PROTECIA DATELOR CU CARACTER PERSONAL Protectia datelor cu caracter personal Acquis relevant

Convenia de punere n aplicare a Acordului Schengen din 14 iunie 1985 ntre guvernele statelor din Uniunea Economic Benelux, Republicii Federale Germania i Republicii Franceze privind eliminarea treptat a controalelor la frontierele comune, publicat n Jurnalul Oficial al Uniunii EuropeneL 239, 22.9.2000, p. 19. Convenia pentru protejarea persoanelor fa de prelucrarea automatizat a datelor cu caracter personal, adoptat la Strasbourg la 28 ianuarie 1981, ratificat prin Legea nr.682/2001. Decizia cadru 977/2008/JAI privind protecia datelor cu caracter personal prelucrate n cadrul cooperrii poliieneti i judiciare n materie penal. Decizia-cadru 2006/960/JAI a Consiliului privind simplificarea schimbului de informaii i date operative ntre autoritile de aplicare a legii ale statelor membre ale Uniunii Europene. Directiva 95/46/CE, publicat n Jurnalul Oficial al Uniunii Europene L 281, 23.11.1995; Convenia pentru protejarea persoanelor fa de prelucrarea automatizat a datelor cu caracter personal (ETS nr. 108), Consiliul Europei, 28.1.1981 (Convenia 108 a Consiliului Europei). Protocolul adiional la Convenia pentru protejarea persoanelor fa de prelucrarea automatizat a datelor cu caracter personal, cu privire la autoritile de control i fluxul transfrontalier al datelor, adoptat la Strasbourg la 18 noiembrie 2001, ratificat prin Legea nr. 55 /2005;

Legislaia naional care asigur cadrul juridic pentru aplicarea acquis-ului n domeniu
Decizia ANSPDCP Nr. 60 din 6 iunie 2006 privind stabilirea unor formulare tipizate ale notificrilor prevzute de Legea nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date; Decizia ANSPDCP Nr. 89 din 18 iulie 2006 privind stabilirea categoriilor de operaiuni de prelucrare a datelor cu caracter personal, susceptibile de a prezenta riscuri speciale pentru drepturile i libertile persoanelor; Decizia ANSPDCP Nr. 90 din 18 iulie 2006 privind cazurile n care nu este necesar notificarea prelucrrii unor date cu caracter personal; Decizia ANSPDCP Nr. 91 din 18 iulie 2006 privind cazurile n care este permis notificarea simplificat a prelucrrii datelor cu caracter personal; Hotrrea Guvernului nr.781 din 25.07.2002 privind protecia informaiilor secrete de serviciu; HOTRREA nr. 16/2005 pentru aprobarea Regulamentului de organizare i funcionare a Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu Caracter Personal; Instruciunile ministrului administraiei i internelor nr. 27/2010 privind msurile de natur organizatorica si tehnic pentru asigurarea securitii prelucrrilor de date cu caracter personal efectuate de ctre structurile/unittile Ministerului Administraiei si Internelor; Legea 238/2009 privind reglementarea prelucrrii datelor cu caracter personal de ctre structurile/unittile Ministerului Administraiei i Internelor n activitile de prevenire, cercetare i combatere a infraciunilor, precum i de meninere i asigurare a ordinii publice; Legea nr. 102 din 03.05.2005 privind nfiinarea, organizarea i funcionarea Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu Caracter Personal; Legea nr. 102/2005 privind nfiinarea, organizarea i funcionarea Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu Caracter Personal - denumit n continuare A.N.S.P.D.C.P; Legea nr. 677 din 21.11.2001, privind protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date; Ordinul Avocatului Poporului nr. 75/2002 privind stabilirea unor msuri i proceduri specifice care s asigure un nivel satisfctor de protecie a drepturilor persoanelor ale cror date cu caracter personal fac obiectul prelucrrilor); Ordinul Avocatului Poporului nr.52/2002 privind aprobarea Cerinelor minime de securitate a prelucrrilor de date cu caracter personal;

1. Imperativitatea proteciei datelor cu caracter personal 1.1. Principiile care stau la baza proteciei datelor cu caracter personal sunt: a) prelucrate cu buna-credin i n conformitate cu dispoziiile legale n vigoare;

Prelucrarea datelor include colectarea, nregistrarea, organizarea, stocarea, consultarea, utilizarea, transferul, combinarea, blocarea, tergerea sau distrugerea lor. Datele obinute se vor prelucra numai n scopurile permise de lege. Legea impune condiii suplimentare cnd este vorba de date sensibile, referitoare la originea rasial sau etnic, convingerile politice, religioase, apartenena sindical, starea de sntate sau viaa sexual. b) colectate n scopuri determinate, explicite i legitime; Prelucrarea ulterioar a datelor cu caracter personal n scopuri statistice, de cercetare istoric sau tiinific nu va fi considerat incompatibil cu scopul colectrii dac se efectueaz cu respectarea dispoziiilor legilor n vigoare, inclusiv a celor care privesc efectuarea notificrii ctre autoritatea de supraveghere, precum i cu respectarea garaniilor privind prelucrarea datelor cu caracter personal, prevzute de normele care reglementeaz activitatea statistica ori cercetarea istoric sau tiinific; c) adecvate, pertinente i neexcesive prin raportare la scopul n care sunt colectate i ulterior prelucrate;

d) exacte i, dac este cazul, actualizate; n acest scop se vor lua msurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate i pentru care vor fi ulterior prelucrate, s fie terse sau rectificate; e) stocate ntr-o form care s permit identificarea persoanelor vizate strict pe durata necesar realizrii scopurilor n care datele sunt colectate i n care vor fi ulterior prelucrate;

Stocarea datelor pe o durata mai mare dect cea menionat, n scopuri statistice, de cercetare istoric sau tiinific, se va face cu respectarea garaniilor privind prelucrarea datelor cu caracter personal, prevzute n normele care reglementeaz aceste domenii, i numai pentru perioada necesar realizrii acestor scopuri. 1.2. Legitimitatea prelucrrilor Cu anumite excepii [a se vedea categoriile speciale de date (ex. : datele legate de originea rasial), datele cu caracter personal avnd funcie de identificare (ex: codul numeric personal) i datele cu caracter personal referitoare la fapte penale sau contravenii, care beneficiaz de un regim special], orice prelucrare de date cu caracter personal poate fi efectuat numai dac persoana vizat i-a dat consimmntul n mod expres i neechivoc pentru acea prelucrare. Consimmntul persoanei vizate nu este necesar n urmtoarele cazuri: a) cnd prelucrarea este necesar n vederea executrii unui contract sau antecontract la care persoana vizat este parte ori n vederea lurii unor msuri, la cererea acesteia, naintea ncheierii unui contract sau antecontract; b) cnd prelucrarea este necesar n vederea protejrii vieii, integritii fizice sau sntii persoanei vizate ori a unei alte persoane ameninate; c) cnd prelucrarea este necesar n vederea ndeplinirii unei obligaii legale a operatorului; d) cnd prelucrarea este necesar n vederea aducerii la ndeplinire a unor msuri de interes public sau care vizeaz exercitarea prerogativelor de autoritate public cu care este nvestit operatorul sau terul cruia i sunt dezvluite datele; e) cnd prelucrarea este necesar n vederea realizrii unui interes legitim al operatorului sau al terului cruia i sunt dezvluite datele, cu condiia ca acest interes s nu prejudicieze interesul sau drepturile i libertile fundamentale ale persoanei vizate. f) cnd prelucrarea privete date obinute din documente accesibile publicului, conform legii; g) cnd prelucrarea este fcut exclusiv n scopuri statistice, de cercetare istoric sau tiinific, iar datele rmn anonime pe toat durata prelucrrii.

