Documente Academic
Documente Profesional
Documente Cultură
Raspuns oferit de
Alexandru MATEIAvocat
Toate autoritatile/institutiile publice care prelucreaza date cu caracter personal, prin mijloace
automatizate sau prin alte mijloace decat cele automatizate trebuie sa aplice Regulamenul (UE)
2016/679.
Prelucrarea datelor cu caracter personal se poate realiza in mod legal numai daca se bazeaza pe
unul dintre temeiurile juridice prevazute la art. 6 alin. (1) din Regulament, respectiv:
a. consimtamantul persoanei vizate;
b. prelucrarea este necesara pentru incheierea sau executarea unui contract;
c. prelucrarea este necesara pentru indeplinirea unei obligatii legale;
d. prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale
altei persoane fizice;
e. prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes
public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;
f. prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o
parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile
fundamentale ale persoanei vizate.
Sunt necesare cateva precizari privind selectarea temeiului juridic de prelucrare adecvat fiecarei
categorii de prelucrare de date cu caracter personal:
a. tinand cont de scopurile urmarite prin prelucrarea datelor cu caracter personal, primul pas
in evaluarea conformitatii unei prelucrari de date este determinarea temeiului juridic in
baza caruia se face prelucrarea. Fara un temei juridic corect identificat, prelucrarea
incalca prevederile RGPD;
b. alegerea temeiului de prelucrare trebuie facuta corect de la inceput, schimbarea ulterioara
a temeiului, fara justificare adecvata, este echivalenta cu o neconformitate;
c. alegerea temeiului de prelucrare trebuie documentat (cel mai frecvent, prin evidenta
activitatilor de prelucrare);
d. persoanele vizate trebuie informate cu privire la temeiul prelucrarii, ca principiu, inainte
de inceperea prelucrarii.
o Prelucrare bazata pe consimtamantul persoanei vizate (art. 6 alin. (1) lit. (a) din
Regulament)
Spre exemplu, daca prelucrarea datelor personale ale clientilor/angajatilor etc. este efectuata
in scop de marketing (transmiterea de alerte legale/newslettere prin e-mail/colectarea activitatii
online a persoanelor care va acceseaza site-ul in acelasi scop), atunci aceasta prelucrare va
trebui sa aiba la baza un consimtamant obtinut in mod legal de la persoanele vizate.
Retineti faptul ca trebuie sa existe forme de comunicare activa in cazul in care se invoca
consimtamantul persoanei vizate. In timp ce consimtamantul va poate oferi un temei in sensul
prelucrarii datelor cu caracter personal, semnalam ca nu este intotdeauna posibila o asemenea
ipoteza sau chiar de dorit.
Actiune: Utilizati un registru pentru a lista orice date personale detinute in sistemele de
evidenta in cazul in care consimtamantul este baza legala pentru prelucrarea acestor date cu
caracter personal, si pentru fiecare dintre acestea confirmati ca aveti un consimtamant compatibil
cu GDPR si ca aveti o inregistrare a acestui lucru.
Exemplu:
Completati sistemul de Consimtamant obtinut conform Consimtamant inregistrat conform
evidenta/activitatea GDPR GDPR
Primaria transmite
Consimtamant inregistrat in (N/A -
newsletter pentru Consimtamant obtinut la data
numele sistemului/dispozitivului
actiunile/evenimentele de N/A
etc.)
desfasurate
In general, primariile nu vor trebui sa solicite aprobarea sau acordul explicit pentru a prelucra
datele cu caracter personal, deoarece acestea au deja o baza legala pentru prelucrarea datelor,
desi conceptul de consimtamant in ceea ce priveste unele dintre activitatile primariei va ramane
important spre exemplu, pentru transmiterea de newsletter.
Distinct de consimtamant, Regulamentul permite organzatiilor sa prelucreze date cu
caracter personal in baza urmatoarelor temeiuri legale:
o Prelucrare necesara pentru incheierea si executarea unui contract (art. 6 alin. (1)
lit. (b) din Regulament)
Elementul-cheie care justifica utilizarea acestui temei juridic este necesitatea incheierii sau
executarii unui contract. In acest context, prelucrarea este legala daca:
a. exista un contract valabil incheiat intre operator si persoana vizata, pentru a carui
executare este necesara prelucrarea de date cu caracter personal; sau
b. in faza pre-contractuala, la solicitarea persoanei vizate, este nevoie de prelucrarea
anumitor date cu caracter personal in vederea incheierii contractului.
a. trebuie prelucrate datele unei persoane, alta decat cea cu care se incheie contractul;
b. in faza precontractuala, initiativa incheierii contractului apartine operatorului sau apartine
unei terte persoane.
