LEGE nr. 677 din
21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea
datelor cu caracter personal şi libera circulaţie a acestor date
Forma sintetică
la data 20-Feb-2018. Acest act a fost creat utilizand tehnologia SintAct®-Acte
Sintetice. SintAct® şi tehnologia Acte Sintetice sunt mărci inregistrate
ale Wolters Kluwer.
(la
data 12-Feb-2010 a se vedea referinte de aplicare din Instructiunile
27/2010 )
(la
data 01-Mar-2009 a se vedea referinte de aplicare din Decizia
95/2008 )
(la
data 25-Feb-2008 a se vedea referinte de aplicare din Decizia
105/2007 )
(la
data 16-Mar-2007 a se vedea referinte de aplicare din Decizia
28/2007 )
(la
data 28-Aug-2006 a se vedea referinte de aplicare din Decizia
89/2006 )
(la
data 28-Jul-2006 a se vedea referinte de aplicare din Decizia
91/2006 )
(la
data 28-Jul-2006 a se vedea referinte de aplicare din Decizia
90/2006 )
(la
data 22-Jun-2006 a se vedea referinte de aplicare din Decizia
60/2006 )
(la
data 09-May-2005 actul a fost promulgata de Decretul
344/2005 )
Parlamentul României adoptă
prezenta lege.
CAPITOLUL I: Dispoziţii generale
(1)Prezenta lege are ca scop
garantarea şi protejarea drepturilor şi libertăţilor
fundamentale ale persoanelor fizice, în special a dreptului la viaţa
intimă, familială şi privată, cu privire la prelucrarea
datelor cu caracter personal.
(2)Exercitarea drepturilor
prevăzute în prezenta lege nu poate fi restrânsă decât în cazuri
expres şi limitativ prevăzute de lege.
(1)Prezenta lege se aplică
prelucrărilor de date cu caracter personal, efectuate, în tot sau în
parte, prin mijloace automate, precum şi prelucrării prin alte
mijloace decât cele automate a datelor cu caracter personal care fac parte dintr-un
sistem de evidenţă sau care sunt destinate să fie incluse
într-un asemenea sistem.
a)prelucrărilor de date cu
caracter personal, efectuate în cadrul activităţilor
desfăşurate de operatori stabiliţi în România;
b)prelucrărilor de date cu
caracter personal, efectuate în cadrul activităţilor
desfăşurate de misiunile diplomatice sau de oficiile consulare ale
României;
c)prelucrărilor de date cu
caracter personal, efectuate în cadrul activităţilor
desfăşurate de operatori care nu sunt stabiliţi în România, prin
utilizarea de mijloace de orice natură situate pe teritoriul României, cu
excepţia cazului în care aceste mijloace nu sunt utilizate decât în scopul
tranzitării pe teritoriul României a datelor cu caracter personal care fac
obiectul prelucrărilor respective.
(3)În cazul prevăzut la alin.
(2) lit. c) operatorul îşi va desemna un reprezentant care trebuie să
fie o persoană stabilită în România. Prevederile prezentei legi
aplicabile operatorului sunt aplicabile şi reprezentantului acestuia,
fără a aduce atingere posibilităţii de a introduce
acţiune în justiţie direct împotriva operatorului.
(4)Prezenta lege se aplică
prelucrărilor de date cu caracter personal efectuate de persoane fizice
sau juridice, române ori străine, de drept public sau de drept privat,
indiferent dacă au loc în sectorul public sau în sectorul privat.
(5)În limitele prevăzute de
prezenta lege, aceasta se aplică şi prelucrărilor şi
transferului de date cu caracter personal, efectuate în cadrul
activităţilor de prevenire, cercetare şi reprimare a
infracţiunilor şi de menţinere a ordinii publice, precum şi
al altor activităţi desfăşurate în domeniul dreptului
penal, în limitele şi cu restricţiile stabilite de lege.
(6)Prezenta lege nu se aplică
prelucrărilor de date cu caracter personal, efectuate de persoane fizice exclusiv
pentru uzul lor personal, dacă datele în cauză nu sunt destinate a fi
dezvăluite.
(7)Prezenta lege nu se aplică
prelucrărilor şi transferului de date cu caracter personal, efectuate
în cadrul activităţilor în domeniul apărării naţionale
şi siguranţei naţionale, desfăşurate în limitele
şi cu restricţiile stabilite de lege.
(8)Prevederile prezentei legi nu aduc
atingere obligaţiilor asumate de România prin instrumente juridice
ratificate.
În înţelesul prezentei legi,
următorii termeni se definesc după cum urmează:
a)date cu caracter personal - orice
informaţii referitoare la o persoană fizică identificată
sau identificabilă; o persoană identificabilă este acea
persoană care poate fi identificată, direct sau indirect, în mod
particular prin referire la un număr de identificare ori la unul sau la
mai mulţi factori specifici identităţii sale fizice, fiziologice,
psihice, economice, culturale sau sociale;
(la
data 25-Jan-2016 Art. 3, litera A. din capitolul I a se vedea referinte de
aplicare din Decizia
37/2015 )
b)prelucrarea datelor cu caracter personal
- orice operaţiune sau set de operaţiuni care se efectuează
asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum
ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori
modificarea, extragerea, consultarea, utilizarea, dezvăluirea către
terţi prin transmitere, diseminare sau în orice alt mod, alăturarea
ori combinarea, blocarea, ştergerea sau distrugerea;
c)stocarea - păstrarea pe orice
fel de suport a datelor cu caracter personal culese;
d)sistem de evidenţă a
datelor cu caracter personal - orice structură organizată de date cu
caracter personal, accesibilă potrivit unor criterii determinate,
indiferent dacă această structură este organizată în mod
centralizat ori descentralizat sau este repartizată după criterii
funcţionale ori geografice;
e)operator - orice
persoană fizică sau juridică, de drept privat ori de drept
public, inclusiv autorităţile publice, instituţiile şi
structurile teritoriale ale acestora, care stabileşte scopul şi
mijloacele de prelucrare a datelor cu caracter personal;
dacă scopul şi
mijloacele de prelucrare a datelor cu caracter personal sunt determinate
printr-un act normativ sau în baza unui act normativ, operator este persoana
fizică sau juridică, de drept public ori de drept privat, care este
desemnată ca operator prin acel act normativ sau în baza acelui act
normativ;
f)persoană împuternicită
de către operator - o persoană fizică sau juridică, de
drept privat ori de drept public, inclusiv autorităţile publice,
instituţiile şi structurile teritoriale ale acestora, care
prelucrează date cu caracter personal pe seama operatorului;
g)terţ - orice persoană
fizică sau juridică, de drept privat ori de drept public, inclusiv
autorităţile publice, instituţiile şi structurile
teritoriale ale acestora, alta decât persoana vizată, operatorul ori
persoana împuternicită sau persoanele care, sub autoritatea directă a
operatorului sau a persoanei împuternicite, sunt autorizate să prelucreze
date;
h)destinatar - orice persoană
fizică sau juridică, de drept privat ori de drept public, inclusiv
autorităţile publice, instituţiile şi structurile
teritoriale ale acestora, căreia îi sunt dezvăluite date, indiferent
dacă este sau nu terţ; autorităţile publice cărora li
se comunică date în cadrul unei competenţe speciale de anchetă
nu vor fi considerate destinatari;
i)date anonime - date care,
datorită originii sau modalităţii specifice de prelucrare, nu
pot fi asociate cu o persoană identificată sau identificabilă.
