabili perioada respectivă; c) dacă este cazul, categoriile de destinatari ai datelor cu caracter personal, inclusiv din state terţe sau organizaţii internaţionale; d) orice alte informaţii suplimentare, în funcţie de specificul activităţilor de prelucrare, în special atunci când datele cu caracter personal sunt colectate fără ştirea persoanei vizate.
Dreptul de acces al persoanei vizate (art. 16 din Legea nr. 363/2018) ART. 16 (1) Persoana vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit, confirmarea faptului că datele cu caracter personal care o privesc sunt sau nu sunt prelucrate de acesta. (2) Operatorul este obligat, în situaţia în care prelucrează date cu caracter personal care privesc persoana vizată, să comunice acesteia, în termen de cel mult 60 de zile calendaristice de la înregistrarea solicitării, în condiţiile prevăzute la art. 12 alin. (2) şi (3), pe lângă confirmare, inclusiv datele cu caracter personal care fac obiectul prelucrării, precum şi următoarele informaţii: a) scopurile şi temeiul juridic al prelucrării; b) categoriile de date cu caracter personal vizate; c) destinatarii sau categoriile de destinatari cărora le-au fost divulgate datele cu caracter personal, în special destinatarii din state terţe sau organizaţii internaţionale; d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; e) dreptul de a solicita de la operator rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată; f) dreptul de a depune o plângere la autoritatea de supraveghere şi datele de contact ale acesteia; g) comunicarea datelor cu caracter personal care sunt în curs de prelucrare şi a oricărei informaţii disponibile cu privire la originea datelor cu caracter personal.
Dreptul la ștergerea datelor - ”dreptul de a fi uitat” (art. 18 din Legea nr. 363/2018) ART. 18 (3) Operatorul are obligaţia de a şterge, prin proceduri ireversibile, din oficiu sau la cererea persoanei vizate, datele cu caracter personal a căror prelucrare nu este conformă dispoziţiilor art. 1 alin. (2), art. 5 sau 10 ori care trebuie şterse în virtutea îndeplinirii unei obligaţii prevăzute expres de lege. (4) Operatorul are obligaţia de a restricţiona prelucrarea datelor cu caracter personal, şi nu de a le şterge, în cazul în care este incidentă una dintre următoarele situaţii: a) exactitatea datelor cu caracter personal este contestată de persoana vizată, iar exactitatea sau inexactitatea datelor respective nu poate fi stabilită cu certitudine; b) datele cu caracter personal trebuie să fie păstrate ca mijloace de probă. (5) Operatorul este obligat să comunice persoanei vizate, în condiţiile art. 12 alin. (2)-(4), în termen de cel mult 60 de zile calendaristice de la înregistrarea solicitării, confirmarea sau, după caz, infirmarea soluţionării cererilor formulate potrivit prevederilor alin. (1), (2) sau (3), motivele pe care se întemeiază măsura infirmării, precum şi faptul că se poate adresa cu plângere la autoritatea de supraveghere sau poate ataca în instanţă decizia operatorului. (6) Termenul prevăzut la alin. (5) poate fi prelungit cu până la 60 de zile calendaristice, în măsura în care soluţionarea cererilor necesită proceduri complexe, în special consultarea unor autorităţi competente din străinătate. Persoana vizată este informată cu privire la prelungirea termenului înainte de expirarea termenului iniţial. (7) Ridicarea restricţionării prelucrării instituite potrivit prevederilor alin. (4) lit. a) se realizează de către operator, concomitent cu notificarea persoanei vizate cu privire la măsura adoptată. (8) Dispoziţiile alin. (5) nu se aplică dacă, ţinând seama de drepturile fundamentale şi interesele legitime ale persoanei fizice, o astfel de măsură este necesară şi proporţională într-o societate democratică pentru: a) a evita obstrucţionarea bunei desfăşurări a procesului penal; b) a nu prejudicia prevenirea, descoperirea, cercetarea, urmărirea penală şi combaterea infracţiunilor sau executarea pedepselor; c) a proteja ordinea şi siguranţa publică; d) a proteja securitatea naţională; e) a proteja drepturile şi libertăţile celorlalţi.
Dreptul de a depune o plângere la o autoritate de supraveghere (art. 57 din Legea nr. 363/2018) ART. 57 (1) În cazul în care persoana vizată consideră că prelucrarea datelor cu caracter personal care o vizează încalcă dispoziţiile prezentei legi, are dreptul de a se adresa cu plângere autorităţii de supraveghere. (2) Dispoziţiile Regulamentului general privind protecţia datelor sunt aplicabile în mod corespunzător. ART. 58 Fără a se aduce atingere posibilităţii de a se adresa cu plângere autorităţii de supraveghere, persoanele vizate au dreptul de a se adresa instanţei pentru apărarea oricăror drepturi garantate de prezenta lege, care le-au fost încălcate.