Cerinta necesitatii prelucrarii pentru incheierea sau executarea unui contract nu inseamna
intotdeauna ca prelucrarea este esentiala in acest scop. Totusi, orice prelucrare trebuie sa fie
limitata la si proportionala cu scopul urmarit. Cu alte cuvinte, prelucrarea datelor personale
avand ca temei necesitatea incheierii unui contract va viza doar acele date personale ale
persoanei vizate necesare incheierii/executarii contractului.
o Prelucrarea este necesara pentru indeplinirea unei obligatii legale (art. 6 alin. (1) lit.
(c) din Regulament)
Este important de precizat ca prelucrarea datelor cu caracter personal trebuie sa fie necesara
conformarii obligatiei legale. Daca se poate asigura in mod rezonabil conformarea cu norma
legala, fara respectiva prelucrare sau printr-o prelucrare mai
putin intruziva, acest temei nu va putea fi invocat pentru prelucrarea excedentara realizata,
prelucrarea fiind nelegala.
De exemplu: Personalul care activeaza in cadrul serviciului arhiva se ocupa de arhivarea
documentelor institutiei in conformitate cu prevederile Legii Arhivelor Nationale nr. 16/1996,
asigurand evidenta, inventarierea, selectionarea, pastrarea si folosirea documentelor pe care
le detine.
o Prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau
ale altei persoane fizice (art. 6 alin. (1) lit. (d) din Regulament) temei legal de
prelucrare a carui incidenta o intrevedem redusa, spre exemplu, ar putea fi incident in
cazul desfasurarii operatiunilor de salvare sau acordarii primului ajutor persoanelor
vizate.
o Prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes
public sau care rezulta din exercitarea autoritatii publice cu care este investit
operatorul (art. 6 alin. (1) lit. (e) din Regulament) Primariile vor prelucra in mare
parte datele cu caracter personal obisnuite in baza acestui temei legal de
prelucrare (a se vedea analiza efectuata mai sus).
o Prelucrare necesara in scopul realizarii unui interes legitim (art. 6 alin. (1) lit. (f)
din Regulament)
Interesul legitim este cel mai flexibil temei juridic de prelucrare a datelor cu caracter personal si,
de aceea, utilizarea acestui temei trebuie calibrata in mod adecvat. In mod tipic, acest temei poate
fi folosit doar in cazurile in care prelucrarea are un
impact minimal asupra persoanelor vizate. Pentru o intemeiere a prelucrarii pe existenta unui
interes legitim al operatorului, prelucrarea datelor cu caracter personal trebuie sa indeplineasca
trei conditii:
Important: Nu intotdeauna interesele persoanei vizate trebuie aliniate cu cele ale operatorului.
Pot exista situatii in care interesele operatorului pot prevala asupra celor ale persoanei vizate in
cadrul unei prelucrari legitime.
Apreciem ca datele cu caracter personal obisnuite (nume, prenume, date de contact, adresa,
e-mail, numar telefon etc.) prelucrate in special de catre primarii vor avea ca temei legal
contractul (art. 6 alin. (1) lit. b) din Regulament) si indeplinirea unei sarcini in interes
public (art. 6 alin. (1) lit. e) din Regulament), in plus fata de cerintele legislatiei din
domeniu (art. 6 alin. (1) lit. c) din Regulament). De asemenea, apreciem ca temei legal incident
in unele siuatii si consimtamantul persoanei vizate (art. 6 alin. 1 lit. a) din Regulament), precum
si interesul legitim (art. 6 alin. 1 lit. f) din Regulament).
Raspuns oferit de
Alina MateiAvocat
GDPR instituie un sistem de protectie consolidat a datelor cu caracter personal. GDPR impune in sarcina
entitatilor care prelucreaza date cu caracter personal transparenta (comunicari active cu persoanele
vizate) si responsabilitate (dovezi certe de protectie a datelor cu caracter personal si de respectare a
drepturilor persoanelor vizate). Stabileste o serie de garantii specifice pentru a proteja cat mai eficient
viata privata a minorilor, in special in mediul online.
