Întrebări frecvente FORLOPD

Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene („Carta”) și articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene (TFUE) stabilesc că orice persoană are dreptul la protecția datelor cu caracter personal care o privesc.

Se consideră date cu caracter personal orice informații referitoare la o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este orice persoană a cărei identitate poate fi determinată, direct sau indirect, în special printr-un identificator, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau unul sau mai multe elemente specifice identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale ale persoanei respective.

Ca regulă generală în România, trebuie să consultăm:

• Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
• Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

Cu toate acestea, trebuie să se țină seama de principiul specialității și de normele sectoriale aplicabile fiecărui caz în parte, precum și de avizele sau rapoartele emise de comitet sau de autoritățile de control, printre altele.

Operatorul de date este persoana fizică sau juridică, autoritatea publică, serviciul sau alt organism care, singur sau împreună cu alții, determină scopurile și mijloacele prelucrării.

De exemplu, entitatea care deține datele cu caracter personal și le prelucrează în scopuri proprii.

Persoana împuternicită de operator este persoana fizică sau juridică, autoritatea publică, serviciul sau alt organism care prelucrează date cu caracter personal în numele operatorului de date. Persoana împuternicită nu poate utiliza datele cu caracter personal furnizate de operator în scopuri proprii.

Ex. Entitatea contractată de operatorul de date pentru a presta un serviciu pentru care este inerentă utilizarea datelor cu caracter personal. Unele entități care acționează în general ca persoane împuternicite sunt cele care prestează servicii de: consultanță, întreținere informatică, securitate/supraveghere video, distrugere de documente…

Sunt considerate categorii speciale de date personale cele care dezvăluie originea etnică sau rasială, opiniile politice, convingerile religioase sau filozofice sau apartenența sindicală, precum și prelucrarea datelor genetice, a datelor biometrice destinate identificării unice a unei persoane fizice, a datelor referitoare la sănătate sau a datelor referitoare la viața sexuală sau orientarea sexuală a unei persoane fizice.

Reglementările privind protecția datelor permit cetățenilor să exercite o serie de drepturi, și anume dreptul de acces, rectificare, opoziție, ștergere („dreptul de a fi uitat”), restricționarea prelucrării, portabilitatea și dreptul de a nu face obiectul unor decizii individualizate.

Exercitarea acestor drepturi este gratuită (cu excepția cererilor nefondate sau excesive), operatorul este obligat să vă informeze cu privire la mijloacele de exercitare a acestor drepturi (aceste mijloace trebuie să fie accesibile) și trebuie să răspundă în termen de maximum o lună, acestea fiind câteva dintre caracteristicile sale.

Transferurile internaționale de date implică un flux de date cu caracter personal din teritoriul român către destinatari stabiliți în țări din afara Spațiului Economic European (țările Uniunii Europene plus Liechtenstein, Islanda și Norvegia).

Imaginea este o dată cu caracter personal, deoarece identifică sau face identificabilă o persoană.

În acest sens, instalarea de camere, în diverse scopuri, cum ar fi securitatea, controlul muncii, accesul în zone restricționate prin captarea numărului de înmatriculare al mașinii și a imaginii șoferului, sau chiar monitorizarea unei unități de terapie intensivă, ar implica prelucrarea datelor cu caracter personal și, în consecință, s-ar aplica normele privind protecția datelor.

O încălcare a securității (sau breșă de securitate) este un incident de securitate care afectează datele cu caracter personal. Acest incident poate avea o origine accidentală sau intenționată și poate afecta datele prelucrate digital sau în format tipărit. În general, este vorba de un eveniment care provoacă distrugerea, pierderea, modificarea, comunicarea sau accesul neautorizat la datele cu caracter personal.

Da, în măsura în care acestea prelucrează date cu caracter personal ale persoanelor fizice.

Astfel, în comunitățile de proprietari există un tratament derivat din gestionarea comunității în sine, care include datele personale ale proprietarilor, cum ar fi numele, prenumele, adresa sau adresa de e-mail. Pot exista și alte tipuri de tratamente, cum ar fi „supravegherea video” sau „camerele de securitate”.

Da, cu condiția respectării prevederilor Regulamentului general privind protecția datelor.

Atunci când colectarea și prelucrarea datelor minorilor se bazează pe consimțământ, trebuie să se țină cont de faptul că acesta trebuie să fie expres și că, în cazul minorilor cu vârsta sub 16 ani, consimțământul trebuie acordat de părinți sau tutori. Persoanele cu vârsta peste 16 ani pot acorda ele însele consimțământul pentru colectarea datelor lor, cu excepția cazurilor în care legea impune ca acestea să fie asistate de părinți sau tutori.

Evaluarea impactului asupra protecției datelor cu caracter personal este un instrument care permite evaluarea anticipată a riscurilor potențiale la care sunt expuse datele cu caracter personal în funcție de activitățile de prelucrare efectuate cu acestea.

Aceasta este obligatorie atunci când este probabil ca prelucrarea să prezinte un risc ridicat pentru drepturile și libertățile persoanelor fizice.

În ceea ce privește executarea DPIA, aceasta poate fi realizată de personalul intern sau extern al organizației, fără ca acest lucru să exonereze de la îndeplinirea obligațiilor sale operatorul de date, care trebuie să se asigure că aceasta se realizează în mod adecvat și că sunt implementate controalele și măsurile de control rezultate din evaluare.