CAPITOLUL II: Reguli generale privind prelucrarea datelor cu
caracter personal
Art. 4: Caracteristicile
datelor cu caracter personal în cadrul prelucrării
(1)Datele cu caracter
personal destinate a face obiectul prelucrării trebuie să fie:
a)prelucrate cu
bună-credinţă şi în conformitate cu dispoziţiile
legale în vigoare;
b)colectate în scopuri determinate,
explicite şi legitime; prelucrarea ulterioară a datelor cu caracter
personal în scopuri statistice, de cercetare istorică sau
ştiinţifică nu va fi considerată incompatibilă cu
scopul colectării dacă se efectuează cu respectarea
dispoziţiilor prezentei legi, inclusiv a celor care privesc efectuarea
notificării către autoritatea de supraveghere, precum şi cu
respectarea garanţiilor privind prelucrarea datelor cu caracter personal,
prevăzute de normele care reglementează activitatea statistică
ori cercetarea istorică sau ştiinţifică;
c)adecvate, pertinente şi
neexcesive prin raportare la scopul în care sunt colectate şi ulterior
prelucrate;
d)exacte şi, dacă este
cazul, actualizate; în acest scop se vor lua măsurile necesare pentru ca
datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt
colectate şi pentru care vor fi ulterior prelucrate, să fie
şterse sau rectificate;
e)stocate într-o formă care
să permită identificarea persoanelor vizate strict pe durata
necesară realizării scopurilor în care datele sunt colectate şi
în care vor fi ulterior prelucrate; stocarea datelor pe o durată mai mare
decât cea menţionată, în scopuri statistice, de cercetare
istorică sau ştiinţifică, se va face cu respectarea
garanţiilor privind prelucrarea datelor cu caracter personal,
prevăzute în normele care reglementează aceste domenii, şi numai
pentru perioada necesară realizării acestor scopuri.
(2)Operatorii au obligaţia
să respecte prevederile alin. (1) şi să asigure îndeplinirea
acestor prevederi de către persoanele împuternicite.
Art. 5: Condiţii de
legitimitate privind prelucrarea datelor
(1)Orice prelucrare de date cu
caracter personal, cu excepţia prelucrărilor care vizează date
din categoriile menţionate la art. 7
alin. (1), art. 8
şi 10,
poate fi efectuată numai dacă persoana vizată şi-a dat
consimţământul în mod expres şi neechivoc pentru acea
prelucrare.
(2)Consimţământul
persoanei vizate nu este cerut în următoarele cazuri:
a)când prelucrarea este necesară
în vederea executării unui contract sau antecontract la care persoana
vizată este parte ori în vederea luării unor măsuri, la cererea
acesteia, înaintea încheierii unui contract sau antecontract;
b)când prelucrarea este
necesară în vederea protejării vieţii, integrităţii
fizice sau sănătăţii persoanei vizate ori a unei alte
persoane ameninţate;
c)când prelucrarea este
necesară în vederea îndeplinirii unei obligaţii legale a
operatorului;
d)când prelucrarea este
necesară în vederea aducerii la îndeplinire a unor măsuri de interes
public sau care vizează exercitarea prerogativelor de autoritate
publică cu care este învestit operatorul sau terţul căruia îi
sunt dezvăluite datele;
e)când prelucrarea este
necesară în vederea realizării unui interes legitim al operatorului
sau al terţului căruia îi sunt dezvăluite datele, cu
condiţia ca acest interes să nu prejudicieze interesul sau drepturile
şi libertăţile fundamentale ale persoanei vizate;
f)când prelucrarea priveşte
date obţinute din documente accesibile publicului, conform legii;
g)când prelucrarea este
făcută exclusiv în scopuri statistice, de cercetare istorică sau
ştiinţifică, iar datele rămân anonime pe toată durata
prelucrării.
(3)Prevederile alin. (2) nu aduc
atingere dispoziţiilor legale care reglementează obligaţia
autorităţilor publice de a respecta şi de a ocroti viaţa
intimă, familială şi privată.
Art. 6: Încheierea
operaţiunilor de prelucrare
(1)La încheierea
operaţiunilor de prelucrare, dacă persoana vizată nu şi-a
dat în mod expres şi neechivoc consimţământul pentru o altă
destinaţie sau pentru o prelucrare ulterioară, datele cu caracter
personal vor fi:
b)transferate unui alt operator, cu
condiţia ca operatorul iniţial să garanteze faptul că
prelucrările ulterioare au scopuri similare celor în care s-a făcut
prelucrarea iniţială;
c)transformate în date anonime
şi stocate exclusiv în scopuri statistice, de cercetare istorică sau
ştiinţifică.
(2)În cazul operaţiunilor de
prelucrare efectuate în condiţiile prevăzute la art. 5
alin. (2) lit. c) sau d), în cadrul activităţilor descrise la
art. 2
alin. (5), operatorul poate stoca datele cu caracter personal pe
perioada necesară realizării scopurilor concrete urmărite, cu
condiţia asigurării unor măsuri corespunzătoare de
protejare a acestora, după care va proceda la distrugerea lor dacă nu
sunt aplicabile prevederile legale privind păstrarea arhivelor.
CAPITOLUL III: Reguli speciale privind prelucrarea datelor cu
caracter personal
Art. 7: Prelucrarea unor
categorii speciale de date
(1)Prelucrarea datelor cu caracter
personal legate de originea rasială sau etnică, de convingerile
politice, religioase, filozofice sau de natură similară, de
apartenenţa sindicală, precum şi a datelor cu caracter personal
privind starea de sănătate sau viaţa sexuală este
interzisă.
(2)Prevederile alin. (1) nu se aplică în
următoarele cazuri:
a)când persoana vizată
şi-a dat în mod expres consimţământul pentru o astfel de
prelucrare;
b)când prelucrarea este
necesară în scopul respectării obligaţiilor sau drepturilor
specifice ale operatorului în domeniul dreptului muncii, cu respectarea
garanţiilor prevăzute de lege; o eventuală dezvăluire
către un terţ a datelor prelucrate poate fi efectuată numai
dacă există o obligaţie legală a operatorului în acest sens
sau dacă persoana vizată a consimţit expres la această
dezvăluire;
c)când prelucrarea este
necesară pentru protecţia vieţii, integrităţii fizice
sau a sănătăţii persoanei vizate ori a altei persoane, în
cazul în care persoana vizată se află în incapacitate fizică sau
juridică de a-şi da consimţământul;
d)când prelucrarea este
efectuată în cadrul activităţilor sale legitime de către o
fundaţie, asociaţie sau de către orice altă
organizaţie cu scop nelucrativ şi cu specific politic, filozofic,
religios ori sindical, cu condiţia ca persoana vizată să fie membră
a acestei organizaţii sau să întreţină cu aceasta, în mod
regulat, relaţii care privesc specificul activităţii
organizaţiei şi ca datele să nu fie dezvăluite unor
terţi fără consimţământul persoanei vizate;
e)când prelucrarea se referă la
date făcute publice în mod manifest de către persoana vizată;
f)când prelucrarea este
necesară pentru constatarea, exercitarea sau apărarea unui drept în
justiţie;
g)când prelucrarea este
necesară în scopuri de medicină preventivă, de stabilire a
diagnosticelor medicale, de administrare a unor îngrijiri sau tratamente
medicale pentru persoana vizată ori de gestionare a serviciilor de
sănătate care acţionează în interesul persoanei vizate, cu
condiţia ca prelucrarea datelor respective să fie efectuate de
către ori sub supravegherea unui cadru medical supus secretului
profesional sau de către ori sub supravegherea unei alte persoane supuse
unei obligaţii echivalente în ceea ce priveşte secretul;
h)când legea prevede în mod expres
aceasta în scopul protejării unui interes public important, cu
condiţia ca prelucrarea să se efectueze cu respectarea drepturilor
persoanei vizate şi a celorlalte garanţii prevăzute de prezenta
lege.
