Prelucrarea de categorii speciale de date cu caracter personal

Universuljuridic.ro PREMIUM

Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.

Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.

Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!

Noțiuni introductive

La nivel național, reguli speciale de prelucrare a anumitor categorii de date au fost stabilite prin art. 7-10 din Legea nr. 677/2001, care pot fi grupate în trei subcategorii distincte, astfel:

a) date cu caracter personal sensibile (privind originea rasială sau etnică, convingerile politice, religioase, filozofice sau de natură similară, apartenență sindicală, starea de sănătate și viața sexuală);

b) date cu caracter personal cu funcție de identificare de aplicabilitate generală (codul numeric personal, seria și numărul actului de identitate, numărul pașaportului, permisului de conducere, numărul de asigurări sociale de sănătate sau numărul de asigurări sociale);

c) date cu caracter personal referitoare la fapte penale sau contravenții (referitoare la săvârșirea de infracțiuni de către persoana vizată ori la condamnări penale, măsuri de siguranță sau sancțiuni administrative ori contravenționale)^[1].

Date cu caracter personal sensibile și condițiile prelucrării acestora

În temeiul dreptului european, precum și în temeiul legislației CoE, există categorii speciale de date cu caracter personal care, prin natura lor, pot prezenta un risc pentru persoanele vizate atunci când sunt prelucrate și necesită o protecție sporită. Prin urmare, prelucrarea acestor categorii speciale de date („date sensibile”) trebuie permisă numai împreună cu garanții specifice. Referitor la definiția datelor sensibile, atât Convenția 108 (articolul 6), cât și Directiva privind protecția datelor (articolul 8) disting următoarele categorii:

− date cu caracter personal referitoare la originea rasială sau etnică;

− date cu caracter personal referitoare la opiniile politice, convingerile religioase sau de altă natură și

− date cu caracter personal referitoare la starea de sănătate sau viața sexuală^[2].

În cele ce urmează evidențiem foarte succint unele aspecte referitoare la aceste date:

a) date privind originea rasială sau etnică reprezintă date cu caracter personal care pot contribui la limitarea semnificativă a persoanelor identificabile sau chiar candide la identificarea persoanei. În legătură cu declararea acestor categorii de date sau evidențiat unele inadvertențe, în sensul că datele privind naționalitatea sau originea etnică au fost confundate cu cetățenia, care nu intră în categoria datelor cu caracter sensibil;

b) date privind convingerile politice, religioase, filosofice sau de natură similară au rolul de a contribui, alături de alte informații la identificarea persoanei fizice dintr-un grup (de exemplu: calitatea de membru de partid, apartenență la o anumită religie);

c) date privind apartenență sindicală a unei persoane pot conduce uneori în mod direct, la identificarea acesteia (de exemplu: președintele unei organizații sindicale);

d) date privind viața sexuală reprezentă informații utilizare, în unele cazuri, drept criteriu de identificare indirectă a unei persoane, corelat cu alte informații;

e) date privind starea de sănătate sunt reprezentate de toate informațiile care au o legătură clară și apropiată cu descrierea stării de sănătate a unei persoane, cum ar fi diagnosticele stabilite unei persoane, antecedentele medicale, datele privind consumul de medicamente, alcool sau substanțe halucinogene.

În contextul celor de mai sus, la nivelul Grupului de Lucru, art. 29 se consideră că toate datele conținute în documentația medicală și în dosarul electronic de sănătate trebuie considerate a fi „date confidențialitate cu caracter personal”.

În privința regulilor speciale de prelucrare a categoriilor de date cu caracter sensibil, articolul 8 al Directivei 95/46/EC stabilește interdicția generală a utilizării acestora, precum și situațiile exprese în care este permisă folosirea lor^[3].

f) datele genetice, definite în documente internaționale ca date referitoare la caracteristicile ereditare ale unei persoane sau la modelul ereditar al unor astfel de caracteristici referitoare la un grup de persoane dintr-o familie, datele genetice sunt date cu caracter personal în sensul Directivei 95/46/EC, deoarece permit identificarea persoanei în cauză, punând în evidență unicitatea acesteia.

Ținând cont de specificitatea acestora, prelucrarea datelor genetice cere și justifică o protecție juridică particulară. De aceea, instrumente internaționale fundamentale interzic orice discriminare bazată pe datele genetice. Astfel, art. 21 din Carta Drepturilor Fundamentale a Uniunii Europene statuează că: „orice discriminare bazată (…) pe motive genetice” trebuie interzisă. Această interdicție se regăsește în Convenția Consiliului Europei cu privire la Drepturile Omului și Bio-medicină (art. 11) și în Declarația Universală cu privire la Genomul Uman și Drepturile Omului a UNESCO (art. 6).

