Ei bine, ANSPDCP a precizat că, după solicitarea Bugetul.ro, „a reținut aspectele semnalate cu privire la operatorul de date Compania Națională Poșta Română SA, acestea urmând a fi analizate potrivit competențelor legale de control”.
Știripesurse.ro a scris că, „odată cu fluturașii de salariu, angajații au avut surpriza să găsească în plic, formularul ANAF 230, gata completat cu datele personale, prin care celor peste 23.000 de salariați li se cere să verse cei 3,5% din impozitul anual datorat, în contul Fundației Poșta Română. Poșta Română a pus la dispoziția Fundației datele personale ale salariaților, fără acordul lor, așa cum prevede legislația în vigoare”.
Răspunsul oferit Bugetul.ro de către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal:
„Vă informăm că solicitarea dumneavoastră a fost înregistrată la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal sub nr. 3213 din 16.02.2023.
Având în vedere conţinutul acesteia, precizăm următoarele:
În ceea ce privește modalitatea de prelucrare a datelor cu caracter personal, subliniem că, potrivit Regulamentului (UE) 2016679 (RGPD), aceasta se realizează cu consimţământul persoanei vizate sau în celelalte situaţii, prevăzute de art. 6 și art. 9,în funcţie de natura datelor și categoriilor de date colectate și prelucrate.
Astfel, art. 6 din regulamentul sus-menţionat stabilește următoarele:
(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puţin una dintre următoarele condiţii:
(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile și libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de autorităţi publice în îndeplinirea atribuţiilor lor.
De asemenea, precizăm faptul că art. 5 din RGPD stabilește o serie de principii care se impun a fi respectate în cadrul prelucrării datelor. Printre acestea, se numără principiul legalității, cel privind prelucrarea datelor adecvate, relevante și limitate la ceea ce este necesar în ANSPDCP.REGISTRUL GENERAL.0003454.20-02-2023 raport cu scopurile în care sunt prelucrate (principiul proporţionalităţii), principiul păstrării datelor într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele (principiul limitării legate de stocare) și prelucrarea datelor într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.
Aceleași dispoziţii legale sus-menţionate prevăd faptul că operatorul este responsabil de respectarea acestor principii și poate demonstra această respectare (principiul responsabilităţii).
În ceea ce privește responsabilitatea operatorului, art. 24 din RGPD prevede că ”Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.”
În acest context, raportat la conținutul solicitării dumneavoastră, precizăm că Autoritatea Națională de Supraveghere a reținut aspectele semnalate cu privire la operatorul de date Compania Națională Poșta Română SA, acestea urmând a fi analizate potrivit competențelor legale de control.
Alina SĂVOIU,
Director, Direcția juridică și comunicare”.