1.3. Categorii special de date cu caracter personal Prelucrarea datelor cu caracter personal legate de originea rasial sau etnic, de convingerile politice, religioase, filozofice sau de natur similar, de apartenena sindical, precum i a datelor cu caracter personal privind starea de sntate sau viaa sexual este interzis. Excepii de la aceast regul apar n urmtoarele cazuri:

a) cnd persoana vizat i-a dat n mod expres consimmntul pentru o astfel de prelucrare; b) cnd prelucrarea este necesar n scopul respectrii obligaiilor sau drepturilor specifice ale operatorului n domeniul dreptului muncii, cu respectarea garaniilor prevzute de lege; o eventual dezvluire ctre un ter a datelor prelucrate poate fi efectuat numai dac exist o obligaie legal a operatorului n acest sens sau dac persoana vizat a consimit expres la aceast dezvluire; c) cnd prelucrarea este necesar pentru protecia vieii, integritii fizice sau a sntii persoanei vizate ori a altei persoane, n cazul n care persoana vizat se afl n incapacitate fizic sau juridic de a-i da consimmntul; d) cnd prelucrarea este efectuat n cadrul activitilor sale legitime de ctre o fundaie, asociaie sau de ctre orice alt organizaie cu scop nelucrativ i cu specific politic, filozofic, religios ori sindical, cu condiia ca persoana vizat s fie membr a acestei organizaii sau s ntrein cu aceasta, n mod regulat, relaii care privesc specificul activitii organizaiei i ca datele s nu fie dezvluite unor teri fr consimmntul persoanei vizate; e) cnd prelucrarea se refer la date fcute publice n mod manifest de ctre persoana vizat; f) cnd prelucrarea este necesar pentru constatarea, exercitarea sau aprarea unui drept n justiie; g) cnd prelucrarea este necesar n scopuri de medicin preventiv, de stabilire a diagnosticelor medicale, de administrare a unor ngrijiri sau tratamente medicale pentru persoana vizat ori de gestionare a serviciilor de sntate care acioneaz n interesul persoanei vizate, cu condiia ca prelucrarea datelor respective s fie efectuate de ctre ori sub supravegherea unui cadru medical supus secretului profesional sau de ctre ori sub supravegherea unei alte persoane supuse unei obligaii echivalente n ceea ce privete secretul; h) cnd legea prevede n mod expres aceasta n scopul protejrii unui interes public important, cu condiia ca prelucrarea s se efectueze cu respectarea drepturilor persoanei vizate i a celorlalte garanii prevzute de prezenta lege. Prelucrarea codului numeric personal sau a altor date cu caracter personal avnd o funcie de identificare de aplicabilitate general poate fi efectuat numai dac: a) persoana vizat i-a dat n mod expres consimmntul; sau b) prelucrarea este prevzut n mod expres de o dispoziie legal. Autoritatea de supraveghere poate stabili i alte cazuri n care se poate efectua prelucrarea acestor date, numai cu condiia instituirii unor garanii adecvate pentru respectarea drepturilor persoanelor vizate. Prelucrarea datelor cu caracter personal privind starea de sntate pot fi prelucrate numai dac: a) dac prelucrarea este necesar pentru protecia sntii publice; b) dac prelucrarea este necesar pentru prevenirea unui pericol iminent, pentru prevenirea svririi unei fapte penale sau pentru mpiedicarea producerii rezultatului unei asemenea fapte ori pentru nlturarea urmrilor prejudiciabile ale unei asemenea fapte Prelucrarea datelor privind starea de sntate poate fi efectuat numai de ctre ori sub supravegherea unui cadru medical, cu condiia respectrii secretului profesional, cu excepia situaiei n care persoana vizata sia dat n scris i n mod neechivoc consimmntul atta timp ct acest consimmnt nu a fost retras, precum i cu excepia situaiei n care prelucrarea este necesar pentru prevenirea unui pericol iminent, pentru prevenirea svririi unei fapte penale, pentru mpiedicarea producerii rezultatului unei asemenea fapte sau pentru nlturarea urmrilor sale prejudiciabile. Cadrele medicale, instituiile de sntate i personalul medical al acestora pot prelucra date cu caracter personal referitoare la starea de sntate, fr autorizaia autoritii de supraveghere, numai dac prelucrarea este necesar pentru protejarea vieii, integritii fizice sau sntii persoanei vizate. Cnd scopurile menionate se refer la alte persoane sau la public n general i persoana vizata nu si-a dat consimmntul n scris i n mod neechivoc, trebuie cerut i obinut n prealabil autorizaia autoritii de supraveghere. Prelucrarea datelor cu caracter personal n afar limitelor prevzute n autorizaie este interzis. Cu excepia motivelor de urgenta, autorizaia prevzut la paragraful anterior poate fi acordat numai dup ce a fost consultat Colegiul Medicilor din Romnia. Datele cu caracter personal privind starea de sntate pot fi colectate numai de la persoana vizat. Prin excepie, aceste date pot fi colectate din alte surse numai n msura n care este necesar pentru a nu compromite scopurile prelucrrii, iar persoana vizat nu vrea ori nu le poate furniza. Prelucrarea datelor cu caracter personal referitoare la svrirea de infraciuni de ctre persoana vizat ori la condamnri penale, msuri de siguran sau sanciuni administrative ori contravenionale, aplicate persoanei vizate, poate fi efectuat numai de ctre sau sub controlul autoritilor publice, n limitele puterilor ce le sunt conferite prin lege i n condiiile stabilite de legile speciale care reglementeaz aceste materii. ANSPDCP poate stabili i alte cazuri n care se poate efectua prelucrarea acestor date numai cu condiia instituirii unor garanii adecvate pentru respectarea drepturilor persoanelor vizate. n acelai timp, un registru complet al condamnrilor penale poate fi inut numai sub controlul unei autoriti publice, n limitele puterilor ce i sunt conferite prin lege.