Eficacitatea acestei interdicții implică existența unor reguli stricte care să limiteze situațiile în care pot fi utilizate datele genetice.

Având în vedere complexitatea si sensibilitatea informațiilor genetice, s-a apreciat la nivel internațional că exista un mare risc de utilizare greșită sau reutilizare în alte scopuri de către operatorul de date personale sau părți terțe. Astfel, datele genetice ar putea fi folosite numai daca sunt adecvate, relevante si neexcesive față de scopul în care se intenționează a fi folosite, ceea ce implica o analiză stricta a necesității si proporționalității datelor procesate.

În opinia privind datele genetice a Grupului de Lucru, art. 29, cu rol consultativ pe lângă Comisia Europeană, se subliniază faptul că proporționalitatea a fost un criteriu principal in majoritatea deciziilor luate până acum de autoritățile de protecție a datelor în legătură cu prelucrarea datelor genetice.

Datorita naturii speciale, caracteristicilor datelor genetice și impactului pe care îl poate avea folosirea lor asupra vieții individului și a membrilor familiei sale, respectarea principiilor finalității și proporționalității implică o stabilire clară a scopului pentru care datele genetice sunt colectate și utilizate de un operator.

În ceea ce privește utilizarea datelor genetice în domeniul angajării, Grupul de Lucru, art. 29, consideră ca prelucrarea datelor genetice în acest sector ar trebui interzisă în principiu.

În același timp, Grupul European în Etica Științei și Tehnologiei Noi a afirmat că „nu există, până în acest moment, nicio dovadă că testele genetice au relevanță în contextul angajării”.

Stabilirea unei baze de date genetice reprezintă totuși, pe plan european, o potențială cauza de îngrijorare din perspectiva protecției datelor, în special în privința:

− prelucrării ulterioare a datelor în alte scopuri decât cele stabilite la momentul colectării;

− duratei stocării datelor genetice,

− măsurilor de securitate adecvate.

Aplicarea anonimizării poate fi o soluție la problemele apărute din punctul de vedere al protecției datelor personale.

În același timp, ar trebui ca datele genetice să fie prelucrate sub supravegherea profesioniștilor calificați ce sunt îndreptățiți, deoarece în unele situații acestea reprezintă și date referitoare la starea de sănătate, cu respectarea prevederilor Directivei 95/46/EC și a reglementărilor specifice.

În Opinia Legii nr. 6/2000 cu privire la Genomul Uman și viața privată, Grupul de Lucru, art. 29, a statuat deja necesitatea corelării noilor tehnologii genetice cu garanții adecvate pentru protejarea dreptului la intimitate.

Grupul de Lucru, art. 29, recomandă Statelor Membre să analizeze posibilitatea supunerii prelucrărilor de date genetice unor controale prealabile, efectuate de către autoritățile naționale de supraveghere conform art. 20 din Directivă. Această modalitate ar trebui să fie utilizată, în special, în cazul înființării și utilizării unor baze de date genetice.

În România, domeniul prelucrării datelor cu caracter personal este reglementat prin Legea nr. 677/2001, iar datele genetice fac parte din categoria datelor personale, în accepțiunea art. 3 lit. a) din acest act normativ.

În aplicarea prevederilor art. 23 din legea menționată anterior, doamna Georgeta Basarabescu, președintele Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, a emis Decizia nr. 11/2009 privind stabilirea categoriilor de operațiuni de prelucrare a datelor cu caracter personal, susceptibile de a prezenta riscuri speciale pentru drepturile și libertățile persoanelor.

Prin această decizie s-a stabilit că operațiunile de prelucrare a datelor genetice fac parte din categoria celor ce prezintă riscuri speciale pentru drepturile și libertățile persoanelor, ceea ce impune efectuarea de controale prealabile din partea instituției noastre, potrivit prevederilor Legii nr. 677/2001.

Prima obligație a operatorilor care intenționează să utilizeze date genetice constă în notificarea prelucrării acestei categorii de date la Autoritatea națională de supraveghere cu cel puțin 30 de zile calendaristice înainte de începerea prelucrării. Raportat la scopul prelucrării declarate se analizează și respectarea principiului proporționalității datelor personale.

În același timp, operatorul respectiv trebuie să realizeze informarea persoanelor în cauză, în concordanță cu dispozițiile art. 12 din Legea nr. 677/2001, și să ia măsurile necesare pentru asigurarea confidențialității și securității prelucrărilor respective^[4].