Pentru exercitarea drepturilor referitoare la prelucrări de date cu caracter personal efectuate de către IPJ Arad prin utilizarea înregistratoarelor audio-video portabile de tip body worn camera, se poate transmite/depune o cerere operatorului din care face parte poliţistul care a efectuat înregistrarea. Operatorul de date cu caracter personal este obligat să comunice persoanei vizate informaţii privind acțiunile întreprinse în urma unei cereri depuse în temeiul articolelor 16 și 18 din Legea nr. 363/2018, respectiv art. 15-22 din RGPD, fără întârzieri nejustificate şi în termenele prevăzute de aceste acte normative, respectiv: - în cel mult 60 de zile calendaristice – conform Legii nr. 363/2018; - în cel mult o lună de la primirea cererii (această perioadă poate fi prelungită cu două luni atunci când este necesar, ţinându-se seama de complexitatea şi numărul cererilor; operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând şi motivele întârzierii) – conform RGPD. Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul de date informează persoana vizată, fără întârziere şi în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri şi la posibilitatea de a depune o plângere în fața unei autorități de supraveghere şi de a introduce o cale de atac judiciară (conform RGPD). În cazul în care persoana vizată introduce o cerere în format electronic, informaţiile sunt furnizate în format electronic acolo unde este posibil, cu excepţia cazului în care persoana vizată solicită un alt format. Orice comunicare şi orice măsuri luate în temeiul articolelor 13, 16 și 18 din Legea nr. 363/2018, respectiv 15-22 şi 34 sunt oferite gratuit. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate: - să perceapă o taxă rezonabilă ținând cont de costurile administrative pentru furnizarea informaţiilor sau a comunicării sau pentru luarea măsurilor solicitate sau să refuze să dea curs cererii. În cazul în care are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea, operatorul poate solicita furnizarea de informaţii suplimentare persoanei vizate (legitimarea - atunci când cererea se depune personal sau transmiterea unei copii după documentul de identitate – atunci când cererea se transmite prin poștă sau electronic). Verificarea identităţii solicitantului este necesară în scopul: - obținerii dovezii rezonabile a identităţii solicitantului/obținerii dovezii certe a relației dintre solicitant şi persoana vizată, acolo unde cererea se face în numele persoanei vizate; - protejării datelor cu caracter personal împotriva unui acces neautorizat sau ilegal; - asigurării persoanei vizate că operatorul ia toate măsurile tehnice şi organizatorice pentru a asigura securitatea şi confidenţialitatea datelor cu caracter personal Informaţiile suplimentare colectate nu pot fi prelucrate în niciun alt scop decât pentru confirmarea identităţii şi se distrug în termen de 3 ani de la colectare. Operatorul poate stabili termene de păstrare mai mici.
Excepțiile privind exercitarea drepturilor sunt prevăzute atât de Legea nr. 363/2018, cât și de RGPD. Excepțiile prevăzute de Legea nr. 363/2018 sunt: - amânarea, restricționarea sau omiterea furnizării de informaţii la cererea persoanei vizate (Art. 15); - limitarea dreptului de acces (Art. 17).
Măsura amânării, restricționării sau omiterii furnizării de informaţii persoanei
ART. 15 (1) Operatorul poate dispune, după caz, măsura amânării, restricţionării sau omiterii furnizării de informaţii persoanei vizate în condiţiile prevăzute la art. 14 numai dacă, ţinând seama de drepturile fundamentale şi interesele legitime ale persoanei vizate, o astfel de măsură este necesară şi proporţională într-o societate democratică pentru: a) evitarea obstrucţionării bunei desfăşurări a procesului penal; b) evitarea prejudicierii prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau a executării pedepselor; c) protejarea ordinii şi siguranţei publice; d) protejarea securităţii naţionale; e) protejarea drepturilor şi libertăţilor celorlalţi. (2) Măsura amânării furnizării de informaţii se dispune pe o perioadă ce nu poate depăşi un an, în situaţia în care incidenţa condiţiilor care fac imposibilă comunicarea este limitată în timp. Măsura amânării poate fi prelungită în interiorul termenului de un an. La împlinirea termenului pentru care măsura amânării furnizării de informaţii a fost dispusă, operatorul transmite informaţiile prevăzute de lege. (3) Persoana vizată este informată în scris, în cel mult 60 de zile calendaristice de la înregistrarea solicitării, cu privire la măsura amânării furnizării de informaţii şi motivul dispunerii acesteia, cu privire la termenul pentru care a fost dispusă această măsură, precum şi cu privire la faptul că se poate adresa autorităţii de supraveghere cu plângere împotriva deciziei operatorului sau poate ataca în instanţă decizia operatorului. (5) Măsura omisiunii furnizării de informaţii se dispune în situaţia în care chiar şi simpla informare a persoanei vizate cu privire la una sau mai multe operaţiuni de prelucrare este de natură să afecteze una dintre activităţile prevăzute la alin. (1) lit. a)-d). (6) Omisiunea furnizării de informaţii poate să fie parţială sau totală. În situaţia omisiunii parţiale, persoana vizată este informată, în termen de cel mult 60 de zile calendaristice de la înregistrarea solicitării, cu privire la categoriile de prelucrări care nu sunt de natură a afecta activităţile prevăzute la alin. (1). În situaţia omisiunii totale, operatorul transmite persoanei vizate un răspuns. Forma şi conţinutul răspunsului sunt stabilite de fiecare operator în parte. (7) Operatorul este obligat să ţină evidenţa situaţiilor în care a fost dispusă măsura omiterii furnizării de informaţii şi să documenteze adoptarea acestei măsuri. (8) În luna ianuarie a fiecărui an, operatorul are obligaţia de a informa autoritatea de supraveghere cu privire la situaţia statistică a măsurilor de omisiune a furnizării de informaţii adoptate în anul precedent, defalcat pentru fiecare dintre activităţile prevăzute la alin. (1) lit. a)-d).
