Temeiuri legale pentru prelucrarea datelor cu caracter personal de catre primarii

04 Nov 2018favorite

Raspuns oferit de
Alexandru MATEIAvocat

Toate autoritatile/institutiile publice care prelucreaza date cu caracter personal, prin mijloace
automatizate sau prin alte mijloace decat cele automatizate trebuie sa aplice Regulamenul (UE)
2016/679.

Prelucrarea datelor cu caracter personal se poate realiza in mod legal numai daca se bazeaza pe
unul dintre temeiurile juridice prevazute la art. 6 alin. (1) din Regulament, respectiv:
a. consimtamantul persoanei vizate;
b. prelucrarea este necesara pentru incheierea sau executarea unui contract;
c. prelucrarea este necesara pentru indeplinirea unei obligatii legale;
d. prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale
altei persoane fizice;
e. prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes
public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;
f. prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o
parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile
fundamentale ale persoanei vizate.

Sunt necesare cateva precizari privind selectarea temeiului juridic de prelucrare adecvat fiecarei
categorii de prelucrare de date cu caracter personal:

a. tinand cont de scopurile urmarite prin prelucrarea datelor cu caracter personal, primul pas
in evaluarea conformitatii unei prelucrari de date este determinarea temeiului juridic in
baza caruia se face prelucrarea. Fara un temei juridic corect identificat, prelucrarea
incalca prevederile RGPD;
b. alegerea temeiului de prelucrare trebuie facuta corect de la inceput, schimbarea ulterioara
a temeiului, fara justificare adecvata, este echivalenta cu o neconformitate;
c. alegerea temeiului de prelucrare trebuie documentat (cel mai frecvent, prin evidenta
activitatilor de prelucrare);
d. persoanele vizate trebuie informate cu privire la temeiul prelucrarii, ca principiu, inainte
de inceperea prelucrarii.
o Prelucrare bazata pe consimtamantul persoanei vizate (art. 6 alin. (1) lit. (a) din
Regulament)

In lumina prevederilor Regulamentului, prelucrarea datelor in temeiul consimtamantului

persoanei vizate presupune respectarea unor standarde legale specifice. A prelucra datele cu
caracter personal pe baza consimtamantului inseamna a acorda persoanei vizate o libertate
verosimila de decizie in ceea ce priveste prelucrarea datelor, precum si controlul ulterior al
activitatilor de prelucrare indeplinite de operator/persoana imputernicita de operator. Enumeram,
mai jos, cateva dintre cele mai importante reguli de obtinere si gestionare a consimtamantului:

a. Consimtamant explicit. Consimtamantul trebuie sa fie exprimat in mod explicit, intr-o

maniera clara si specifica (manifestare pozitiva a consimtamantului). Utilizarea unor
metode de exprimare implicita/tacita a consimtamantului (spre exemplu, casute de acord
pre-bifate) nu este o practica legala.
b. Consimtamant nelegal. Furnizarea unui serviciu solicitat de/oferit persoanei vizate nu
poate fi conditionata de acordarea consimtamantului acesteia pentru prelucrarea datelor
cu caracter personal, intrucat consimtamantul astfel exprimat nu ar fi obtinut in mod
liber.
c. Consimtamant separat. Consimtamantul trebuie solicitat (i) in mod separat de termeni,
conditi ori alte documente de informare si prezentare si (ii) in mod specific pentru fiecare
scop pentru care se face prelucrare pe acest temei juridic.
d. Consimtamant documentat. Consimtamantul trebuie documentat si dovada acestuia
trebuie pastrata. Ca principiu, operatorul trebuie sa poata demonstra cine a dat
consimtamantul, cand, prin ce metoda si ce informatii au fost furnizate cu ocazia
preluarii consimtamantului.
e. Consimtamant revocabil. Persoana vizata are dreptul de a retrage consimtamantul in
orice moment (forma de manifestare a dreptului de a fi uitat ), iar operatorul trebuie sa
ofere un mecanism de retragere facil si sa actioneze pentru a da eficienta retragerii in cel
mai scurt timp posibil. Retragerea consimtamantului nu afecteaza legalitatea prelucrarii
efectuate pe baza consimtamantului inainte de retragerea acestuia.

Acest set de reguli face ca prelucrarea pe baza de consimtamant sa ridice numeroase

probleme practice. De aceea, trebuie sa analizati daca intr-adevar consimtamantul este temeiul
juridic adecvat prelucrarilor de date cu caracter personal pe care doriti sa le realizati sau exista un
alt temei juridic mai potrivit. Determinarea este cu atat mai importanta cu cat alegerea temeiului
juridic este unica si, in principiu, nu poate fi schimbata ulterior inceperii prelucrarii.

Spre exemplu, daca prelucrarea datelor personale ale clientilor/angajatilor etc. este efectuata
in scop de marketing (transmiterea de alerte legale/newslettere prin e-mail/colectarea activitatii
online a persoanelor care va acceseaza site-ul in acelasi scop), atunci aceasta prelucrare va
trebui sa aiba la baza un consimtamant obtinut in mod legal de la persoanele vizate.

