LEGE nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor
cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie
a acestor date
Parlamentul Romāniei adoptă prezenta lege.
CAPITOLUL
I: Dispoziţii generale
Art. 1: Scop
(1)Prezenta lege are
ca scop garantarea şi protejarea
drepturilor şi libertăţilor fundamentale ale
persoanelor fizice, īn special a dreptului la viaţa intimă, familială
şi privată, cu privire
la prelucrarea datelor cu caracter personal.
(2)Exercitarea
drepturilor prevăzute īn prezenta lege nu poate fi restrānsă decāt īn cazuri expres şi
limitativ prevăzute de lege.
Art. 2: Domeniu de aplicare
(1)Prezenta lege se
aplică prelucrărilor de
date cu caracter personal, efectuate, īn tot sau īn parte, prin
mijloace automate, precum şi prelucrării prin alte mijloace decāt cele automate a
datelor cu caracter personal care fac parte dintr-un sistem de evidenţă sau
care sunt destinate să fie incluse īntr-un asemenea sistem.
(2)Prezenta lege se aplică:
a)prelucrărilor
de date cu caracter personal, efectuate īn cadrul activităţilor desfăşurate de
operatori stabiliţi īn Romānia;
b)prelucrărilor
de date cu caracter personal, efectuate īn cadrul activităţilor desfăşurate de
misiunile diplomatice sau de oficiile consulare ale Romāniei; c)prelucrărilor
de date cu caracter personal, efectuate īn cadrul activităţilor desfăşurate de
operatori care nu sunt stabiliţi īn Romānia, prin utilizarea de mijloace de orice natură
situate pe teritoriul Romāniei, cu excepţia cazului īn care aceste mijloace nu sunt
utilizate decāt īn scopul tranzitării pe teritoriul Romāniei a datelor cu caracter personal care
fac obiectul prelucrărilor respective.
(3)Īn cazul prevăzut
la alin. (2) lit. c) operatorul īşi va desemna un reprezentant care trebuie să fie
o persoană stabilită īn Romānia. Prevederile prezentei legi aplicabile operatorului
sunt aplicabile şi reprezentantului acestuia, fără a aduce atingere posibilităţii
de a introduce acţiune īn justiţie direct īmpotriva operatorului.
(4)Prezenta lege se
aplică prelucrărilor de
date cu caracter personal efectuate de persoane fizice sau
juridice, romāne ori străine, de drept public sau de drept privat, indiferent dacă au
loc īn sectorul public sau īn sectorul privat.
(5)Īn limitele prevăzute
de prezenta lege, aceasta se aplică şi prelucrărilor şi transferului de date cu
caracter personal, efectuate īn cadrul activităţilor de prevenire, cercetare şi
reprimare a infracţiunilor şi de menţinere a ordinii publice, precum şi al altor
activităţi desfăşurate īn domeniul dreptului penal, īn
limitele şi cu restricţiile
stabilite de lege.
(6)Prezenta lege nu
se aplică prelucrărilor de
date cu caracter personal, efectuate de persoane fizice exclusiv
pentru uzul lor personal, dacă datele īn cauză nu sunt destinate a fi dezvăluite.
(7)Prezenta lege nu
se aplică prelucrărilor şi
transferului de date cu caracter personal, efectuate īn
cadrul activităţilor īn domeniul apărării naţionale şi
siguranţei naţionale, desfăşurate
īn limitele şi cu restricţiile stabilite de lege.
(8)Prevederile
prezentei legi nu aduc atingere obligaţiilor asumate de Romānia prin instrumente juridice ratificate.