(3)Prevederile alin. (2) nu aduc
atingere dispoziţiilor legale care reglementează obligaţia
autorităţilor publice de a respecta şi de a ocroti viaţa
intimă, familială şi privată.
(4)Autoritatea de supraveghere poate
dispune, din motive întemeiate, interzicerea efectuării unei
prelucrări de date din categoriile prevăzute la alin. (1), chiar
dacă persoana vizată şi-a dat în scris şi în mod neechivoc
consimţământul, iar acest consimţământ nu a fost retras, cu
condiţia ca interdicţia prevăzută la alin. (1) să nu
fie înlăturată prin unul dintre cazurile la care se referă alin.
(2) lit. b)-g).
Art. 8: Prelucrarea
datelor cu caracter personal având funcţie de identificare
(1)Prelucrarea codului numeric personal sau a altor
date cu caracter personal având o funcţie de identificare de
aplicabilitate generală poate fi efectuată numai dacă:
a)persoana vizată şi-a dat
în mod expres consimţământul; sau
b)prelucrarea este
prevăzută în mod expres de o dispoziţie legală.
(2)Autoritatea de supraveghere poate
stabili şi alte cazuri în care se poate efectua prelucrarea datelor
prevăzute la alin. (1), numai cu condiţia instituirii unor
garanţii adecvate pentru respectarea drepturilor persoanelor vizate.
Art. 9: Prelucrarea
datelor cu caracter personal privind starea de sănătate
(1)În afara cazurilor prevăzute la art. 7
alin. (2), prevederile art. 7
alin. (1) nu se aplică în privinţa prelucrării datelor
privind starea de sănătate în următoarele cazuri:
a)dacă prelucrarea este
necesară pentru protecţia sănătăţii publice;
b)dacă prelucrarea este
necesară pentru prevenirea unui pericol iminent, pentru prevenirea
săvârşirii unei fapte penale sau pentru împiedicarea producerii
rezultatului unei asemenea fapte ori pentru înlăturarea urmărilor
prejudiciabile ale unei asemenea fapte.
(2)Prelucrarea datelor privind starea
de sănătate poate fi efectuată numai de către ori sub
supravegherea unui cadru medical, cu condiţia respectării secretului
profesional, cu excepţia situaţiei în care persoana vizată
şi-a dat în scris şi în mod neechivoc consimţământul atâta
timp cât acest consimţământ nu a fost retras, precum şi cu
excepţia situaţiei în care prelucrarea este necesară pentru
prevenirea unui pericol iminent, pentru prevenirea săvârşirii unei
fapte penale, pentru împiedicarea producerii rezultatului unei asemenea fapte
sau pentru înlăturarea urmărilor sale prejudiciabile.
(3)Cadrele medicale,
instituţiile de sănătate şi personalul medical al acestora
pot prelucra date cu caracter personal referitoare la starea de
sănătate, fără autorizaţia autorităţii de
supraveghere, numai dacă prelucrarea este necesară pentru protejarea
vieţii, integrităţii fizice sau sănătăţii
persoanei vizate. Când scopurile menţionate se referă la alte
persoane sau la public în general şi persoana vizată nu şi-a dat
consimţământul în scris şi în mod neechivoc, trebuie cerută
şi obţinută în prealabil autorizaţia autorităţii
de supraveghere. Prelucrarea datelor cu caracter personal în afara limitelor
prevăzute în autorizaţie este interzisă.
(4)Cu excepţia motivelor de
urgenţă, autorizaţia prevăzută la alin. (3) poate fi
acordată numai după ce a fost consultat Colegiul Medicilor din
România.
(5)Datele cu caracter personal
privind starea de sănătate pot fi colectate numai de la persoana
vizată. Prin excepţie, aceste date pot fi colectate din alte surse
numai în măsura în care este necesar pentru a nu compromite scopurile
prelucrării, iar persoana vizată nu vrea ori nu le poate furniza.
Art. 10: Prelucrarea
datelor cu caracter personal referitoare la fapte penale sau contravenţii
(1)Prelucrarea datelor cu caracter
personal referitoare la săvârşirea de infracţiuni de către
persoana vizată ori la condamnări penale, măsuri de
siguranţă sau sancţiuni administrative ori
contravenţionale, aplicate persoanei vizate, poate fi efectuată numai
de către sau sub controlul autorităţilor publice, în limitele
puterilor ce le sunt conferite prin lege şi în condiţiile stabilite
de legile speciale care reglementează aceste materii.
(2)Autoritatea de supraveghere poate
stabili şi alte cazuri în care se poate efectua prelucrarea datelor
prevăzute la alin. (1), numai cu condiţia instituirii unor
garanţii adecvate pentru respectarea drepturilor persoanelor vizate.
(3)Un registru complet al
condamnărilor penale poate fi ţinut numai sub controlul unei
autorităţi publice, în limitele puterilor ce îi sunt conferite prin
lege.
Prevederile art. 5,
6,
7
şi 10
nu se aplică în situaţia în care prelucrarea datelor se face exclusiv
în scopuri jurnalistice, literare sau artistice, dacă prelucrarea
priveşte date cu caracter personal care au fost făcute publice în mod
manifest de către persoana vizată sau care sunt strâns legate de
calitatea de persoană publică a persoanei vizate ori de caracterul
public al faptelor în care este implicată.
CAPITOLUL IV: Drepturile persoanei vizate în contextul
prelucrării datelor cu caracter personal
Art. 12: Informarea persoanei
vizate
(1)În cazul în care datele cu caracter personal sunt
obţinute direct de la persoana vizată, operatorul este obligat
să furnizeze persoanei vizate cel puţin următoarele
informaţii, cu excepţia cazului în care această persoană
posedă deja informaţiile respective:
a)identitatea operatorului şi a
reprezentantului acestuia, dacă este cazul;
b)scopul în care se face prelucrarea
datelor;
c)informaţii suplimentare,
precum: destinatarii sau categoriile de destinatari ai datelor; dacă
furnizarea tuturor datelor cerute este obligatorie şi consecinţele
refuzului de a le furniza; existenţa drepturilor prevăzute de
prezenta lege pentru persoana vizată, în special a dreptului de acces, de
intervenţie asupra datelor şi de opoziţie, precum şi
condiţiile în care pot fi exercitate;
d)orice alte informaţii a
căror furnizare este impusă prin dispoziţie a
autorităţii de supraveghere, ţinând seama de specificul
prelucrării.
(2)În cazul în care datele nu sunt obţinute
direct de la persoana vizată, operatorul este obligat ca, în momentul
colectării datelor sau, dacă se intenţionează
dezvăluirea acestora către terţi, cel mai târziu până în momentul
primei dezvăluiri, să furnizeze persoanei vizate cel puţin
următoarele informaţii, cu excepţia cazului în care persoana
vizată posedă deja informaţiile respective:
a)identitatea operatorului şi a
reprezentantului acestuia, dacă este cazul;
b)scopul în care se face prelucrarea
datelor;
c)informaţii suplimentare,
precum: categoriile de date vizate, destinatarii sau categoriile de destinatari
ai datelor, existenţa drepturilor prevăzute de prezenta lege pentru
persoana vizată, în special a dreptului de acces, de intervenţie
asupra datelor şi de opoziţie, precum şi condiţiile în care
pot fi exercitate;
d)orice alte informaţii a
căror furnizare este impusă prin dispoziţie a
autorităţii de supraveghere, ţinând seama de specificul
prelucrării.
