COMUNICAT DE PRESĂ – Recomandări privind prelucrarea datelor personale în contextul alegerilor

Sancțiune pentru încălcarea GDPR pentru o asociație de proprietari
6 septembrie 2020

COMUNICAT DE PRESĂ – Recomandări privind prelucrarea datelor personale în contextul alegerilor

În contextul alegerilor pentru autoritățile administrației publice locale din luna septembrie 2020, Autoritatea Națională de Supraveghere recomandă tuturor entităților implicate în acest proces să acorde o atenție sporită respectării legislației privind protecția datelor cu caracter personal, pentru a se asigura că datele personale sunt utilizate în mod responsabil și că drepturile persoanelor vizate sunt respectate.

Organizarea și desfășurarea alegerilor pentru autoritățile administrației publice locale este reglementată prin:

– Legea nr. 115/2015 pentru alegerea autorităţilor administraţiei publice locale, pentru modificarea Legii administraţiei publice locale nr. 215/2001, precum şi pentru modificarea şi completarea Legii nr. 393/2004 privind Statutul aleşilor locali;

– Legea nr. 135/2020 pentru stabilirea datei alegerilor pentru autoritățile administrației locale din anul 2020, precum și a unor măsuri pentru buna organizare și desfășurare a acestora;

– Legea nr. 91/2020 privind modificarea Legii nr. 115/2015 pentru alegerea autorităţilor administraţiei publice locale, pentru modificarea Legii administraţiei publice locale nr. 215/2001, precum şi pentru modificarea şi completarea Legii nr. 393/2004 privind Statutul aleşilor locali, precum şi pentru modificarea Legii nr. 208/2015 privind alegerea Senatului şi a Camerei Deputaţilor, precum şi pentru organizarea şi funcţionarea Autorităţii Electorale Permanente;

– Legea nr. 84/2020 privind prelungirea mandatelor autorităţilor administraţiei publice locale şi pentru modificarea art. 151 alin. (3) din Ordonanţa de urgenţă a Guvernului nr. 57/2019 privind Codul administrative;

– hotărâri ale Autorității Electorale Permanente;

– hotarâri ale Guvernului.

În ceea ce privește prelucrarea datelor cu caracter personal, precizăm că, începând din data de 25 mai 2018, se aplică Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor – denumit în continuare ”RGPD”).

Astfel, art. 4 pct. 7 din RGPD definește operatorul ca fiind persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern.

Așadar, potrivit prevederilor legale, rezultă că pot avea calitatea de operator de date cu caracter personal:

  • partidele politice
  • organizațiile cetățenilor aparținând minorităților naționale
  • alianțele politice
  • alianțele electorale
  • candidații independenți

În ceea ce privește prelucrarea datelor în contextul alegerilor pentru autoritățile administrației locale, raportat la reglementările specifice aplicabile, rezultă că aceasta se realizează în baza prevederilor art. 6 alin. (1) lit. c) din RGPD, potrivit cărora prelucrarea este legală dacă este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului.

Prin raportare la prevederile Hotărârii Autorității Electorale Permanente nr. 2/2020 privind aprobarea Metodologiei depunerii dosarelor de candidatură și a listelor de susținători la alegerile locale din anul 2020, emisă în temeiul art. 104 alin. (1) și (2) din Legea nr. 208/2015, cu modificările și completările ulterioare, precum și al art. 6 din Legea nr. 84/2020, rezultă că partidele politice, organizațiile cetățenilor aparținând minorităților naționale, alianțele politice, alianțele electorale, candidații independenți, prelucrează date cu caracter personal în calitate de operatori, în scopuri, precum:

  • depunerea dosarelor de candidatură la birourile electorale de circumscripție competente
  • depunerea listelor de susținători

Astfel, actul normativ mai sus menționat stabilește modelul listei de candidați care conține următoarele categorii de date cu caracter personal:

  • numele și prenumele
  • data și locul nașterii
  • domiciliul conform actului de identitate
  • denumirea, seria și numărul actului de identitate
  • cetățenia
  • ocupația
  • profesia
  • apartenența politică/alianța politică sau electorală

Cât privește modelul listei de susținători, potrivit reglementărilor aplicabile, acesta conține următoarele categorii de date cu caracter personal:

  • semnătura
  • numele și prenumele
  • cetățenia
  • data nașterii
  • adresa
  • denumirea, seria și numărul actului de identitate

În același timp, în temeiul art. 17 din Legea nr. 115/2015, partidele politice, alianțele politice, alianțele electorale și organizațiile cetățenilor aparținând minorităților naționale care participă la alegeri, au posibilitatea de a obține un extras din Registrul electoral care cuprinde alegătorii din respectiva unitate administrativ-teritorială, respectiv numele, prenumele, data nașterii și domiciliul.

De asemenea, potrivit prevederilor art. 26 alin. (15) din Legea nr. 115/2015, pentru organizarea și desfășurarea operațiunilor electorale, „partidele politice, alianțele politice, alianțele electorale și organizațiile cetățenilor aparținând minorităților naționale care participă în alegeri trebuie să comunice, în scris, birourilor electorale de circumscripție numele și prenumele reprezentanților lor care vor face parte din acestea”.

Așadar, prelucrarea datelor personale trebuie să aibă loc numai cu respectarea prevederilor art. 6 sau 9 din RGPD și a principiilor de prelucrare prevăzute de art. 5 din RGPD.