Regulamentul (UE) 2016/679 consolideaza drepturile garantate persoanelor vizate si introduce noi
drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor, dreptul la restrictionarea prelucrarii.
Desi sub vechea reglementare lupta in ceea ce priveste protectia datelor cu caracter personal se dadea
in principal intre operator si autoritate, acum se interpune un actor ce poate fi extrem de diversificat, cu
asteptari si cerinte diferite in raport de datele cu caracter personal care ii apartin si pe care i le prelucrati,
motiv pentru care orice entitate care prelucreaza date cu caracter personal trebuie sa fie pregatita din
toate punctele de vedere.
Indeplinirea unei sarcini care serveste unui interes public (art. 6 alin. (1) lit. e) din Regulamentul
nr. 679/2016)
Va puteti baza pe acest temei legal de prelucrare a datelor cu caracter personal atunci cand prelucrati
date cu caracter personal:
in exercitiul autoritatii publice cu care sunteti investit. Acest lucru se refera la functiile publice si
atributiile prevazute de lege; sau pentru a efectua o activitate specifica in interes public, care este
stabilita de lege.
pentru indeplinirea unei sarcini specifice in interes public stabilita de lege;
Acest temei legal de prelucrare este cel mai relevant pentru autoritatile/institutiile publice, dar se poate
aplica de catre orice organizatie care exercita autoritate oficiala sau care indeplineste sarcini in interes
public.
Nu trebuie sa invocati o abilitare legala speciala pentru prelucrarea datelor cu caracter personal daca
sarcinile si atributiile aferente, functia sau autoritatea au o baza legala clara.
Aceste prelucrari trebuie sa fie necesare. Daca in mod rezonabil aveti posibilitatea de a indeplini sarcinile
sau sa va exercitati atributiile intr-o maniera mai putin intruziva, acest temei legal de prelucrare nu se
aplica.
In cazul in care aveti posibilitatea sa evidentiati faptul ca actionati in exercitiul autoritatii publice, inclusiv in
contextul utilizarii competentei dumneavoastra, nu exista niciun test suplimentar al interesului public. Cu
toate acestea, trebuie sa demonstrati ca prelucrarea este necesara in acest scop.
Necesar inseamna ca prelucrarea trebuie sa fie directionata si proportionala pentru atingerea scopului.
Nu detineti un temei legal de prelucrare daca exista o alta cale rezonabila si mai putin intruziva pentru
atingerea aceluiasi rezultat. Concentrarea dumneavoastra ar trebui sa se axeze in a demonstra ca
efectuati o activitate in interes public sau ca sunteti in exercitarea autoritatii publice.
Documentati-va deciziile daca va intemeiati pe acest temei legal de prelucrare pentru a va ajuta sa
demonstrati conformitatea impusa de GDPR. Ar trebui sa aveti posibilitatea de a specifica sarcina
relevanta, functia sau abilitatea si de a identifica baza statutara sau a dreptului comun.
GDPR este destul de clar in privinta faptului ca autoritatile publice nu se mai pot baza in prelucrarile pe
care le efectueaza pe interesul legitim pentru a prelucra date cu caracter personal in indeplinirea
sarcinilor lor. In trecut, unele dintre aceste tipuri de prelucrari este posibil sa fi fost efectuate pe interesul
legitim. In calitate de autoritati publice, primariile trebuie sa ia in considerare acest temei legal de
prelucrare pentru mare parte dintre activitatilor lor de prelucrare a datelor cu caracter personal.
GDPR instituie cerinte noi in privinta responsabilitatii. Ar trebui sa va documentati baza legala de
prelucrare pentru a demonstra ca aceasta se aplica. In mod specific, ar trebui sa identificati o baza legala
de prelucrare in legislatia aplicabila pentru o anumita sarcina concreta pentru indeplinirea careia
prelucrati date cu caracter personal.
Articolul 6 alin. (3) din Regulament solicita ca sarcina relevanta sau autoritatea sa fie prevazuta de legea
nationala sau europeana. Adesea acest lucru implica o functie statutara. In orice caz, Considerentul 41
din Regulament clarifica ca nu este necesar sa fie o dispozitie legala expresa, atata timp cat legea este
clara si previzibila. Acest lucru inseamna ca poate include sarcini clare de drept comun, functii sau puteri,
precum cele prevazute de dispozitiile legale.
