Drept

În mediul economic actual există numeroşi agenţi economici precum şi numeroase organisme, organizaţii şi instituţii care colectează, păstrează şi utilizează informaţii despre persoanele fizice, informaţii care pot duce la identificarea respectivelor persoane şi contribuie la cunoaşterea unor particularităţi privitoare la acele personae. Astfel de practici se pot întâlni, de pildă, la unele companii de telefonie mobilă, la companii de asigurări, bănci, companii care asigură servicii de tipul fondurilor de pensii administrate privat etc. Pentru a se proteja intimitatea clienţilor, persoane fizice şi pentru a se împiedica utilizarea abuzivă a acestor date şi informaţii, statele au luat măsuri în sensul emiterii unor acte normative, care reglemntează regulile de colectare, stocare, gestionare, distribuire a acestor date, într-un cuvânt reguli de management al datelor cu caracter personal.

 Protecţia datelor cu caracter personal reprezintă un domeniu relativ nou pentru legislaţia din România. Conţinutul său priveşte, într-o formă generică, dreptul persoanei fizice de a-i fi apărate acele caracteristici care conduc la identificarea sa şi obligaţia corelativă a statului de a adopta măsuri adecvate pentru a asigura o protecţie eficientă.[1] În România protecţia datelor cu caracter personal este reglementată în principal prin Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, act normative prin care a fost transpus  acquis-ul reprezentat de Directiva 95/46/EC, care reglementează cadrul juridic general al protecţiei datelor personale la nivelul Uniunii Europene.

Potrivit art.2 din Legea nr.677/2001, aceste norme legale se aplică prelucrărilor de date cu caracter personal, efectuate de persoane fizice sau juridice, române ori străine, de drept public sau de drept privat, indiferent dacă au loc în sectorul public sau în sectorul privat, prelucrări efectuate, în tot sau în parte, prin mijloace automate, precum şi prelucrării prin alte mijloace decât cele automate a datelor cu caracter personal, care fac parte dintr-un sistem de evidenţă sau care sunt destinate să fie incluse într-un asemenea sistem. Reglementările legale din România privesc:

1. a) prelucrările de date cu caracter personal, efectuate în cadrul activităţilor desfăşurate de operatori stabiliţi în România;
2. b) prelucrările de date cu caracter personal, efectuate în cadrul activităţilor desfăşurate de misiunile diplomatice sau de oficiile consulare ale României;
3. c) prelucrările de date cu caracter personal, efectuate în cadrul activităţilor desfăşurate de operatori, care nu sunt stabiliţi în România, prin utilizarea de mijloace de orice natură. situate pe teritoriul României, cu excepţia cazului în care aceste mijloace nu sunt utilizate decât în scopul tranzitării pe teritoriul României a datelor cu caracter personal care fac obiectul prelucrărilor respective.

Prin date cu caracter personal se înţelege orice informaţii referitoare la o persoană fizică identificată sau identificabilă. O persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale.[2]

Prin prelucrarea datelor cu caracter personal se înţelege orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate (ex. colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea etc.).[3]

Stocarea  datelor cu caracter personal reprezintă păstrarea pe orice fel de suport a datelor cu caracter personal culese.

Sistemul de evidenţă a datelor cu caracter personal este orice structură organizată de date cu caracter personal, accesibilă potrivit unor criterii determinate, indiferent dacă această structură este organizată în mod centralizat ori descentralizat sau este repartizată după criterii funcţionale ori geografice.[4]

Operator de date cu caracter personal este orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal. Dacă scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizică sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin acel act normativ sau în baza acelui act normative.[5]

În cazul în care datele cu caracter personal sunt obţinute direct de la persoana vizată, operatorul este obligat să furnizeze persoanei vizate informaţii cu privire la [6]:

- identitatea operatorului,

- scopul în care se face prelucrarea datelor,

- destinatarii sau categoriile de destinatari ai datelor,

- dacă furnizarea tuturor datelor cerute este obligatorie şi consecinţele refuzului de a le furniza,

- existenţa drepturilor pentru persoana vizată prevăzute de Legea nr. 677/2001

- condiţiile în care pot fi exercitate,

- orice alteinformaţii a căror furnizare este impusă prin dispoziţie a autorităţii de supraveghere, ţinând seama de specificul prelucrării.

În situaţia în care datele nu sunt obţinute direct de la persoana vizată, operatorul este obligat ca, cel mai târziu până în momentul primei dezvăluiri către terţi a datelor personale, să furnizeze persoanei căreia îi aparţin datele personale aceleaşi informaţii precizate mai sus.[7]

În România funcţionează o autoritate centrală abilitată cu atribuţii de control în domeniul datelor cu character personal, respectiv Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, înfiinţată, prin Legea nr. 102/2005, această instituţie exercitându-şi competenţa stabilită în principal de Legea nr. 677/2001, în condiţii de independenţă faţă de orice autoritate publică sau entitate de drept privat.[8] Atribuţiile Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal sunt specifice oricărei instituţii de control, putând investiga prelucrările de date cu caracter personal care cad sub incidenţa Legii nr. 677/2001 şi aplica sancţiuni, în cazul în care constată încălcarea dispoziţiilor legale de către operatorii de date cu caracter personal, în urma sesizărilor din oficiu sau pe baza unor plângeri depuse de persoanele lezate în drepturile lor.

