Respectarea termenului de şase luni Buna administrare a justiţiei impune restrângerea, în timp, a dreptului de a sesiza o jurisdicţie, pentru că aceasta nu ar putea examina toate situaţiile contrare ordinii juridice ce s-ar produce într-un timp nedeterminat. Regula termenului de 6 luni are ca scop să susţină securitatea juridică şi să se asigure că acele cauze care ridică probleme privitoare la Convenţie sunt examinate într-un termen rezonabil, evitând în acelaşi timp ca autorităţile şi alte persoane implicate să rămână mult timp în stare de incertitudine. Această regulă acordă potenţialului reclamant o perioadă de reflecţie suficientă pentru a-i permite să aprecieze oportunitatea de a introduce o cerere şi de a stabili capetele de cerere şi argumentele precise care trebuie prezentate şi facilitează stabilirea faptelor într-o cauză, deoarece examinarea echitabilă a chestiunilor invocate devine problematică odată cu trecerea timpului. Curtea nu are posibilitatea de a nu aplica regula termenului de 6 luni. Regula termenului de 6 luni nu poate fi interpretată ca obligând un reclamant să sesizeze Curtea cu cererea sa înainte ca situaţia referitoare la chestiunea în cauză să fi făcut obiectul unei decizii definitive la nivel intern.
Plângeri adresate autorităţii naţionale de supraveghere Persoanele ale căror date cu caracter personal fac obiectul unei prelucrări pot înainta plângere către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Plângerea nu poate fi înaintată dacă o cerere în justiţie, având acelaşi obiect şi aceleaşi părţi, a fost introdusă anterior. În afara cazurilor în care o întârziere ar cauza un prejudiciu iminent şi ireparabil, plângerea către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal nu poate fi înaintată mai devreme de 15 zile de la înaintarea unei plângeri cu acelaşi conţinut către operator. Dacă plângerea este găsită întemeiată, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal poate dispune suspendarea provizorie sau încetarea prelucrării datelor, ştergerea parţială sau integrală a prelucrării datelor şi poate să sesizeze organele de urmărire penală sau să intenteze acţiune în justiţie. Decizia trebuie motivată şi se comunică părţilor interesate în termen de 30 de zile de la data primirii plângerii.
Plângeri adresate autorităţii naţionale de supraveghere Persoanele ale căror date cu caracter personal fac obiectul unei prelucrări pot înainta plângere către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Plângerea nu poate fi înaintată dacă o cerere în justiţie, având acelaşi obiect şi aceleaşi părţi, a fost introdusă anterior. În afara cazurilor în care o întârziere ar cauza un prejudiciu iminent şi ireparabil, plângerea către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal nu poate fi înaintată mai devreme de 15 zile de la înaintarea unei plângeri cu acelaşi conţinut către operator. Dacă plângerea este găsită întemeiată, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal poate dispune suspendarea provizorie sau încetarea prelucrării datelor, ştergerea parţială sau integrală a prelucrării datelor şi poate să sesizeze organele de urmărire penală sau să intenteze acţiune în justiţie. Decizia trebuie motivată şi se comunică părţilor interesate în termen de 30 de zile de la data primirii plângerii.