Fa de regulile speciale anume expuse ar mai fi de adugat faptul c acestea nu se aplic n situaia n care prelucrarea datelor se face exclusiv n scopuri jurnalistice, literare sau artistice, dac prelucrarea privete date cu caracter personal care au fost fcute publice n mod manifest de ctre persoana vizat sau care sunt strns legate de calitatea de persoan public a persoanei vizate ori de caracterul public al faptelor n care este implicat. 2. Msuri organizatorice i tehnice pentru asigurarea proteciei datelor cu caracter personal Operatorul este obligat s aplice msurile tehnice i organizatorice adecvate pentru protejarea datelor cu caracter personal mpotriva distrugerii accidentale sau ilegale, pierderii, modificrii, dezvluirii sau accesului neautorizat, n special dac prelucrarea respectiv comport transmisii de date n cadrul unei reele, precum i mpotriva oricrei alte forme de prelucrare ilegal. Aceste msuri trebuie s asigure, potrivit stadiului tehnicii utilizate n procesul de prelucrare i de costuri, un nivel de securitate adecvat n ceea ce privete riscurile pe care le reprezint prelucrarea, precum i n ceea ce privete natura datelor care trebuie protejate. Cerinele minime de securitate a bazelor de date : .2.1. Identificarea i autentificarea utilizatorului Prin utilizator se nelege orice persoan care acioneaz sub autoritatea operatorului, a persoanei mputernicite sau a reprezentantului, cu drept recunoscut de acces la bazele de date cu caracter personal. Utilizatorii, pentru a cpta acces la o baz de date cu caracter personal, trebuie s se identifice. Identificarea se poate face prin mai multe metode, cum ar fi: introducerea codului de identificare de la tastatur (un ir de caractere), folosirea unei cartele cu cod de bare, folosirea unei cartele inteligente (smart card) sau a unei cartele magnetice. Fiecare utilizator are propriul su cod de identificare. Niciodat mai muli utilizatori nu trebuie s aib acelai cod de identificare. Codurile de identificare (sau conturi de utilizator) nefolosite o perioad mai ndelungat trebuie dezactivate i distruse dup un control prealabil intern al operatorului. Perioada dup care codurile trebuie dezactivate i distruse se stabilete de operator. Orice cont de utilizator este nsoit de o modalitate de autentificare. Autentificarea poate fi fcut prin introducerea unei parole sau prin mijloace biometrice: amprenta dactiloscopic, amprenta vocal, etc. Parolele sunt iruri de caractere. Cu ct irul de caractere este mai lung, cu att parola este mai greu de aflat. La introducerea parolelor acestea nu trebuie s fie afiate n clar pe monitor. Parolele trebuie schimbate periodic n funcie de politicile de securitate ale entitii (operator sau persoan mputernicit). Schimbarea periodic a parolelor se face numai de ctre utilizatori autorizai de operator. Operatorul trebuie s solicite realizarea unui sistem informaional care s refuze automat accesul unui utilizator dup 5 introduceri greite ale parolei. Orice utilizator care primete un cod de identificare i un mijloc de autentificare trebuie s pstreze confidenialitatea acestora i s rspund n acest sens n faa operatorului. Fiecare entitate va stabili o procedur proprie de administrare i gestionare a conturilor de utilizator. Operatorii autorizeaz anumii utilizatori pentru a revoca sau a suspenda un cod de identificare i autentificare, dac utilizatorul acestora i-a dat demisia ori a fost concediat, i-a ncheiat contractul, a fost transferat la alt serviciu i noile sarcini nu i solicit accesul la date cu caracter personal, a abuzat de codurile primite sau dac va absenta o perioad ndelungat stabilit de entitate. Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se va face pe baza unei liste aprobate de conducerea entitii. 2.2. Tipul de acces Utilizatorii trebuie s acceseze numai datele cu caracter personal necesare pentru ndeplinirea atribuiilor lor de serviciu. Pentru aceasta operatorii trebuie s stabileasc tipurile de acces dup funcionalitate (cum ar fi: administrare, introducere, prelucrare, salvare etc.) i dup aciuni aplicate asupra datelor cu caracter personal (cum ar fi: scriere, citire, tergere), precum i procedurile privind aceste tipuri de acces. Programatorii sistemelor de prelucrare a datelor cu caracter personal nu vor avea acces la datele cu caracter personal. Operatorul va permite accesul programatorilor la datele cu caracter personal dup ce acestea au fost transformate n date anonime. Compartimentul care asigur suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea unor cazuri excepionale. Pentru activitatea de pregtire a utilizatorilor sau pentru realizarea de prezentri se vor folosi date anonime. Angajaii care predau cursurile de pregtire vor folosi date cu caracter personal pe parcursul propriei lor pregtiri.

Operatorul va stabili modalitile stricte prin care se vor distruge datele cu caracter personal. Autorizarea pentru aceast prelucrare de date cu caracter personal trebuie limitat la civa utilizatori. 2.3. Colectarea datelor Operatorul desemneaz utilizatori autorizai pentru operaiile de colectare i introducere de date cu caracter personal ntr-un sistem informaional. Orice modificare a datelor cu caracter personal se poate face numai de ctre utilizatori autorizai desemnai de operator. Operatorul va lua msuri pentru ca sistemul informaional s nregistreze cine a fcut modificarea, data i ora modificrii. Pentru o mai bun administrare operatorul va lua msuri ca sistemul informaional s menin datele terse sau modificate. 2.4. Execuia copiilor de siguran Operatorul stabilete intervalul de timp la care se vor executa copiile de siguran ale bazelor de date cu caracter personal, precum i ale programelor folosite pentru prelucrrile automatizate. Utilizatorii care execut aceste copii de siguran vor fi numii de operator, ntr-un numr restrns. Copiile de siguran se vor stoca n alte camere, n fiete metalice cu sigiliu aplicat, i, dac este posibil, chiar n camere din alt cldire. Operatorul trebuie s ia msuri ca accesul la copiile de siguran s fie monitorizat. 2.5. Computerele i terminalele de acces Computerele i alte terminale de acces pot fi instalate n ncperi cu acces restricionat. Dac nu pot fi asigurate aceste condiii, computerele se vor instala n ncperi care se pot ncuia sau se vor lua msuri ca accesul la computere s se fac cu ajutorul unor chei ori cartele magnetice. Dac pe ecran apar date cu caracter personal asupra crora nu se acioneaz o perioad dat, stabilit de operator, sesiunea de lucru trebuie nchis automat. Mrimea acestei perioade se determin n funcie de operaiile care trebuie executate. Terminalele de acces folosite n relaia cu publicul, pe care apar date cu caracter personal, vor fi poziionate astfel nct s nu poat fi vzute de public i dup o perioad scurt, stabilit de operator, n care nu se acioneaz asupra lor, acestea trebuie ascunse. 2.6. Fiierele de acces Operatorul este obligat s ia msuri ca orice accesare a bazei de date cu caracter personal s fie nregistrat ntr-un fiier de acces (numit log la prelucrrile automate) sau ntr-un registru pentru prelucrrile manuale de date cu caracter personal, stabilit de operator. Informaiile nregistrate n fiierul de acces sau n registru vor fi: - codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale); - numele fiierului accesat (fiei); - numrul nregistrrilor efectuate; - tipul de acces; - codul operaiei executate sau programul folosit; - data accesului (an, lun, zi); - timpul (ora, minutul, secunda). Pentru prelucrrile automate aceste informaii vor fi stocate ntr-un fiier de acces general sau n fiiere separate pentru fiecare utilizator. Orice ncercare de acces neautorizat va fi, de asemenea, nregistrat. Operatorul este obligat s pstreze fiierele de acces cel puin 2 ani, pentru a fi folosite ca probe n cazul unor investigaii. Dac investigaiile se prelungesc, aceste fiiere se vor pstra att timp ct se va considera necesar. Fiierele de acces trebuie s fac posibil identificarea de ctre operator sau de ctre persoana mputernicit a persoanelor care au accesat date cu caracter personal fr un motiv anume, n vederea aplicrii unor sanciuni sau a sesizrii organelor competente. 2.7. Sistemele de telecomunicaii Operatorul este obligat s fac periodic controlul autentificrilor i tipurilor de acces pentru detectarea unor disfuncionaliti n ceea ce privete folosirea sistemelor de telecomunicaii. Operatorii sunt obligai s conceap sistemul de telecomunicaii astfel nct datele cu caracter personal s nu poat fi interceptate sau transmise de oriunde. Dac sistemul de telecomunicaii nu poate fi astfel securizat, operatorul este obligat s impun folosirea metodei de criptare pentru transmisia datelor cu caracter personal. Prin sistemele de telecomunicaii se vor transmite numai datele cu caracter personal strict necesare.