Printre principalele atribuţii ale Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal se numără[9]:

• primeşte şi analizează notificările privind prelucrarea datelor cu caracter personal, anunţând operatorului rezultatele controlului prealabil;
• autorizează prelucrările de date în situaţiile prevăzute de lege;
• poate dispune, în cazul în care constată încălcarea dispoziţiilor prezentei legi, suspendarea provizorie sau încetarea prelucrării datelor, ştergerea parţială ori integrală a datelor prelucrate şi poate să sesizeze organele de urmărire penală sau să intenteze acţiuni în justiţie;
•  informează persoanele care activează în aceste domenii, în mod direct sau prin intermediul structurilor asociative ale acestora, asupra necesităţii respectării obligaţiilor şi îndeplinirii procedurilor prevăzute de prezenta lege;
• păstrează şi pune la dispoziţie publicului registrul de evidenţă a prelucrărilor de date cu caracter personal;
• primeşte şi soluţionează plângeri, sesizări sau cereri de la persoanele fizice şi comunică soluţia dată ori, după caz, diligenţele depuse;
• efectuează investigaţii din oficiu sau la primirea unor plângeri ori sesizări;
• poate face propuneri privind iniţierea unor proiecte de acte normative sau modificarea actelor normative în vigoare în domenii legate de prelucrarea datelor cu caracter personal;

Pentru a evidenţia modul de operare al Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în continuare vom prezenta un studiu de caz, făcut public de autoritatea amintită[10]:

În data de 10 aprilie 2008, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a efectuat o investigaţie la S.C. Urban & Asociaţii S.R.L., în scopul verificării modului de aplicare a Legii nr. 677/2001, inclusiv a respectării măsurilor de securitate şi confidenţialitate de prelucrare a datelor personale.  Cu ocazia acestui control, printre altele, s-a constatat:

Societatea verificată a notificat Autorităţii de supraveghere prelucrările de date personale efectuate în exercitarea activităţii sale, în scopul de colectare debite/recuperare creanţe, servicii de consiliere legală şi reprezentare în justiţie, precum şi servicii pe internet.  Societatea verificată are constituită o bază de date cu caracter personal, postată pe site-ul propriu şi intitulată ”Lista ţeparilor împotriva cărora există hotărâri judecătoreşti”, însă această societate nu a declarat că prelucrează date personale în scopul ţinerii evidenţei persoanelor rău-platnice, ceea ce constituie contravenţia de „omisiune de notificare şi notificare cu rea credinţă”, prevăzută de art. 31 din Legea nr. 677/2001. Totodată s-a constatat că societatea nu realizează informarea persoanelor ale căror date personale le prelucrează, conform obligaţiilor stabilite prin Legea nr. 677/2001 şi că anunţa persoanele că vor fi raportate în baza de date a persoanelor rău-platnice şi nu vor mai primi credite de la bănci comerciale, ceea ce reprezintă o informare neadecvată şi excesivă cu privire la destinaţia datelor personale. În consecinţă, societatea a fost sancţionată pentru săvârşirea contravenţiei de prelucrare nelegală de date, prin nerespectarea dreptului la informare.

În cadrul legislaţiei comunitare privitoare la problematica datelor cu caracter personal se pot include: Directiva nr.95/46/CE din 24.10.1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, Directiva 2002/58/EC din 12.07.2002 privind procesarea datelor personale şi protecţia intimităţii în sectorul comunicaţiilor electronice, Convenţia de aplicare a acordului de la Schengen din 14.06.1985.[11]

Problematica protecţiei datelor cu caracter personal a preocupat multe dintre statele cu economii dezvoltate. În continuare sunt prezentate reglementări naţionale referitoare la protecţia datelor cu caracter personal din diferite state ale lumii, după cum urmează:[12]

1. Actele normative care reglementează protecţia datelor cu character personal în statele membre ale Uniunii Europene sunt:

• AUSTRIA - Legea federală pentru protecţia datelor din 1 ianuarie 2000, cu modificările ulterioare;
• BELGIA - Legea pentru protecţia datelor cu caracter personal din 8 decembrie 1992, cu modificările ulterioare;
• CEHIA – Legea nr. 101 din 4 aprilie 2000 pentru protecţia datelor personale şi amendarea unor acte normative;
• CIPRU – Legea nr. 138 (I) 2001 privind prelucrarea datelor cu caracter personal, cu modificările ulterioare;
• DANEMARCA - Legea nr. 429 din 31 mai 2000 privind prelucrarea datelor cu caracter personal;
• ESTONIA - Legea privind prelucrarea datelor cu caracter persona din 1 octombrie 2003, cu modificările ulterioare;
• FINLANDA – Legea nr. 523 din 1999 privind datele personale, cu modificările ulterioare;
• FRANŢA – Legea nr. 78 – 17 din 6 ianuarie 1978 referitoare la prelucrările de date, informatică, şi libertăţi individuale, cu modificările ulterioare;
• GERMANIA – Legea federală pentru protecţia datelor din 20 decembrie 1990, cu modificările ulterioare;
• GRECIA – Legea nr. 2472 din 1997 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal, cu modificările ulterioare;
• IRLANDA - Legea nr. 25 din 1998 pentru protecţia datelor personale, cu modificările ulterioare;
• ITALIA – Codul pentru protecţia datelor personale, aprobat prin Decretul legislativ nr. 196 din 30 iunie 2003;
• LETONIA – Legea privind protecţia datelor personale din 23 martie 2000, cu modificările ulterioare;
• LITUANIA - Legea nr. IX – 1296 din 21 ianuarie 2003 privind protecţia datelor personale, cu modificările ulterioare;
• LUXEMBURG – Legea referitoare la protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal din 2 august 2002;
• MALTA - Legea privind protecţia datelor XXVI din 2001, cu modificările ulterioare;
• OLANDA – Legea privind protecţia datelor personale din 1 septembrie 2001;
• POLONIA – Legea pentru protecţia datelor personale din 29 august 1997, cu
• modificările ulterioare;
• PORTUGALIA – Legea nr. 67/1998 privind protecţia datelor personale;
• REGATUL UNIT AL MARII BRITANII ŞI IRLANDEI DE NORD – Legea pentru protecţia datelor personale din 16 iulie 1998;
• SLOVACIA – Legea nr. 428 din 3 iulie 2002 privind protecţia datelor personale, cu modificările ulterioare;
• SLOVENIA - Legea nr. 59/1999 privind protecţia datelor personale, cu modificările ulterioare;
• SPANIA - Legea nr. 15/1999 privind protecţia datelor personale;
• SUEDIA – Legea nr. 204 din 29 aprilie 1998 pentru protecţia datelor personale;
• UNGARIA – Legea nr. LXIII /1992 privind protecţia datelor cu caracter personal şi publicitatea actelor de interes public, cu modificările ulterioare;

2. Actele normative care reglementează protecţia datelor cu caracter personal în statele din zona economică europeană, respectiv Islanda, Liechtenstein şi Norvegia:

• ISLANDA - Legea nr.77/2000 privind protecţia datele personale, cu modificările ulterioare;
• LIECHTENSTEIN – Legea din 14 martie 2002 privind protecţia datelor;
• NORVEGIA - Legea nr. 31 din 14 aprilie 2000 privind datele personale;

3. Actele normative care reglementează protecţia datelor cu character personal în statele cărora Comisia Europeană le-a recunoscut un nivel de protecţie adecvat prin decizii, respectiv Argentina, Canada, Elveţia, Guernsey, Isle of Man şi Statele Unite ale Americii:

• ARGENTINA- Legea nr. 25, 326 din 4 octombrie 2000 privind protecţia datelor cu caracter personal;
• CANADA - Legea privind viaţa privată din iulie 1983;
• ELVEŢIA - Legea federală din 19 iunie 1992 privind protecţia datelor;
• GUERNSEY- Legea din 2001 privind protecţia datelor;
• INSULELE MAN - Legea din 2002 privind protecţia datelor;
• STATELE UNITE ALE AMERICII - Principiile Safe Harbor.

[1] A se vedea www.dataprotection.ro;

[2] Art.3 din Legea nr.677/2001;

[3] Idem;

[4] Idem;

[5] Idem;

[6] Comunicat ANSPDCP din 23.04.08, privind investigaţia făcută la SC URBAN & ASOCIAŢII SRL, www.dataprotection.ro/?page=stire_23042008&lang=ro;

[7] Idem;

[8] A se vedea www.dataprotection.ro;

[9] A se vedea Art.21 din Legea nr.677/2001;

[10] Comunicat ANSPDCP din 23.04.08, privind investigaţia făcută la SC URBAN & ASOCIAŢII SRL, www.dataprotection.ro/?page=stire_23042008&lang=ro;

[11] A se vedea www.dataprotection.ro/?page=legislatie_comunitara&lang=ro; Pentru mai multe informaţii referitoare la acordul de la Schengen a se vedea şi  www.infotravelromania.ro, www.schengen.mira.gov.ro;

[12] A se vedea www.dataprotection.ro;