Obligaţiile operatorilor de date cu caracter personal Operatorul de date cu caracter personal poate fi orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal sau care este astfel desemnat printr-un act normativ. Prin urmare, oricine decide să prelucreze datele cu caracter personal ale altor persoane este un „operator” în conformitate cu legislaţia privind protecţia datelor; în cazul în care mai multe persoane iau această decizie împreună, acestea pot fi „operatori comuni”. O „persoană împuternicită de către operator” este o entitate separată din punct de vedere juridic, a cărei sarcină este prelucrarea datelor cu caracter personal pe seama operatorului. O persoană împuternicită de către operator devine operator în cazul în care utilizează datele în scop personal, fără a respecta instrucţiunile unui operator. Orice persoană care primeşte date de la un operator este un „destinatar”. Un „terţ” este o persoană fizică sau juridică, care nu acţionează în conformitate cu instrucţiunile operatorului (şi nu este persoana vizată). Un „destinatar terţ” este o persoană sau o entitate separată din punct de vedere juridic de operator, dar care primeşte date cu caracter personal de la operator. Operatorii au următoarele obligaţii: - să notifice autorităţii de supraveghere orice prelucrare ori ansamblu de prelucrări având acelaşi scop sau scopuri corelate; - să nu înceapă prelucrarea datelor cu caracter personal până la primirea numărului de înregistrare comunicat de autoritatea de supraveghere; - să nu înceapă prelucrarea datelor cu caracter personal când autoritatea de supraveghere a anunţat efectuarea unui control prealabil, în cazurile unor prelucrări susceptibile de riscuri speciale; - să completeze notificarea la solicitarea autorităţii de supraveghere; - să menţioneze numărul de înregistrare a notificării, primit de la autoritatea de supraveghere, pe fiecare act prin care datele personale sunt colectate, stocate sau dezvăluite; - să comunice autorităţii de supraveghere orice schimbare de natură să afecteze exactitatea informaţiilor cuprinse în notificare, în termen de 5 zile; - să facă dovada achitării taxei de notificare sau a încadrării într-o categorie de persoane scutite de la plata taxei, conform Legii 476/2003; - să vegheze la respectarea măsurilor de securitate de către persoanele împuternicite; - să încheie contracte în formă scrisă cu persoanele împuternicite care prelucrează date cu caracter personal pe seama operatorului; - să elaboreze instrucţiuni privind asigurarea confidenţialităţii prelucrărilor pentru orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite, inclusiv pentru persoana împuternicită; - să aplice măsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea comport transmisii de date în cadrul unei reţele, precum şi împotriva oricărei forme de prelucrare ilegală.
Obligaţiile operatorilor de date cu caracter personal Operatorul de date cu caracter personal poate fi orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi structurile teritoriale ale acestora, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal sau care este astfel desemnat printr-un act normativ. Prin urmare, oricine decide să prelucreze datele cu caracter personal ale altor persoane este un „operator” în conformitate cu legislaţia privind protecţia datelor; în cazul în care mai multe persoane iau această decizie împreună, acestea pot fi „operatori comuni”. O „persoană împuternicită de către operator” este o entitate separată din punct de vedere juridic, a cărei sarcină este prelucrarea datelor cu caracter personal pe seama operatorului. O persoană împuternicită de către operator devine operator în cazul în care utilizează datele în scop personal, fără a respecta instrucţiunile unui operator. Orice persoană care primeşte date de la un operator este un „destinatar”. Un „terţ” este o persoană fizică sau juridică, care nu acţionează în conformitate cu instrucţiunile operatorului (şi nu este persoana vizată). Un „destinatar terţ” este o persoană sau o entitate separată din punct de vedere juridic de operator, dar care primeşte date cu caracter personal de la operator. Operatorii au următoarele obligaţii: - să notifice autorităţii de supraveghere orice prelucrare ori ansamblu de prelucrări având acelaşi scop sau scopuri corelate; - să nu înceapă prelucrarea datelor cu caracter personal până la primirea numărului de înregistrare comunicat de autoritatea de supraveghere; - să nu înceapă prelucrarea datelor cu caracter personal când autoritatea de supraveghere a anunţat efectuarea unui control prealabil, în cazurile unor prelucrări susceptibile de riscuri speciale; - să completeze notificarea la solicitarea autorităţii de supraveghere; - să menţioneze numărul de înregistrare a notificării, primit de la autoritatea de supraveghere, pe fiecare act prin care datele personale sunt colectate, stocate sau dezvăluite; - să comunice autorităţii de supraveghere orice schimbare de natură să afecteze exactitatea informaţiilor cuprinse în notificare, în termen de 5 zile; - să facă dovada achitării taxei de notificare sau a încadrării într-o categorie de persoane scutite de la plata taxei, conform Legii 476/2003; - să vegheze la respectarea măsurilor de securitate de către persoanele împuternicite; - să încheie contracte în formă scrisă cu persoanele împuternicite care prelucrează date cu caracter personal pe seama operatorului; - să elaboreze instrucţiuni privind asigurarea confidenţialităţii prelucrărilor pentru orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite, inclusiv pentru persoana împuternicită; - să aplice măsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea comport transmisii de date în cadrul unei reţele, precum şi împotriva oricărei forme de prelucrare ilegală.