Considerentul 41 din Regulament: Ori de cate ori prezentul regulament face trimitere la un temei juridic
sau la o masura legislativa, aceasta nu necesita neaparat un act legislativ adoptat de catre un parlament,
fara a aduce atingere cerintelor care decurg din ordinea constitutionala a statului membru in cauza. Cu
toate acestea, un astfel de temei juridic sau o astfel de masura legislativa ar trebui sa fie clara si precisa,
iar aplicarea acesteia ar trebui sa fie previzibila pentru persoanele vizate de aceasta, in conformitate cu
jurisprudenta Curtii de Justitie a Uniunii Europene Curtea de Justitie si a Curtii Europene a Drepturilor
Omului.
Nu aveti nevoie de autoritate legala specifica pentru activitatea de prelucrare. Ideea este ca scopul
dumneavoastra general trebuie sa fie subsumat efectuarii unei activitati de interes public sau exercitarii
autoritatii oficiale, si ca, in ansamblu, sarcina sau autoritatea are o baza legala suficient de clara.
Orice organizatie care exercita autoritate publica sau care indeplineste sarcini in interes public, chestiune
care trebuie analizata din perspectiva naturii functiei, si nu a naturii organizatiei.
Spre exemplu, o companie privata care furnizeaza utilitati publice se poate baza pe acest temei legal de
prelucrare chiar daca nu suntem in prezenta unei autoritati publice. Si asta pentru ca ele sunt considerate
a actiona in indeplinirea functiilor administratiei publice, exercitand puteri legale speciale pentru a efectua
servicii de utilitate in interes public. In acest caz, interesul legitim poate fi considerat ca temei legal de
prelucrare alternativ.
Cand se poate utiliza acest temei legal de prelucrare?
functii statutare;
functii guvernamentale;
activitati de sprijin sau pentru a promova angajamentele democratice etc.
Cu toate acestea, acest lucru nu este conceput ca fiind o lista exhaustiva. Daca aveti alte functii non-
oficiale sau sarcini de interes public care se bazeaza pe activitate publica va puteti intemeia prelucrarile
pe acest temei, cat timp baza legala pentru functia respectiva este clara si previzibila.
In scopul dovedirii responsabilitatii, ar trebui sa specificati sarcina, functia sau autoritatea relevanta si sa
identificati fundamentul legal. De asemenea, trebuie sa va asigurati ca puteti demonstra faptul ca nu
exista alte mijloace rezonabile si mai putin intruzive pentru a va atinge scopul.
Dreptul de stergere si la portabilitatea datelor apartinand persoanelor vizate nu se aplica daca prelucrati
date cu caracter personal in baza sarcinii publice. In schimb, acestea isi pastreaza dreptul de opozitie sau
de a obiecta.
Ar trebui sa luati in considerare un temei legal de prelucrare alternativ daca nu exista convingerea ca
prelucrarea este necesara pentru indeplinirea unei sarcini de interes public care sa fie prevazuta in lege.
In cazul primariilor, autoritatilor publice locale, posibilitatea de a se baza pe consimtamant sau interes
legitim ca temeiuri alternative este destul de limitata, dar acestea pot avea aplicabilitate in anumite
circumstante (spre exemplu, montorizare video sau transmitere de newsletter). In mod specific, interesul
legitim ramane aplicabil pentru prelucrarile de date cu caracter personal care exced sarcinii de interes
public sau autoritatii. Alte temeiuri legale de prelucrare pot fi de asemenea incidente, spre exemplu
prelucrarea este necesara pentru incheierea/executarea contractului si alte temeiuri legale nu sunt
incidente.
Retineti faptul ca GDPR mentioneaza in mod expres faptul ca anumite scopuri ar trebui sa fie considerate
compatibile cu scopurile initiale de prelucrare. Acest lucru inseamna ca daca in mod principal prelucrati
date cu caracter personal pentru indeplinirea unei sarcini publice sau unei functii, nu aveti nevoie de un
temei legal de prelucrare separat pentru prelucrarile aferente:
Daca prelucrati date cu caracter personal speciale, de asemenea trebuie sa identificati o conditie
suplimentara pentru prelucrarea datelor cu caracter personal.
Pentru a va fi mai usor sa va indepliniti responsabilitatea si obligatiile de transparenta in temeiul GDPR,
retineti sa:
documentati deciziile pe care le luati in privinta necesitatii prelucrarii datelor cu caracter personal
pentru indeplinirea sarcinii in interes public sau exercitiul autoritatii;
identificati sarcina relevanta sau autoritatea cu care actionati in legislatia aplicabila;
includeti in nota de informare aspecte referitoare la scopuri sau baza legala de prelucrare a
datelor cu caracter personal.