Retineti faptul ca trebuie sa existe forme de comunicare activa in cazul in care se invoca
consimtamantul persoanei vizate. In timp ce consimtamantul va poate oferi un temei in sensul
prelucrarii datelor cu caracter personal, semnalam ca nu este intotdeauna posibila o asemenea
ipoteza sau chiar de dorit.

Daca aveti de gand sa va bazati pe consimtamantul persoanei vizate, trebuie sa va asigurati ca

aceste persoane stiu exact ce fel de date veti prelucra si ca inteleg implicatiile asupra lor. Ele
trebuie sa cunoasca daca este sau nu necesara prelucrarea. Nu trebuie sa conditionati furnizarea
unui serviciu de obtinerea consimtamantului persoanei vizate.

Obtineti consimtamantul pentru prelucrarea datelor cu caracter personal daca aveti

nevoie:
 Consimtamantul sau consimtamantul explicit este o baza legala pentru prelucrarea
datelor cu caracter personal.
 Primariile au deja o baza legala pentru prelucrarea datelor cu caracter
personal (indeplinirea unei sarcini in interes public art. 6 alin. (1) lit. e) din
Regulament), deci este putin probabil, de a fi nevoie sa solicitati consimtamantul pentru
prelucrarea datelor cu caracter personal.
 Anumite functii, cum ar fi marketingul direct, impun necesitatea existentei
consimtamantului, caz in care este nevoie sa va asigurati ca acordul/consimtamantul este
conform cu GDPR si ca aveti o inregistrare a acestuia.

Actiune: Utilizati un registru pentru a lista orice date personale detinute in sistemele de
evidenta in cazul in care consimtamantul este baza legala pentru prelucrarea acestor date cu
caracter personal, si pentru fiecare dintre acestea confirmati ca aveti un consimtamant compatibil
cu GDPR si ca aveti o inregistrare a acestui lucru.

Daca colectati/utilizati date cu caracter personal in scopuri de marketing, ar trebui sa aveti in

vedere cerintele si principiile GDPR cu privire la consimtamant (art. 7 din Regulament).

Exemplu:
Completati sistemul de Consimtamant obtinut conform Consimtamant inregistrat conform
evidenta/activitatea GDPR GDPR
Primaria transmite
Consimtamant inregistrat in (N/A -
newsletter pentru Consimtamant obtinut la data
numele sistemului/dispozitivului
actiunile/evenimentele de N/A
etc.)
desfasurate

In general, primariile nu vor trebui sa solicite aprobarea sau acordul explicit pentru a prelucra
datele cu caracter personal, deoarece acestea au deja o baza legala pentru prelucrarea datelor,
desi conceptul de consimtamant in ceea ce priveste unele dintre activitatile primariei va ramane
important spre exemplu, pentru transmiterea de newsletter.
Distinct de consimtamant, Regulamentul permite organzatiilor sa prelucreze date cu
caracter personal in baza urmatoarelor temeiuri legale:

o Prelucrare necesara pentru incheierea si executarea unui contract (art. 6 alin. (1)
lit. (b) din Regulament)

Elementul-cheie care justifica utilizarea acestui temei juridic este necesitatea incheierii sau
executarii unui contract. In acest context, prelucrarea este legala daca:

a. exista un contract valabil incheiat intre operator si persoana vizata, pentru a carui
executare este necesara prelucrarea de date cu caracter personal; sau
b. in faza pre-contractuala, la solicitarea persoanei vizate, este nevoie de prelucrarea
anumitor date cu caracter personal in vederea incheierii contractului.

In mod contrar, prelucrarea NU se poate baza pe temeiul incheierii/executarii contractului daca:

a. trebuie prelucrate datele unei persoane, alta decat cea cu care se incheie contractul;
b. in faza precontractuala, initiativa incheierii contractului apartine operatorului sau apartine
unei terte persoane.

Cerinta necesitatii prelucrarii pentru incheierea sau executarea unui contract nu inseamna
intotdeauna ca prelucrarea este esentiala in acest scop. Totusi, orice prelucrare trebuie sa fie
limitata la si proportionala cu scopul urmarit. Cu alte cuvinte, prelucrarea datelor personale
avand ca temei necesitatea incheierii unui contract va viza doar acele date personale ale
persoanei vizate necesare incheierii/executarii contractului.

o Prelucrarea este necesara pentru indeplinirea unei obligatii legale (art. 6 alin. (1) lit.
(c) din Regulament)

Prelucrarea datelor cu caracter personal in vederea conformarii operatorului/persoanei

imputernicite de operator cu una sau mai multe obligatii legale, presupune existenta unor
norme legale aplicabile care sa oblige operatorul la prelucrarea datelor cu caracter
personal sau activitatea specifica la care legea obliga sa implice o prelucrare a datelor cu
caracter personal, si astfel, aceasta din urma sa fie legitimata de cea dintai.

De asemenea, prelucrarea impusa printr-o decizie administrativa/hotarare judecatoreasca (ele

insele luate in temeiul unei abilitari legale) poate fi justificata tot prin necesitatea conformarii
unei obligatii legale.