Date cu caracter general cu funcție de identificare de aplicabilitate generală și condițiile specifice prelucrării acestora

Prin articolul 8 din Legea nr. 677/2001 s-au stabilit regimul juridic privind prelucrarea datelor având funcție de identificare de aplicabilitate generală, astfel:

Art. 8: Prelucrarea datelor cu caracter personal având funcție de identificare (1) Prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală poate fi efectuată numai dacă:

a) persoana vizată și-a dat în mod expres consimțământul; sau

b) prelucrarea este prevăzută în mod expres de o dispoziție legală.

(2) Autoritatea de supraveghere poate stabili și alte cazuri în care se poate efectua prelucrarea datelor prevăzute la alin. (1), numai cu condiția instituirii unor garanții adecvate pentru respectarea drepturilor persoanelor vizate.

Datele cu funcție de identificare de aplicabilitate generală sunt: codul numeric personal, seria și numărul actului de identitate, numărul pașaportului, al permisului de conducere, numărul de asigurare de sănătate sau de asigurare socială.

Articolul 1 din Decizia nr. 132/2011 reglementează condițiile prelucrării codului numeric personal și a altor categorii de date cu caracter personal cu funcție de aplicabilitate generală prevede:

(1) Codul numeric personal reprezintă un număr semnificativ care individualizează în mod unic o persoană fizică, constituind un instrument de verificare a stării civile a acesteia și de identificare în anumite sisteme informatice de către persoanele autorizate.

(2) Datele cu caracter personal cu funcție de identificare de aplicabilitate generală sunt acele numere prin care se identifică o persoană fizică în anumite sisteme de evidență și care au aplicabilitate generală, cum ar fi: codul numeric.

Prin articolul 5 al aceleiași Decizii se reflectă necesitatea instituirii unor garanții în vederea acordării avizului de prelucrare a acestor categorii de date după cum urmează:

(1) În situația prevăzută la art. 2 lit. c), operatorul trebuie să respecte principiul caracterului adecvat, pertinent și neexcesiv, precum și măsurile de confidențialitate și de securitate a prelucrărilor. În acest sens, va avea în vedere, în principal, instituirea următoarelor garanții adecvate:

a) scopul prelucrării să fie determinat, explicit și legitim; b)stabilirea și aplicarea unor măsuri prin care să se asigure exercitarea drepturilor persoanelor vizate;

c) durata de stocare a datelor să fie pe perioada strict necesară îndeplinirii scopului, după care datele vor fi șterse sau distruse, după caz;

d) stabilirea modalităților de acces la sistemele de evidență în vederea colectării datelor, în funcție de care va stabili și va respecta măsuri tehnice și organizatorice adecvate pentru protejarea datelor;

e) utilizarea datelor numai în limitele scopului stabilit;

f) dezvăluirea către alți destinatari este interzisă, cu excepția situației în care există consimțământul persoanei vizate sau o prevedere legală expresă;

g) desemnarea, în scris, a persoanei/persoanelor care va/vor prelucra datele și care trebuie să își asume răspunderea păstrării confidențialității acestora; lista conținând evidența acestor persoane va fi actualizată ori de câte ori se impune;

h) numirea, în scris, a unei persoane specializate în securitatea informației care să vegheze la prelucrarea datelor, inclusiv la buna funcționare a sistemelor informatice utilizate în această activitate;

i) stabilirea unui plan de securitate a informațiilor care să cuprindă, în principal, securitatea tehnică pe plan informatic și securitatea spațiilor în care se prelucrează datele, ținând cont de cerințele minime de securitate; j) stabilirea, în scris, a drepturilor și obligațiilor operatorului care transmite datele și ale operatorului care le primește.

(2) Drepturile persoanelor vizate vor fi asigurate în condițiile art. 12-18 din Legea nr. 677/2001, cu modificările și completările ulterioare.

(3) În cazul în care operatorul desemnează o persoană împuternicită, în condițiile Legii nr. 677/2001, cu modificările și completările ulterioare, prevederile alin. (1) lit. b)-i) devin aplicabile.

Ca urmare a impactului generat de folosirea codului numeric personal asupra vieții private, Autoritatea Națională de Supraveghere, prin prevederile art. 6 din Decizia nr. 132/2011, a instituit interdicția reținerii copiilor de pe actele care conțin această dată cu caracter personal^[5].

