Dorim să adăugăm printre domeniile de activitate ale unei societăţii comerciale pe care o deţinem şi anumite activităţi care implică prelucrarea datelor cu caracter personal (operaţiuni de creditare/leasing). Considerăm că astfel o să ne aflăm sub incidenţa Legii nr. 677/2001. Am aflat că trebuie să realizăm o notificare către autoritatea de supraveghere. Dorim să ştim dacă este obligatorie o astfel de notificare, cum se realizează, dacă este necesară plata unor taxe, în cât timp se soluţionează notificarea şi ce trebuie să avem în vedere pe durata prelucrării.
Liviu Octavian Eremia – Bucuresti
Conform Legii nr. 677/ 2001, art. 22 alin. 1, „Operatorul este obligat să notifice autorităţii de supraveghere, personal sau prin reprezentant, înainte de efectuarea oricărei prelucrări“.
Această notificare se realizează prin completarea şi trimiterea la autoritatea de supraveghere a formularului prevăzut în anexa 1 a Ordinului nr. 53 din 18 aprilie 2002 privind aprobarea formularelor tipizate ale notificărilor prevăzute de Legea nr. 677/2001.
Această notificare se realizează anterior începerii prelucrării de date, atunci când operatorul a stabilit clar scopul şi mijloacele de prelucrare, precum şi celelalte coordonate necesare aprecierii legalităţii prelucrării (categorii de date, persoane vizate, perioada necesară prelucrării, prin raportare la scopul în care aceasta este efectuată, destinaţia ulterioară a datelor, măsurile tehnice şi organizatorice de securitate etc.).
Notificarea este supusă unei taxe care trebuie plătită de operator autorităţii de supraveghere (art.22 alin. (7) din Legea nr. 677/2001).
Cuantumul acestei taxe este stabilit de Legea nr. 476/2003 privind aprobarea taxei de notificare a prelucrărilor de date cu caracter personal, care cad sub incidenţa Legii nr. 677/2001 pentru notificările de prelucrări efectuate de operatorii persoane juridice.
Analizarea notificărilor şi întocmirea răspunsului către operatori se efectuează în termen de 5 zile. În cazul în care operatorul prelucrează date personale susceptibile de a prezenta riscuri speciale, autoritatea de supraveghere dispune obligatoriu efectuarea unui control prealabil.
În urma soluţionării notificării, fiecare operator primeşte un număr de înregistrare, conform Legii nr. 677/2001, art. 24 alin. 2. Numărul de înregistrare trebuie menţionat pe orice act prin care datele sunt colectate, stocate sau dezvăluite.
Condiţii care trebuie respectate pe durata prelucrării:
a) prelucrarea să se facă cu bună-credinţă şi în conformitate cu dispoziţiile legale;
b) colectarea în scopuri determinate, explicite şi legitime;
c) datele cu caracter personal să fie exacte şi actualizate. Pentru respectarea acestei cerinţe sunt foarte importante sursa din care sunt colectate datele, metoda de colectare, asigurarea unui cadru adecvat pentru exercitarea drepturilor persoanei vizate, respectiv a dreptului de a fi informată cu privire la prelucrare, a dreptului de acces la date, a dreptului de intervenţie asupra datelor;
d) datele cu caracter personal să fie stocate într-o formă care să permită identificarea persoanei vizate strict pe perioada necesară realizării scopurilor în care datele sunt colectate şi prelucrate;
e) existenţa consimţământului persoanei vizate
Consimţământul persoanei vizate prin prelucrarea datelor trebuie manifestat în mod expres şi neechivoc.
f) încheierea operaţiunilor de prelucrare trebuie să se facă în condiţiile prevăzute la art. 6 din Legea nr. 677/ 2001, astfel; „La încheierea operaţiunilor de prelucrare, dacă persoana vizată nu şi-a dat în mod expres şi neechivoc consimţământul pentru o altă destinaţie sau pentru o prelucrare ulterioară, datele cu caracter personal vor fi: a) distruse; b) transferate unui alt operator, cu condiţia ca operatorul iniţial să garanteze faptul că prelucrările ulterioare au scopuri similare celor în care s-a făcut prelucrarea iniţială; c) transformate în date anonime şi stocate exclusiv în scopuri statistice, de cercetare istorică sau ştiinţifică.
Măsurile care trebuie luate de operator pentru asigurarea securităţii prelucrărilor de date presupun:
a) aplicarea măsurilor tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerilor accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în condiţiile art. 20;
b) asigurarea condiţiilor minime de securitate stabilite periodic de autoritatea de supraveghere.
c) Efectuarea prelucrărilor prin persoane împuternicite (cum este şi cazul nostru) trebuie să se desfăşoare în baza unui contract încheiat în formă scrisă, care va cuprinde în mod obligatoriu:
– obligaţia persoanei împuternicite de a acţiona doar în baza instrucţiunilor primite de la operator -faptul că îndeplinirea obligaţiilor prevăzute la lit. a) revine şi persoanei împuternicite.