Este important de precizat ca prelucrarea datelor cu caracter personal trebuie sa fie necesara
conformarii obligatiei legale. Daca se poate asigura in mod rezonabil conformarea cu norma
legala, fara respectiva prelucrare sau printr-o prelucrare mai

putin intruziva, acest temei nu va putea fi invocat pentru prelucrarea excedentara realizata,
prelucrarea fiind nelegala.
De exemplu: Personalul care activeaza in cadrul serviciului arhiva se ocupa de arhivarea
documentelor institutiei in conformitate cu prevederile Legii Arhivelor Nationale nr. 16/1996,
asigurand evidenta, inventarierea, selectionarea, pastrarea si folosirea documentelor pe care
le detine.

De asemenea, exemplificativ enuntam obligatiile legale legate de pastrarea documentatiei

contabile, a dosarelor personale ale salariatilor, obligatia de asigurare a sanatatii si securitatii in
munca, de pastrare a confidentialitate atunci cand se solicita accesul la informatii care trebuie sa
ramana confidentiale etc.

o Prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau
ale altei persoane fizice (art. 6 alin. (1) lit. (d) din Regulament) temei legal de
prelucrare a carui incidenta o intrevedem redusa, spre exemplu, ar putea fi incident in
cazul desfasurarii operatiunilor de salvare sau acordarii primului ajutor persoanelor
vizate.
o Prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes
public sau care rezulta din exercitarea autoritatii publice cu care este investit
operatorul (art. 6 alin. (1) lit. (e) din Regulament) Primariile vor prelucra in mare
parte datele cu caracter personal obisnuite in baza acestui temei legal de
prelucrare (a se vedea analiza efectuata mai sus).
o Prelucrare necesara in scopul realizarii unui interes legitim (art. 6 alin. (1) lit. (f)
din Regulament)

Interesul legitim este cel mai flexibil temei juridic de prelucrare a datelor cu caracter personal si,
de aceea, utilizarea acestui temei trebuie calibrata in mod adecvat. In mod tipic, acest temei poate
fi folosit doar in cazurile in care prelucrarea are un

impact minimal asupra persoanelor vizate. Pentru o intemeiere a prelucrarii pe existenta unui
interes legitim al operatorului, prelucrarea datelor cu caracter personal trebuie sa indeplineasca
trei conditii:

a. Testul scopului legitim. Trebuie sa urmariti un interes legitim, al dumneavoastra sau al

unui tert. Interesul legitim poate fi un interes comercial, profesional sau un scop mai larg,
de exemplu un interes social.
b. Testul necesitatii. Prelucrarea trebuie sa fie proportionala si limitata pentru atingerea
interesului legitim urmarit. Daca respectivul interes poate fi atins printr-o prelucrare mai
putin intruziva/cuprinzatoare, nu poate fi utilizat acest temei.
a. Testul raportarii la interesele persoanei vizate. Ca principiu, prelucrarea trebuie sa fie
previzibila pentru persoana vizata si sa nu creeze un prejudiciu/ inconvenient persoanei
vizate.

Important: Nu intotdeauna interesele persoanei vizate trebuie aliniate cu cele ale operatorului.
Pot exista situatii in care interesele operatorului pot prevala asupra celor ale persoanei vizate in
cadrul unei prelucrari legitime.

Apreciem ca datele cu caracter personal obisnuite (nume, prenume, date de contact, adresa,
e-mail, numar telefon etc.) prelucrate in special de catre primarii vor avea ca temei legal
contractul (art. 6 alin. (1) lit. b) din Regulament) si indeplinirea unei sarcini in interes
public (art. 6 alin. (1) lit. e) din Regulament), in plus fata de cerintele legislatiei din
domeniu (art. 6 alin. (1) lit. c) din Regulament). De asemenea, apreciem ca temei legal incident
in unele siuatii si consimtamantul persoanei vizate (art. 6 alin. 1 lit. a) din Regulament), precum
si interesul legitim (art. 6 alin. 1 lit. f) din Regulament).

Important! Temeiurile legale mai sus mentionate se aplicarii prelucrarii datelor cu

caracter personal obisnuite. Regulamentul prevede, de asemenea, reguli speciale de prelucrare
a datelor cu caracter personal speciale (art. 9 din Regulament). Daca Primaria utilizeaza datele
biometrice care identifica unic o persoana vizata (spre exemplu, amprenta digitala, imagini
surprinse de camere video), prelucrarea acestor date cu caracter personal se va efectua in
conformitate cu art. 9 alin. (2) din Regulament.

Temeiul legal de prelucrare a datelor cu

caracter personal specific autoritatilor
publice locale din perspectiva GDPR
04 Nov 2018favorite

Raspuns oferit de
Alina MateiAvocat

Ce aduce nou GDPR?

GDPR instituie un sistem de protectie consolidat a datelor cu caracter personal. GDPR impune in sarcina
entitatilor care prelucreaza date cu caracter personal transparenta (comunicari active cu persoanele
vizate) si responsabilitate (dovezi certe de protectie a datelor cu caracter personal si de respectare a
drepturilor persoanelor vizate). Stabileste o serie de garantii specifice pentru a proteja cat mai eficient
viata privata a minorilor, in special in mediul online.

Regulamentul (UE) 2016/679 consolideaza drepturile garantate persoanelor vizate si introduce noi
drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor, dreptul la restrictionarea prelucrarii.