Transferul în străinătate al datelor cu caracter personal Transferul de date cu caracter personal către un alt stat va face obiectul unei notificări prealabile a autorităţii de supraveghere, cu două excepţii: - în cazul în care transferul se face în baza prevederilor unei legi speciale sau ale unui acord internaţional ratificat de România, în special dacă transferul se face în scopul prevenirii, cercetării sau reprimării unei infracţiuni; - în cazul în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice, dacă datele au fost făcute publice în mod manifest de către persoana vizată sau sunt strâns legate de calitatea de persoană publică a persoanei vizate ori de caracterul public al faptelor în care este implicată. Transferul de date cu caracter personal către un alt stat poate avea loc în cazul în care: - nu se încalcă legea română, iar statul către care se intenţionează transferul asigură un nivel de protecţie adecvat; - transferul de date cu caracter personal se face către un stat a cărui legislaţie nu prevede un nivel adecvat, iar operatorul oferă garanţii suficiente cu privire la protecţia drepturilor fundamentale ale persoanelor. Aceste garanţii trebuie să fie stabilite prin contracte încheiate între operatorul care exportă date şi cel care le importă; - persoana vizată şi-a dat în mod explicit consimţământul pentru efectuarea transferului; - este necesar pentru executarea unui contract încheiat între persoana vizată şi operator sau pentru executarea unor măsuri precontractuale dispuse la cererea persoanei vizate; - este necesar pentru încheierea sau pentru executarea unui contract încheiat ori care se va încheia, în interesul persoanei vizate, între operator şi un terţ; - este necesar pentru satisfacerea unui interes public major, precum apărarea naţională, ordinea publică sau siguranţa naţională, pentru buna desfăşurare a procesului penal ori pentru constatarea, exercitarea sau apărarea unui drept în justiţie, cu condiţia ca datele să fie prelucrate în legătură cu acest scop şi nu mai mult timp decât este necesar; - este necesar pentru a proteja viaţa, integritatea fizică sau sănătatea persoanei vizate; - intervine ca urmare a unei cereri anterioare de acces la documente oficiale care sunt publice ori a unei cereri privind informaţii care pot fi obţinute din registre sau prin orice alte documente accesibile publicului.
Principiile prelucrării datelor cu caracter personal Legalitatea . Prelucrarea datelor cu caracter personal se face în temeiul şi conformitate cu prevederile legale; Scopul bine-determinat . Orice prelucrare de date cu caracter personal se face în scopri bine determinate, explicite şi legitime; Confidenţialitatea . Persoanele care prelucrează, în numele unei instituţii, date cu caracter personal au prevăzută în contractul de muncă şi în fişa postului o clauză de confidenţialitate. Consimţământul persoanei vizate . Un element cheie al prelucrării datelor cu caracter personal îl reprezintă acordul pe care persoana vizată trebuie să îl exprime, care se manifestă pe baza unei temeinice informării şi a propriei alegeri; Informarea . Informarea persoanelor a căror date sunt procesate se face de către instituţia care prelucrează datele personale ale persoanei vizate; Calitatea datelor . Datele care sunt procesate trebuie să fie adecvate, pertinente şi neexcesive prin raportare la scopul în care sunt colectate şi ulterior prelucrate; Protejarea persoanelor vizate . Potrivit acestui principiu, persoanele vizate au dreptul de a avea acces la datele care sunt prelucrate, de a interveni asupra acestora, de opoziţie şi de a nu fi supus unei decizii individuale, precum şi dreptul de a se adresa Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal sau instanţei de judecată pentru apărarea oricăror drepturi garantate de lege, care le-au fost încălcate; Securitatea . Măsurile de securitate a datelor cu caracter personal sunt stabilite astfel încât să asigure un nivel optim de securitate a datelor cu caracter personal processate; Notificarea . Operatorul de date cu caracter personal este notificat la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, primind un număr de operator.
