Cazuri de prelucrare a datelor cu caracter personal pentru care nu este necesara notificarea

Decizie a presedintelui Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal nr. 200 din 14 decembrie 2015 privind stabilirea cazurilor de prelucrare a datelor cu caracter personal pentru care nu este necesara notificarea, precum si pentru modificarea si abrogarea unor decizii, publicata in M.Of. nr. 969 din 28 decembrie 2015

Vazand Referatul de aprobare nr. 18 din 2 iunie 2015 al Serviciului inregistrare operatori din cadrul Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal,
luand in considerare necesitatea asigurarii unei protectii eficiente a drepturilor persoanelor ale caror date cu caracter personal sunt supuse prelucrarii, in special in cazul anumitor operatiuni de prelucrare a datelor cu caracter personal care prezinta riscuri pentru drepturile si libertatile persoanelor, datorita naturii datelor prelucrate, scopului prelucrarii, caracterului specific al categoriilor de persoane vizate sau mecanismelor utilizate pentru prelucrarea datelor,
tinand cont de dispozitiile art. 23 alin. (1) din Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare, potrivit carora autoritatea de supraveghere stabileste categoriile de operatiuni de prelucrare care sunt susceptibile de a prezenta riscuri speciale pentru drepturile si libertatile persoanelor,
avand in vedere considerentul (49) al Directivei 95/46/CE a Parlamentului European si a Consiliului din 24 octombrie 1995 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date, care prevede ca, pentru a evita formalitatile administrative inadecvate, statele membre pot prevedea exonerari sau simplificari ale notificarii in cazurile in care prelucrarea datelor nu poate aduce atingere drepturilor si libertatilor persoanelor vizate, cu conditia ca aceasta sa se realizeze in conformitate cu o masura luata de un stat membru care ii precizeaza limitele; intrucat exonerarile sau simplificarile pot fi, in mod similar, prevazute de catre statele membre atunci cand o persoana imputernicita de operator se asigura ca prelucrarea realizata nu poate sa aduca atingere drepturilor si libertatilor persoanelor vizate; intrucat o astfel de persoana imputernicita cu protejarea datelor, fie ca este sau nu un angajat al operatorului, trebuie sa fie in masura sa isi exercite atributiile in deplina independenta;
avand in vedere considerentul (52) al Directivei 95/46/CE potrivit caruia controlul a posteriori de catre autoritatile competente trebuie sa fie, in general, considerat o masura suficienta;
avand in vedere considerentul (53) al Directivei 95/46/CE potrivit caruia anumite prelucrari pot sa prezinte totusi riscuri specifice pentru drepturile si libertatile persoanelor vizate prin insasi natura lor, domeniul de aplicare sau scopurile lor, cum ar fi excluderea persoanei de la beneficiul unui drept, unei prestatii sau unui contract, sau prin utilizarea specifica a unei tehnologii noi; intrucat le revine statelor membre, daca doresc acest lucru, obligatia de a preciza astfel de riscuri in legislatia lor;
avand in vedere considerentul (54) al Directivei 95/46/CE conform caruia numarul celor care prezinta astfel de riscuri specifice trebuie sa fie foarte restrans in ceea ce priveste totalul prelucrarilor efectuate in societate; intrucat statele membre trebuie sa prevada, pentru aceste prelucrari, o verificare prealabila punerii lor in practica, efectuata de autoritatea de supraveghere sau de persoana imputernicita cu protejarea datelor in cooperare cu aceasta; intrucat, in urma acestei verificari prealabile, autoritatea de supraveghere poate, in conformitate cu dreptul intern, emite un aviz sau poate autoriza prelucrarea datelor; intrucat o astfel de verificare poate fi, de asemenea, efectuata in timpul elaborarii fie a unei masuri legislative a parlamentului national, fie a unei masuri intemeiate pe o astfel de masura legislativa, care sa defineasca natura prelucrarii si sa stabileasca garantiile corespunzatoare;
tinand cont de prevederile art. 22 alin. (9) din Legea nr. 677/2001, cu modificarile si completarile ulterioare, conform carora autoritatea de supraveghere poate stabili si cazuri in care notificarea nu este necesara,
in temeiul prevederilor art. 3 alin. (5) si (6) din Legea nr. 102/2005 privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, cu modificarile si completarile ulterioare, si ale art. 6 alin. (2) lit. b) din Regulamentul de organizare si functionare a Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, aprobat prin Hotararea Biroului permanent al Senatului nr. 16/2005, cu modificarile si completarile ulterioare,
presedintele Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal emite prezenta decizie.
Art. 1. – (1) Notificarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal nu este necesara, cu exceptia urmatoarelor cazuri privind:
a) prelucrarea datelor cu caracter personal legate de originea rasiala sau etnica, de convingerile politice, religioase, filozofice ori de natura similara, de apartenenta sindicala, precum si a datelor privind starea de sanatate si viata sexuala;
b) prelucrarea datelor genetice si biometrice;
c) prelucrarea datelor care permit, direct sau indirect, localizarea geografica a persoanelor fizice prin mijloace de comunicatii electronice;
d) prelucrarea datelor cu caracter personal referitoare la savarsirea de infractiuni de catre persoana vizata ori la condamnari penale, masuri de siguranta sau sanctiuni administrative ori contraventionale aplicate persoanei vizate, efectuata de catre entitati de drept privat;
e) prelucrarea datelor cu caracter personal prin mijloace electronice,
avand ca scop monitorizarea si/sau evaluarea unor aspecte de personalitate, precum competenta profesionala, credibilitatea, comportamentul sau alte asemenea aspecte;