2.8. Instruirea personalului n cadrul cursurilor de pregtire a utilizatorilor operatorul este obligat s fac informarea acestora cu privire la prevederile Legii nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date, la cerinele minime de securitate a prelucrrilor de date cu caracter personal, precum i cu privire la riscurile pe care le comport prelucrarea datelor cu caracter personal, n funcie de specificul activitii utilizatorului. Utilizatorii care au acces la date cu caracter personal vor fi instruii de ctre operator asupra confidenialitii acestora i vor fi avertizai prin mesaje care vor aprea pe monitoare n timpul activitii. Utilizatorii sunt obligai s i nchid sesiunea de lucru atunci cnd prsesc locul de munc. 2.9. Folosirea computerelor Pentru meninerea securitii prelucrrii datelor cu caracter personal (n special mpotriva viruilor informatici) operatorul va lua msuri care vor consta n: a) interzicerea folosirii de ctre utilizatori a programelor software care provin din surse externe sau dubioase; b) informarea utilizatorilor n privina pericolului privind viruii informatici; c) implementarea unor sisteme automate de devirusare i de securitate a sistemelor informatice; d) dezactivarea, pe ct posibil, a tastei Print screen, atunci cnd sunt afiate pe monitor date cu caracter personal, interzicndu-se astfel scoaterea la imprimant a acestora. 2.10. Imprimarea datelor Scoaterea la imprimant a datelor cu caracter personal se va realiza numai de utilizatori autorizai pentru aceast operaiune de ctre operator. Operatorii sunt obligai s aprobe proceduri interne specifice privind folosirea i distrugerea acestor materiale. Fiecare entitate i va aproba propriul sistem de securitate, innd seama de aceste cerine minime de securitate a prelucrrilor de date cu caracter personal, iar n funcie de importana datelor cu caracter personal prelucrate, i va impune msuri de securitate suplimentare. 3. Supravegherea video 3.1. Cine ar trebui consultat cnd se introduce un sistem de supraveghere video? Consultarea cu prile interesate i cu autoritile competente este esenial n identificarea tuturor problemelor proteciei datelor personale relevante. Atunci cnd se hotrte folosirea unui sistem de supraveghere video i se stabilete cadrul i politicile necesare proteciei datelor personale, ar trebui consultate cteva sau toate organizaiile urmtoare: - Responsabilul cu protecia datelor personale din instituia respectiv - Reprezentanii angajailor - Alte pi interesate ( incluznd, n unele cazuri, autoritile locale) - A.N.S.P.D.C.P. 3.2. Scopul supravegherii video nainte de a decide instalarea unui sistem de supraveghere, instituia care dorete acest lucru trebuie mai nti s stabileasc scopul pentru care se instaleaz sistemul de supraveghere i trebuie s se asigure c acest scop este legal. Scopul trebuie s fie clar, specific i explicit. Vag, ambiguu sau simplu nu este de ajuns. Fiind specific scopului sistemului de supraveghere poate ajuta instituia s fie n conformitate cu legislaia n vigoare, s evalueze succesul sistemului lor i s explice personalului i publicului de ce este nevoie de el. Scopul sistemului de supraveghere trebuie comunicat publicului ntr-un rezumat, la avizier i detaliat pe site-ul web al instituiei(n versiunea on-line a politicii de supraveghere video). Limitarea privind folosirea datelor cu caracter personal trebuie s fie clar stabilit mai ales dac acest lucru este cerut de reprezentanii angajailor sau de alte pri interesate. Mai mult, trebuie asigurat faptul c datele cu caracter personal nu vor fi folosite ulterior pentru alte scopuri sau introduse n dispozitive neprevzute, astfel nct ele s fie folosite pentru scopuri care nu au fost luate n calcul. Dac o instituie folosete sistemul de supraveghere video doar pentru scopuri de securitate i acces, acest lucru poate fi considerat ca potenial necesar pentru gestionarea i funcionarea instituiei. Din aceast cauz, sistemul de supraveghere video se va baza pe un cadru legal.