Analiza activitatilor de prelucrare a datelor
cu caracter personal de catre primarii
04 Nov 2018favorite
Raspuns oferit de
Laurentiu PetreAvocat
GDPR se aplica tuturor salariatilor, atat contractuali, cat si functionari publici, furnizori de servicii
reprezentant persoana fizica, parteneri contractuali reprezentant persoana fizica si orice persoana fizica
aflata in evidenta dumneavoastra sau care vi se adreseaza (cetateni).
Datele cu caracter personal sunt clasificate de Regulament in doua mari categorii: date cu caracter
personal si date cu caracter personal speciale.
Potrivit art. 9 din Regulament, prelucrarea datelor cu caracter personal speciale ca regula, este interzisa,
fiind prevazute exceptiile in care acestea pot fi prelucrate. Din acest motiv, GDPR solicita instituirea unui
regim de protectie mai sporit in privinta acestora. Printre datele care intra in aceasta categorie sunt si cele
legate de: originea rasiala sau etnica, de convingerile politice, religioase, filozofice ori de natura similara,
de apartenenta sindicala, date privind starea de sanatate si viata sexuala, date genetice, date biometrice
etc.
In orice primarie se prelucreaza date cu caracter personal obisnuit, speciale sau sensibile (CNP-uri, date
de contact, adrese, date privind sanatatea, date biometrice etc.) la majoritatea compartimentelor
(Contabilitate, Taxe si Impozite, Resurse Umane, Urbanism, Asistenta Sociala etc). Aceasta inseamna
ca, potrivit
Regulamentului nr. 679/2016 privind protectia persoanelor cu privire la prelucrarea datelor cu caracter
personal, toate primariile trebuie sa se conformeze dispozitiilor GDPR.
Ca atare, chiar si institutiile si autoritatile publice, deci inclusiv autoritatile administratiei publice locale,
trebuie sa fie precaute atunci cand prelucreaza date cu caracter personal speciale sau sensibile si, in
general, atunci cand prelucreaza date cu caracter personal.
Orice format/sistem, din hartie sau electronic, de exemplu, o baza de date, care contine datele
personale identificabile reprezinta un sistem de evidenta si ar trebui sa fie luate in considerare.
Datele pseudonimizate sunt datele care ar putea fi atribuite unei anumite persoane in cazul in
care sunt combinate cu date suplimentare. GDPR, de asemenea, se aplica unor astfel de date.
Trebuie sa aveti reprezentarea si sa cunoasteti toate sistemele de evidenta pe care Primaria le
detine, si despre cum colectati, stocati si folositi toate datele cu caracter personal. Acestea vor
trebui sa fie revizuite in mod regulat va sugeram anual.
Intocmiti o evidenta prin care sa identificati diferite categorii de date cu caracter personal
prelucrate de catre Primarie, pentru a confirma care este procesul de prelucrare intreprins si care
sa va permita sa adaugati orice alte prelucrari efectuati.
Ar trebui sa luati in considerare toate sistemele de evidenta pe care le detineti si care includ date cu
caracter personal. Sisteme de depozitare in format hartie si sistemele de inregistrare a datelor in format
electronic, spre exemplu, liste, foi de calcul tabelar, baze de date sau foldere, ar putea toate
reprezenta astfel de sisteme. Cel mai semnificativ sistem de inregistrare a datelor cu caracter personal
este sistemul
de inregistrare in format electronic a datelor. Toate aceste sisteme (si orice alte sisteme nestructurate
care contin date cu caracter personal) trebuie sa fie incluse sub protectia GDPR. De asemenea, trebuie
sa luati in considerare cand si cum anume colectati datele personale pe care le utilizati, modul in care le
veti stoca si pentru cat timp, si cui anume furnizati aceste informatii.
Amintiti-va ca sensul datelor cu caracter personal sub imperiul GDPR include date prin prisma carora
fiecare persoana fizica poate fi identificata indirect. Acest lucru inseamna ca, daca informatiile pe
care le prelucrati pot fi corelate ulterior cu alte informatii (pe care le detineti sau pe care altcineva le
detine) sau acestea sunt legate de alte date pentru identificarea cuiva, sunteti in prezenta unor date cu
caracter personal, chiar daca nu se poate observa la un moment dat la cine se refera.