Desi sub vechea reglementare lupta in ceea ce priveste protectia datelor cu caracter personal se dadea
in principal intre operator si autoritate, acum se interpune un actor ce poate fi extrem de diversificat, cu
asteptari si cerinte diferite in raport de datele cu caracter personal care ii apartin si pe care i le prelucrati,
motiv pentru care orice entitate care prelucreaza date cu caracter personal trebuie sa fie pregatita din
toate punctele de vedere.

Indeplinirea unei sarcini care serveste unui interes public (art. 6 alin. (1) lit. e) din Regulamentul
nr. 679/2016)

Va puteti baza pe acest temei legal de prelucrare a datelor cu caracter personal atunci cand prelucrati
date cu caracter personal:

 in exercitiul autoritatii publice cu care sunteti investit. Acest lucru se refera la functiile publice si
atributiile prevazute de lege; sau pentru a efectua o activitate specifica in interes public, care este
stabilita de lege.
 pentru indeplinirea unei sarcini specifice in interes public stabilita de lege;

Acest temei legal de prelucrare este cel mai relevant pentru autoritatile/institutiile publice, dar se poate
aplica de catre orice organizatie care exercita autoritate oficiala sau care indeplineste sarcini in interes
public.

Nu trebuie sa invocati o abilitare legala speciala pentru prelucrarea datelor cu caracter personal daca
sarcinile si atributiile aferente, functia sau autoritatea au o baza legala clara.

Aceste prelucrari trebuie sa fie necesare. Daca in mod rezonabil aveti posibilitatea de a indeplini sarcinile
sau sa va exercitati atributiile intr-o maniera mai putin intruziva, acest temei legal de prelucrare nu se
aplica.

In cazul in care aveti posibilitatea sa evidentiati faptul ca actionati in exercitiul autoritatii publice, inclusiv in
contextul utilizarii competentei dumneavoastra, nu exista niciun test suplimentar al interesului public. Cu
toate acestea, trebuie sa demonstrati ca prelucrarea este necesara in acest scop.

Necesar inseamna ca prelucrarea trebuie sa fie directionata si proportionala pentru atingerea scopului.
Nu detineti un temei legal de prelucrare daca exista o alta cale rezonabila si mai putin intruziva pentru
atingerea aceluiasi rezultat. Concentrarea dumneavoastra ar trebui sa se axeze in a demonstra ca
efectuati o activitate in interes public sau ca sunteti in exercitarea autoritatii publice.

Documentati-va deciziile daca va intemeiati pe acest temei legal de prelucrare pentru a va ajuta sa
demonstrati conformitatea impusa de GDPR. Ar trebui sa aveti posibilitatea de a specifica sarcina
relevanta, functia sau abilitatea si de a identifica baza statutara sau a dreptului comun.

Ce inseamna sarcina in interes public ?

Desi acest temei legal de prelucrare exista si in forma anterioara a legislatiei intr-o forma similara,
distinctia este data acum de necesitatea ca sarcina necesar a fi indeplinita in interes public sau
autoritatea sa fie clar prevazuta in lege.

GDPR este destul de clar in privinta faptului ca autoritatile publice nu se mai pot baza in prelucrarile pe
care le efectueaza pe interesul legitim pentru a prelucra date cu caracter personal in indeplinirea
sarcinilor lor. In trecut, unele dintre aceste tipuri de prelucrari este posibil sa fi fost efectuate pe interesul
legitim. In calitate de autoritati publice, primariile trebuie sa ia in considerare acest temei legal de
prelucrare pentru mare parte dintre activitatilor lor de prelucrare a datelor cu caracter personal.

GDPR instituie cerinte noi in privinta responsabilitatii. Ar trebui sa va documentati baza legala de
prelucrare pentru a demonstra ca aceasta se aplica. In mod specific, ar trebui sa identificati o baza legala
de prelucrare in legislatia aplicabila pentru o anumita sarcina concreta pentru indeplinirea careia
prelucrati date cu caracter personal.

De asemenea, trebuie sa va actualizati politica de confidentialitate incluzand temeiurile legale aplicabile,

informand persoanele vizate cu privire la acest lucru.

Ce inseamna prevazut de lege ?

Articolul 6 alin. (3) din Regulament solicita ca sarcina relevanta sau autoritatea sa fie prevazuta de legea
nationala sau europeana. Adesea acest lucru implica o functie statutara. In orice caz, Considerentul 41
din Regulament clarifica ca nu este necesar sa fie o dispozitie legala expresa, atata timp cat legea este
clara si previzibila. Acest lucru inseamna ca poate include sarcini clare de drept comun, functii sau puteri,
precum cele prevazute de dispozitiile legale.

Considerentul 41 din Regulament: Ori de cate ori prezentul regulament face trimitere la un temei juridic
sau la o masura legislativa, aceasta nu necesita neaparat un act legislativ adoptat de catre un parlament,
fara a aduce atingere cerintelor care decurg din ordinea constitutionala a statului membru in cauza. Cu
toate acestea, un astfel de temei juridic sau o astfel de masura legislativa ar trebui sa fie clara si precisa,
iar aplicarea acesteia ar trebui sa fie previzibila pentru persoanele vizate de aceasta, in conformitate cu
jurisprudenta Curtii de Justitie a Uniunii Europene Curtea de Justitie si a Curtii Europene a Drepturilor
Omului.

