La data de 18 noiembrie curent, Centrul Național de Protecție a Datelor cu Caracter Personal în cadrul proiectului UE Twinning „Consolidarea Capacităților Centrului Național pentru Protecția Datelor cu Caracter Personal” a organizat cursuri de instruiri cu tematica: „Cerințele și principiile de protecție a datelor cu caracter personal prin prisma noului proiect de lege privind protecția datelor cu caracter personal, conform prevederilor noului Regulament (UE) 2016/679 General privind Protecția Datelor (GDPR) și Directiva 2016/630, aplicabile din 25 mai 2018”.
Acest seminar a fost organizat cu scopul de a familiariza notarii cu cerințele și principiile de protecție a datelor cu caracter personal prin prisma noului proiect de lege privind protecția datelor cu caracter personal.
Acest proiect de lege transpune Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) și Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, publicate în Jurnalul Oficial al UE nr. L 119 din 4 mai 2016.
Regulamentul 2016/679 al Parlamentului European introduce o serie de prevederi noi în raport cu Directiva 95/46/CE, printre care:
– instituirea unor condiții mai stricte privind obținerea consimțământului de la persoana vizată, oferirea acestuia într-o formă afirmativă, inclusiv sub forma de declarație scrisă, fiind stabilit și dreptul expres al persoanei vizate de a-și retrage în orice moment consimțământul;
– fixarea dreptului persoanei vizate la ștergerea datelor (dreptul de a fi uitat), precum și a dreptului la portabilitatea datelor de la un operator la altul;
– obligația operatorului de a notifica autoritatea de supraveghere în cazul încălcării securității datelor cu caracter personal și informarea persoanei vizate cu privire la această încălcare, în termen de cel mult 72 ore de la data luării la cunoștință de acesta;
– introducerea unor sancțiuni mai dure, în special amenzi administrative.
Directiva (UE) 2016/680 a Parlamentului European și a Consiliului, de asemenea, vine cu elemente novatorii, similare cu cele ale Regulamentul 2016/679 UE, referitoare la:
– procesul decizional automatizat (art.27 din Proiectul de lege privind protecția datelor cu caracter personal);
– dreptul de rectificare și ștergerea datelor cu caracter personal (art.27 din Proiectul de lege privind protecția datelor cu caracter personal);
– desemnarea persoanei împuternicite de operator (art.42 din Proiectul de lege privind protecția datelor cu caracter personal);
– introducerea procedurii de evaluare a impactului asupra protecției datelor (art.40 din Proiectul de lege privind protecția datelor cu caracter personal).
Art. 71 alin. (5) din proiectul național, care stabilește obligația operatorului de a informa subiectul de date cu caracter personal despre limitarea dreptului său de acces și care a transpus art. 15 (3) din Directiva 2016/680/UE, constatăm că proiectul național indică că informarea subiectului se va realiza după încetarea situației care justifică limitarea dreptului de acces, însă norma UE indică informarea în scris „fără întârzieri justificate”, cu posibilitatea omiterii unei astfel de informări când acest lucru ar „contraveni unuia dintre scopurile” ce justifică limitarea. În acest context, prevederea națională referitoare la momentul informării pare a fi distinctă de cea a UE.
Proiectul de lege privind protecția datelor cu caracter personal precizează definiția subiectului de date cu caracter personal ca fiind persoana fizică identificată sau identificabilă. Mai mult, este specificat expres că persoana decedată nu poate fi subiect de date. Persoana juridică, de asemenea, nu este subiect de date cu caracter personal.
Experții din cadrul proiectului Twinning „Consolidarea capacităților Centrului Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova” au precizat că prelucrarea datelor cu caracter personal trebuie să fie limitată de scopul colectării datelor cu caracter personal.
În conformitate cu art. 5 alin. (1) al proiectului de lege, prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
a) subiectul de date și-a dat consimțământul pentru prelucrarea datelor sale personale pentru unul sau mai multe scopuri specifice;
b) prelucrarea este necesară pentru executarea unui contract la care subiectul de date este parte sau pentru a face demersuri la cererea subiectului de date înainte de încheierea unui contract.
c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
d) prelucrarea este necesară pentru protejarea vieții, integrității fizice sau a sănătății persoanei vizate sau ale altei persoane fizice;
e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea competențelor autorității publice cu care este învestit operatorul;
f) prelucrarea este necesară în scopul realizării intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale subiectului de date, care necesită protejarea datelor personale, în special atunci când subiectul de date este un copil. lit. f) nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor.
În cele mai multe cazuri, prelucrarea datelor cu caracter personal de către notari va fi justificată prin lit. b) alin. (1) art. 5 și anume îndeplinirea unei obligații care îi revine operatorului conform legii, notarul prelucrând datele cu caracter personal ale solicitanților actelor notariale în vederea îndeplinirii sarcinilor sale prevăzute de lege, de identificare a persoanei, verificare a datelor în registrele de publicitate etc.
În conformitate cu proiectul de lege privind protecția datelor cu caracter personal, operatorul și persoana împuternicită de operator desemnează responsabili de protecția datelor personale. Însă, reieșind din resursele limitate ale notarilor în calitate de operatori de date cu caracter personal, aceștia pot îndeplini funcția de responsabil de protecția datelor personale unipersonal.
La întrebările referitoare la obligativitatea publicării pe pagina web a Camerei Notariale a informației despre procedurile succesorale deschise, ce conțin date cu caracter personal (în mod special IDNP-ul persoanei decedate), experții din cadrul proiectului Twinning, au remarcat că, îndeplinirea unei sarcini care servește unui interes public este mai presus decât protejarea datelor cu caracter personal. În acest context, publicarea pe pagina web a Camerei Notariale, a informației despre procedurile succesorale deschise, nu reprezintă o încălcare a legislației cu privire la protecția datelor cu caracter personal, deoarece în acest caz primează interesul general al societății și a succesibililor în raport cu interesul particular al defunctului, iar obligativitatea publicării IDNP -ului este prevăzută în legea specială.
Reprezentanții Centrului pentru Protecția Datelor cu Caracter Personal au atras atenția vis-a-vis de obligativitatea ținerii registrelor în care sunt prelucrate datele cu caracter personal de către deținătorii de date cu caracter personal. Deținătorii datelor cu caracter personal trebuie să se conformeze cerințelor față de asigurarea securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal, expuse în Hotărârea Guvernului nr. 1123 din 14.12.2010.
Urmare a intrării în vigoare a proiectului de lege privind protecția datelor cu caracter personal, obligativitatea depunerii notificării prealabile de către operatorii de date cu caracter personal, inclusiv notari, la Centru pentru Protecția Datelor cu Caracter Personal, va fi înlocuită cu obligativitatea ținerii evidenței privind prelucrarea datelor cu caracter personal. Experții din cadrul proiectului Twinning, au recomandat ținerea evidenței activităților de prelucrare pe categorii de acte