n alt caz, reiese ntrebarea dac sunt incidente alte dispoziii legale pentru supravegherea video. Exemple n acest sens pot fi urmtoarele situaii: - atunci cnd exist o obligaie legal pentru a avea un sistem de supraveghere video; - atunci cnd persoanele vizate i-au dat consimmntul. Exist alternative care au un impact mai redus n viaa intim i privat? Instituia trebuie, de asemenea, s evalueze dac exist metode care au un impact mai redus pentru a obine rezultatul dorit, fr a se folosi sistemul de supraveghere video. Supravegherea video nu ar trebui folosit dac alte alternative adecvate sunt disponibile. O alternativ nu poate s fie considerat adecvat dac nu este realizabil, dac este mai puin eficient dect supravegherea video sau dac implic costuri disproporionate. Pe de alt parte, simpla disponibilitate a tehnologiei la un pre relativ mic nu justific folosirea sistemelor de supraveghere video. Chiar dac o instituie concluzioneaz c exist necesitatea folosirii unui sistem de supraveghere video i c nu sunt alte metode disponibile ce au un impact mai redus asupra vieii intime i private, ar trebui s foloseasc aceast tehnologie n cazul n care efectele negative ale supravegherii video sunt compensate de beneficiile acesteia. 3.3. Monitorizarea angajailor Msuri de monitorizarea intruzive pot provoca angajailor un stres care nu este necesar i n acelai timp pot provoca nencrederea n organizaie. De aceea, folosirea supravegherii video pentru a monitoriza cum i fac angajai treaba ar trebui evitat, nelund n considerare cazurile de excepie n care instituia demonstreaz c are un interes imperativ n a-i monitoriza. De aceea, o astfel de supraveghere trebuie s fie precedat de efectuarea unei evaluri de impact realizat de ctre instituie. eluri ca gestionarea productivitii la locul de munc, asigurarea calitii controlului, executarea politicilor instituiei sau oferirea de dovezi privind rezolvarea disputelor, n principiu, n mod singular nu justific supravegherea video a angajailor n cadrul instituiei 3.4. Selectarea, poziionarea i configurarea sistemului de supraveghere video Localizarea camerelor i unghiuri de vizionare Localizarea camerelor ar trebui s fie aleas astfel nct s minimizeze vederea zonelor care nu sunt relevante scopului pentru care a fost amplasat sistemul de supraveghere. Ca regul, instalarea unui sistem de supraveghere video cu scopul de a proteja bunuri (de exemplu: proprieti sau informaii) ale instituiei sau pentru sigurana personalului i a vizitatorilor trebuie s se limiteze la monitorizarea: - zonelor/spaiilor n care sunt stocate informaii sensibile , obiecte de mare valoare sau alte bunuri care necesit o protecie sporit dintr-un motiv anume. - Puncte de intrare i ieire ale cldirii (incluznd ieiri de urgen sau ziduri i garduri care mprejmuiesc cldirea). - Puncte de intrare i ieire din cldire care fac legtura cu zone pentru care nu sunt instituite drepturi de acces i sunt separate prin ui nchise sau alt mecanism de control al accesului. Nu poate s fie exclus ns, faptul c cerinele de securitate pot justifica o monitorizarea special n cadrul unor cldiri. n acest caz, planurile de securitate ar trebui s cuprind politici de supraveghere video i instituia ar trebui s justifice necesitatea i proporionalitate monitorizrii suplimentare. Justificarea necesitii i proporionalitii unei astfel de monitorizri suplimentare se realizeaz printr-o evaluare de impact sau n alt mod. Numrul de camere Numrul de camere care trebuie instalate va depinde de mrimea cldirii i de nevoile de securitate care, la rndul su, sunt condiionate de o varietate de factori. Acelai numr i tip de camere ar putea s fie potrivite pentru o instituie dar, n acelai timp, s fie total disproporionate pentru alt instituie. n orice caz, numrul de camere este un bun indicator privind complexitatea i mrimea sistemului de supraveghere i ar putea sugera creterea riscurilor ce privesc viaa privat i alte drepturi fundamentale. O dat cu creterea numrului camerelor apare i riscul ca ele s nu fie folosite eficient i apare o suprasarcin de informaii. n acelai timp menionm c numrul de camere trebuie cuprins n politica de supraveghere. 4. Drepturile persoanei vizate Drepturile persoanei sunt reglementate prin Legea nr.677/2001 fiind prevzute n mod expres:

4.1. Dreptul la informare Dreptul la informare, care se realizeaz n funcie de dou modaliti de obinere a datelor: A. Cnd datele cu caracter personal sunt obinute direct de la persoana vizat, cu excepia cazului n care aceast persoan posed deja informaiile respective, operatorul este obligat s-i furnizeze cel puin urmtoarele informaii: a) identitatea operatorului i a reprezentantului acestuia, dac este cazul; b) scopul n care se face prelucrarea datelor; c) informaii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dac furnizarea tuturor datelor cerute este obligatorie i consecinele refuzului de a le furniza; existena drepturilor legale, n special a dreptului de acces, de intervenie asupra datelor i de opoziie, precum i condiiile n care pot fi exercitate; d) orice alte informaii a cror furnizare este impus prin dispoziie a autoritii de supraveghere, innd seama de specificul prelucrrii. B. cnd datele nu sunt obinute direct de la persoana vizat: Cu excepia cazului n care persoana vizat posed deja informaiile respective, operatorul este obligat ca, n momentul colectrii datelor sau, dac se intenioneaz dezvluirea acestora ctre teri, cel mai trziu pn n momentul primei dezvluiri, s furnizeze persoanei vizate cel puin urmtoarele informaii: a) identitatea operatorului i a reprezentantului acestuia, dac este cazul; b) scopul n care se face prelucrarea datelor; c) informaii suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari ai datelor, existena drepturilor legale, n special a dreptului de acces, de intervenie asupra datelor i de opoziie, precum i condiiile n care pot fi exercitate; d) orice alte informaii a cror furnizare este impus prin dispoziie a autoritii de supraveghere, innd seama de specificul prelucrrii. De la regulile de realizare a acestui drept, menionate anterior, exist i anumite excepii: - nu se aplic atunci cnd prelucrarea datelor se efectueaz exclusiv n scopuri jurnalistice, literare sau artistice, dac aplicarea acestora ar da indicii asupra surselor de informare. - nu se aplic n cazul n care prelucrarea datelor se face n scopuri statistice, de cercetare istoric sau tiinific, ori n orice alte situaii n care furnizarea unor asemenea informaii se dovedete imposibil sau ar implica un efort disproporionat fa de interesul legitim care ar putea fi lezat, precum i n situaiile n care nregistrarea sau dezvluirea datelor este expres prevzut de le 4.2. Drepturile persoanei vizate n contextul prelucrri datelor cu caracter personal Dreptul de acces la date Orice persoana vizat are dreptul de a obine de la operator, la cerere i n mod gratuit pentru o solicitare pe an, confirmarea faptului c datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, n situaia n care prelucreaz date cu caracter personal care privesc solicitantul, s comunice acestuia, mpreun cu confirmarea, cel puin urmtoarele: a) informaii referitoare la scopurile prelucrrii, categoriile de date avute n vedere i destinatarii sau categoriile de destinatari crora le sunt dezvluite datele; b) comunicarea ntr-o form inteligibil a datelor care fac obiectul prelucrrii, precum i a oricrei informaii disponibile cu privire la originea datelor; c) informaii asupra principiilor de funcionare a mecanismului prin care se efectueaz orice prelucrare automat a datelor care vizeaz persoana respectiv; d) informaii privind existenta dreptului de intervenie asupra datelor i a dreptului de opoziie, precum i condiiile n care pot fi exercitate; e) informaii asupra posibilitii de a consulta registrul de eviden a prelucrrilor de date cu caracter personal, de a nainta plngere ctre autoritatea de supraveghere, precum i de a se adresa instanei pentru atacarea deciziilor operatorului, n conformitate cu dispoziiile prezentei legi. Dreptul de opoziie Persoana vizat are dreptul de a se opune n orice moment, din motive ntemeiate i legitime legate de situaia sa particular, ca date care o vizeaz s fac obiectul unei prelucrri, cu excepia cazurilor n care exista dispoziii legale contrare. In caz de opoziie justificat prelucrarea nu mai poate viza datele n cauz. Persoana vizata are dreptul de a se opune n orice moment, n mod gratuit i fr nici o justificare, ca datele care o vizeaz s fie prelucrate n scop de marketing direct, n numele operatorului sau al unui ter, sau s fie dezvluite unor teri ntr-un asemenea scop.