Nu aveti nevoie de autoritate legala specifica pentru activitatea de prelucrare. Ideea este ca scopul
dumneavoastra general trebuie sa fie subsumat efectuarii unei activitati de interes public sau exercitarii
autoritatii oficiale, si ca, in ansamblu, sarcina sau autoritatea are o baza legala suficient de clara.

Cine se poate baza pe acest temei legal de prelucrare?

Orice organizatie care exercita autoritate publica sau care indeplineste sarcini in interes public, chestiune
care trebuie analizata din perspectiva naturii functiei, si nu a naturii organizatiei.

Spre exemplu, o companie privata care furnizeaza utilitati publice se poate baza pe acest temei legal de
prelucrare chiar daca nu suntem in prezenta unei autoritati publice. Si asta pentru ca ele sunt considerate
a actiona in indeplinirea functiilor administratiei publice, exercitand puteri legale speciale pentru a efectua
servicii de utilitate in interes public. In acest caz, interesul legitim poate fi considerat ca temei legal de
prelucrare alternativ.
Cand se poate utiliza acest temei legal de prelucrare?

Sarcina publica poate acoperi prelucrarile necesare pentru:

administrarea justitiei,
functii parlamentare;

functii statutare;
functii guvernamentale;
activitati de sprijin sau pentru a promova angajamentele democratice etc.

Cu toate acestea, acest lucru nu este conceput ca fiind o lista exhaustiva. Daca aveti alte functii non-
oficiale sau sarcini de interes public care se bazeaza pe activitate publica va puteti intemeia prelucrarile
pe acest temei, cat timp baza legala pentru functia respectiva este clara si previzibila.

In scopul dovedirii responsabilitatii, ar trebui sa specificati sarcina, functia sau autoritatea relevanta si sa
identificati fundamentul legal. De asemenea, trebuie sa va asigurati ca puteti demonstra faptul ca nu
exista alte mijloace rezonabile si mai putin intruzive pentru a va atinge scopul.

Ce altceva trebuie luat in considerare?

Dreptul de stergere si la portabilitatea datelor apartinand persoanelor vizate nu se aplica daca prelucrati
date cu caracter personal in baza sarcinii publice. In schimb, acestea isi pastreaza dreptul de opozitie sau
de a obiecta.
Ar trebui sa luati in considerare un temei legal de prelucrare alternativ daca nu exista convingerea ca
prelucrarea este necesara pentru indeplinirea unei sarcini de interes public care sa fie prevazuta in lege.
In cazul primariilor, autoritatilor publice locale, posibilitatea de a se baza pe consimtamant sau interes
legitim ca temeiuri alternative este destul de limitata, dar acestea pot avea aplicabilitate in anumite
circumstante (spre exemplu, montorizare video sau transmitere de newsletter). In mod specific, interesul
legitim ramane aplicabil pentru prelucrarile de date cu caracter personal care exced sarcinii de interes
public sau autoritatii. Alte temeiuri legale de prelucrare pot fi de asemenea incidente, spre exemplu
prelucrarea este necesara pentru incheierea/executarea contractului si alte temeiuri legale nu sunt
incidente.

Retineti faptul ca GDPR mentioneaza in mod expres faptul ca anumite scopuri ar trebui sa fie considerate
compatibile cu scopurile initiale de prelucrare. Acest lucru inseamna ca daca in mod principal prelucrati
date cu caracter personal pentru indeplinirea unei sarcini publice sau unei functii, nu aveti nevoie de un
temei legal de prelucrare separat pentru prelucrarile aferente:

 indeplinirii scopurilor in interes public;

 cercetarii stiintifice; sau
 scopurilor statistice.

Daca prelucrati date cu caracter personal speciale, de asemenea trebuie sa identificati o conditie
suplimentara pentru prelucrarea datelor cu caracter personal.
Pentru a va fi mai usor sa va indepliniti responsabilitatea si obligatiile de transparenta in temeiul GDPR,
retineti sa:

 documentati deciziile pe care le luati in privinta necesitatii prelucrarii datelor cu caracter personal
pentru indeplinirea sarcinii in interes public sau exercitiul autoritatii;
 identificati sarcina relevanta sau autoritatea cu care actionati in legislatia aplicabila;
 includeti in nota de informare aspecte referitoare la scopuri sau baza legala de prelucrare a
datelor cu caracter personal.
Analiza activitatilor de prelucrare a datelor
cu caracter personal de catre primarii
04 Nov 2018favorite

Raspuns oferit de
Laurentiu PetreAvocat

Categorii de persoane vizate

GDPR se aplica tuturor salariatilor, atat contractuali, cat si functionari publici, furnizori de servicii
reprezentant persoana fizica, parteneri contractuali reprezentant persoana fizica si orice persoana fizica
aflata in evidenta dumneavoastra sau care vi se adreseaza (cetateni).

Categorii de date cu caracter personal

Datele cu caracter personal sunt clasificate de Regulament in doua mari categorii: date cu caracter
personal si date cu caracter personal speciale.

Pe langa acestea, ca o categorie ce se doreste a se apropia de categoria datelor cu caracter personal

speciale din punctul de vedere al gradului de protectie necesar a fi instituit sunt reglementate datele cu
caracter personal sensibile, cum ar fi date apartinand copiilor sau datele de identificare unica (ex. CNP).

