27
04 2022
713

Prelucrarea datelor cu caracter personal: evaluarea obligatorie a impactului pentru 7 tipuri de operațiuni

Lista tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor cu caracter personal a fost aprobată prin Ordinul nr.27 al Centrului Național pentru Protecția Datelor cu Caracter Personal din 31 martie 2022, fiind publicată în MO.
 
Evaluarea impactului reprezintă un instrument prevăzut de rigorile europene privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date, având scopul de responsabilizare a operatorilor în vederea stabilirii măsurilor adecvate, care trebuie luate pentru a demonstra că prelucrarea datelor respectă prevederile legale.

 

Astfel, efectuarea unei evaluări a impactului asupra protecției datelor va fi obligatorie pentru următoarele 7 tipuri de operațiuni de prelucrare a datelor cu caracter personal:

 

  • în vederea realizării unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoanele fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri ce stă la baza unor decizii care produc efecte juridice privind persoana sau care o afectează;
  • prelucrarea la scară largă a unor categorii de date care se referă la dezvăluirea originii rasiale sau etnice, opiniei politice, confesiunii religioase, apartenenței la sindicate, precum și prelucrarea de date genetice/biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea, viața/orientarea sexuală, condamnările penale și infracțiunile persoanei;
  • ce au ca scop monitorizarea sistematică, la scară largă, a unei zone accesibile publicului;
  • ale persoanelor vulnerabile (persoane în vârstă, pacienți minori, solicitanți de azil etc.) prin mijloace automate de monitorizare sau înregistrare sistematică a comportamentului, inclusiv în vederea desfășurării activităților de reclamă, marketing;
  • prin implementarea unor tehnologii noi, în special în cazul în care operațiunile limitează capacitatea persoanelor de a-și exercita drepturile;
  • prelucrarea datelor generate de senzori care transmit informația prin internet/alte mijloace;
  • de trafic sau de localizare a persoanelor fizice atunci când prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de subiectul de date.

 

În cazul în care se estimează dacă operațiunile de prelucrare planificate necesită efectuarea unei evaluări a impactului asupra protecției datelor cu caracter personal în temeiul art. 23 din Legea nr.133/2011 privind protecția datelor cu caracter personal, operatorul va utiliza  o serie de criterii stabilite ce țin de categoriile speciale de date cu caracter personal, monitorizarea sistemică, utilizarea inovatoare, combinarea seturilor de date etc.

 

Ordinul privind aprobarea Listei tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor cu caracter personal a intrat în vigoare la data publicării, iar prevederile documentului nu afectează și aplicarea altor prevederi legale privind protecția respectivelor date.

0 comentarii

Doar utilizatorii înregistraţi şi autorizați au dreptul de a posta comentarii.