(3)Prevederile alin. (2) nu se
aplică atunci când prelucrarea datelor se efectuează exclusiv în
scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar
da indicii asupra surselor de informare.
(4)Prevederile alin. (2) nu se
aplică în cazul în care prelucrarea datelor se face în scopuri statistice,
de cercetare istorică sau ştiinţifică, ori în orice alte
situaţii în care furnizarea unor asemenea informaţii se
dovedeşte imposibilă sau ar implica un efort disproporţionat
faţă de interesul legitim care ar putea fi lezat, precum şi în
situaţiile în care înregistrarea sau dezvăluirea datelor este expres prevăzută
de lege.
Art. 13: Dreptul de acces
la date
(1)Orice persoană vizată are dreptul de a
obţine de la operator, la cerere şi în mod gratuit pentru o
solicitare pe an, confirmarea faptului că datele care o privesc sunt sau
nu sunt prelucrate de acesta. Operatorul este obligat, în situaţia în care
prelucrează date cu caracter personal care privesc solicitantul, să
comunice acestuia, împreună cu confirmarea, cel puţin
următoarele:
a)informaţii referitoare la
scopurile prelucrării, categoriile de date avute în vedere şi
destinatarii sau categoriile de destinatari cărora le sunt dezvăluite
datele;
b)comunicarea într-o formă
inteligibilă a datelor care fac obiectul prelucrării, precum şi
a oricărei informaţii disponibile cu privire la originea datelor;
c)informaţii asupra
principiilor de funcţionare a mecanismului prin care se efectuează
orice prelucrare automată a datelor care vizează persoana
respectivă;
d)informaţii privind
existenţa dreptului de intervenţie asupra datelor şi a dreptului
de opoziţie, precum şi condiţiile în care pot fi exercitate;
e)informaţii asupra
posibilităţii de a consulta registrul de evidenţă a
prelucrărilor de date cu caracter personal, prevăzut la art. 24,
de a înainta plângere către autoritatea de supraveghere, precum şi de
a se adresa instanţei pentru atacarea deciziilor operatorului, în
conformitate cu dispoziţiile prezentei legi.
(2)Persoana vizată poate
solicita de la operator informaţiile prevăzute la alin. (1), printr-o
cerere întocmită în formă scrisă, datată şi
semnată. În cerere solicitantul poate arăta dacă doreşte ca
informaţiile să îi fie comunicate la o anumită adresă, care
poate fi şi de poştă electronică, sau printr-un serviciu de
corespondenţă care să asigure că predarea i se va face
numai personal.
(3)Operatorul este obligat să
comunice informaţiile solicitate, în termen de 15 zile de la data primirii
cererii, cu respectarea eventualei opţiuni a solicitantului exprimate
potrivit alin. (2).
(4)În cazul datelor cu caracter
personal legate de starea de sănătate, cererea prevăzută la
alin. (2) poate fi introdusă de persoana vizată fie direct, fie prin
intermediul unui cadru medical care va indica în cerere persoana în numele
căreia este introdusă. La cererea operatorului sau a persoanei vizate
comunicarea prevăzută la alin. (3) poate fi făcută prin
intermediul unui cadru medical desemnat de persoana vizată.
(5)În cazul în care datele cu
caracter personal legate de starea de sănătate sunt prelucrate în
scop de cercetare ştiinţifică, dacă nu există, cel
puţin aparent, riscul de a se aduce atingere drepturilor persoanei vizate
şi dacă datele nu sunt utilizate pentru a lua decizii sau măsuri
faţă de o anumită persoană, comunicarea prevăzută
la alin. (3) se poate face şi într-un termen mai mare decât cel
prevăzut la acel alineat, în măsura în care aceasta ar putea afecta
bunul mers sau rezultatele cercetării, şi nu mai târziu de momentul
în care cercetarea este încheiată. În acest caz persoana vizată
trebuie să îşi fi dat în mod expres şi neechivoc
consimţământul ca datele să fie prelucrate în scop de cercetare
ştiinţifică, precum şi asupra posibilei amânări a
comunicării prevăzute la alin. (3) din acest motiv.
(6)Prevederile alin. (2) nu se
aplică atunci când prelucrarea datelor se efectuează exclusiv în
scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar
da indicii asupra surselor de informare.
Art. 14: Dreptul de
intervenţie asupra datelor
(1)Orice persoană vizată are dreptul de a
obţine de la operator, la cerere şi în mod gratuit:
a)după caz, rectificarea,
actualizarea, blocarea sau ştergerea datelor a căror prelucrare nu
este conformă prezentei legi, în special a datelor incomplete sau
inexacte;
b)după caz, transformarea în
date anonime a datelor a căror prelucrare nu este conformă prezentei
legi;
c)notificarea către terţii
cărora le-au fost dezvăluite datele a oricărei operaţiuni
efectuate conform lit. a) sau b), dacă această notificare nu se
dovedeşte imposibilă sau nu presupune un efort disproporţionat
faţă de interesul legitim care ar putea fi lezat.
(2)Pentru exercitarea dreptului
prevăzut la alin. (1) persoana vizată va înainta operatorului o
cerere întocmită în formă scrisă, datată şi
semnată. În cerere solicitantul poate arăta dacă doreşte ca
informaţiile să îi fie comunicate la o anumită adresă, care
poate fi şi de poştă electronică, sau printr-un serviciu de
corespondenţă care să asigure că predarea i se va face
numai personal.
(3)Operatorul este obligat să
comunice măsurile luate în temeiul alin. (1), precum şi, dacă
este cazul, numele terţului căruia i-au fost dezvăluite datele
cu caracter personal referitoare la persoana vizată, în termen de 15 zile
de la data primirii cererii, cu respectarea eventualei opţiuni a
solicitantului exprimate potrivit alin. (2).
(1)Persoana vizată are dreptul
de a se opune în orice moment, din motive întemeiate şi legitime legate de
situaţia sa particulară, ca date care o vizează să
facă obiectul unei prelucrări, cu excepţia cazurilor în care
există dispoziţii legale contrare. În caz de opoziţie
justificată prelucrarea nu mai poate viza datele în cauză.
(2)Persoana vizată are dreptul
de a se opune în orice moment, în mod gratuit şi fără nici o
justificare, ca datele care o vizează să fie prelucrate în scop de
marketing direct, în numele operatorului sau al unui terţ, sau să fie
dezvăluite unor terţi într-un asemenea scop.
(3)În vederea exercitării
drepturilor prevăzute la alin. (1) şi (2) persoana vizată va
înainta operatorului o cerere întocmită în formă scrisă,
datată şi semnată. În cerere solicitantul poate arăta
dacă doreşte ca informaţiile să îi fie comunicate la o
anumită adresă, care poate fi şi de poştă electronică,
sau printr-un serviciu de corespondenţă care să asigure că
predarea i se va face numai personal.
(4)Operatorul este obligat să
comunice persoanei vizate măsurile luate în temeiul alin. (1) sau (2),
precum şi, dacă este cazul, numele terţului căruia i-au
fost dezvăluite datele cu caracter personal referitoare la persoana
vizată, în termen de 15 zile de la data primirii cererii, cu respectarea
eventualei opţiuni a solicitantului exprimate potrivit alin. (3).