Potrivit art. 9 din Regulament, prelucrarea datelor cu caracter personal speciale ca regula, este interzisa,
fiind prevazute exceptiile in care acestea pot fi prelucrate. Din acest motiv, GDPR solicita instituirea unui
regim de protectie mai sporit in privinta acestora. Printre datele care intra in aceasta categorie sunt si cele
legate de: originea rasiala sau etnica, de convingerile politice, religioase, filozofice ori de natura similara,
de apartenenta sindicala, date privind starea de sanatate si viata sexuala, date genetice, date biometrice
etc.

In orice primarie se prelucreaza date cu caracter personal obisnuit, speciale sau sensibile (CNP-uri, date
de contact, adrese, date privind sanatatea, date biometrice etc.) la majoritatea compartimentelor
(Contabilitate, Taxe si Impozite, Resurse Umane, Urbanism, Asistenta Sociala etc). Aceasta inseamna
ca, potrivit

Regulamentului nr. 679/2016 privind protectia persoanelor cu privire la prelucrarea datelor cu caracter
personal, toate primariile trebuie sa se conformeze dispozitiilor GDPR.

Ca atare, chiar si institutiile si autoritatile publice, deci inclusiv autoritatile administratiei publice locale,
trebuie sa fie precaute atunci cand prelucreaza date cu caracter personal speciale sau sensibile si, in
general, atunci cand prelucreaza date cu caracter personal.

Analizati si inregistrati datele cu caracter personal pe care le prelucrati in cadrul fiecarei

directii/compartiment/serviciu/birou din cadrul primariei:

 Orice format/sistem, din hartie sau electronic, de exemplu, o baza de date, care contine datele
personale identificabile reprezinta un sistem de evidenta si ar trebui sa fie luate in considerare.
 Datele pseudonimizate sunt datele care ar putea fi atribuite unei anumite persoane in cazul in
care sunt combinate cu date suplimentare. GDPR, de asemenea, se aplica unor astfel de date.
 Trebuie sa aveti reprezentarea si sa cunoasteti toate sistemele de evidenta pe care Primaria le
detine, si despre cum colectati, stocati si folositi toate datele cu caracter personal. Acestea vor
trebui sa fie revizuite in mod regulat va sugeram anual.
 Intocmiti o evidenta prin care sa identificati diferite categorii de date cu caracter personal
prelucrate de catre Primarie, pentru a confirma care este procesul de prelucrare intreprins si care
sa va permita sa adaugati orice alte prelucrari efectuati.

Ar trebui sa luati in considerare toate sistemele de evidenta pe care le detineti si care includ date cu
caracter personal. Sisteme de depozitare in format hartie si sistemele de inregistrare a datelor in format
electronic, spre exemplu, liste, foi de calcul tabelar, baze de date sau foldere, ar putea toate
reprezenta astfel de sisteme. Cel mai semnificativ sistem de inregistrare a datelor cu caracter personal
este sistemul

de inregistrare in format electronic a datelor. Toate aceste sisteme (si orice alte sisteme nestructurate
care contin date cu caracter personal) trebuie sa fie incluse sub protectia GDPR. De asemenea, trebuie
sa luati in considerare cand si cum anume colectati datele personale pe care le utilizati, modul in care le
veti stoca si pentru cat timp, si cui anume furnizati aceste informatii.

Amintiti-va ca sensul datelor cu caracter personal sub imperiul GDPR include date prin prisma carora
fiecare persoana fizica poate fi identificata indirect. Acest lucru inseamna ca, daca informatiile pe
care le prelucrati pot fi corelate ulterior cu alte informatii (pe care le detineti sau pe care altcineva le
detine) sau acestea sunt legate de alte date pentru identificarea cuiva, sunteti in prezenta unor date cu
caracter personal, chiar daca nu se poate observa la un moment dat la cine se refera.

Un exemplu ar fi cazul in care cineva detine date privind valoarea unui contract, situatie care ar conduce
la identificarea persoanei reprezentant legal al operatorului economic la care se refera daca sunt utilizate
in combinatie cu alte date (adica o lista de sume cu indicarea datelor reprezentantului legal nume,
prenume). GDPR se refera la aceste date ca fiind date pseudonimizate.

Diferenta dintre datele cu caracter personal si datele fara caracter personal

Date cu caracter personal inseamna orice informatii privind o persoana fizica identificata sau identificabila
( persoana vizata ); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau
indirect, in special prin referire la un anumit element de identificare, cum ar fi un nume, un numar de
identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice
propriei sale identitati fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Ceea ce aduce in plus Regulamentul nr. 679/2016 este o nuantare a notiunii de persoana identificabila.
Astfel, noua reglementare a extins posibilitatile de identificare a persoanei.

Diferenta specifica dintre datele cu caracter personal si celelalte informatii este determinata prin obiectul
informatiilor. Este vorba de orice informatii privind o persoana fizica identificata sau
identificabila. Diferenta specifica prin care se contureaza in sfera larga a notiunii de informatii o
categorie speciala de informatii, respectiv datele cu caracter personal, este totalitatea elementelor
personalitatii, iar nu numai suma aspectelor insumand anumite criterii de identificare a persoanei fizice.

