Protecţia datelor în cadrul autorităţilor și organismelor publice în România

Data protection in Romania can be made in accordance with the status of the controller, meaning either public authority/body or private entity. Operators that are public authorities or bodies have specific rights and obligation, which sometimes are different from those of private entities. The national data protection authority shall have precise tasks with regard to public entities.

All these provisions are laid down in national legislation, which are supplemented by the General Data Protection Regulation (GDPR), the latter being the source for enacting the national legislation specific to the public sector. Within the public administration, responsibility is greater and personal data are not only stored but they are often transferred. Without specific typology of data processing by public authorities and bodies, it should be underlined that both the principles of the GDPR and the rights and obligation of the controller and empowered are fully applicable. The risk of fines is reduced, however there is scope for civil action by individuals concerned. In addition, we need to take into account specific legislation, such as on re-use of information from public institutions or the exercise of free access to information of public interest. The article brings judgments of the Romanian courts into consideration.

Protecţia datelor în România se poate face după statutul operatorului, respectiv autoritate/organism public sau entitate privată. Operatorii care sunt autorităţi și organisme publice au drepturi și obligaţii specifice, uneori diferite de cele pe care le au entităţile private. Autoritatea naţională de protecţia datelor are sarcini precis delimitate în privinţa entităţilor publice.

Toate acestea sunt prevăzute în reglementările naţionale, reglementări care se completează cu Regulamentul general privind protecţia datelor (GDPR), de altfel temeiul existenţei unei legislaţii naţionale specifice sectorului public. În administraţia publică responsabilitatea este mai mare și datele cu caracter personal nu doar sunt stocate dar sunt, de cele mai multe ori și transferate. Fără a exista o tipologie specifică a prelucrării datelor de autorităţile și organismele publice, trebuie subliniat că atât principiile regulamentului cât și drepturile și obligaţiile prevăzute pentru operator și împuternicit sunt pe deplin aplicabile. Riscul amenzilor este redus, însă există posibilitatea unor acţiuni civile ale persoanelor vizate. În plus, trebuie să avem în vedere legislaţia specifică, cum ar fi cea privind reutilizarea informaţiilor din instituţiile publice sau exercitarea liberului acces la informaţiile de interes public. Articolul aduce în atenţie hotărâri ale instanţelor judecătorești din România.