Dacă operatorii decid efectuarea unor prelucrări de date personale pe baza consimțământului persoanelor fizice, subliniem că, în ceea ce privește obținerea acestuia și dovada existenței sale, este necesară respectarea condițiilor prevăzute de art. 7 coroborat cu art. 4 pct. 11 din RGPD.

Astfel, art. 4 pct. 11 din RGPD  precizează că acesta înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

De asemenea, art. din regulament prevede că:

(1) În cazul în care prelucrarea se bazează pe consimţământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal.

(2) În cazul în care consimţământul persoanei vizate este dat în contextul unei declaraţii scrise care se referă şi la alte aspecte, cererea privind consimţământul trebuie să fie prezentată într-o formă care o diferenţiază în mod clar de celelalte aspecte, într-o formă inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Nicio parte a respectivei declaraţii care constituie o încălcare a prezentului regulament nu este obligatorie.

(3) Persoana vizată are dreptul să îşi retragă în orice moment consimţământul. Retragerea consimţământului nu afectează legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia. Înainte de acordarea consimţământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimţământului se face la fel de simplu ca acordarea acestuia.

(4) Atunci când se evaluează dacă consimţământul este dat în mod liber, se ţine seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiţionată sau nu de consimţământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract.

De asemenea, considerentul (32) din RGPD prevede următoarele: ”Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoştinţă de cauză şi clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaraţie făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar putea include bifarea unei căsuţe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societăţii informaţionale sau orice altă declaraţie sau acţiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absenţa unui răspuns, căsuţele bifate în prealabil sau absenţa unei acţiuni nu ar trebui să constituie un consimţământ”.

Ca atare, obținerea consimțământului persoanei vizate, în măsura în care prelucrarea are loc pe baza acestuia, trebuie să îndeplinească condițiile mai sus menționate de RGPD și să respecte principiile de prelucrare a datelor personale.

Pentru oricare din scopurile în care operatorii prelucrează date cu caracter personal, aceștia au, în principal, următoarele obligații:

  • informarea persoanelor vizate;
  • respectarea drepturilor persoanelor vizate;
  •  asigurarea securității și confidențialității datelor;
  • notificarea încălcărilor de securitate în condițiile art. 33 din Regulament;
  • desemnarea unui responsabil cu protecția datelor, după caz;
  • păstrarea evidenței prelucrărilor de date cu caracter personal efectuate;
  • evaluarea impactului asupra protecției datelor, dacă e cazul.

Astfel, subliniem că informarea persoanelor vizate trebuie realizată, indiferent de temeiul prelucrării datelor, respectiv la consimțământ sau în celelalte condiții legale de prelucrare prevăzute de art. 6, art. 9 și art. 10, în funcție de natura datelor și categoriilor de date colectate și prelucrate.

Astfel, art. 12 din RGPD prevede că operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informaţii menţionate la articolele 13 şi 14 (în funcție de modalitatea de obținere a datelor, respectiv direct de la persoana vizată sau indirect, de la alt operator) şi orice comunicări în temeiul articolelor 15-22 şi 34 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu.

Menționăm că Regulamentul nu impune o anumită modalitate de informare a persoanelor vizate, lăsând la latitudinea operatorilor alegerea unor modalități adecvate de efectuare a informării, cum ar fi prin postare pe site, prin afișare, în scris.

Pe de altă parte, precizăm că art. 5 din RGPD stabilește o serie de principii care se impun a fi respectate în cadrul prelucrării datelor. Printre acestea, se numără cel privind prelucrarea datelor adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (“reducerea la minimum a datelor”) și prelucrarea datelor într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (“integritate şi confidenţialitate”).

De asemenea, subliniem că operatorul este responsabil de respectarea acestor principii şi poate demonstra această respectare.

În același timp, operatorii au obligația de a respecta drepturile persoanelor vizate, reglementate la Capitolul III din Regulamentul (UE) 2016/679, cum sunt: dreptul la informare, dreptul de acces, dreptul la rectificare, dreptul la ștergere („dreptul de a fi uitat”), dreptul la restricționarea prelucrării, dreptul la opoziție, dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, dreptul de a depune o plângere la o autoritate de supraveghere.

În ceea ce privește responsabilitatea operatorului, art. 24 din RGPD prevede că: ”Ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar. ”

Totodată, în anumite situații, printre obligațiile ce îi revin operatorului se regăsește și desemnarea responsabilului cu protecţia datelor.

Regulamentul general privind protecția datelor conține prevederi specifice referitoare la desemnarea responsabilului cu protecţia datelor, funcţia și sarcinile acestuia.

În acest context, precizăm că, potrivit prevederilor art. 37 alin. (1) din RGPD, desemnarea responsabilului cu protecția datelor este obligatorie atunci când:

a) prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;

b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;

c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni.

Față de cele de mai sus, precizăm că partidele politice, candidații independent, organizațiile cetățenilor aparținând minorităților naționale, alianțele politice, alianțele electorale (în calitate de operatori de date)  pot prelucra  date cu caracter personal în contextul alegerilor pentru autoritățile administrației locale și al campaniilor politice cu stricta respectare a reglementările legale aplicabile în domeniul electoral și a prevederilor legale incidente în domeniul protecției datelor, cu aplicarea principiilor de prelucrare (în special principiului scopului determinat, explicit şi legitim, al minimizării datelor, al limitării stocării), precum și cu respectarea informării prealabile a persoanelor vizate și a măsurilor de securitate a datelor, în conformitate cu dispozițiile RGPD.