Art. 3: Definiţii
Īn īnţelesul
prezentei legi, următorii termeni se definesc după cum urmează:
a)date cu caracter
personal - orice informaţii referitoare la o persoană fizică identificată sau
identificabilă; o persoană identificabilă este acea persoană
care poate fi identificată,
direct sau indirect, īn mod particular prin referire la un număr de
identificare
ori la unul sau la mai mulţi factori specifici identităţii sale
fizice, fiziologice, psihice, economice, culturale sau sociale;
b)prelucrarea
datelor cu caracter personal - orice operaţiune sau set de operaţiuni care se efectuează
asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi
colectarea, īnregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea,
consultarea, utilizarea, dezvăluirea către terţi prin transmitere, diseminare
sau īn orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau
distrugerea;
c)stocarea - păstrarea
pe orice fel de suport a datelor cu caracter personal culese; d)sistem de evidenţă a datelor cu
caracter personal - orice structură organizată de date cu caracter
personal, accesibilă potrivit unor criterii determinate, indiferent dacă această structură
este organizată īn mod centralizat ori descentralizat sau este repartizată după
criterii funcţionale ori geografice;
e)operator - orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituţiile şi
structurile teritoriale ale acestora, care stabileşte scopul şi
mijloacele de prelucrare a datelor cu caracter personal;
dacă scopul şi
mijloacele de prelucrare a datelor cu caracter personal sunt determinate
printr-un act normativ sau īn baza unui act normativ, operator este persoana fizică
sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin
acel act normativ sau īn baza acelui act normativ;
f)persoană īmputernicită de către
operator - o persoană fizică sau juridică,
de drept privat ori de drept
public, inclusiv autorităţile publice, instituţiile şi
structurile teritoriale ale acestora,
care prelucrează date cu caracter personal pe seama operatorului;
g)terţ - orice persoană fizică sau juridică,
de drept privat ori de drept public, inclusiv autorităţile
publice, instituţiile şi structurile teritoriale ale acestora, alta
decāt persoana vizată,
operatorul ori persoana īmputernicită sau persoanele care, sub autoritatea directă
a operatorului sau a persoanei īmputernicite, sunt autorizate să prelucreze date;
h)destinatar -
orice persoană fizică sau juridică,
de drept privat ori de drept public, inclusiv autorităţile
publice, instituţiile şi structurile teritoriale ale acestora, căreia
īi sunt dezvăluite
date, indiferent dacă este sau nu terţ; autorităţile
publice cărora li se comunică date īn
cadrul unei competenţe speciale de anchetă nu vor fi considerate destinatari;
i)date anonime -
date care, datorită originii sau modalităţii
specifice de prelucrare, nu pot fi asociate cu o
persoană identificată sau identificabilă.
CAPITOLUL II: Reguli generale privind prelucrarea datelor cu caracter
personal
Art. 4: Caracteristicile
datelor cu caracter personal īn cadrul prelucrării
(1)Datele cu caracter personal destinate a face obiectul prelucrării
trebuie să fie: a)prelucrate cu bună-credinţă
şi īn conformitate cu dispoziţiile legale īn vigoare; b)colectate īn
scopuri determinate, explicite şi legitime;
prelucrarea ulterioară a datelor cu caracter
personal īn scopuri statistice, de cercetare istorică sau ştiinţifică nu va fi considerată
incompatibilă cu scopul colectării dacă se efectuează cu respectarea dispoziţiilor
prezentei legi, inclusiv a celor care privesc efectuarea notificării către
autoritatea de supraveghere, precum şi cu respectarea garanţiilor privind prelucrarea
datelor cu caracter personal, prevăzute de normele care reglementează activitatea
statistică ori cercetarea istorică sau ştiinţifică;
c)adecvate,
pertinente şi neexcesive prin raportare la scopul īn care
sunt colectate şi ulterior prelucrate;
d)exacte şi, dacă este cazul,
actualizate; īn acest scop se vor lua măsurile necesare pentru ca datele inexacte
sau incomplete din punct de vedere al scopului pentru care sunt colectate şi
pentru care vor fi ulterior prelucrate, să fie şterse sau
rectificate; e)stocate īntr-o
formă care să permită identificarea
persoanelor vizate strict pe durata necesară
realizării scopurilor īn care datele sunt colectate şi īn care vor fi ulterior prelucrate;
stocarea datelor pe o durată mai mare decāt cea menţionată, īn scopuri statistice, de
cercetare istorică sau ştiinţifică, se va face cu
respectarea garanţiilor privind
prelucrarea datelor cu caracter personal, prevăzute īn normele care reglementează
aceste domenii, şi numai pentru perioada necesară realizării acestor scopuri.
