ANSPDCP a emis lista operatiunilor pentru care este obligatorie realizarea evaluarii impactului asupra protectiei datelor cu caracter personal
Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a emis Decizia nr. 174/2018 privind lista operatiunilor pentru care este obligatorie realizarea evaluarii impactului asupra protectiei datelor cu caracter personal. Aceasta a fost publicata in Monitorul Oficial al Romaniei nr. 919 din data de 31 octombrie 2018, Partea I si a intrat in vigoare la data publicarii.
Prezentam mai jos lista stabilita de autoritatea nationala insotita de cateva exemple:
a) prelucrarea datelor cu caracter personal in vederea realizarii unei evaluari sistematice si cuprinzatoare a aspectelor personale referitoare la persoane fizice, care se bazeaza pe prelucrarea automata, inclusiv crearea de profiluri, si care sta la baza unor decizii care produc efecte juridice privind persoana fizica sau care o afecteaza in mod similar intr-o masura semnificativa;
Exemple:
– O banca acorda imprumuturi/elibereaza carduri de credit in functie de raspunsul dat prin rularea unui program informativ de verificare a indeplinirii conditiilor impuse de banca inclusiv printr-o baza de date de tip credit;
– Monitorizarea clientilor de catre o institutie financiara prin intermediul unei baze de date privind spalarea banilor si/sau combaterea finantarii terorismului;
b) prelucrarea pe scara larga a datelor cu caracter personal privind originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate, a datelor genetice, a datelor biometrice pentru identificarea unica a unei persoane fizice, a datelor privind sanatatea, viaţa sexuala sau orientarea sexuala ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnari penale şi infractiuni;
Exemple:
– Prelucrarea datelor de sanatate ale pacientilor de catre spital prin sistemul de informatii al spitalului;
– Prelucrarea de catre clinici a datelor personale sensibile din proiectele de cercetare sau studii clinice.
c) prelucrarea datelor cu caracter personal avand ca scop monitorizarea sistematica pe scara larga a unei zone accesibile publicului, cum ar fi supravegherea video in centre comerciale, stadioane, piete, parcuri sau alte asemenea spatii;
Exemple:
– Inregistrarea video intr-un spital (in spatiul comun de acces);
d) prelucrarea pe scara larga a datelor cu caracter personal ale persoanelor vulnerabile, in special ale minorilor si ale angajatilor, prin mijloace automate de monitorizare si/sau inregistrare sistematica a comportamentului, inclusiv in vederea desfaşurarii activitatilor de reclama, marketing si publicitate;
Exemple:
– in scopul evaluarii angajatiilor sai, un angajator monitorizeaza in mod sistematic activitatea terminalelor folosite de angajati;
– o companie colecteaza date de pe retelele de socializare/ istoria cautarilor pe internet pentru a selecta acele persoane care ar putea fi interesate de produsele sale;
e) prelucrarea pe scara larga a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, in special in cazul in care operatiunile respective limiteaza capacitatea persoanelor vizate de a-si exercita drepturile, cum ar fi utilizarea tehnicilor de recunoastere faciala in vederea facilitarii accesului in diferite spatii;
Exemple:
– facilitarea accesului la terminalul de lucru al angajatului/ in anumite spatii prin utilizarea tehnicilor de recunoastere faciala/ amprenta;
f) prelucrarea pe scara larga a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin alte mijloace (aplicatii „Internetul lucrurilor”, cum ar fi smart TV, vehicule conectate, contoare inteligente, jucarii inteligente, orase inteligente sau alte asemenea aplicatii);
Exemple:
– aplicatiile de pe telefonul mobil care inregistreaza date privind numarul de pasi parcursi etc;
– Bratarile moderne ce inregistreaza date privind sanatatea posesorului;
– Aplicatii ce inregistreaza date privind pozitionarea persoanei in trafic;
g) prelucrarea pe scara larga si/sau sistematica a datelor de trafic si/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografica a pasagerilor in transportul public sau alte asemenea situaţii) atunci cand prelucrarea nu este necesara pentru prestarea unui serviciu solicitat de persoana vizata.
Exemple:
– Sistemul de camere de supraveghere pentru a identifica vehiculele si pentru a recunoaste in mod automat placutele de inmatriculare in vederea verificarii platii rovinietei.