L’avis informant le public de la disponibilité du schéma de notification prévu à l’article 13 paragraphe (3) de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel vient de paraître au Mémorial B Nº 22 du 11 avril 2003.
Conformément à l’article 43 de la loi, les traitements de données à caractère personnel sont à notifier à la Commission nationale pour la protection des données endéans les quatre mois de la publication de cet avis c.-à-d. avant le 11 août 2003.
La Commission nationale entend rappeler par ailleurs aux responsables de traitements de données à caractère personnel sujets à autorisation préalable conformément à l’article 14 paragraphe (1) de la loi que les demandes afférentes sont à introduire sous forme libre (l’usage d’un formulaire n’est pas prévu actuellement) et doivent comprendre les informations mentionnées au paragraphe (2) de l’article 14 de la loi.
Il s’agit des traitements de données sensibles opérés avec le consentement des personnes concernées (art. 6 paragraphe 2 lettre a); limités aux données manifestement rendues publiques par elles (art. 6 paragraphe 2 lettre e); nécessaires pour le respect des obligations et droits spécifiques du responsable du traitement notamment en matière de droit du travail (art. 6 paragraphe 2 lettre (b)) ainsi que des traitements nécessaires pour un motif d’intérêt public, notamment à des fins historiques, statistiques ou scientifiques (art. 6 paragraphe (2) lettre g).
Sont également soumis à autorisation préalable, les traitements de données génétiques visés à l’article 6 paragraphe (4) et les traitements de données relatives à la santé visés à l’article 7 paragraphe (1) de la loi par les instances médicales, les organismes de sécurité sociale, les administrations qui gèrent ces données en exécution de leurs missions légales et réglementaires et par les autres services de santé mentionnés audit article à l’exception de ceux mis en œuvre conformément à l’article 36 de la loi du 28 août 1998 sur les établissements hospitaliers et ceux mis en œuvre par un médecin concernant ses patients. Il va de même du traitement des données génétiques sauf lorsque ceux-ci sont nécessaires à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne (art. 6 paragraphe 2 lettre c) ou lorsqu’ils sont mis en œuvre conformément aux règles de procédures judiciaires (art. 6 paragraphe 2 lettre f) ou en application des dispositions d’un règlement grand-ducal tel que prévu à l’article 17 (art. 6 paragraphe 2 lettre h).
Finalement l’autorisation de la Commission Nationale est encore requise pour la mise en œuvre des traitements à des fins de surveillance (notamment par caméra vidéo) visés à l’article 10 de la loi, les traitements à des fins de surveillance sur le lieu de travail visés à l’article 11, l’interconnexion de données visée à l’article 16 et les traitements concernant le crédit et la solvabilité des personnes (article 14 paragraphe (1) lettre (d) de la loi).
Les responsables du traitement dont les traitements faisaient l’objet lors de l’entrée en vigueur de la loi (1ier décembre 2002) d’une autorisation moyennant règlement grand-ducal ou arrêté ministériel "autorisant la création et l’exploitation d’une banque de données" ne sont tenus de notifier leurs traitements respectivement d’en demander l’autorisation préalable auprès de la Commission nationale qu’à l’expiration de la durée de validité de l’autorisation accordée sur base de la législation antérieure, mais au plus tard dans un délai de deux ans à compter de la date d’entrée en vigueur de la loi, c’est-à-dire au plus tard le 30 novembre 2004.
(communiqué par la Commission nationale pour la protection des données)