(2)Operatorii au
obligaţia să respecte prevederile
alin. (1) şi să asigure īndeplinirea acestor prevederi de către
persoanele īmputernicite.
Art. 5: Condiţii de legitimitate privind prelucrarea datelor
(1)Orice prelucrare
de date cu caracter personal, cu excepţia prelucrărilor care vizează date din
categoriile menţionate la art. 7 alin. (1), art. 8 şi 10, poate fi efectuată numai dacă
persoana vizată şi-a dat consimţămāntul īn mod expres şi neechivoc pentru acea
prelucrare.
(2)Consimţămāntul persoanei vizate nu este cerut īn următoarele
cazuri:
a)cānd prelucrarea
este necesară īn vederea executării
unui contract sau antecontract la care
persoana vizată este parte ori īn vederea luării unor măsuri, la cererea acesteia,
īnaintea īncheierii unui contract sau antecontract;
b)cānd prelucrarea
este necesară īn vederea protejării
vieţii, integrităţii fizice sau sănătăţii
persoanei vizate ori a unei alte persoane ameninţate;
c)cānd prelucrarea
este necesară īn vederea īndeplinirii
unei obligaţii legale a operatorului;
d)cānd prelucrarea
este necesară īn vederea aducerii la
īndeplinire a unor măsuri de interes public sau care
vizează exercitarea prerogativelor de autoritate publică cu care este īnvestit
operatorul sau terţul căruia īi sunt dezvăluite datele;
e)cānd prelucrarea
este necesară īn vederea realizării
unui interes legitim al operatorului sau al terţului
căruia īi sunt dezvăluite datele, cu condiţia ca acest interes să nu
prejudicieze interesul sau drepturile şi libertăţile
fundamentale ale persoanei vizate;
f)cānd prelucrarea
priveşte date obţinute din documente accesibile publicului, conform legii;
g)cānd prelucrarea
este făcută exclusiv īn scopuri
statistice, de cercetare istorică sau ştiinţifică,
iar datele rămān anonime pe toată durata prelucrării.
(3)Prevederile alin.
(2) nu aduc atingere dispoziţiilor legale care reglementează obligaţia autorităţilor
publice de a respecta şi de a ocroti viaţa intimă, familială
şi privată.
Art. 6: Īncheierea operaţiunilor de prelucrare
(1)La īncheierea operaţiunilor de prelucrare, dacă persoana vizată nu şi-a dat īn mod expres şi neechivoc consimţămāntul pentru o altă
destinaţie sau pentru o prelucrare ulterioară, datele cu caracter
personal vor fi:
a)distruse;
b)transferate unui
alt operator, cu condiţia ca operatorul iniţial să garanteze faptul că prelucrările
ulterioare au scopuri similare celor īn care s-a făcut prelucrarea iniţială;
c)transformate īn
date anonime şi stocate exclusiv
īn scopuri statistice, de cercetare istorică sau ştiinţifică.
(2)Īn cazul operaţiunilor
de prelucrare efectuate īn condiţiile prevăzute la art. 5 alin.
(2) lit. c) sau d),
īn cadrul activităţilor descrise la art. 2 alin. (5), operatorul
poate stoca datele cu
caracter personal pe perioada necesară realizării scopurilor concrete urmărite, cu
condiţia asigurării unor măsuri corespunzătoare de
protejare a acestora,
după
care va proceda la distrugerea lor dacă nu sunt aplicabile prevederile
legale privind păstrarea arhivelor.
CAPITOLUL III: Reguli speciale privind prelucrarea datelor cu caracter
personal
Art. 7: Prelucrarea unor categorii speciale de date
(1)Prelucrarea
datelor cu caracter personal legate de originea rasială sau etnică,
de convingerile politice,
religioase, filozofice sau de natură similară, de apartenenţa sindicală, precum şi
a datelor cu caracter personal privind starea de sănătate sau viaţa sexuală
este interzisă.
