O reglementare binevenită, de natură să pună capăt interpretărilor şi discuţiilor privind accesul la datele cu caracter personal, a fost dată printr-o recentă Decizie a președintelui Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal privind condiţiile prelucrării codului numeric personal şi a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală.
Decizia nr. 132/2011 a fost publicată în Monitorul oficial nr. 929 din 28 decembrie 2011.
Potrivit acestei reglementări, prelucrarea datelor cu caracter personal, inclusiv dezvăluirea acestora către terţi, se face numai în condiţiile stabilite prin Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare, şi anume:
– persoana vizată şi-a dat în mod expres consimţământul; sau
– prelucrarea este prevăzută în mod expres de o dispoziţie legală; sau
– în alte cazuri, cu avizul Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal şi numai cu condiţia instituirii unor garanţii adecvate pentru respectarea drepturilor persoanelor vizate.
Sunt date cu caracter personal, cu funcţie de identificare de aplicabilitate generală, acele numere prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care au aplicabilitate generală, cum ar fi: codul numeric personal, seria şi numărul actului de identitate, numărul paşaportului, al permisului de conducere, numărul de asigurare socială sau de sănătate. Aceste date sunt supuse regulilor specifice de prelucrare.
În domeniul prelucrării datelor cu caracter personal, consimţământul persoanei vizate reprezintă orice manifestare de voinţă expresă, liberă, specifică şi informată, prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc. Consimţământul trebuie dat în mod expres, într-o formă care să permită dovedirea acestuia de către operator.
Garanţii. O situaţie asupra căreia se insistă în Decizia amintită se referă la prelucrarea datelor şi dezvăluirea acestora către terţi cu avizul Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal. De asemenea, operatorul trebuie să respecte principiul caracterului adecvat, pertinent şi neexcesiv, precum şi măsurile de confidenţialitate şi de securitate a prelucrărilor. În acest sens va avea în vedere, în principal, instituirea următoarelor garanţii adecvate:
– scopul prelucrării să fie determinat, explicit şi legitim;
– stabilirea şi aplicarea unor măsuri prin care să se asigure exercitarea drepturilor persoanelor vizate;
– durata de stocare a datelor să fie pe perioada strict necesară îndeplinirii scopului, după care datele vor fi şterse sau distruse, după caz;
– stabilirea modalităţilor de acces la sistemele de evidenţă în vederea colectării datelor, în funcţie de care va stabili şi va respecta măsuri tehnice şi organizatorice adecvate pentru protejarea datelor;
– utilizarea datelor numai în limitele scopului stabilit;
– dezvăluirea către alţi destinatari este interzisă, cu excepţia situaţiei în care există consimţământul persoanei vizate sau o prevedere legală expresă;
– desemnarea, în scris, a persoanei/persoanelor care va/vor prelucra datele şi care trebuie să îşi asume răspunderea păstrării confidenţialităţii acestora; lista conţinând evidenţa acestor persoane va fi actualizată ori de câte ori se impune;
– numirea, în scris, a unei persoane specializate în securitatea informaţiei care să vegheze la prelucrarea datelor, inclusiv la buna funcţionare a sistemelor informatice utilizate în această activitate;
– stabilirea unui plan de securitate a informaţiilor care să cuprindă, în principal, securitatea tehnică pe plan informatic şi securitatea spaţiilor în care se prelucrează datele, ţinând cont de cerinţele minime de securitate;
– stabilirea, în scris, a drepturilor şi obligaţiilor operatorului care transmite datele şi ale operatorului care le primeşte.
Drepturile persoanelor vizate sunt asigurate în condiţiile Legii nr. 677/2001, pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare.
Cu respectarea prevederilor aceleiaşi legi – numai în aceste condiţii – se poate face şi dezvăluirea acestora exclusiv în scopuri jurnalistice, literare sau artistice.
Decizia mai stabileşte şi condiţiile în care operatorul are voie să colecteze şi să prelucreze date personale obţinute din documente accesibile publicului.