Prelucrarea unui număr de identificare național, cum este CNP-ul ori seria și numărul buletinului, a primit o reglementare specială din partea legiuitorului român, prin Legea nr. 190/2018, publicată joi în Monitorul Oficial și aplicabilă efectiv de marți.
Notă: Numărul de identificare național este, potrivit actului normativ menționat, "numărul prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care are aplicabilitate generală, cum ar fi: codul numeric personal, seria şi numărul actului de identitate, numărul paşaportului, al permisului de conducere, numărul de asigurare socială de sănătate".
În această lege, după ce se amintește că firmele sau orice alți operatori de date ce prelucrează CNP-uri și numere de acest fel trebuie să respecte prevederile GDPR-ului, se specifică și următorul lucru: dacă operatorul prelucrează numărul de identificare național pentru atingerea unui scop legitim, el va trebui să ofere anumite garanții persoanelor vizate de prelucrări. Iar asta, chiar dacă prelucrarea înseamnă colectarea sau dezvăluirea datelor ce conțin acest număr de identificare.
Printre aceste garanții se numără numirea obligatorie a unui DPO, dar și următoarele chestiuni:
- aplicarea unor măsuri tehnice și organizatorice pentru reducerea la minim a datelor prelucrate, precum și pentru asigurarea securității și confidențialității prelucrărilor de date personale;
- stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite în vederea ştergerii;
- instruirea personalului care se află sub directa autoritate a operatorului sau a persoanei împuternicite de acesta și care prelucrează date personale.
Notă: Necesitatea de a avea un DPO se analizează în raport cu activitatea operatorului, cu datele pe care le prelucrează, iar nu cu dimensiunea firmei ori vreun prag minim la numărul de salariați. Mai multe detalii pe acest subiect regăsiți aici.
Ce înseamnă prelucrare în scop legitim a datelor?
Scopul legitim al operatorului de date, ca unul dintre temeiurile prevăzute de GDPR pentru prelucrările legale de date personale, nu înseamnă un scop care nu contravine legii și nici nu se confundă cu ceea ce se cheamă interes comercial al unui operator economic.
Clarificări privind definirea conceptului de scop legitim găsim chiar în preambulul acestui regulament. De principiu, o firmă poate să nu aibă un temei legal sau un contract ca bază pentru prelucrarea unor date, dar să aibă un interes legat de desfășurarea afacerii sale pentru a prelucra acele date. Și, atâta timp cât interesele sau drepturile și libertățile fundamentale ale persoanei vizate nu prevalează, atunci firma poate folosi interesele legitime ale afacerii sale pentru a prelucra date așa cum prevede GDPR-ul.
"Acest interes legitim ar putea exista, de exemplu, atunci când există o relație relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în care persoana vizată este un client al operatorului sau se află în serviciul acestuia (...) Prelucrarea de date cu caracter personal strict necesară în scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date în cauză. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim (...) Prelucrarea datelor cu caracter personal în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor și anume capacitatea unei rețele sau a unui sistem de informații de a face față, la un anumit nivel de încredere, evenimentelor accidentale sau acțiunilor ilegale sau rău intenționate care compromit disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor cu caracter personal stocate sau transmise, precum și securitatea serviciilor conexe (...) constituie un interes legitim al operatorului de date în cauză", se specifică în regulament.
Sintetizând cele de mai sus, firma are un interes legitim în a prelucra date personale, de exemplu:
- în cadrul raportului său cu clientul;
- în scopuri de marketing direct;
- atunci când urmărește prevenirea fraudelor;
- atunci când asigură securitatea rețelelor și informațiilor.
Poate vrei să citești și: Exemple utile pentru înțelegerea relației dintre operator și împuternicit