Legea nr. 363/2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date

În M. Of. nr. 13 din 7 ianuarie 2019 a fost publicată  Legea  nr. 363/2018 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale și combaterii infracțiunilor sau al executării pedepselor, măsurilor educative și de siguranță, precum și privind libera circulație a acestor date.

Respectiva lege reglementeză prelucrarea datelor cu caracter personal în vederea realizării activităților pe care le implică prevenirea, descoperirea, cercetarea, urmărirea penală și combaterea infracțiunilor, executarea pedepselor, măsurilor educative și de siguranță, precum și de menținere și asigurare a ordinii și siguranței publice de către autoritățile competente. Astfel, scopul legii îl constituie protejarea drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului la protecția datelor cu caracter personal, actul normativ stabilind și condițiile în care se realizează libera circulație a datelor anterior menționate.

De asemenea, anexa legii cuprinde modelul pentru Planul de remediere.

Vă prezentăm, în continuare, cele mai importante dispoziții ale respectivului act normativ.

Potrivit art. 1 alin. (2), prelucrarea datelor cu caracter personal în vederea realizării activităților de menținere și asigurare a ordinii și siguranței publice se efectuează numai dacă acestea sunt prevăzute de lege și sunt necesare pentru prevenirea unui pericol cel puțin asupra vieții, integrității corporale sau sănătății unei persoane ori a proprietății acesteia, precum și pentru combaterea infracțiunilor.

În sensul Legii nr. 363/2018, sintagma „date cu caracter personal” desemnează orice informații privind o persoană fizică identificată sau identificabilă.  Astfel, o persoană fizică identificabilă reprezintă acea persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

De asemenea, prin termenul „prelucrare” se înțelege  orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate,. Din această categorie de operațiuni fac parte următoarele: colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Importante sunt și prevederile referitoare la „crearea de profiluri”, prin această sintagmă fiind desemnată orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică. Așadar, prin crearea acestor profiluri se urmărește în special, a se analiza sau a se preconiza aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, corectitudinea, comportamentul, localizarea sau deplasările unei persoane fizice.

Totodată, prin termenul „pseudonimizare” se face trimitee la acel tip de prelucrare a datelor cu caracter personal într-o asemenea manieră încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, în măsura în care aceste informații suplimentare sunt stocate separat și fac obiectul unor măsuri de natură tehnică și organizatorică destinate să garanteze neatribuirea unei persoane fizice identificate sau identificabile.

În fine, prin sintagma „sistem de evidență a datelor” se înțelege  orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice.

În vederea prelucrării datelor cu caracter personal pentru realizarea activităților prevăzute la art. 1 de către același operator sau de către alt operator într-un alt scop decât cel avut în vedere la momentul colectării datelor cu caracter personal, trebuie îndeplinite cumulativ următoarele două condiții:

– operatorul este abilitat să prelucreze astfel de date cu caracter personal în scopul respectiv, în conformitate cu cadrul normativ aplicabil;

– prelucrarea este necesară și proporțională în raport cu scopul respectiv, în conformitate cu cadrul normativ aplicabil.

Totodată, prelucrarea datelor de către același operator sau de un altul se poate face și în vederea arhivării în interes public sau în scopuri științifice, statistice ori istorice. Totuși, în aceste cazuri, este necesară instituirea unor garanții adecvate pentru drepturile și libertățile persoanelor vizate.

Conform art. 6, pentru următoarele categorii se vor stabili termene specifice de păstrare:

– prelucrarea datelor cu caracter personal referitoare la minori;

– prelucrarea categoriilor speciale de date cu caracter personal;

– prelucrarea datelor cu caracter personal a căror acuratețe nu a fost stabilită sau nu a putut fi stabilită;

– în orice altă situație în care prelucrarea presupune riscuri majore pentru persoana vizată.

Un caz special îl reprezintă cel al datelor cu caracter personal referitoare la originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, afilierea sindicală, datele genetice, cele biometrice pentru identificarea unică a unei persoane fizice, prelucrarea  prelucrarea datelor privind sănătatea sau a datelor privind viața sexuală și orientarea sexuală a unei persoane fizice. Aceste categorii de date pot fi prelucrate doar dacă sunt strict necesare într-un caz determinat, dacă sunt instituite garanții adecvate pentru drepturile și libertățile persoanei vizate și dacă este îndeplinită una dintre următoarele condiții:

– prelucrarea este prevăzută expres de lege;

– prelucrarea este necesară pentru prevenirea unui pericol iminent cel puțin asupra vieții, integrității corporale sau sănătății persoanei vizate sau ale unei alte persoane fizice;

– prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de persoana vizată.