Dreptul de a nu fi supus unei decizii individuale A .Orice persoana are dreptul de a cere i de a obine: - retragerea sau anularea oricrei decizii care produce efecte juridice n privina sa, adoptat exclusiv pe baza unei prelucrri de date cu caracter personal, efectuat prin mijloace automate, destinat sa evalueze unele aspecte ale personalitii sale, precum competenta profesional, credibilitatea, comportamentul sau ori alte asemenea aspecte; - reevaluarea oricrei alte decizii luate n privina sa, care o afecteaz n mod semnificativ, dac decizia a fost adoptat exclusiv pe baza unei prelucrri de date care ntrunete condiiile prevzute la lit. a). B. Respectndu-se garaniile prevzute de legea 677/2001 , o persoana poate fi supus unei decizii de natura celei vizate la litera A, numai n urmtoarele situaii: - decizia este luat n cadrul ncheierii sau executrii unui contract, cu condiia ca cererea de ncheiere sau de executare a contractului, introdus de persoana vizat, s fi fost satisfcut sau ca unele msuri adecvate, precum posibilitatea de a-i susine punctul de vedere, s garanteze aprarea propriului interes legitim; - decizia este autorizata de o lege care precizeaz msurile ce garanteaz aprarea interesului legitim al persoanei vizate. Dreptul de a se adresa justiiei Fr a se aduce atingere posibilitii de a se adresa cu plngere autoritii de supraveghere, persoanele vizate au dreptul de a se adresa justiiei pentru aprarea oricror drepturi garantate de prezenta lege, care le-au fost nclcate. Orice persoana care a suferit un prejudiciu n urma unei prelucrri de date cu caracter personal, efectuat ilegal, se poate adresa instanei competente pentru repararea acestuia. Instana competent este cea n a crei raz teritorial domiciliaz reclamantul. Cererea de chemare n judecata este scutit de taxa de timbru. Dreptul de intervenie asupra datelor Orice persoana vizata are dreptul de a obine de la operator, la cerere i n mod gratuit: a) dup caz, rectificarea, actualizarea, blocarea sau tergerea datelor a cror prelucrare nu este conform prezentei legi, n special a datelor incomplete sau inexacte; b) dup caz, transformarea n date anonime a datelor a cror prelucrare nu este conform prezentei legi; c) notificarea ctre terii crora le-au fost dezvluite datele a oricrei operaiuni efectuate conform lit. a) sau b), dac aceasta notificare nu se dovedete imposibil sau nu presupune un efort disproporionat fa de interesul legitim care ar putea fi lezat. 4.3. Exercitarea drepturilor de ctre persoana vizat Persoana vizata poate solicita de la operator informaiile, printr-o cerere ntocmit n form scris, datat i semnat. n cerere solicitantul poate arta dac dorete ca informaiile s i fie comunicate la o anumit adres, care poate fi i de pot electronic, sau printr-un serviciu de corespondent care s asigure c predarea i se va face numai personal. Operatorul este obligat s comunice informaiile solicitate, n termen de 15 zile de la data primirii cererii, cu respectarea eventualei opiuni a solicitantului exprimate. In cazul datelor cu caracter personal legate de starea de sntate, cererea poate fi introdus de persoana vizat fie direct, fie prin intermediul unui cadru medical care va indica n cerere persoana n numele creia este introdus. La cererea operatorului sau a persoanei vizate comunicarea poate fi fcut prin intermediul unui cadru medical desemnat de persoana vizat. In cazul n care datele cu caracter personal legate de starea de sntate sunt prelucrate n scop de cercetare tiinific, dac nu exista, cel puin aparent, riscul de a se aduce atingere drepturilor persoanei vizate i dac datele nu sunt utilizate pentru a lua decizii sau msuri fata de o anumit persoana, comunicarea se poate face i ntr-un termen mai mare dect cel de 15 zile, n msura n care aceasta ar putea afecta bunul mers sau rezultatele cercetrii, i nu mai trziu de momentul n care cercetarea este ncheiat. In acest caz persoana vizat trebuie sa i fi dat n mod expres i neechivoc consimmntul ca datele s fie prelucrate n scop de cercetare tiinific, precum i asupra posibilei amnri a comunicrii din acest motiv. Persoana vizat nu poate solicita de la operator informaii atunci cnd prelucrarea datelor se efectueaz exclusiv n scopuri jurnalistice, literare sau artistice, dac aplicarea acestora ar da indicii asupra surselor de informare. 4.4. Limitri ale exercitri drepturilor persoanei vizate

Sunt prevzute de Legea nr.677/2001 care stabilete faptul c n cadrul activitilor de prevenire, cercetare i reprimare a infraciunilor i de meninere a ordinii publice, precum i al altor activiti desfurate n domeniul dreptului penal, dispoziiile privind dreptul la informare, dreptul de acces, dreptul de intervenie i dreptul de opoziie nu se aplic dac prin aplicarea acestora este prejudiciata eficienta aciunii sau obiectivul urmrit n ndeplinirea atribuiilor legale ale autoritii publice. Limitarea acestor drepturi este aplicabil strict pentru perioada necesar atingerii obiectivului urmrit prin desfurarea activitilor de prevenire, cercetare i reprimare a infraciunilor i de meninere a ordinii publice, precum i al altor activiti desfurate n domeniul dreptului penal. Dispoziiile Legii nr.238/2009 sunt mai specifice n acest sens i stabilesc faptul c dispoziiile referitoare la exercitarea drepturilor persoanei vizate, prevzute de Legea nr. 677/2001 nu se aplic pe perioada n care o asemenea msur este necesar pentru evitarea prejudicierii activitilor specifice de prevenire, cercetare i combatere a infraciunilor, precum i de meninere i asigurare a ordinii publice, ca urmare a cunoaterii de persoana vizat a faptului c datele sale cu caracter personal sunt prelucrate, sau este necesar pentru protejarea persoanei vizate ori a drepturilor i libertilor altor persoane, n cazul n care exist date i informaii c aceste drepturi i liberti sunt puse n pericol.