Un exemplu ar fi cazul in care cineva detine date privind valoarea unui contract, situatie care ar conduce
la identificarea persoanei reprezentant legal al operatorului economic la care se refera daca sunt utilizate
in combinatie cu alte date (adica o lista de sume cu indicarea datelor reprezentantului legal nume,
prenume). GDPR se refera la aceste date ca fiind date pseudonimizate.
Ceea ce aduce in plus Regulamentul nr. 679/2016 este o nuantare a notiunii de persoana identificabila.
Astfel, noua reglementare a extins posibilitatile de identificare a persoanei.
Diferenta specifica dintre datele cu caracter personal si celelalte informatii este determinata prin obiectul
informatiilor. Este vorba de orice informatii privind o persoana fizica identificata sau
identificabila. Diferenta specifica prin care se contureaza in sfera larga a notiunii de informatii o
categorie speciala de informatii, respectiv datele cu caracter personal, este totalitatea elementelor
personalitatii, iar nu numai suma aspectelor insumand anumite criterii de identificare a persoanei fizice.
Spre exemplu, nu reprezinta date cu caracter personal in mod singular anumite sume/cifre/valori
cuprinse intr-un document. Daca veti utiliza aceste elemente in combinatie cu numele si prenumele unei
anumite persoane vizate, atunci ele dobandesc valenta datelor cu caracter personal.
Important! Atunci cand va confruntati cu o solicitare de acces la informatii de interes public delimitati
datele cu caracter personal de informatiile de interes public, prin efectuarea unui examen de echilibru
intre interesul public si viata privata, pentru a nu va confrunta cu situatii nedorite determinate de refuzul
de a raspunde unei solicitari intemeiate pe legislatia ce prevede accesul la informatii de interes public cu
argumentarea ca ar fi vorba despre date cu caracter personal sau de incalcare a obligatiei de
confidentialitate, divulgand in mod nelegal informatii/date cu caracter personal care trebuie sa ramana
confidentiale.
Spre exemplu:
dispozitii cu caracter individual emise de Primar si care vizeaza o persoana fizica sau un
reprezentant al unei persoane juridice;
acte administrative, dintre care enumeram: certificate de urbanism, autorizatii de construire si
desfiintare, avize etc.;
extrase de carte funciara pentru informare;
listele electorale permanente cuprinzand alegatorii cu domiciliul sau resedinta la nivel local;
liste electorale complementare cuprinzand cetatenii Uniunii Europene cu drept de vot care au
domiciliul sau resedinta in unitatea administrativ-teritoriala de referinta si copii ale acestora;
contracte de achizitii publice si documentatia aferenta procedurii in cuprinsul carora se regasesc
date cu caracter personal ale reprezentantilor legali ai societatilor;
agende de lucru;
procese-verbale;
plangeri, reclamatii, sesizari etc.;
registre speciale;
documentatia aferenta anchetelor sociale efectuate;
facturi, chitante, deconturi, dispozitii de plata/incasare;
contracte individuale de munca, fise de post, acte aditionale, cereri de concediu etc.
Raspuns oferit de
Laurentiu PetreAvocat
Potrivit RGPD, in principiu, prelucrarea datelor speciale cu caracter personal este interzisa.
Aceste categorii de date sunt considerate extrem de sensibile si se impune un standard de protectie
ridicat pentru asigurarea protectiei lor.
Concret, pentru prelucrarea adecvata a acestor categorii de date, pe langa identificarea unui temei de
prelucrare potrivit art. 6 din Regulament, trebuie indeplinita cel putin una dintre conditiile de
prelucrare reglementate de art. 9 alin. (2) din Regulament, respectiv:
De regula, conditiile legale in baza carora Primariile pot prelucra categorii speciale de date cu caracter
personal sunt cele prevazute de art. 9 alin. (2) lit. (b), (f), (g), (h) (i) si (j) din Regulament.
Cum ar trebui identificate in concret temeiurile legale de prelucrare pentru fiecare activitate de
prelucrare? Aceasta constatare necesita in prealabil in mod firesc identificarea tuturor fluxurilor de date,
a proceselor aferente acestora, precum si a categoriilor datelor cu caracter personal prelucrate de catre
fiecare departament al autoritatii, activitati ce se subsumeaza activitatii de auditare.