Date cu caracter personal referitoare la fapte penale sau contravenții și condițiile specifice prelucrării acestora

În categoria datelor cu caracter special au fost incluse și datele referitoare la fapte penale sau contravenții, prin prevederile art. 8 alin. 5) din Directiva nr. 95/46/EC, care dispun: „Prelucrarea datelor referitoare la infracțiuni, condamnări penale sau măsuri de securitate se poate efectua numai sub controlul autorității publice sau dacă garanțiile corespunzătoare și specifice sunt prevăzute de dreptul intern, sub rezerva derogărilor pe care statul membru le poate acorda în temeiul dispozițiilor de drept intern care prevăd garanții corespunzătoare și specifice. Cu toate acestea, un registru complet al condamnărilor penale nu poate fi ținut decât sub controlul autorității publice.

Statele membre pot să prevadă că datele referitoare la sancțiunile administrative sau sentințele civile să fie, de asemenea, prelucrate tot sub controlul autorității publice”^[6].

În România, prelucrarea datelor cu caracter personal referitoare la săvârșirea de fapte penale sau contravenționale de către persoana vizată a fost reglementată de art. 10 din Legea nr. 677/2001 care dispune:

(1) Prelucrarea datelor cu caracter personal referitoare la săvârșirea de infracțiuni de către persoana vizată ori la condamnări penale, măsuri de siguranță sau sancțiuni administrative ori contravenționale, aplicate persoanei vizate, poate fi efectuată numai de către sau sub controlul autorităților publice, în limitele puterilor ce le sunt conferite prin lege și în condițiile stabilite de legile speciale care reglementează aceste materii.

(2) Autoritatea de supraveghere poate stabili și alte cazuri în care se poate efectua prelucrarea datelor prevăzute la alin. (1), numai cu condiția instituirii unor garanții adecvate pentru respectarea drepturilor persoanelor vizate.

(3) Un registru complet al condamnărilor penale poate fi ținut numai sub controlul unei autorități publice, în limitele puterilor ce îi sunt conferite prin lege.

Astfel, potrivit Legii nr. 290/2004 privind cazierul judiciar, republicată, evidența persoanelor fizice și persoanelor juridice condamnate ori împotriva cărora s-au luat alte măsuri cu caracter penal sau administrativ conform Codului penal, precum și a celor față de care au fost dispuse măsuri procesual-penale, se ține în cazierul judiciar. Comunicarea datelor din cazierul judiciar se face în condițiile Legii nr. 290/2004 și cu respectarea prevederilor Legii Nr. 544/2001 privind liberul acces la informațiile de interes public, cu modificările și completările ulterioare, ale Legii nr. 677/2001 și cu respectarea, în cazul datelor de interes operativ, a prevederilor Legii nr. 182/2002 privind protecția informațiilor clasificate, cu modificările și completările ulterioare^[7].

Concluzii

Evoluțiile tehnologice rapide au generat noi provocări în domeniul protecției datelor cu caracter personal. Tehnologia permite atât societăților private, cât și autorităților publice să utilizeze date cu caracter personal la un nivel fără precedent în cadrul activităților desfășurate. Tehnologia a transformat atât economia, cât și viața socială.

Aplicarea normelor europene nu înseamnă numai referiri abstracte la ele, ci presupune incursiuni în dreptul național. Unele incursiuni sunt anterioare apariției normelor europene (cazul Regatului Unit, unde problemele legate de datele cu caracter personal au fost puse pe cale jurisprudențială, înainte de apariția reglementărilor europene în domeniu) altele  sunt ulterioare pentru a vedea în concret modul de aplicare, armonizarea europeană și uneori chiar și consensul statelor cu privire la o problemă, atunci când aceasta nu este cuprinsă în norme.

(Copyright foto: freepik)

Bibliografie

Cărți:

− Moise Bojincă, Georgeta Basarabescu, Alina Săvoiu, Dreptul la protecția datelor cu caracter personal, Editura Universul Juridic, București, 2013;

− Manual de legislație europeană privind protecția datelor.

Legislație:

− LEGE nr. 677 din 21 noiembrie 2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date cu modificările și completările ulterioare;

− Decizia nr. 132/2011 privind condițiile prelucrării codului numeric personal și a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală cu modificările și completările ulterioare;

− Convenția Consiliului Europei cu privire la Drepturile Omului și Bio-medicină cu modificările și completările ulterioare;

− Declarația Universală cu privire la Genomul Uman și Drepturile Omului a UNESCO cu modificările și completările ulterioare.

Site-uri web:

− https://www.dataprotection.ro/?page=Prelucrarea_datelor_genetice&lang=ro.