(2)Prevederile alin. (1) nu se aplică īn următoarele cazuri:
a)cānd persoana
vizată şi-a dat īn mod expres consimţămāntul pentru o
astfel de prelucrare;
b)cānd prelucrarea
este necesară īn scopul respectării
obligaţiilor sau drepturilor specifice ale
operatorului īn domeniul dreptului muncii, cu respectarea garanţiilor prevăzute de lege; o
eventuală dezvăluire către un terţ a datelor prelucrate
poate fi efectuată numai dacă
există o obligaţie legală a operatorului īn acest sens sau dacă persoana vizată a
consimţit expres la această dezvăluire;
c)cānd prelucrarea
este necesară pentru protecţia vieţii,
integrităţii fizice sau a sănătăţii
persoanei vizate ori a altei persoane, īn cazul īn care persoana vizată se
află īn incapacitate fizică
sau juridică de a-şi da consimţămāntul;
d)cānd prelucrarea
este efectuată īn cadrul activităţilor
sale legitime de către o fundaţie, asociaţie
sau de către orice altă organizaţie cu scop nelucrativ şi
cu specific politic, filozofic,
religios ori sindical, cu condiţia ca persoana vizată să fie
membră a acestei organizaţii
sau să īntreţină cu aceasta, īn mod regulat, relaţii care
privesc specificul activităţii
organizaţiei şi ca datele să nu fie dezvăluite unor terţi
fără consimţămāntul
persoanei vizate;
e)cānd prelucrarea
se referă la date făcute
publice īn mod manifest de către persoana vizată;
f)cānd prelucrarea
este necesară pentru constatarea,
exercitarea sau apărarea unui drept īn justiţie;
g)cānd prelucrarea
este necesară īn scopuri de medicină preventivă,
de stabilire a diagnosticelor medicale,
de administrare a unor īngrijiri sau tratamente medicale pentru persoana vizată
ori de gestionare a serviciilor de sănătate care acţionează
īn interesul persoanei
vizate, cu condiţia ca prelucrarea datelor respective să fie efectuate de către
ori sub supravegherea unui cadru medical supus secretului profesional sau de către
ori sub supravegherea unei alte persoane supuse unei obligaţii
echivalente īn ceea ce priveşte secretul;
h)cānd legea
prevede īn mod expres aceasta īn scopul protejării unui interes public important, cu condiţia
ca prelucrarea să se efectueze cu respectarea drepturilor persoanei vizate şi
a celorlalte garanţii prevăzute de prezenta lege.
(3)Prevederile alin.
(2) nu aduc atingere dispoziţiilor legale care reglementează obligaţia autorităţilor
publice de a respecta şi de a ocroti viaţa intimă, familială
şi privată.
(4)Autoritatea de
supraveghere poate dispune, din motive īntemeiate, interzicerea efectuării unei
prelucrări de date din categoriile prevăzute la alin. (1), chiar dacă persoana vizată
şi-a dat īn scris şi īn mod neechivoc consimţămāntul, iar
acest consimţămānt nu
a fost retras, cu condiţia ca interdicţia prevăzută la
alin. (1) să nu fie īnlăturată
prin unul dintre cazurile la care se referă alin. (2) lit. b)-g).
Art. 8: Prelucrarea
datelor cu caracter personal avānd funcţie de identificare
(1)Prelucrarea codului numeric personal sau a altor date cu caracter
personal avānd o funcţie de identificare de
aplicabilitate generală poate fi efectuată numai dacă:
a)persoana vizată
şi-a dat īn mod expres consimţămāntul; sau b)prelucrarea este
prevăzută īn mod expres de o
dispoziţie legală.
(2)Autoritatea de
supraveghere poate stabili şi alte cazuri īn
care se poate efectua prelucrarea datelor prevăzute
la alin. (1), numai cu condiţia instituirii unor garanţii adecvate pentru
respectarea drepturilor persoanelor vizate.