(1)Prevederile art. 12,
13,
ale art. 14
alin. (3) şi ale art. 15
nu se aplică în cazul activităţilor prevăzute la art. 2
alin. (5), dacă prin aplicarea acestora este prejudiciată
eficienţa acţiunii sau obiectivul urmărit în îndeplinirea
atribuţiilor legale ale autorităţii publice.
(2)Prevederile alin. (1) sunt
aplicabile strict pentru perioada necesară atingerii obiectivului
urmărit prin desfăşurarea activităţilor
menţionate la art. 2
alin. (5).
(3)După încetarea situaţiei
care justifică aplicarea alin. (1) şi (2) operatorii care
desfăşoară activităţile prevăzute la art. 2
alin. (5) vor lua măsurile necesare pentru a asigura respectarea
drepturilor persoanelor vizate.
(4)Autorităţile publice
ţin evidenţa unor astfel de cazuri şi informează periodic
autoritatea de supraveghere despre modul de soluţionare a lor.
Art. 17: Dreptul de a nu
fi supus unei decizii individuale
(1)Orice persoană are dreptul de a cere şi
de a obţine:
a)retragerea sau anularea
oricărei decizii care produce efecte juridice în privinţa sa,
adoptată exclusiv pe baza unei prelucrări de date cu caracter
personal, efectuată prin mijloace automate, destinată să
evalueze unele aspecte ale personalităţii sale, precum
competenţa profesională, credibilitatea, comportamentul său ori
alte asemenea aspecte;
b)reevaluarea oricărei alte
decizii luate în privinţa sa, care o afectează în mod semnificativ,
dacă decizia a fost adoptată exclusiv pe baza unei prelucrări de
date care întruneşte condiţiile prevăzute la lit. a).
(2)Respectându-se celelalte garanţii
prevăzute de prezenta lege, o persoană poate fi supusă unei
decizii de natura celei vizate la alin. (1), numai în următoarele
situaţii:
a)decizia este luată în cadrul
încheierii sau executării unui contract, cu condiţia ca cererea de
încheiere sau de executare a contractului, introdusă de persoana
vizată, să fi fost satisfăcută sau ca unele măsuri
adecvate, precum posibilitatea de a-şi susţine punctul de vedere,
să garanteze apărarea propriului interes legitim;
b)decizia este autorizată de o
lege care precizează măsurile ce garantează apărarea
interesului legitim al persoanei vizate.
Art. 18: Dreptul de a se
adresa justiţiei
(1)Fără a se aduce atingere
posibilităţii de a se adresa cu plângere autorităţii de
supraveghere, persoanele vizate au dreptul de a se adresa justiţiei pentru
apărarea oricăror drepturi garantate de prezenta lege, care le-au
fost încălcate.
(2)Orice persoană care a suferit
un prejudiciu în urma unei prelucrări de date cu caracter personal,
efectuată ilegal, se poate adresa instanţei competente pentru
repararea acestuia.
(3)Instanţa competentă este
cea în a cărei rază teritorială domiciliază reclamantul.
Cererea de chemare în judecată este scutită de taxă de timbru.
CAPITOLUL V: Confidenţialitatea şi securitatea
prelucrărilor
Art. 19: Confidenţialitatea
prelucrărilor
Orice persoană care
acţionează sub autoritatea operatorului sau a persoanei
împuternicite, inclusiv persoana împuternicită, care are acces la date cu
caracter personal, nu poate să le prelucreze decât pe baza
instrucţiunilor operatorului, cu excepţia cazului în care
acţionează în temeiul unei obligaţii legale.
Art. 20: Securitatea
prelucrărilor
(1)Operatorul este obligat să
aplice măsurile tehnice şi organizatorice adecvate pentru protejarea
datelor cu caracter personal împotriva distrugerii accidentale sau ilegale,
pierderii, modificării, dezvăluirii sau accesului neautorizat, în
special dacă prelucrarea respectivă comportă transmisii de date
în cadrul unei reţele, precum şi împotriva oricărei alte forme
de prelucrare ilegală.
(2)Aceste măsuri trebuie să
asigure, potrivit stadiului tehnicii utilizate în procesul de prelucrare
şi de costuri, un nivel de securitate adecvat în ceea ce priveşte
riscurile pe care le reprezintă prelucrarea, precum şi în ceea ce
priveşte natura datelor care trebuie protejate. Cerinţele minime de
securitate vor fi elaborate de autoritatea de supraveghere şi vor fi
actualizate periodic, corespunzător progresului tehnic şi
experienţei acumulate.
(3)Operatorul, atunci când
desemnează o persoană împuternicită, este obligat să
aleagă o persoană care prezintă suficiente garanţii în ceea
ce priveşte măsurile de securitate tehnică şi organizatorice
cu privire la prelucrările ce vor fi efectuate, precum şi să
vegheze la respectarea acestor măsuri de către persoana
desemnată.
(4)Autoritatea de supraveghere poate
decide, în cazuri individuale, asupra obligării operatorului la adoptarea
unor măsuri suplimentare de securitate, cu excepţia celor care
privesc garantarea securităţii serviciilor de telecomunicaţii.
(5)Efectuarea
prelucrărilor prin persoane împuternicite trebuie să se
desfăşoare în baza unui contract încheiat în formă scrisă,
care va cuprinde în mod obligatoriu:
a)obligaţia persoanei
împuternicite de a acţiona doar în baza instrucţiunilor primite de la
operator;
b)faptul că îndeplinirea
obligaţiilor prevăzute la alin. (1) revine şi persoanei
împuternicite.
CAPITOLUL VI: Supravegherea şi controlul prelucrărilor
de date cu caracter personal
Art. 21: Autoritatea de
supraveghere
(1)Autoritatea de supraveghere, în sensul prezentei legi, este
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu
Caracter Personal.
(la
data 12-May-2005 Art. 21, alin. (1) din capitolul VI modificat de Art. 22,
punctul 1. din capitolul V din Legea
102/2005 )
(2)Autoritatea de supraveghere
îşi desfăşoară activitatea în condiţii de
completă independenţă şi imparţialitate.
(3)Autoritatea de supraveghere monitorizează
şi controlează sub aspectul legalităţii prelucrările
de date cu caracter personal care cad sub incidenţa prezentei legi.