Spre exemplu, nu reprezinta date cu caracter personal in mod singular anumite sume/cifre/valori
cuprinse intr-un document. Daca veti utiliza aceste elemente in combinatie cu numele si prenumele unei
anumite persoane vizate, atunci ele dobandesc valenta datelor cu caracter personal.

Important! Atunci cand va confruntati cu o solicitare de acces la informatii de interes public delimitati
datele cu caracter personal de informatiile de interes public, prin efectuarea unui examen de echilibru
intre interesul public si viata privata, pentru a nu va confrunta cu situatii nedorite determinate de refuzul
de a raspunde unei solicitari intemeiate pe legislatia ce prevede accesul la informatii de interes public cu
argumentarea ca ar fi vorba despre date cu caracter personal sau de incalcare a obligatiei de
confidentialitate, divulgand in mod nelegal informatii/date cu caracter personal care trebuie sa ramana
confidentiale.

Documentatia primariilor ce cuprinde date cu caracter personal

Aparatul de specialitate al Primarului este structurat pe compartimente, directii, servicii, birouri in

cadrul carora circula documente ce contin date cu caracter personal.

Spre exemplu:

 dispozitii cu caracter individual emise de Primar si care vizeaza o persoana fizica sau un
reprezentant al unei persoane juridice;
 acte administrative, dintre care enumeram: certificate de urbanism, autorizatii de construire si
desfiintare, avize etc.;
 extrase de carte funciara pentru informare;
 listele electorale permanente cuprinzand alegatorii cu domiciliul sau resedinta la nivel local;
 liste electorale complementare cuprinzand cetatenii Uniunii Europene cu drept de vot care au
domiciliul sau resedinta in unitatea administrativ-teritoriala de referinta si copii ale acestora;
 contracte de achizitii publice si documentatia aferenta procedurii in cuprinsul carora se regasesc
date cu caracter personal ale reprezentantilor legali ai societatilor;
 agende de lucru;
 procese-verbale;
 plangeri, reclamatii, sesizari etc.;
 registre speciale;
 documentatia aferenta anchetelor sociale efectuate;
 facturi, chitante, deconturi, dispozitii de plata/incasare;
  contracte individuale de munca, fise de post, acte aditionale, cereri de concediu etc.

Categorii speciale de date cu caracter

personal - pentru primarii
04 Nov 2018favorite

Raspuns oferit de
Laurentiu PetreAvocat

Potrivit RGPD, in principiu, prelucrarea datelor speciale cu caracter personal este interzisa.

Aceste categorii de date sunt considerate extrem de sensibile si se impune un standard de protectie
ridicat pentru asigurarea protectiei lor.

Concret, pentru prelucrarea adecvata a acestor categorii de date, pe langa identificarea unui temei de
prelucrare potrivit art. 6 din Regulament, trebuie indeplinita cel putin una dintre conditiile de
prelucrare reglementate de art. 9 alin. (2) din Regulament, respectiv:

a. consimtamantul explicit al persoanei vizate;

b. prelucrarea este necesara in scopul indeplinirii obligatiilor si al exercitarii unor drepturi
specifice ale operatorului sau ale persoanei vizate in domeniul ocuparii fortei de munca si al
securitatii sociale si protectiei sociale;
c. prelucrarea este necesara pentru protejarea intereselor vitale ale persoanei vizate sau ale unei
alte persoane fizice, atunci cand persoana vizata se afla in incapacitate fizica sau juridica de a-si
da consimtamantul;
d. prelucrarea este efectuata in cadrul activitatilor lor legitime si cu garantii adecvate de catre o
fundatie, o asociatie sau orice alt organism fara scop lucrativ si cu specific politic, filozofic,
religios sau sindical;
 a. prelucrarea se refera la date cu caracter personal care sunt facute publice in mod manifest de
catre persoana vizata;
b. prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept in
instanta sau ori de cate ori instantele actioneaza in exercitiul functiei lor judiciare;
c. prelucrarea este necesara din motive de interes public major;
d. prelucrarea este necesara in scopuri legate de medicina preventiva sau a muncii, de
evaluarea capacitatii de munca a angajatului, de stabilirea unui diagnostic medical, de
furnizarea de asistenta medicala sau sociala sau a unui tratament medical sau de
gestionarea sistemelor si serviciilor de sanatate sau de asistenta sociala in temeiul dreptului
Uniunii sau al dreptului intern sau in temeiul unui contract incheiat cu un cadru medical si sub
rezerva respectarii conditiilor si garantiilor prevazute la alineatul (3); (in acest caz, datele cu
caracter personal pot fi prelucrate de catre un profesionist supus obligatiei de pastrare a
secretului profesional sau sub responsabilitatea acestuia);
e. prelucrarea este necesara din motive de interes public in domeniul sanatatii publice; sau
f. prelucrarea este necesara in scopuri de arhivare in interes public, in scopuri de cercetare
stiintifica sau istorica ori in scopuri statistice.

De regula, conditiile legale in baza carora Primariile pot prelucra categorii speciale de date cu caracter
personal sunt cele prevazute de art. 9 alin. (2) lit. (b), (f), (g), (h) (i) si (j) din Regulament.

Cum ar trebui identificate in concret temeiurile legale de prelucrare pentru fiecare activitate de
prelucrare? Aceasta constatare necesita in prealabil in mod firesc identificarea tuturor fluxurilor de date,
a proceselor aferente acestora, precum si a categoriilor datelor cu caracter personal prelucrate de catre
fiecare departament al autoritatii, activitati ce se subsumeaza activitatii de auditare.