GDPR impune tuturor organizatiilor sa aiba o baza legala pentru prelucrarea datelor cu caracter
personal. Pentru multe date cu caracter personal obisnuite (nume, prenume, adresa, date de
contact) prelucrate in primarii, acest lucru va fi reprezentat de art. 6 alin. 1 lit. e) din
Regulament pentru indeplinirea unei activitati efectuate in interesul public .
Datele cu caracter personal speciale, spre exemplu, cele privind sanatatea sunt protejate o data
in plus si primariile trebuie sa aiba unul dintre motivele legale stabilite de GDPR pentru
prelucrarea acestora. Conform art. 9 alin. (2) lit. h) din Regulament, acestea includ: in scopuri
legate de medicina muncii sau a muncii, evaluarea capacitatii de munca a angajatului,
furnizarea de asistenta sociala, gestionarea sistemelor de asistenta sociala .
Va trebui sa luati in considerare datele personale despre angajati.
Va trebui sa decideti si sa inregistrati baza dumneavoastra legala pentru prelucrare.
Actiune: Stabiliti si inregistrati baza legala pentru prelucrarea datelor cu caracter personal, precum si
detaliile suplimentare pentru prelucrarea categoriilor speciale de date cu caracter personal. Fiecare tip de
prelucrare se inregistreaza separat.
Suplimentar bazei legale pe care trebuie sa o stabiliti pentru orice prelucrare de date cu caracter
personal, trebuie sa fiti in masura sa oferiti garantii cu privire la prelucrarea categoriilor speciale de date
cu caracter personal, cum ar fi datele privind sanatatea/date biometrice etc. In practica, acest lucru
inseamna ca in unele dintre cazuri va exista un proces alcatuit din doua etape: prima etapa va consta
in stabilirea bazei legale ce se aplica tuturor datelor cu caracter personal (art. 6 din Regulament), iar a
doua etapa, pentru ca sunt prelucrate o categorie speciala de date cu caracter personal, consta in
stabilirea unei baze legale de prelucrare pentru acestea (articolul 9 din Regulament).
Prima etapa: in general, primariile au o baza legala pentru prelucrarea datelor cu caracter personal,
deoarece aceasta este necesara pentru indeplinirea unei sarcini efectuate in interesul public (art. 6
alin. 1 lit. e) din Regulament). In unele circumstante, primariile ar putea, de asemenea, sa spuna ca
prelucrarea este necesara pentru respectarea unei obligatii legale" art. 6 alin. 2 lit. c) din
Regulament).
Pentru serviciile acordate si comandate la nivel local pe baza unui contract, prelucrarea poate fi necesara
pentru pentru executarea unui contract art. 6 alin. 1 lit. b) din Regulament. Baza legala pentru
prelucrarea datelor cu caracter personal trebuie sa fie inregistrata, mentionata in scris.
A doua etapa: Categoriile speciale de date cu caracter personal, inclusiv date privind sanatatea, pot fi
prelucrate numai pentru motivele specificate la articolul 9 alin.(2) din Regulament. In cazul primariilor,
motivele sunt circumscrise in general necesitatii in scopuri legate de medicina muncii, evaluarea
capacitatii de munca a angajatului, furnizarea de asistenta sociala, gestionarea sistemelor de
asistenta sociala sau in domeniul ocuparii fortei de munca si al securitatii sociale sau pentru
constatarea, exercitarea sau apararea unui drept in instanta sau din motive de interes public
major sau in scopuri de arhivare in interes public .
Atunci cand sunt prelucrate date cu caracter personal pentru aceste motive sau de catre o persoana ce
are obligatia de asigurare a confidentialitatii in temeiul unei dispozitii legale, fiecare dintre categoriile de
persoane mentionate trebuie sa fie responsabila pentru prelucrarea datelor cu caracter personal pe care
le efectueaza.
Recomandam primariilor sa uzeze de baza legala pentru prelucrarea datelor cu caracter personal ce
apartin angajatului, respectiv pentru indeplinirea unei sarcini de interes public . S-ar putea
argumenta, de asemenea, ca informatiile despre angajati pot fi prelucrate pentru executarea contractului
de munca sau a obligatiilor legale. In orice caz, consimtamantul angajatului pentru prelucrarea datelor cu
caracter personal nu este necesar atunci cand angajatorul (autoritatea publica locala) trebuie sa se
conformeze obligatiilor fiscale si nationale de asigurare.