5. Autoritatea Naional de Supraveghere a prelucrrii Datelor cu Caracter Personal n statele membre ale Uniunii Europene, activitatea de protecie a datelor cu caracter personal revine unor autoriti sau instituii special constituite pentru ndeplinirea unor astfel de competene. n vederea alinierii legislaiei Romniei la acquis-ul comunitar, prin Legea nr. 102/2005, intrat n vigoare la data de 12 mai 2005, a fost nfiinat Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu Caracter Personal. Statutul de autoritate independent este consacrat chiar la primul articol al acestui act normativ, unde se precizeaz c Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu Caracter Personal este o autoritate public autonom i independent fa de orice autoritate a administraiei publice, ca i fa de orice persoan fizic sau juridic din domeniul privat. Potrivit legii, Autoritatea nu poate fi supus nici unui mandat imperativ sau reprezentativ i nu poate fi obligat s se supun instruciunilor sau dispoziiilor altei autoriti publice sau entiti de drept privat. Autoritatea are drept obiectiv aprarea drepturilor i libertilor fundamentale ale persoanelor fizice, n special a dreptului la via intim, familial i privat, n legtur cu prelucrarea datelor cu caracter personal i libera circulaie a acestor date. 5.1. Atribuii Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu Caracter Personal i desfoar activitatea n condiii de complet independen i imparialitate. Autoritatea monitorizeaz i controleaz sub aspectul legalitii prelucrrile de date cu caracter personal care cad sub incidena Legii nr. 677/2001. n acest scop, autoritatea de supraveghere exercit urmtoarele atribuii: primete i analizeaz notificrile privind prelucrarea datelor cu caracter personal; autorizeaz prelucrrile de date n situaiile prevzute de lege; poate dispune, n cazul n care constat nclcarea dispoziiilor prezentei legi, suspendarea provizorie sau ncetarea prelucrrii datelor, tergerea parial ori integral a datelor prelucrate i poate s sesizeze organele de urmrire penal sau s intenteze aciuni n justiie; informeaz persoanele fizice i/sau juridice asupra necesitii respectrii obligaiilor i ndeplinirii procedurilor prevzute de Legea nr. 677/2001; pstreaz i pune la dispoziia publicului registrul de eviden a prelucrrilor de date cu caracter personal; primete i soluioneaz plngeri, sesizri sau cereri de la persoanele fizice i comunic soluia dat ori, dup caz, demersurile efectuate; efectueaz controale prealabile n situaia n care operatorul prelucreaz date cu caracter personal care sunt susceptibile de a prezenta riscuri speciale pentru drepturile i libertile persoanelor; efectueaz investigaii din oficiu sau la primirea unor plngeri ori sesizri; este consultat atunci cnd se elaboreaz proiecte de acte normative referitoare la protecia drepturilor i libertilor persoanelor, n privina prelucrrii datelor cu caracter personal; poate face propuneri privind iniierea unor proiecte de acte normative sau modificarea actelor normative n vigoare n domenii legate de prelucrarea datelor cu caracter personal;

10

 coopereaz cu autoritile publice i cu organele administraiei publice, centralizeaz i analizeaz rapoartele anuale de activitate ale acestora privind protecia persoanelor n privina prelucrrii datelor cu caracter personal; formuleaz recomandri i avize asupra oricrei chestiuni legate de protecia drepturilor i libertilor fundamentale n privina prelucrrii datelor cu caracter personal, la cererea oricrei persoane, inclusiv a autoritilor publice i a organelor administraiei publice; coopereaz cu autoritile similare din strintate, n vederea asistenei mutuale, precum i cu persoanele cu domiciliul sau cu sediul n strintate, n scopul aprrii drepturilor i libertilor fundamentale ce pot fi afectate prin prelucrarea datelor cu caracter personal; ndeplinete alte atribuii prevzute de lege. Autoritatea este condus de un preedinte a crui funcie este asimilat celei de secretar de stat. Preedintele Autoritii este numit de Senat, pentru un mandat cu durata de 5 ani, care poate fi rennoit o singur dat. nainte de nceperea exercitrii mandatului, preedintele Autoritii depune n faa plenului Senatului jurmntul de credin. Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu Caracter Personal a nceput s funcioneze independent de instituia Avocatul Poporului de la 1 ianuarie 2006. La sfritul fiecrui an ANSPDCP emite un raport, care este prezentat Senatului, referitor la activitatea desfurat, n care sunt prezentate principalele activiti desfurate de ctre aceasta. 5.2.Controale prealabile i investigaii Autoritatea de supraveghere controleaz, sub aspectul legalitii, prelucrrile de date cu caracter personal care cad sub incidena legii. Activitatea de control se realizeaz prin: a. Control prealabil mijloc prevzut de lege prin care autoritatea de supraveghere verific ansamblul condiiilor n care au loc prelucrrile de date care sunt susceptibile s prezinte riscuri speciale. b. Investigaie procedeu de exercitare a atribuiilor ce revin autoritii de supraveghere pentru controlul legalitii prelucrrilor de date cu caracter personal care intr sub incidena legii. Pentru respectarea legii i protecia persoanei vizate, n cazul n care constat nclcarea normelor legale, autoritatea de supraveghere poate dispune urmtoarele msuri: a. b. c. d. e. f. interzicerea efecturii unor prelucrri; suspendarea provizorie a unora sau a tuturor operaiunilor de prelucrare a datelor cu caracter personal; ncetarea prelucrrii datelor; tergerea parial ori integral a datelor prelucrate; intentarea unei aciuni n justiie pentru aprarea oricror drepturi garantate de legislaia n vigoare persoanelor vizate; sesizarea organelor de urmrire penal.

5.3.Plngeri adresate autoritii de supraveghere n vederea aprrii drepturilor prevzute de prezenta lege; persoanele ale cror date cu caracter personal fac obiectul unei prelucrri care cade sub incidena legii pot nainta plngere ctre autoritatea de supraveghere. Plngerea se poate face direct sau prin reprezentant. Plngerea ctre autoritatea de supraveghere nu poate fi naintat dac o cerere n justiie, avnd acelai obiect i aceleai pri, a fost introdus anterior. n afara cazurilor n care o ntrziere ar cauza un prejudiciu iminent i ireparabil, plngerea ctre autoritatea de supraveghere nu poate fi naintat mai devreme de 15 zile de la naintarea unei plngeri cu acelai coninut ctre operator. Dac plngerea este gsit ntemeiat, autoritatea de supraveghere poate dispune suspendarea provizorie sau ncetarea prelucrrii datelor, tergerea parial sau integral a prelucrrii datelor i poate s sesizeze organele de urmrire penal sau s intenteze aciune n justiie. Decizia trebuie motivat i se comunic prilor interesate n termen de 30 de zile de la data primirii plngerii. 5.4.Contravenii i sanciuni Autoritatea de supraveghere poate aplica sanciuni contravenionale operatorului pentru: - omisiunea de a notifica i notificarea cu rea-credin; - prelucrarea nelegal a datelor cu caracter personal;

11

- nendeplinirea obligaiilor privind confidenialitatea i aplicarea msurilor de securitate; - refuzul de a furniza informaii. Sanciunile contravenionale se aplic de ctre autoritatea de supraveghere prin personalul mputernicit n acest scop. Cuantumul amenzilor care pot fi aplicate, n cazul svririi contraveniilor sus menionate, variaz ntre 500 RON i 50.000 RON. mpotriva proceselor-verbale de constatare i a deciziilor de sancionare se poate face plngere la seciile de contencios administrativ ale tribunalelor.

