Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a emis Decizia nr. 174/2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal. Aceasta a fost publicată în Monitorul Oficial al României nr. 919 din data de 31 octombrie 2018, Partea I și a intrat în vigoare la data publicării. Prin această decizie se stabilește lista operațiunilor de prelucrare a datelor pentru care operatorilor le revine obligația realizării evaluării impactului asupra protecţiei datelor cu caracter personal.
Astfel, evaluarea impactului asupra protecţiei datelor cu caracter personal de către operatori este obligatorie în special în următoarele cazuri:
a)prelucrarea datelor cu caracter personal în vederea realizării unei evaluări sistematice şi cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, şi care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
b)prelucrarea pe scară largă a datelor cu caracter personal privind originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate, a datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea, viaţa sexuală sau orientarea sexuală ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnări penale şi
infracţiuni;
c)prelucrarea datelor cu caracter personal având ca scop monitorizarea sistematică pe scară largă a unei zone accesibile publicului, cum ar fi supravegherea video în centre comerciale, stadioane, pieţe, parcuri sau alte asemenea spaţii;
d)prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor vulnerabile, în special ale minorilor şi ale angajaţilor, prin mijloace automate de monitorizare şi/sau înregistrare sistematică a comportamentului, inclusiv în vederea desfăşurării activităţilor de reclamă, marketing şi publicitate;
e)prelucrarea pe scară largă a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, în special în cazul în care operaţiunile respective limitează capacitatea persoanelor vizate de a-şi exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaştere facială în vederea facilitării accesului în diferite spaţii;
f)prelucrarea pe scară largă a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin alte mijloace (aplicaţii “Internetul lucrurilor”, cum ar fi smart TV, vehicule conectate, contoare inteligente, jucării inteligente, oraşe inteligente sau alte asemenea aplicaţii);
g)prelucrarea pe scară largă şi/sau sistematică a datelor de trafic şi/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografică a pasagerilor în transportul public sau alte asemenea situaţii) atunci când prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de persoana vizată.
(2)Prin excepţie de la alin. (1), evaluarea impactului asupra protecţiei datelor nu este obligatorie atunci când prelucrarea efectuată în temeiul art. 6 alin. (1) lit. (c) sau (e) din Regulamentul general privind protecţia datelor are un temei juridic în dreptul Uniunii sau în dreptul intern şi deja s-a efectuat o evaluare a impactului asupra protecţiei datelor ca parte a unei evaluări generale a impactului în contextul adoptării actelor normative
respective.
Nu trebuie uitat că evaluarea impactului presupune stabilirea internă dacă prelucrarea datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice. Se poate efectua o evaluare unică, însă numai pentru seturi de operațiuni de prelucrare similare care prezintă riscuri ridicate similare.
Totodată, la momentul efectuării evaluării de impact trebuie ca aceasta să conțină:
a)o descriere sistematică a operaţiunilor de prelucrare preconizate şi a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;
b)o evaluare a necesităţii şi proporţionalităţii operaţiunilor de prelucrare în legătură cu aceste scopuri;
c)o evaluare a riscurilor pentru drepturile şi libertăţile persoanelor vizate menţionate la alineatul (1)
d) măsurile preconizate în vederea abordării riscurilor, inclusiv garanţiile, măsurile de securitate şi mecanismele menite să asigure protecţia datelor cu caracter personal şi să demonstreze conformitatea cu dispoziţiile prezentului regulament, luând în considerare drepturile şi interesele legitime ale persoanelor vizate şi ale altor persoane interesate.
Pentru mai multe informații ne puteți contacta la adresa de e-mail [email protected].