În acest scop autoritatea de
supraveghere exercită următoarele atribuţii:
a)elaborează formularele
tipizate ale notificărilor şi ale registrelor proprii;
b)primeşte şi
analizează notificările privind prelucrarea datelor cu caracter
personal, anunţând operatorului rezultatele controlului prealabil;
c)autorizează prelucrările
de date în situaţiile prevăzute de lege;
d)poate dispune, în cazul în care
constată încălcarea dispoziţiilor prezentei legi, suspendarea
provizorie sau încetarea prelucrării datelor, ştergerea
parţială ori integrală a datelor prelucrate şi poate
să sesiseze organele de urmărire penală sau să intenteze
acţiuni în justiţie;
d1)informează persoanele fizice sau/şi juridice care
activează în aceste domenii, în mod direct sau prin intermediul
structurilor asociative ale acestora, asupra necesităţii
respectării obligaţiilor şi îndeplinirii procedurilor
prevăzute de prezenta lege;
(la
data 12-May-2005 Art. 21, alin. (3), litera D. din capitolul VI completat de
Art. 22, punctul 2. din capitolul V din Legea
102/2005 )
e)păstrează şi pune
la dispoziţie publicului registrul de evidenţă a
prelucrărilor de date cu caracter personal;
f)primeşte şi
soluţionează plângeri, sesizări sau cereri de la persoanele
fizice şi comunică soluţia dată ori, după caz,
diligenţele depuse;
g)efectuează investigaţii
din oficiu sau la primirea unor plângeri ori sesizări;
h)este consultată atunci când se
elaborează proiecte de acte normative referitoare la protecţia
drepturilor şi libertăţilor persoanelor, în privinţa
prelucrării datelor cu caracter personal;
i)poate face propuneri privind
iniţierea unor proiecte de acte normative sau modificarea actelor
normative în vigoare în domenii legate de prelucrarea datelor cu caracter
personal;
j)cooperează cu
autorităţile publice şi cu organele administraţiei publice,
centralizează şi analizează rapoartele anuale de activitate ale
acestora privind protecţia persoanelor în privinţa prelucrării
datelor cu caracter personal, formulează recomandări şi avize
asupra oricărei chestiuni legate de protecţia drepturilor şi
libertăţilor fundamentale în privinţa prelucrării datelor
cu caracter personal, la cererea oricărei persoane, inclusiv a
autorităţilor publice şi a organelor administraţiei
publice; aceste recomandări şi avize trebuie să facă
menţiune despre temeiurile pe care se sprijină şi se
comunică în copie şi Ministerului Justiţiei; atunci când
recomandarea sau avizul este cerut de lege, se publică în Monitorul
Oficial al României, Partea I;
k)cooperează cu
autorităţile similare de peste hotare în vederea asistenţei
mutuale, precum şi cu persoanele cu domiciliul sau cu sediul în
străinătate, în scopul apărării drepturilor şi
libertăţilor fundamentale ce pot fi afectate prin prelucrarea datelor
cu caracter personal;
l)îndeplineşte alte
atribuţii prevăzute de lege.
m)modul de organizare şi funcţionare a Autorităţii
Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal
se stabileşte prin lege.
(la
data 12-May-2005 Art. 21, alin. (3) din capitolul VI completat de Art. 22,
punctul 3. din capitolul V din Legea
102/2005 )
(4)Întregul personal al
autorităţii de supraveghere are obligaţia de a păstra
secretul profesional, cu excepţiile prevăzute de lege, pe termen
nelimitat, asupra informaţiilor confidenţiale sau clasificate la care
are sau a avut acces în exercitarea atribuţiilor de serviciu, inclusiv
după încetarea raporturilor juridice cu autoritatea de supraveghere.
Art. 22: Notificarea
către autoritatea de supraveghere
(1)Operatorul este obligat să
notifice autorităţii de supraveghere, personal sau prin reprezentant,
înainte de efectuarea oricărei prelucrări ori a oricărui
ansamblu de prelucrări având acelaşi scop sau scopuri corelate.
(2)Notificarea nu este necesară
în cazul în care prelucrarea are ca unic scop ţinerea unui registru
destinat prin lege informării publicului şi deschis spre consultare
publicului în general sau oricărei persoane care probează un interes
legitim, cu condiţia ca prelucrarea să se limiteze la datele strict
necesare ţinerii registrului menţionat.
(3)Notificarea va cuprinde cel puţin
următoarele informaţii:
a)numele sau denumirea şi
domiciliul ori sediul operatorului şi ale reprezentantului desemnat al
acestuia, dacă este cazul;
b)scopul sau scopurile
prelucrării;
c)o descriere a categoriei sau a
categoriilor de persoane vizate şi a datelor ori a categoriilor de date ce
vor fi prelucrate;
d)destinatarii sau categoriile de
destinatari cărora se intenţionează să li se dezvăluie
datele;
e)garanţiile care însoţesc
dezvăluirea datelor către terţi;
f)modul în care persoanele vizate
sunt informate asupra drepturilor lor; data estimată pentru încheierea
operaţiunilor de prelucrare, precum şi destinaţia
ulterioară a datelor;
g)transferuri de date care se
intenţionează să fie făcute către alte state;
h)o descriere generală care
să permită aprecierea preliminară a măsurilor luate pentru
asigurarea securităţii prelucrării;
i)specificarea oricărui sistem
de evidenţă a datelor cu caracter personal, care are
legătură cu prelucrarea, precum şi a eventualelor legături
cu alte prelucrări de date sau cu alte sisteme de evidenţă a
datelor cu caracter personal, indiferent dacă se efectuează,
respectiv dacă sunt sau nu sunt situate pe teritoriul României;
j)motivele care justifică
aplicarea prevederilor art. 11,
art. 12
alin. (3) sau (4) ori ale art. 13
alin. (5) sau (6), în situaţia în care prelucrarea datelor se face
exclusiv în scopuri jurnalistice, literare sau artistice ori în scopuri
statistice, de cercetare istorică sau ştiinţifică.
(4)Dacă notificarea este
incompletă, autoritatea de supraveghere va solicita completarea acesteia.
(5)În limitele puterilor de
investigare de care dispune, autoritatea de supraveghere poate solicita şi
alte informaţii, în special privind originea datelor, tehnologia de
prelucrare automată utilizată şi detalii referitoare la
măsurile de securitate. Dispoziţiile prezentului alineat nu se
aplică în situaţia în care prelucrarea datelor se face exclusiv în
scopuri jurnalistice, literare sau artistice.
(6)Dacă se intenţionează ca datele care
sunt prelucrate să fie transferate în străinătate, notificarea
va cuprinde şi următoarele elemente:
a)categoriile de date care vor face
obiectul transferului;
b)ţara de destinaţie
pentru fiecare categorie de date.
(la data 22-Oct-2007 Art. 22, alin. (7) din capitolul
VI abrogat de Art. 1, punctul 2. din Legea
278/2007 )
(8)Autorităţile publice care efectuează
prelucrări de date cu caracter personal în legătură cu
activităţile descrise la art. 2
alin. (5), în temeiul legii sau în îndeplinirea obligaţiilor
asumate prin acorduri internaţionale ratificate, sunt scutite de taxa
prevăzută la alin. (7). Notificarea se va transmite în termen de 15
zile de la intrarea în vigoare a actului normativ care instituie obligaţia
respectivă şi va cuprinde numai următoarele elemente:
a)denumirea şi sediul
operatorului;
b)scopul şi temeiul legal al
prelucrării;
c)categoriile de date cu caracter
personal supuse prelucrării.
(9)Autoritatea de supraveghere poate stabili şi
alte situaţii în care notificarea nu este necesară, în afara celei
prevăzute la alin. (2), sau situaţii în care notificarea se poate
efectua într-o formă simplificată, precum şi conţinutul
acesteia, numai în unul dintre următoarele cazuri:
a)atunci când, luând în considerare
natura datelor destinate să fie prelucrate, prelucrarea nu poate afecta,
cel puţin aparent, drepturile persoanelor vizate, cu condiţia să
precizeze expres scopurile în care se poate face o asemenea prelucrare, datele
sau categoriile de date care pot fi prelucrate, categoria sau categoriile de
persoane vizate, destinatarii sau categoriile de destinatari cărora datele
le pot fi dezvăluite şi perioada pentru care datele pot fi stocate;
b)atunci când prelucrarea se
efectuează în condiţiile art. 7
alin. (2) lit. d).
(1)Autoritatea de supraveghere va
stabili categoriile de operaţiuni de prelucrare care sunt susceptibile de
a prezenta riscuri speciale pentru drepturile şi libertăţile
persoanelor.
(2)Dacă pe baza notificării
autoritatea de supraveghere constată că prelucrarea se
încadrează în una dintre categoriile menţionate la alin. (1), va
dispune obligatoriu efectuarea unui control prealabil începerii
prelucrării respective, cu anunţarea operatorului.
