Angajatorii care prelucrează anumite date cu caracter personal ale salariaţilor sunt obligaţi să notifice autorităţile înainte de a începe efectiv această activitate, reiese dintr-un act normativ publicat recent în Monitorul Oficial.
Prevederile documentului sunt valabile pentru toate persoanele fizice sau juridice de drept public sau privat care stabilesc scopul şi mijloacele de prelucrare a datelor cu caracter personal, adică inclusiv angajatorilor care se ocupă cu astfel de activităţi. Practic, potrivit legislaţiei în vigoare, folosirea registrului general de evidenţă a salariaţilor reprezintă o prelucrare de date personale şi este de ajuns pentru a oferi angajatorilor calitatea de operatori de date cu caracter personal.
Aşadar, angajatorii sunt obligaţi să transmită notificări către ANSPDCP, înainte de începerea efectivă a prelucrării, doar în următoarele cazuri:
-prelucrarea datelor cu caracter personal legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice ori de natură similară, de apartenenţa sindicală, precum şi a datelor privind starea de sănătate şi viaţa sexuală;
-prelucrarea datelor genetice şi biometrice;
-prelucrarea datelor care permit, direct sau indirect, localizarea geografică a persoanelor fizice prin mijloace de comunicaţii electronice;
-prelucrarea datelor cu caracter personal referitoare la săvârşirea de infracţiuni de către persoana vizată ori la condamnări penale, măsuri de siguranţă sau sancţiuni administrative ori contravenţionale aplicate persoanei vizate, efectuată de către entităţi de drept privat;
-prelucrarea datelor cu caracter personal prin mijloace electronice, având ca scop monitorizarea şi/sau evaluarea unor aspecte de personalitate, precum competenţa profesională, credibilitatea, comportamentul sau alte asemenea aspecte;
-prelucrarea datelor cu caracter personal prin mijloace electronice în cadrul unor sisteme de evidenţă având ca scop adoptarea unor decizii automate individuale în legătură cu analizarea solvabilităţii, a situaţiei economico-financiare, a faptelor susceptibile de a atrage răspunderea disciplinară, contravenţională sau penală a persoanelor fizice, de către entităţi de drept privat;
-prelucrarea datelor cu caracter personal ale minorilor efectuată în cadrul activităţilor de marketing direct;
-prelucrarea datelor cu caracter personal ale minorilor efectuată prin intermediul internetului sau al mesageriei electronice;
-prelucrarea datelor cu caracter personal legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice ori de natură similară, de apartenenţa sindicală, precum şi a datelor privind starea de sănătate şi viaţa sexuală, referitoare la propriii membri, efectuată de asociaţii, fundaţii sau orice alte organizaţii fără scop patrimonial exclusiv în vederea realizării specificului activităţii organizaţiei, în măsura în care datele sunt dezvăluite unor terţi fără consimţământul persoanei vizate.
Pe baza notificării, ANSPDCP efectuează un control prealabil atunci când este vorba de prelucrarea datelor cu caracter personal legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice ori de natură similară, de apartenenţa sindicală, de starea de sănătate şi viaţa sexuală, de datele genetice şi biometrice. De asemenea, aceeaşi regulă se aplică pentru prelucrarea datelor cu caracter personal referitoare la săvârşirea de infracţiuni de către persoana vizată ori la condamnări penale, măsuri de siguranţă sau sancţiuni administrative ori contravenţionale aplicate persoanei vizate, efectuată de către entităţi de drept privat, precum şi pentru prelucrarea datelor cu caracter personal ale minorilor efectuată în cadrul activităţilor de marketing direct sau prin intermediul internetului/mesageriei electronice.
În situaţiile în care este nevoie de controale, se consideră că operaţiunile de prelucrare pot să prezinte riscuri speciale pentru drepturile şi libertăţile persoanelor, aşa cum se arată în Legea nr. 677/2001. Controalele prealabile se fac cu anunţarea angajatorilor, iar rezultatele acestora şi decizia emisă de Autoritate sunt aduse la cunoştinţă în maximum 30 de zile de la data notificării.
În Codul muncii este subliniat că tuturor salariaţilor le este recunoscut dreptul la protecţia datelor cu caracter personal.
Omisiunea de a notifica Autoritatea sau notificarea acesteia cu rea-credinţă sunt sancţionate cu amendă de la 500 la 10.000 de lei. Iar prelucrarea nelegală a datelor cu caracter personal se amendează cu sume cuprinse între 1.000 şi 25.000 de lei.