6. Autoritatea European pentru Protecia Datelor Autoritatea European pentru Protecia datelor s-a nfiinat n anul 2001 i s-a format n conformitate cu art. 286 alin.(2) din Tratatul de Instituire a Comunitii Europene i pentru a asigura aplicarea Regulamentului CE 45/2001, att tratatul ct i regulamentul urmresc alinierea proteciei datelor n instituiile din Comunitatea european. 6.1. Structura Autoritii Europene pentru Protecia Datelor. Conducerea AEPD este asigurat de ctre un preedinte i de un adjunct al preedintelui , ambii fiind alei de comun acord de ctre Consiliul Uniunii Europene i de Parlamentul European. Att preedintele ct i adjunctul acestuia sunt numii pe o perioad de 5 ani. n momentul de fa preedintele AEPD este Peter HUSTINX iar adjunctul su este Giovanni BUTTARELLI. n structura AEPD mai intr i secretariatul, n cadrul cruia lucreaz 30 de angajai. 6.2. Funciile Autoritii Europene pentru Protecia Datelor Autoritatea European pentru Protecia Datelor are 3 funcii importante: A- de supraveghere B- de consultare C- de cooperare A. Supravegherea Una dintre principalele sarcini ale AEPD "este de a supraveghea prelucrarea datelor cu caracter personal de ctre instituiile i organismele europene. Aceast activitate de supraveghere ia forme diferite. Cea mai mare parte a acestei funcii se bazeaz pe notificarea operaiunilor de prelucrare care prezint riscuri specifice. Acestea trebuie verificate nainte de AEPD, care va examina prelucrarea datelor cu caracter personal astfel nct acestea s fie n conformitate cu prevederile Regulamentului (CE) nr. 45/2001. n majoritatea cazurilor, acest exerciiu duce la un set de recomandri pe care instituia sau organismul trebuie s le pun n aplicare, astfel nct s asigure respectarea normelor de protecie a datelor. AEPD primete plngeri din partea membrilor personalului UE, precum i de la alte persoane care simt c datele lor cu caracter personal au fost greit folosite de ctre o instituie sau organism european. AEPD poate adopta avize privind msurile administrative referitoare la protecia datelor adoptate de ctre instituiile i organismele europene. AEPD poate efectua anchete din proprie iniiativ. Anchete i inspecii sunt eseniale pentru autoritatea de supraveghere. n scopul de a monitoriza conformitatea cu Regulamentul (CE) nr. 45/2001, AEPD n mare msur se bazeaz pe responsabilii cu protecia datelor (RPD) care urmeaz s fie numii n fiecare instituie / organism. n afar de ntlnirilor bilaterale i a contactelor cu RPD, AEPD ia, de asemenea, parte la reuniunile periodice ale reelei RPD. Din ianuarie 2004, AEPD a asigurat supravegherea unitii centrale Eurodac. Un aspect esenial al acestei supravegheri este cooperarea cu autoritile naionale de supraveghere, precum i ntocmirea de recomandri pentru soluii comune la problemele existente. AEPD public orientri tematice privind probleme critice pentru a servi ca documente de referin pentru administraia european. B . Consultarea AEPD d sfaturi instituiilor i organismelor UE pe probleme de protecie a datelor cu caracter personal ntr-o gam de domenii politice. Rolul su consultativ se refer la propuneri legislative noi, precum i la instrumente de legi uoare, cum ar fi comunicaiile, care afecteaz protecia datelor personale n UE. AEPD

12

monitorizeaz, de asemenea, tehnologii noi care pot avea un impact asupra proteciei datelor cu caracter personal. Obiectivul este de a asigura c drepturile fundamentale cetenilor UE mai ales protecia vieii private i a datelor cu caracter personal sunt meninute, n timp ce societatea evolueaz. Una din sarcinile principale ale AEPD este de a examina impactul protecia datelor cu caracter personal i a vieii private n noua legislaie propus. Primul instrument este un instrument de planificare. n fiecare an n decembrie, AEPD public un inventar al prioritilor sale pentru anul urmtor. Aceasta enumer cele mai relevante propuneri ale Comisiei, care poate necesita o reacie formal din partea AEPD. Al doilea i cel mai important instrument este avizul oficial public. Prin emiterea de opinii n mod regulat, AEPD stabilete o politic coerent cu privire la aspectele de protecie a datelor. Un al treilea instrument de intervenie sunt comentariile AEPD, care abordeaz aspecte legate de protecia datelor, de exemplu, n comunicrile Comisiei. Un instrument final este posibilitatea de a interveni n cazuri n faa Curii de Justiie, Tribunalul de Prim Instan i a Tribunalului Funciei Publice. C. Cooperarea A treia funcie de baz a AEPD-ului reprezint o colaborare structurat cu celelalte autoriti de protecie a datelor cu caracter personal. Forum central pentru cooperare n cadrul UE este Grupul de lucru privind articolul 29.Acesta este n cazul n care autoritile naionale de protecie a datelor cu caracter personal se ntlnesc pentru a face schimb de opinii privind problemele actuale, pentru a discuta despre o interpretare comun a legislaiei privind protecia datelor i pentru a oferi consultan Comisiei Europene. AEPD particip, de asemenea, la activitile care urmresc asigurarea proteciei datelor cu caracter personal n al treilea pilon al UE, care se refer la cooperarea poliieneasc i judiciar. Aceasta include participarea la o serie de reuniuni cu Organismele de Supraveghere Comune ale sistemelor de informare din treilea pilon. Ea este, de asemenea, un membru al grupului de lucru privind poliia, instituit de ctre Conferina European, cu scopul de a pregti consultan n materie in cadrul celui de-al treilea pilon. n plus, AEPD a luat de asemenea parte la reuniunile Autoriti de Supraveghere comune a Sistemului de Informaii Schengen, care intr att sub incidena pilonului unu ct i sub incidena celui de al treilea. Una dintre cele mai importante sarcini de cooperare se refer la Eurodac, n cazul n care responsabilitile pentru supravegherea proteciei datelor cu caracter personal sunt mprite. Eurodac este un sistem IT de mari proporii care cuprinde amprentele digitale ale solicitanilor de azil. Se compune din unitile naionale (n funcie de legislaia naional), i o unitate central (reglementate de Regulamentul 45/2001). O abordare coordonat este esenial, innd cont de faptul c supravegherea depinde de o colaborare ntre autoritile naionale pentru protecia datelor cu caracter personal i AEPD. De aceea, AEPD organizeaz ntlniri bianuale de coordonare. Dou mari conferine de protecie a datelor cu caracter personal sunt organizate n fiecare an. n fiecare primvar, o conferin european asambleaz oficiali autoritilor de protecie a datelor cu caracter personal din statele membre ale UE i Consiliul Europei. i n fiecare toamn, o gam larg de experi n protecia datelor, att din sectorul public ct i din sectorul privat, se reunesc pentru Conferina Internaionale.

13