(3)Operatorii care nu au fost
anunţaţi în termen de 5 zile de la data notificării despre
efectuarea unui control prealabil pot începe prelucrarea.
(4)În situaţia
prevăzută la alin. (2) autoritatea de supraveghere este obligată
ca, în termen de cel mult 30 de zile de la data notificării, să
aducă la cunoştinţă operatorului rezultatul controlului
efectuat, precum şi decizia emisă în urma acestuia.
Art. 24: Registrul de
evidenţă a prelucrărilor de date cu caracter personal
(1)Autoritatea de supraveghere
păstrează un registru de evidenţă a prelucrărilor de
date cu caracter personal, notificate în conformitate cu prevederile art. 22.
Registrul va cuprinde toate informaţiile prevăzute la art. 22
alin. (3).
(2)Fiecare operator primeşte un
număr de înregistrare. Numărul de înregistrare trebuie menţionat
pe orice act prin care datele sunt colectate, stocate sau dezvăluite.
(3)Orice schimbare de natură
să afecteze exactitatea informaţiilor înregistrate va fi
comunicată autorităţii de supraveghere în termen de 5 zile.
Autoritatea de supraveghere va dispune de îndată efectuarea
menţiunilor corespunzătoare în registru.
(4)Activităţile de
prelucrare a datelor cu caracter personal, începute anterior intrării în
vigoare a prezentei legi, vor fi notificate în vederea înregistrării în
termen de 15 zile de la data intrării în vigoare a prezentei legi.
(5)Registrul de evidenţă a
prelucrărilor de date cu caracter personal este deschis spre consultare
publicului. Modalitatea de consultare se stabileşte de autoritatea de
supraveghere.
Art. 25: Plângeri adresate
autorităţii de supraveghere
(1)În vederea apărării
drepturilor prevăzute de prezenta lege persoanele ale căror date cu
caracter personal fac obiectul unei prelucrări care cade sub
incidenţa prezentei legi pot înainta plângere către autoritatea de
supraveghere. Plângerea se poate face direct sau prin reprezentant. Persoana
lezată poate împuternici o asociaţie sau o fundaţie să îi
reprezinte interesele.
(2)Plângerea către autoritatea
de supraveghere nu poate fi înaintată dacă o cerere în justiţie,
având acelaşi obiect şi aceleaşi părţi, a fost
introdusă anterior.
(3)În afara cazurilor în care o
întârziere ar cauza un prejudiciu iminent şi ireparabil, plângerea
către autoritatea de supraveghere nu poate fi înaintată mai devreme
de 15 zile de la înaintarea unei plângeri cu acelaşi conţinut
către operator.
(4)În vederea soluţionării
plângerii, dacă apreciază că este necesar, autoritatea de
supraveghere poate audia persoana vizată, operatorul şi, dacă
este cazul, persoana împuternicită sau asociaţia ori fundaţia
care reprezintă interesele persoanei vizate. Aceste persoane au dreptul de
a înainta cereri, documente şi memorii. Autoritatea de supraveghere poate
dispune efectuarea de expertize.
(5)Dacă plângerea este
găsită întemeiată, autoritatea de supraveghere poate decide
oricare dintre măsurile prevăzute la art. 21
alin. (3) lit. d). Interdicţia temporară a prelucrării
poate fi instituită numai până la încetarea motivelor care au
determinat luarea acestei măsuri.
(6)Decizia trebuie motivată
şi se comunică părţilor interesate în termen de 30 de zile
de la data primirii plângerii.
(7)Autoritatea de supraveghere poate
ordona, dacă apreciază necesar, suspendarea unora sau tuturor
operaţiunilor de prelucrare până la soluţionarea plângerii în
condiţiile alin. (5).
(8)Autoritatea de supraveghere se
poate adresa justiţiei pentru apărarea oricăror drepturi
garantate de prezenta lege persoanelor vizate. Instanţa competentă
este Tribunalul Municipiului Bucureşti. Cererea de chemare în judecată
este scutită de taxa de timbru.
(9)La cererea persoanelor vizate,
pentru motive întemeiate, instanţa poate dispune suspendarea
prelucrării până la soluţionarea plângerii de către
autoritatea de supraveghere.
(10)Prevederile alin.
(4)-(9) se aplică în mod corespunzător şi în situaţia în
care autoritatea de supraveghere află pe orice altă cale despre
săvârşirea unei încălcări a drepturilor recunoscute de
prezenta lege persoanelor vizate.
Art. 26: Contestarea
deciziilor autorităţii de supraveghere
(1)Împotriva oricărei decizii
emise de autoritatea de supraveghere în temeiul dispoziţiilor prezentei
legi operatorul sau persoana vizată poate formula contestaţie în
termen de 15 zile de la comunicare, sub sancţiunea decăderii, la
instanţa de contencios administrativ competentă. Cererea se
judecă de urgenţă, cu citarea părţilor. Soluţia
este definitivă şi irevocabilă.
(2)Fac excepţie de la
prevederile alin. (1), precum şi de la cele ale art. 23
şi 25
prelucrările de date cu caracter personal, efectuate în cadrul
activităţilor prevăzute la art. 2
alin. (5).
Art. 27: Exercitarea
atribuţiilor de investigare
(1)Autoritatea de supraveghere poate
investiga, din oficiu sau la primirea unei plângeri, orice încălcare a
drepturilor persoanelor vizate, respectiv a obligaţiilor care revin
operatorilor şi, după caz, persoanelor împuternicite, în cadrul
efectuării prelucrărilor de date cu caracter personal, în scopul
apărării drepturilor şi libertăţilor fundamentale ale
persoanelor vizate.
(2)Atribuţiile de investigare nu
pot fi exercitate de către autoritatea de supraveghere în cazul în care o
cerere în justiţie introdusă anterior are ca obiect
săvârşirea aceleiaşi încălcări a drepturilor şi
opune aceleaşi părţi.
(3)În exercitarea atribuţiilor
de investigare autoritatea de supraveghere poate solicita operatorului orice
informaţii legate de prelucrarea datelor cu caracter personal şi
poate verifica orice document sau înregistrare referitoare la prelucrarea de
date cu caracter personal.
(4)Secretul de stat şi secretul
profesional nu pot fi invocate pentru a împiedica exercitarea atribuţiilor
acordate prin prezenta lege autorităţii de supraveghere. Atunci când
este invocată protecţia secretului de stat sau a secretului
profesional, autoritatea de supraveghere are obligaţia de a păstra
secretul.
(la data 12-May-2005 Art. 27, alin. (5) din capitolul
VI abrogat de Art. 22, punctul 4. din capitolul V din Legea
102/2005 )
(1)Asociaţiile profesionale au
obligaţia de a elabora şi de a supune spre avizare
autorităţii de supraveghere coduri de conduită care să
conţină norme adecvate pentru protecţia drepturilor persoanelor ale
căror date cu caracter personal pot fi prelucrate de către membrii
acestora.
(2)Normele de conduită trebuie
să prevadă măsuri şi proceduri care să asigure un
nivel satisfăcător de protecţie, ţinând seama de natura
datelor ce pot fi prelucrate. Autoritatea de supraveghere poate dispune
măsuri şi proceduri specifice pentru perioada în care normele de
conduită la care s-a făcut referire anterior nu sunt adoptate.
