Prelucrarea CNP-ului conform GDPR în România




Prelucrarea CNP-ului este supusă unor condiții riguroase în temeiul GDPR și a legislației naționale. Firmele care prelucrează date personale, date precum codul numeric personal (CNP), seria și numărul actului de identitate și alte astfel de numere de identificare personală națională se vor putea regăsi în situația de a fi obligate să-și numească un responsabil cu protecția datelor (DPO).

Cu titlu preliminar învederăm că, în viziunea legiuitorului român, CNP-ul este o dată cu caracter special și prelucrarea acestuia este supusă unor condiții foarte stricte. Statistic, în România, până în anul 2020 au existat câteva zeci de amenzi date pentru prelucrarea nelegală a CNP-ului. În principiu, se recomadă evitarea prelucrării CNP-ului, dar atunci când este absolut necesar a se prelucra CNP-ul, prelucrarea trebuie să se bazeze pe unul dintre cele șase temeiuri prevăzute de Regulament: consimțământul , contractul, obligația legală, interesul vital, interesul public și interesul legitim. 

Prelucrarea numerelor de identificare națională în interes legitim îi obligă să aibă un astfel de responsabil. Per a contrario, dacă prelucrăm CNP-ul pe alte temeiuri și nu pe interes legitim (consimțământ, contract, obligație legală, interes vital, interes public) nu va fi nevoie de numirea unui responsabil cu protecția datelor (DPO), dar este recomandat.

Prelucrarea CNP-ului, precum și prelucrarea unui număr de identificare naționalcum este CNP-ul sau seria și numărul buletinului, a primit o reglementare specială din partea legiuitorului român, prin Legea nr. 190/2018.

Numărul de identificare național este, potrivit actului normativ, “numărul prin care se identifică o persoană fizică în anumite sisteme de evidență și care are aplicabilitate generală, cum ar fi: cnp-ul, numărul și seria actului de identitate, numărul pașaportului, al permisului de conducere, numărul de asigurare socială de sănătate”.

 

Societățile sau orice alți operatori de date ce prelucrează CNP-uri și numere de acest tip trebuie să respecte prevederile GDPR-ului,  specificându-se următorul aspect : dacă operatorul prelucrează numărul de identificare național pentru atingerea unui unui interes legitim, el va trebui să ofere anumite garanții persoanelor vizate de prelucrări, chiar dacă prelucrarea înseamnă colectarea sau dezvăluirea datelor ce conțin acest număr de identificare.

Printre aceste garanții se numără numirea obligatorie a unui DPO, dar și următoarele chestiuni:

  • aplicarea unor măsuri organizatorice și tehnice pentru reducerea la minim a datelor prelucrate, precum și pentru asigurarea securității și confidențialității prelucrărilor de date personale;
  • stabilirea de termene de stocare în funcție de natura datelor și scopul prelucrării, termenele specifice în care datele cu caracter personal trebuie șterse sau revizuite în vederea ștergerii, de exemplu prin intermediul unei Politici de retenție/stocare – o astfel de politică se regăsește aici.;
  • instruirea personalului ce se află sub directa autoritate a operatorului sau a persoanei împuternicite de acesta și care prelucrează date personale.

 

Te-ar putea interesa și:

 

Necesitatea existenței unui DPO se analizează în raport cu activitatea operatorului și cu datele pe care le prelucrează, iar nu cu dimensiunea firmei ori vreun prag minim la numărul de salariați.

Interesul legitim al operatorului de date este unul dintre temeiurile prevăzute de GDPR pentru prelucrările legale de date personale.

În principiu, o firmă poate să nu aibă un temei legal sau un contract ca bază pentru prelucrarea unor date, dar care să aibă un interes legat de desfășurarea afacerii sale pentru a prelucra acele date. Și, atâta timp cât interesele sau drepturile și libertățile fundamentale ale persoanei vizate nu prevalează, atunci firma poate folosi interesele legitime ale afacerii sale pentru a prelucra date așa cum prevede GDPR-ul.

“Acest interes legitim ar putea exista, de exemplu, atunci când există o relație relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în care persoana vizată este un client al operatorului sau se află în serviciul acestuia (…) Prelucrarea de date cu caracter personal strict necesară în scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date în cauză. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim (…) Prelucrarea datelor cu caracter personal în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor și anume capacitatea unei rețele sau a unui sistem de informații de a face față, la un anumit nivel de încredere, evenimentelor accidentale sau acțiunilor ilegale sau rău intenționate care compromit disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor cu caracter personal stocate sau transmise, precum și securitatea serviciilor conexe (…) constituie un interes legitim al operatorului de date în cauză”, se specifică în Regulament.

Autor Cristina Slave

ALTE ARTICOLE

Vrei să primești articolele noastre direct pe mail?

Abonează-te, e gratuit!