Limitarea dreptului de acces
ART. 17 (1) Dispoziţiile art. 16 nu se aplică dacă, ţinând seama de drepturile fundamentale şi interesele legitime ale persoanei fizice, o astfel de măsură este necesară şi proporţională într-o societate democratică pentru: a) evitarea obstrucţionării bunei desfăşurări a procesului penal; b) evitarea prejudicierii prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau a executării pedepselor; c) protejarea ordinii şi siguranţei publice; d) protejarea securităţii naţionale; e) protejarea drepturilor şi libertăţilor celorlalţi. (2) Măsura limitării dreptului de acces poate să fie totală sau parţială şi se dispune cu privire la una sau mai multe operaţiuni de prelucrare în situaţia cărora dezvăluirea este de natură să afecteze una dintre activităţile prevăzute la alin. (1). (3) În situaţia prevăzută la alin. (2), persoana vizată poate fi informată cu privire la categoriile de prelucrări care nu sunt de natură a afecta activităţile prevăzute la alin. (1), motivul adoptării acestei măsuri, precum şi cu privire la posibilitatea de a depune o plângere la autoritatea de supraveghere sau de a se adresa instanţei. (4) Prin excepţie de la dispoziţiile alin. (3), motivul adoptării măsurii de limitare a dreptului de acces nu se comunică în situaţia în care dezvăluirea acestuia este de natură să afecteze una dintre activităţile prevăzute la alin. (1) lit. a)-d). (5) Operatorul este obligat să ţină evidenţa cazurilor în care a fost dispusă măsura de limitare a dreptului de acces şi să documenteze adoptarea acestei măsuri. (6) În luna ianuarie a fiecărui an, operatorul are obligaţia de a informa autoritatea de supraveghere cu privire la situaţia statistică a cazurilor în care a fost adoptată măsura de limitare a dreptului de acces în anul precedent, defalcat pentru fiecare dintre activităţile prevăzute la alin. (1).
Potrivit Legii nr. 102/2005, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.) are ca principal obiectiv apărarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special a dreptului la viaţă intimă, familială şi privată în legătură cu prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date. Legalitatea prelucrărilor de date cu caracter personal care cad sub incidenţa Regulamentului și a Legii nr. 363/2018 este monitorizată şi controlată de Autoritatea de supraveghere. Coordonatele de contact ale A.N.S.P.D.C.P. sunt : Sediul în B-dul G-ral Gheorghe Magheru 28-30, sector 1, cod poștal 010336, București Telefon: 031.805.92.11, 031.805.92.12; Fax: 031.805.96.02; Internet: www.dataprotection.ro E-mail: anspdcp@dataprotection.ro
ART. 80 din RGPD 1) Persoana vizată are dreptul de a mandata un organism, o organizaţie sau o asociaţie fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul intern, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecţiei drepturilor şi libertăţilor persoanelor vizate în ceea ce priveşte protecţia datelor lor cu caracter personal, să depună plângerea în numele său, să exercite în numele său drepturile menţionate la articolele 77, 78 şi 79, precum şi să exercite dreptul de a primi despăgubiri menţionat la articolul 82 în numele persoanei vizate, dacă acest lucru este prevăzut în dreptul intern. (2) Statele membre pot prevedea că orice organism, organizaţie sau asociaţie menţionată la alineatul (1) din prezentul articol , independent de mandatul unei persoanei vizate, are dreptul de a depune în statul membru respectiv o plângere la autoritatea de supraveghere care este competentă în temeiul articolului 77 şi de a exercita drepturile menţionate la articolele 78 şi 79, în cazul în care consideră că drepturile unei persoane vizate în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării.
ART. 59 din Legea nr. 363/2018 În scopul apărării drepturilor sale, persoana vizată are dreptul de a mandata un organism, o organizaţie sau o asociaţie, care nu are scop lucrativ, constituită în condiţiile legii, ale cărei obiective statutare sunt de interes public şi care este activă în domeniul protecţiei drepturilor şi libertăţilor persoanelor vizate în ceea ce priveşte protecţia datelor cu caracter personal, să depună plângerea în numele său şi să exercite în numele său drepturile prevăzute de prezenta lege.
|