img mobile menu img close mobile menu

Evaluarea impactului asupra protecției datelor

Articolul 23. Evaluarea impactului asupra protecției datelor – Legea 133/2011 privind protecția datelor cu caracter personal

     

(1)  În funcție de natura, domeniul de aplicare, contextul și scopurile prelucrării datelor, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc sporit pentru drepturile și libertățile persoanelor, operatorul efectuează, înaintea prelucrării, evaluarea impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. O evaluare unică poate aborda un set de operațiuni de prelucrare similare care prezintă riscuri sporite similare.

(2) La realizarea evaluării impactului asupra protecției datelor, operatorul solicită avizul persoanei responsabile cu protecția datelor, dacă aceasta a fost desemnată.

(3) Evaluarea impactului asupra protecției datelor indicată la alin. (1) se impune mai ales în cazul:

a) evaluării sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv pe crearea de profiluri, și care stă la baza unor decizii automatizate care produc efecte juridice privind persoana fizică sau care o afectează, în mod similar, într-o măsură semnificativă;

b) prelucrării, pe scară largă, a unor categorii de date care se referă la dezvăluirea originii rasiale sau etnice, a opiniilor politice, a confesiunii religioase sau convingerilor filozofice ori a apartenenței la sindicate, precum și prelucrării de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea ori de date privind viața sexuală sau orientarea sexuală, privind condamnările penale și infracțiunile unei persoane fizice;

c) monitorizării sistematice, pe scară largă, a unei zone accesibile publicului.

(4) Evaluarea conține cel puțin:

a) descrierea sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării datelor, inclusiv, după caz, a interesului legitim urmărit de operator;

b) evaluarea necesității și proporționalității operațiunilor de prelucrare în legătură cu scopurile respective;

c) evaluarea riscurilor pentru drepturile și libertățile subiecților de date menționate la alin. (1), în special originea (sursa), natura, gradul specific de probabilitate a materializării riscului sporit și gravitatea acestui risc. Rezultatul evaluării se ia în considerare la stabilirea măsurilor adecvate care trebuie luate pentru a demonstra că prelucrarea datelor cu caracter personal respectă prezenta lege;

d) măsurile de prevenire a riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu prevederile prezentei legi, luând în considerare drepturile și interesele legitime ale subiecților de date și ale altor persoane interesate.

(5) Operatorul solicită, după caz, avizul în formă scrisă, în formă electronică sau prin utilizarea mijloacelor electronice de comunicație al subiecților de date ori al reprezentanților acestora privind prelucrarea preconizată, fără a aduce atingere protecției intereselor comerciale sau publice ori securității operațiunilor de prelucrare.

(6) În cazul în care prelucrarea în temeiul art. 5 alin. (5) lit. b) sau d) are un temei juridic prevăzut de actele normative în vigoare, iar dreptul respectiv reglementează operațiunea de prelucrare specifică sau setul de operațiuni specifice în cauză și deja s-a efectuat o evaluare a impactului asupra protecției datelor ca parte a unei evaluări a impactului general în contextul adoptării respectivului temei juridic, prevederile alin. (1)–(3) din prezentul articol nu se aplică, dacă actele normative nu prevăd altfel.

(7) Dacă este necesar, operatorul efectuează o analiză pentru a evalua dacă prelucrarea datelor are loc în conformitate cu evaluarea impactului asupra protecției datelor, cel puțin atunci când are loc o modificare a riscului reprezentat de operațiunile de prelucrare.

(8) Centrul întocmește și publică o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor, în conformitate cu alin. (1).

(9) Centrul poate, de asemenea, să stabilească și să pună la dispoziția publicului o listă a tipurilor de operațiuni de prelucrare pentru care nu este necesară o evaluare a impactului asupra protecției datelor.

[Art.23 în redacția LP175 din 11.11.21, MO302-306/10.12.21 art.431; în vigoare 10.01.22]

Articolul 24. Consultarea prealabilă – Legea 133/2011 privind protecția datelor cu caracter personal

(1) Operatorul consultă Centrul înainte de prelucrarea datelor dacă evaluarea impactului asupra protecției datelor, prevăzută la art. 23, indică faptul că prelucrarea ar genera un risc sporit, iar operatorul consideră că riscul nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile și al costurilor implementării.

(2) În cazul în care Centrul consideră că prelucrarea prevăzută la alin. (1) ar încălca prezenta lege, în special atunci când riscul nu a fost identificat sau atenuat într-o măsură suficientă de operator, Centrul oferă consiliere în scris operatorului și, după caz, persoanei împuternicite de operator în cel mult opt săptămâni de la primirea cererii de consultare, precum și poate utiliza oricare dintre competențele menționate la art. 20. Perioada respectivă poate fi prelungită cu șase săptămâni, ținându-se cont de complexitatea prelucrării prevăzute. Centrul informează operatorul și, după caz, persoana împuternicită de operator, în termen de o lună de la primirea cererii, cu privire la astfel de prelungire, prezentând detaliat și specific motivele întârzierii. Curgerea acestor perioade poate fi suspendată până când Centrul nu a obținut informațiile pe care le-a solicitat în scopul consultării.

(3) În cazul în care operatorul consultă Centrul în conformitate cu alin. (1), acesta îi furnizează Centrului:

a) după caz, responsabilitățile corespunzătoare ale operatorului/operatorilor și ale persoanelor împuternicite de operator implicate în activitățile de prelucrare a datelor, în special pentru prelucrarea în cadrul unui grup de întreprinderi;

b) scopurile și mijloacele prelucrării preconizate;

c) măsurile și garanțiile prevăzute pentru protecția drepturilor și libertăților subiecților de date, în conformitate cu prezenta lege;

d) după caz, datele de contact ale persoanei responsabile cu protecția datelor;

e) evaluarea impactului asupra protecției datelor, prevăzută la art. 23;

f) alte informații relevante și necesare solicitate suplimentar de Centru.

[Art.24 în redacția LP175 din 11.11.21, MO302-306/10.12.21 art.431; în vigoare 10.01.22]