Inițiative

Autorizarea accesului la sistemele informaționale ce conțin date cu caracter personal. Ce propune CNPDCP

By 22 aprilie 2019 No Comments

Autorizarea accesului la sistemele informaționale ce conțin date cu caracter personal. Ce propune CNPDCP

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) anunță inițierea consultărilor publice asupra proiectului de Decizie privind stabilirea condițiilor minime necesare pentru autorizarea accesului la sistemele informaționale ce conțin date cu caracter personal sau a conectării la platforma de interoperabilitate a operatorilor naționali.

În vederea autorizării accesului la sistemele informaționale ce conțin date cu caracter personal sau conectării la platforma de interoperabilitate, operatorul de date cu caracter personal este obligat să respecte următoarele condiții:

1) să fie înregistrat/e în Registrul de evidență al operatorilor de date cu caracter personal sistemul/ele de evidență în care se intenționează prelucrarea datelor cu caracter personal preluate din sistemele informaționale pentru care se solicită autorizarea, în condițiile art. 23-25 și 28 din Legea privind protecția datelor cu caracter personal;

2) să asigurare informarea subiectului de date prin pagina web, la sediu și prin formulare, contracte sau blanchete tipizate asupra modului de prelucrare a datelor cu caracter personal, a faptului accesării, verificării și actualizării datelor cu caracter personal prin intermediul sistemelor informaționale autorizate, cu enumerarea acestora, inclusiv privind:
a) identitatea operatorului sau, după caz, a persoanei împuternicite de către operator;
b) numărul de înregistrare în calitate de operator de date cu caracter personal;
c) categoriile datelor cu caracter personal colectate și scopul prelucrării acestora;
d) informaţii suplimentare, precum:
– destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
– drepturile de care dispune subiectul de date, în special dreptul de acces la date, de intervenţie asupra datelor şi de opoziţie, precum şi modul de realizare a acestor drepturi;
e) punctul de contact pentru solicitările subiectului de date cu privire la datele cu caracter personal care îl vizează;

3) să instituie proceduri interne privind asigurarea evidenței și păstrării înregistrărilor de audit a operațiunilor de prelucrare a datelor cu caracter personal de către utilizatorii autorizați (care trebuie să conțină cel puțin scopul, temeiul legal, legătura de cauzalitate dintre temeiul legal și necesitatea accesării datelor, data/ora, categoriile de date cu caracter personal prelucrate, identitatea utilizatorului etc.);

4) să elaboreze și implementeze reglementări interne ce ar viza efectuarea controlului intern asupra conformității prelucrării (accesului) datelor cu caracter personal;

5) să numească persoana/subdiviziunea responsabilă de protecția datelor cu caracter personal, căreia să-i fie desemnate atribuții de efectuare a controlului intern menționat supra, cu asigurarea garanțiilor de independență în exercitarea atribuțiilor sale;

6) să informeze Centrul despre rezultatele controlului intern privind conformitatea prelucrării (accesării) datelor cu caracter personal din sistemele informaționale efectuate de către utilizatorii autorizați – semestrial, iar în caz de constatare a încălcării principiilor de protecție a datelor cu caracter personal – în cel mult 72 de ore.

Potrivit documentului, cererea solicitantului autorizării, însoțită de documentele privind instituirea măsurilor specificate mai sus, va fi depusă în scris la sediul Centrului, fie transmisă prin poștă sau poate fi depusă în formă electronică, care trebuie să corespundă cerințelor față de documentul electronic, inclusiv cu aplicarea semnăturii digitale, în conformitate cu legislația în vigoare. Ulterior, Centrul va examina cererea de autorizare și documentele anexate, în termen de cel mult 30 de zile calendaristice din data depunerii acesteia, cu posibilitatea prelungirii, în caz de necesitate, cu maxim 15 zile calendaristice şi emite o decizie de autorizare sau de refuz a autorizării accesului la sistemele informaționale ce conțin date cu caracter personal sau conectării la platforma de interoperabilitate.

Totodată, Centrul poate solicita şi alte informaţii suplimentare/adiționale/aferente, ce ar demonstra veridicitatea informațiilor prezentate de către solicitant în cerere sau în documentele anexate. În cazul solicitării informațiilor suplimentare/adiționale/aferente, termenul de examinare a solicitării de autorizare se suspendă și va începe să curgă din momentul când Centrul va obține informațiile pe care le-a solicitat.

Centrul poate refuza autorizarea, cu emiterea deciziei corespunzătoare, în cazurile în care:
1) actele anexate la cerere conţin informaţii incomplete sau neveridice;
2) cererea a fost completată necorespunzător modelului aprobat şi/sau nu au fost anexate toate documentele confirmative, în corespundere cu prezenta DecizieCadru, cu condiţia că operatorul nu s-a conformat cerinţelor de a întreprinde măsuri în vederea înlăturării deficiențelor în termenul stabilit;
3) nu au fost respectate condițiile specificate la pct. 1 din prezenta DecizieCadru.

De asemenea, refuzul autorizării nu împiedică solicitantul să depună repetat o solicitare, după înlăturarea cauzelor care au servit drept temei pentru emiterea deciziei de refuz. În cazul în care operatorul nu mai respectă cerințele care au stat la baza autorizării, Centrul, în condițiile art. 26 și art. 27 din Legea privind protecția datelor cu caracter personal, își rezervă dreptul de a suspenda/înceta operațiunile de prelucrare a datelor cu caracter personal, cu sau fără retragerea (anularea) deciziei de autorizare emise.

Leave a Reply