Principiile prelucrării datelor cu caracter personal Legalitatea . Prelucrarea datelor cu caracter personal se face în temeiul şi conformitate cu prevederile legale; Scopul bine-determinat . Orice prelucrare de date cu caracter personal se face în scopri bine determinate, explicite şi legitime; Confidenţialitatea . Persoanele care prelucrează, în numele unei instituţii, date cu caracter personal au prevăzută în contractul de muncă şi în fişa postului o clauză de confidenţialitate. Consimţământul persoanei vizate . Un element cheie al prelucrării datelor cu caracter personal îl reprezintă acordul pe care persoana vizată trebuie să îl exprime, care se manifestă pe baza unei temeinice informării şi a propriei alegeri; Informarea . Informarea persoanelor a căror date sunt procesate se face de către instituţia care prelucrează datele personale ale persoanei vizate; Calitatea datelor . Datele care sunt procesate trebuie să fie adecvate, pertinente şi neexcesive prin raportare la scopul în care sunt colectate şi ulterior prelucrate; Protejarea persoanelor vizate . Potrivit acestui principiu, persoanele vizate au dreptul de a avea acces la datele care sunt prelucrate, de a interveni asupra acestora, de opoziţie şi de a nu fi supus unei decizii individuale, precum şi dreptul de a se adresa Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal sau instanţei de judecată pentru apărarea oricăror drepturi garantate de lege, care le-au fost încălcate; Securitatea . Măsurile de securitate a datelor cu caracter personal sunt stabilite astfel încât să asigure un nivel optim de securitate a datelor cu caracter personal processate; Notificarea . Operatorul de date cu caracter personal este notificat la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, primind un număr de operator.
Confidenţialitatea şi securitatea prelucrărilor Orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite, inclusiv persoana împuternicită, care are acces la date cu caracter personal, nu poate să le prelucreze decât pe baza instrucţiunilor operatorului, cu excepţia cazului în care acţionează în temeiul unei obligaţii legale. Operatorul este obligat să aplice măsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectivă comportă transmisii de date în cadrul unei reţele, precum şi împotriva oricărei alte forme de prelucrare ilegală. Nivelul necesar de securitate a datelor este stabilit de: elementele de securitate disponibile pe piaţă pentru orice tip specific de prelucrare, costuri şi sensibilitatea datelor prelucrate. Efectuarea prelucrărilor prin persoane împuternicite trebuie să se desfăşoare în baza unui contract încheiat în formă scrisă, care trebuie să cuprindă obligaţia persoanei împuternicite de a acţiona doar în baza instrucţiunilor primite de la operator și faptul că îndeplinirea obligaţiilor prevăzute pentru operatori revine şi persoanei împuternicite. Prelucrarea securizată a datelor este garantată în plus prin obligaţia generală a tuturor persoanelor, operatorilor sau persoanelor împuternicite de către operatori de a asigura confidenţialitatea datelor.
Confidenţialitatea şi securitatea prelucrărilor Orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite, inclusiv persoana împuternicită, care are acces la date cu caracter personal, nu poate să le prelucreze decât pe baza instrucţiunilor operatorului, cu excepţia cazului în care acţionează în temeiul unei obligaţii legale. Operatorul este obligat să aplice măsurile tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectivă comportă transmisii de date în cadrul unei reţele, precum şi împotriva oricărei alte forme de prelucrare ilegală. Nivelul necesar de securitate a datelor este stabilit de: elementele de securitate disponibile pe piaţă pentru orice tip specific de prelucrare, costuri şi sensibilitatea datelor prelucrate. Efectuarea prelucrărilor prin persoane împuternicite trebuie să se desfăşoare în baza unui contract încheiat în formă scrisă, care trebuie să cuprindă obligaţia persoanei împuternicite de a acţiona doar în baza instrucţiunilor primite de la operator și faptul că îndeplinirea obligaţiilor prevăzute pentru operatori revine şi persoanei împuternicite. Prelucrarea securizată a datelor este garantată în plus prin obligaţia generală a tuturor persoanelor, operatorilor sau persoanelor împuternicite de către operatori de a asigura confidenţialitatea datelor.