Asigurati-va in privinta bazei legale de prelucrare a datelor cu caracter personal intrucat:

 GDPR impune tuturor organizatiilor sa aiba o baza legala pentru prelucrarea datelor cu caracter
personal. Pentru multe date cu caracter personal obisnuite (nume, prenume, adresa, date de
contact) prelucrate in primarii, acest lucru va fi reprezentat de art. 6 alin. 1 lit. e) din
Regulament pentru indeplinirea unei activitati efectuate in interesul public .
 Datele cu caracter personal speciale, spre exemplu, cele privind sanatatea sunt protejate o data
in plus si primariile trebuie sa aiba unul dintre motivele legale stabilite de GDPR pentru
prelucrarea acestora. Conform art. 9 alin. (2) lit. h) din Regulament, acestea includ: in scopuri
legate de medicina muncii sau a muncii, evaluarea capacitatii de munca a angajatului,
furnizarea de asistenta sociala, gestionarea sistemelor de asistenta sociala .
 Va trebui sa luati in considerare datele personale despre angajati.
 Va trebui sa decideti si sa inregistrati baza dumneavoastra legala pentru prelucrare.
Actiune: Stabiliti si inregistrati baza legala pentru prelucrarea datelor cu caracter personal, precum si
detaliile suplimentare pentru prelucrarea categoriilor speciale de date cu caracter personal. Fiecare tip de
prelucrare se inregistreaza separat.

Exemple de activitati de prelucrare a datelor cu caracter personal:

 Intocmirea listelor electorale etc.

 Efectuarea anchetelor sociale
 Activitati desfasurate in interes public (SSM, PSI etc.), servicii de livrare si audituri ale primariei
 Verificarea platilor prin raze RX daca este aplicabil
 Dosarele personalului propriu
  Eliberarea titlurilor de proprietate
 Eliberarea proceselor verbale de punere in posesie
 Vanzarea imobilelor catre chiriasi
 Eliberarea de copii ale documentelor
 Exercitarea actiunilor in justitie etc.

Suplimentar bazei legale pe care trebuie sa o stabiliti pentru orice prelucrare de date cu caracter
personal, trebuie sa fiti in masura sa oferiti garantii cu privire la prelucrarea categoriilor speciale de date
cu caracter personal, cum ar fi datele privind sanatatea/date biometrice etc. In practica, acest lucru
inseamna ca in unele dintre cazuri va exista un proces alcatuit din doua etape: prima etapa va consta
in stabilirea bazei legale ce se aplica tuturor datelor cu caracter personal (art. 6 din Regulament), iar a
doua etapa, pentru ca sunt prelucrate o categorie speciala de date cu caracter personal, consta in
stabilirea unei baze legale de prelucrare pentru acestea (articolul 9 din Regulament).

Prima etapa: in general, primariile au o baza legala pentru prelucrarea datelor cu caracter personal,
deoarece aceasta este necesara pentru indeplinirea unei sarcini efectuate in interesul public (art. 6
alin. 1 lit. e) din Regulament). In unele circumstante, primariile ar putea, de asemenea, sa spuna ca
prelucrarea este necesara pentru respectarea unei obligatii legale" art. 6 alin. 2 lit. c) din
Regulament).

Pentru serviciile acordate si comandate la nivel local pe baza unui contract, prelucrarea poate fi necesara
pentru pentru executarea unui contract art. 6 alin. 1 lit. b) din Regulament. Baza legala pentru
prelucrarea datelor cu caracter personal trebuie sa fie inregistrata, mentionata in scris.

A doua etapa: Categoriile speciale de date cu caracter personal, inclusiv date privind sanatatea, pot fi
prelucrate numai pentru motivele specificate la articolul 9 alin.(2) din Regulament. In cazul primariilor,
motivele sunt circumscrise in general necesitatii in scopuri legate de medicina muncii, evaluarea
capacitatii de munca a angajatului, furnizarea de asistenta sociala, gestionarea sistemelor de
asistenta sociala sau in domeniul ocuparii fortei de munca si al securitatii sociale sau pentru
constatarea, exercitarea sau apararea unui drept in instanta sau din motive de interes public
major sau in scopuri de arhivare in interes public .

Atunci cand sunt prelucrate date cu caracter personal pentru aceste motive sau de catre o persoana ce
are obligatia de asigurare a confidentialitatii in temeiul unei dispozitii legale, fiecare dintre categoriile de
persoane mentionate trebuie sa fie responsabila pentru prelucrarea datelor cu caracter personal pe care
le efectueaza.

Recomandam primariilor sa uzeze de baza legala pentru prelucrarea datelor cu caracter personal ce
apartin angajatului, respectiv pentru indeplinirea unei sarcini de interes public . S-ar putea
argumenta, de asemenea, ca informatiile despre angajati pot fi prelucrate pentru executarea contractului
de munca sau a obligatiilor legale. In orice caz, consimtamantul angajatului pentru prelucrarea datelor cu
caracter personal nu este necesar atunci cand angajatorul (autoritatea publica locala) trebuie sa se
conformeze obligatiilor fiscale si nationale de asigurare.