XVII. Prelucrarea datelor cu caracter personal -…

Aspecte generale

În contextul spaţiului fără frontiere interne, cooperarea poliţienească, gestionarea frontierelor, protecţia datelor cu caracter personal, gestionarea crimei transfrontaliere – SIS/SIRENE şi admisia cetăţenilor terţi pe teritoriile Statelor Membre, prin acordarea de vize, constituie domenii fundamentale de acţiune, ale căror cerinţe stabilite prin acquis-ul Schengen, trebuie îndeplinite de către fiecare Stat Membru (SM) de o manieră coerentă, astfel încât fiecare SM în parte să fie în măsură a participa, în mod echitabil, la premisa de încredere mutuală stabilită la nivelul spaţiului de justiţie, libertate şi securitate.

SM ale Uniunii Europene şi ale Spaţiului Schengen acţionează de o manieră consecventă în sensul aplicării unitare a unui set de reguli stabilite la nivel de cooperare, pentru asigurarea punerii în practică a practicilor sigure şi corecte în procesul de acordare a vizelor pentru resortisanţii statelor terţe.

Activitatea în materie de vize şi cea legată de eliberarea permiselor de mic trafic de frontieră (PMT) sunt două dintre atribuţiile MAE, la nivelul instituţiei fiind păstrată, în acest sens, o evidenţă a activităţilor de prelucrare a datelor, inclusiv în legătură cu cele două domenii menţionate, prelucrarea desfăşurându-se în conformitate cu dispoziţiile Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor-RGPD), pentru activitatea în domeniul vizelor, procesarea/eliberarea de PMT şi prelevarea datelor biometrice pentru eliberarea acestor tipuri de documente.

În calitate de operator de date cu caracter personal, MAE prelucrează datele personale pe care le furnizează cetăţenii terţi supuşi obligativităţii vizei de intrare în România şi cei care solicită PMT, cu bună credinţă, pentru scopuri legitime şi bine determinate (procesarea şi eliberarea vizelor române/Permiselor de Mic Trafic de Frontieră (PMT), la solicitarea cetăţenilor terţi), cu respectarea cerinţelor legale şi în condiţii care să asigure securitatea acestor date.

Terminologie specifică activităţii de prelucrare a datelor personale, în conformitate cu dispoziţiile RGPD:

  •  date cu caracter personal - orice informaţii privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
  • prelucrare - orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
  • restricţionarea prelucrării - marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
  • creare de profiluri - formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;
  • pseudonimizare - prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile – în  cazul activităţii în materie de vize, poate fi avut în vedere codul de bare generat pe formularul de cerere, ca urmare a creării unui profil prin intermediulportalului eViza;
  • sistem de evidenţă a datelor - orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;
  • operator - persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
  • persoană împuternicită de către operator - persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
  • parte terță - o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
  • destinatar - persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării;
  • consimțământ al persoanei vizate - orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc (ex. semnarea formularului de solicitare a vizei/PMT), ca datele cu caracter personal care o privesc să fie prelucrate;
  • încălcarea securității datelor cu caracter personal - o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea; Se va avea în vedere că, potrivit legislaţiei în materie, în eventualitatea constatării unei astfel de încălcări a securităţii datelor, MAE, în calitate de operator, beneficiază de un termen de 72 de ore pentru notificarea ANSPDCP, cu privire la incidentul apărut. Prin urmare, MD/OC vor notifica Centralei MAE un eventual astfel de incident, în regim de urgenţă.
  • date biometrice - date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;
  • date privind sănătatea - date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia.

Prelucrarea datelor cu caracter personal şi protejarea acestora constituie pilonii situaţi la baza preluării, procesării şi examinării cererilor de vize, a eliberării vizelor, cât şi la baza utilizării Sistemului Naţional de Informaţii privind Vizele (SNIV) şi a portalului electronic eViza. Aceleaşi principii stau şi la baza prelucrării datelor cu caracter personal pentru eliberarea de permise de mic trafic de frontieră cu elemente biometrice (PMT), care sunt înregistrate în acelasşi sistem naţional înalt securizat - SNIV. Activitatea în materie de vize şi PMT este fundamentată pe respectarea tuturor drepturilor solicitanţilor de vize, aceştia devenind persoanele vizate de prelucrarea datelor cu caracter personal.

În toate situaţiile, MAE are în vedere dispoziţiile art.3 şi 14 din Convenţia pentru apărarea Drepturilor Omului şi a Libertăţilor fundamentale şi art.4 şi 21 din Carta drepturilor fundamentale a Uniunii Europene. Ţinând cont inclusiv de prevederile art.16 din Tratatul privind Funcţionarea Uniunii Europene (Art.16 alin.(1) din TFUE – “Orice persoană are dreptul la protecţia datelor cu caracter personal care o privesc”), în activitatea în domeniul vizelor şi PMT este respectată demnitatea umană, cu accent pe interzicerea tratamentelor inumane şi discriminarea pe criterii rasiale, de sex, vârstă, etnie sau religie, precum şi acţionând, în acelaşi timp, în virtutea protejării ordinii şi securităţii naţionale, a spaţiului de încredere mutuală din care România face parte începând cu anul 2007, în vederea prevenirii migraţiei ilegale şi în scopul fluidizării activităţii în materie.