f) prelucrarea datelor cu caracter personal prin mijloace electronice in cadrul unor sisteme de evidenta avand ca scop adoptarea unor decizii automate individuale in legatura cu analizarea solvabilitatii, a situatiei economico-financiare, a faptelor susceptibile de a atrage raspunderea disciplinara, contraventionala sau penala a persoanelor fizice, de catre entitati de drept privat;
g) prelucrarea datelor cu caracter personal ale minorilor efectuata in cadrul activitatilor de marketing direct;
h) prelucrarea datelor cu caracter personal ale minorilor efectuata prin intermediul internetului sau al mesageriei electronice;
i) prelucrarea datelor cu caracter personal prevazute la lit. a) , referitoare la propriii membri, efectuata de asociatii, fundatii sau orice alte organizatii fara scop patrimonial exclusiv in vederea realizarii specificului activitatii organizatiei, in masura in care datele sunt dezvaluite unor terti fara consimtamantul persoanei vizate.
(2) In situatiile prevazute la alin. (1) notificarea nu este necesara atunci cand prelucrarea este prevazuta de lege.
Art. 2. – (1) Cu exceptia cazurilor prevazute la art. 29 alin. (5) si (6) din Legea nr. 677/2001, cu modificarile si completarile ulterioare, in toate situatiile, inclusiv in cele prevazute la art. 1, transferul datelor cu caracter personal catre statele situate in afara Uniunii Europene, a Zonei Economice Europene, precum si catre statele carora Comisia Europeana nu le-a recunoscut, prin decizie, un nivel de protectie adecvat va face obiectul notificarii Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal.
(2) Transferurile prevazute la alin. (1) , efectuate in baza art. 29 alin. (4) din Legea nr. 677/2001, cu modificarile si completarile ulterioare, sunt supuse autorizarii de catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal.
Art. 3. – (1) Operatorii sunt obligati sa notifice Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal prelucrarile datelor cu caracter personal stabilite la art. 1 alin. (1) si art. 2, inainte de inceperea prelucrarii.
(2) Daca pe baza notificarii Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal constata ca prelucrarea se incadreaza in una dintre situatiile prevazute la art. 1 alin. (1) lit. a) , b) , d) , g) sau h) , dispune efectuarea unui control prealabil, in conditiile prevazute de art. 23 din Legea nr. 677/2001, cu modificarile si completarile ulterioare.
(3) Exceptiile de la obligatia de a notifica nu exonereaza operatorul de indeplinirea celorlalte obligatii care ii revin potrivit dispozitiilor legale aplicabile in domeniul protectiei datelor cu caracter personal, cu precadere a celor privind asigurarea drepturilor persoanelor vizate, precum si a confidentialitatii si securitatii datelor.
Art. 4. – Formularul tipizat al notificarilor din anexa la Decizia presedintelui Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal nr. 95/2008 privind stabilirea formularului tipizat al notificarilor prevazute de Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 876 din 24 decembrie 2008, cu modificarile ulterioare, se modifica prin inlocuirea coordonatelor de contact ale Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal cu actualele coordonate, astfel: "Bd. Gheorghe Magheru nr. 28-30, sectorul 1, Bucuresti, telefon 031.805.9211".
Art. 5. – La data intrarii in vigoare a prezentei decizii, art. 15 din Decizia presedintelui Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 389 din 11 iunie 2012, se modifica si va avea urmatorul cuprins:
"- Art. 15. – (1) Prelucrarea datelor personale prin sisteme de supraveghere video, inclusiv transferul acestora intr-un stat tert, trebuie notificata Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, anterior inceperii prelucrarii.
(2) Face exceptie de la alin. (1) prelucrarea datelor cu caracter personal efectuata de o persoana fizica, pentru uz personal, printr-un sistem de supraveghere video care capteaza imagini inclusiv din spatii publice."
Art. 6. – Prezenta decizie nu aduce atingere altor dispozitii legale care prevad obligatia de notificare, precum si celorlalte decizii ale presedintelui Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, in vigoare.
Art. 7. – (1) Prezenta decizie intra in vigoare la data publicarii in Monitorul Oficial al Romaniei, Partea I.
(2) La data intrarii in vigoare a prezentei decizii se abroga Decizia presedintelui Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal nr. 90/2006 privind cazurile in care nu este necesara notificarea prelucrarii unor date cu caracter personal, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 654 din 28 iulie 2006, Decizia presedintelui Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal nr. 91/2006 privind cazurile in care este permisa notificarea simplificata a prelucrarii datelor cu caracter personal, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 654 din 28 iulie 2006, Decizia presedintelui Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal nr. 100/2007 privind stabilirea cazurilor in care nu este necesara notificarea prelucrarii unor date cu caracter personal, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 823 din 3 decembrie 2007, Decizia presedintelui Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal nr. 28/2007 privind transferurile datelor cu caracter personal catre alte state, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 182 din 16 martie 2007, Decizia presedintelui Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal nr. 11/2009 privind stabilirea categoriilor de operatiuni de prelucrare a datelor cu caracter personal, susceptibile de a prezenta riscuri speciale pentru drepturile si libertatile persoanelor, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 155 din 12 martie 2009, precum si Decizia presedintelui Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal nr. 23/2012 privind stabilirea cazurilor in care nu este necesara notificarea prelucrarii unor date cu caracter personal, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 216 din 2 aprilie 2012.

Presedintele Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal,
Ancuta Gianina Opre