CAPITOLUL VII: Transferul în străinătate al datelor cu
caracter personal
Art. 29: Condiţiile
transferului în străinătate al datelor cu caracter personal
(la
data 10-Mar-2009 Art. 29 din capitolul VII a se vedea referinte de aplicare din
Decizia
10/2009 )
(la
data 10-Mar-2003 Art. 29 din capitolul VII a se vedea referinte de aplicare din
Ordinul
6/2003 )
(1)Transferul către un alt stat
de date cu caracter personal care fac obiectul unei prelucrări sau sunt
destinate să fie prelucrate după transfer poate avea loc numai în
condiţiile în care nu se încalcă legea română, iar statul
către care se intenţionează transferul asigură un nivel de
protecţie adecvat.
(2)Nivelul de protecţie va fi
apreciat de către autoritatea de supraveghere, ţinând seama de
totalitatea împrejurărilor în care se realizează transferul de date,
în special având în vedere natura datelor transmise, scopul prelucrării
şi durata propusă pentru prelucrare, statul de origine şi statul
de destinaţie finală, precum şi legislaţia statului
solicitant. În cazul în care autoritatea de supraveghere constată că
nivelul de protecţie oferit de statul de destinaţie este
nesatisfăcător, poate dispune interzicerea transferului de date.
(3)În toate situaţiile
transferul de date cu caracter personal către un alt stat va face obiectul
unei notificări prealabile a autorităţii de supraveghere.
(4)Autoritatea de supraveghere poate
autoriza transferul de date cu caracter personal către un stat a
cărui legislaţie nu prevede un nivel de protecţie cel puţin
egal cu cel oferit de legea română atunci când operatorul oferă
garanţii suficiente cu privire la protecţia drepturilor fundamentale
ale persoanelor. Aceste garanţii trebuie să fie stabilite prin
contracte încheiate între operatori şi persoanele fizice sau juridice din
dispoziţia cărora se efectuează transferul.
(5)Prevederile alin. (2), (3) şi
(4) nu se aplică dacă transferul datelor se face în baza prevederilor
unei legi speciale sau ale unui acord internaţional ratificat de România,
în special dacă transferul se face în scopul prevenirii, cercetării
sau reprimării unei infracţiuni.
(6)Prevederile prezentului articol nu
se aplică atunci când prelucrarea datelor se face exclusiv în scopuri
jurnalistice, literare sau artistice, dacă datele au fost făcute
publice în mod manifest de către persoana vizată sau sunt strâns
legate de calitatea de persoană publică a persoanei vizate ori de
caracterul public al faptelor în care este implicată.
Art. 30: Situaţii în
care transferul este întotdeauna permis
Transferul de date este
întotdeauna permis în următoarele situaţii:
a)când persoana vizată
şi-a dat în mod explicit consimţământul pentru efectuarea
transferului; în cazul în care transferul de date se face în legătură
cu oricare dintre datele prevăzute la art. 7,
8
şi 10,
consimţământul trebuie dat în scris;
b)când este necesar pentru
executarea unui contract încheiat între persoana vizată şi operator
sau pentru executarea unor măsuri precontractuale dispuse la cererea
persoanei vizate;
c)când este necesar pentru
încheierea sau pentru executarea unui contract încheiat ori care se va încheia,
în interesul persoanei vizate, între operator şi un terţ;
d)când este necesar pentru
satisfacerea unui interes public major, precum apărarea naţională,
ordinea publică sau siguranţa naţională, pentru buna
desfăşurare a procesului penal ori pentru constatarea, exercitarea
sau apărarea unui drept în justiţie, cu condiţia ca datele
să fie prelucrate în legătură cu acest scop şi nu mai mult
timp decât este necesar;
e)când este necesar pentru a proteja
viaţa, integritatea fizică sau sănătatea persoanei vizate;
f)când intervine ca urmare a unei
cereri anterioare de acces la documente oficiale care sunt publice ori a unei
cereri privind informaţii care pot fi obţinute din registre sau prin
orice alte documente accesibile publicului.
CAPITOLUL VIII: Contravenţii şi sancţiuni
Art. 31: Omisiunea de a
notifica şi notificarea cu rea-credinţă
Omisiunea de a efectua notificarea
în condiţiile art. 22
sau ale art. 29
alin. (3) în situaţiile în care această notificare este
obligatorie, precum şi notificarea incompletă sau care conţine
informaţii false constituie contravenţii, dacă nu sunt
săvârşite în astfel de condiţii încât să constituie
infracţiuni, şi se sancţionează cu amendă de la
5.000.000 lei la 100.000.000 lei.
Art. 32: Prelucrarea
nelegală a datelor cu caracter personal
Prelucrarea datelor cu caracter
personal de către un operator sau de o persoană împuternicită de
acesta, cu încălcarea prevederilor art. 4-10
sau cu nesocotirea drepturilor prevăzute la art. 12-15
sau la art. 17,
constituie contravenţie, dacă nu este săvârşită în
astfel de condiţii încât să constituie infracţiune, şi se
sancţionează cu amendă de la 10.000.000 lei la 250.000.000 lei.
Art. 33: Neîndeplinirea
obligaţiilor privind confidenţialitatea şi aplicarea
măsurilor de securitate
Neîndeplinirea obligaţiilor
privind aplicarea măsurilor de securitate şi de păstrare a
confidenţialităţii prelucrărilor, prevăzute la art. 19
şi 20,
constituie contravenţie, dacă nu este săvârşită în
astfel de condiţii încât să constituie infracţiune, şi se
sancţionează cu amendă de la 15.000.000 lei la 500.000.000 lei.
Art. 34: Refuzul de a
furniza informaţii
Refuzul de a furniza
autorităţii de supraveghere informaţiile sau documentele cerute
de aceasta în exercitarea atribuţiilor de investigare prevăzute la art.
27
constituie contravenţie, dacă nu este săvârşită în
astfel de condiţii încât să constituie infracţiune, şi se
sancţionează cu amendă de la 10.000.000 lei la 150.000.000 lei.
Art. 35: Constatarea
contravenţiilor şi aplicarea sancţiunilor
(1)Constatarea contravenţiilor
şi aplicarea sancţiunilor se efectuează de către
autoritatea de supraveghere, care poate delega aceste atribuţii unor
persoane recrutate din rândul personalului său, precum şi de
reprezentanţi împuterniciţi ai organelor cu atribuţii de
supraveghere şi control, abilitate potrivit legii.
(2)Dispoziţiile prezentei legi
referitoare la contravenţii se completează cu prevederile
Ordonanţei Guvernului nr. 2/2001
privind regimul juridic al contravenţiilor, în măsura în care
prezenta lege nu dispune altfel.
(3)Împotriva proceselor-verbale de
constatare şi sancţionare se poate face plângere la secţiile de
contencios administrativ ale tribunalelor.
CAPITOLUL IX: Dispoziţii finale
Prezenta lege intră în
vigoare la data publicării ei în Monitorul Oficial al României, Partea I,
şi se pune în aplicare în termen de 3 luni de la intrarea sa în vigoare.
Această lege a fost adoptată de Senat în
şedinţa din 15 octombrie 2001, cu respectarea prevederilor art. 74
alin. (2) din Constituţia
României.
Această lege a fost adoptată de Camera
Deputaţilor în şedinţa din 22 octombrie 2001, cu respectarea
prevederilor art. 74
alin. (2) din Constituţia României.
PREŞEDINTELE CAMEREI DEPUTAŢILOR
Publicată în Monitorul Oficial cu numărul
790 din data de 12 decembrie 2001
Forma sintetică
la data 20-Feb-2018. Acest act a fost creat utilizand tehnologia SintAct®-Acte
Sintetice. SintAct® şi tehnologia Acte Sintetice sunt mărci
inregistrate ale Wolters Kluwer.