Potrivit art. 13, operatorii au obligația de a institui măsuri organizatorice, tehnice și de procedură, în vederea punerii la dispoziția persoanelor interesate a următoarelor categorii de informații:

– identitatea și datele de contact ale operatorului;

– datele de contact ale responsabilului cu protecția datelor, după caz;

– scopurile în care sunt prelucrate datele cu caracter personal;

– dreptul de a depune o plângere la autoritatea de supraveghere și datele de contact ale acesteia;

– dreptul de a solicita operatorului acces la datele cu caracter personal referitoare la persoana vizată ori rectificarea sau ștergerea acestor date sau restricționarea prelucrării lor.

Totuși, dacă ținând cont de drepturile fundamentale și interesele legitime ale persoanei vizate, operatorul consideră că o astfel de măsură este necesară și proporțională într-o societate democratică, acesta poate dispune una din următoarele măsuri: amânarea, restricționarea ori omiterea furnizării de informații persoanei vizate în condițiile prevăzute la art. 14. Așadar, sunt considerate cazuri care ar justifica aplicarea uneia dintre aceste măsuri, următoarele:

– evitarea obstrucționării bunei desfășurări a procesului penal;

– evitarea prejudicierii prevenirii, descoperirii, cercetării, urmăririi penale și combaterii infracțiunilor sau a executării pedepselor;

– protejarea ordinii și siguranței publice;

– protejarea securității naționale;

– protejarea drepturilor și libertăților celorlalți.

Trebuie remarcat și faptul că persoanei vizate îi este recunoscut dreptul de a  obține de la operator confirmarea faptului că datele cu caracter personal care o privesc sunt sau nu sunt prelucrate de acesta. În acest sens, respectiva persoană trebuie să formuleze o cerere adresată operatorului, iar obținerea acestor date este gratuită.

Mai mult, art. 18 îi recunoaște persoanei vizate și dreptul de a obține de la operator, la cerere și în mod gratuit, rectificarea datelor cu caracter personal inexacte care o privesc.  Totodată, aceiași persoană poate solicita atât completarea datelor cu caracter personal, inclusiv prin furnizarea unei declarații suplimentare.

Operatorului îi revine sarcina de a ține evidența tuturor categoriilor de activități de prelucrare aflate în responsabilitatea sa, aceasta urmând să includă următoarele informații:

– denumirea și datele de contact ale operatorului și, după caz, ale operatorului asociat și ale responsabilului cu protecția datelor;

– scopul sau scopurile prelucrării;

– categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;

– o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal care sunt prelucrate;

– dacă este cazul, mențiuni cu privire la desfășurarea activității de creare de profiluri;

– dacă este cazul, categoriile de transferuri de date cu caracter personal către un stat terț sau o organizație internațională;

– indicarea temeiului juridic al operațiunii de prelucrare, inclusiv al transferurilor de date cu caracter personal efectuate;

– dacă este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date cu caracter personal;

– dacă este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la art. 35.

Conform art. 35, operatorul ori persoana împuternicită de acesta, trebuie să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător, iar în cazul în care acesta constată o încălcare a securității datelor, el este obligat să notifice fără întârzieri nejustificate autoritatea de supraveghere.

În ceea ce privește transferul de date cu caracter personal către o țară terță sau o organizație internațională, acesta este întotdeauna posibil, în condițiile art. 43 alin. (1) lit. d), atunci când Comisia Europeană a decis că statul terț, un teritoriu ori una sau mai multe diviziuni administrativ-teritoriale determinate din acel stat terț sau organizația internațională în cauză asigură un nivel de protecție adecvat.

Conform art. 49, pentru realizarea activităților de cercetare și combatere a infracțiunilor, sistemele de evidență a datelor cu caracter personal sau, după caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care operatorii le dețin, pentru scopuri diferite, pot fi interoperabilizate.

Astfel, în cazul activităților de prevenire a infracțiunilor, de menținere și de asigurare a ordinii și siguranței publice, sistemele de evidență a datelor cu caracter personal sau mijloacele automate de prelucrare a datelor cu caracter personal pot fi interoperabilizate cu:

– Registrul național de evidență a persoanelor;

– Registrul național de evidență a pașapoartelor simple;

– Registrul național de evidență a permiselor de conducere și a vehiculelor înmatriculate.

Potrivit art. 64, începând cu data intrării în vigoare a respectivei legi, se va abroga Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unitățile Ministerului Administrației și Internelor în activitățile de prevenire, cercetare și combatere a infracțiunilor, precum și de menținere și asigurare a ordinii publice.