Art. 9: Prelucrarea
datelor cu caracter personal privind starea de sănătate
(1)Īn afara cazurilor prevăzute la art. 7 alin. (2), prevederile
art. 7 alin. (1) nu se aplică īn privinţa
prelucrării datelor privind starea de sănătate īn următoarele
cazuri: a)dacă prelucrarea este
necesară pentru protecţia sănătăţii
publice;
b)dacă prelucrarea este
necesară pentru prevenirea unui
pericol iminent, pentru prevenirea săvārşirii
unei fapte penale sau pentru īmpiedicarea producerii rezultatului unei asemenea fapte ori
pentru īnlăturarea urmărilor prejudiciabile ale unei asemenea fapte.
(2)Prelucrarea
datelor privind starea de sănătate poate fi efectuată numai de către ori sub supravegherea
unui cadru medical, cu condiţia respectării secretului profesional, cu excepţia
situaţiei īn care persoana vizată şi-a dat īn scris şi īn
mod neechivoc consimţămāntul
atāta timp cāt acest consimţămānt nu a fost retras, precum şi cu excepţia
situaţiei īn care prelucrarea este necesară pentru prevenirea unui pericol iminent,
pentru prevenirea săvārşirii unei fapte penale, pentru īmpiedicarea producerii
rezultatului unei asemenea fapte sau pentru īnlăturarea urmărilor sale
prejudiciabile.
(3)Cadrele medicale,
instituţiile de sănătate şi personalul
medical al acestora pot prelucra date cu caracter
personal referitoare la starea de sănătate, fără autorizaţia autorităţii de
supraveghere, numai dacă prelucrarea este necesară pentru protejarea vieţii, integrităţii
fizice sau sănătăţii persoanei vizate. Cānd scopurile menţionate
se referă la alte
persoane sau la public īn general şi persoana vizată nu şi-a dat consimţămāntul
īn scris şi īn mod neechivoc, trebuie cerută şi obţinută
īn prealabil autorizaţia autorităţii
de supraveghere. Prelucrarea datelor cu caracter personal īn afara limitelor prevăzute
īn autorizaţie este interzisă.
(4)Cu excepţia
motivelor de urgenţă, autorizaţia prevăzută la alin. (3)
poate fi acordată numai după
ce a fost consultat Colegiul Medicilor din Romānia.
(5)Datele cu
caracter personal privind starea de sănătate pot fi colectate numai
de la persoana vizată.
Prin excepţie, aceste date pot fi colectate din alte surse numai īn măsura īn care este
necesar pentru a nu compromite scopurile prelucrării, iar persoana vizată nu
vrea ori nu le poate furniza.
Art. 10: Prelucrarea
datelor cu caracter personal referitoare la fapte penale sau
contravenţii
(1)Prelucrarea
datelor cu caracter personal referitoare la săvārşirea de infracţiuni
de către persoana vizată
ori la condamnări penale, măsuri de siguranţă sau sancţiuni administrative ori
contravenţionale, aplicate persoanei vizate, poate fi efectuată numai de către sau
sub controlul autorităţilor publice, īn limitele puterilor ce le sunt conferite prin lege şi
īn condiţiile stabilite de legile speciale care reglementează aceste materii.
(2)Autoritatea de
supraveghere poate stabili şi alte cazuri īn
care se poate efectua prelucrarea datelor prevăzute
la alin. (1), numai cu condiţia instituirii unor garanţii adecvate pentru
respectarea drepturilor persoanelor vizate.
(3)Un registru
complet al condamnărilor penale poate fi ţinut numai sub
controlul unei autorităţi
publice, īn limitele puterilor ce īi sunt conferite prin lege.
Art. 11: Excepţii
date
cu caracter personal care au fost făcute publice īn mod manifest de către
persoana vizată sau care sunt strāns legate de calitatea de persoană
publică a persoanei vizate ori de caracterul public al faptelor īn care
este implicată.
CAPITOLUL IV: Drepturile persoanei vizate īn contextul prelucrării
datelor cu caracter personal
Art. 12: Informarea persoanei vizate
(1)Īn cazul īn care datele cu caracter personal sunt obţinute
direct de la persoana vizată, operatorul este
obligat să furnizeze persoanei vizate cel puţin următoarele
informaţii, cu excepţia cazului īn care această persoană
posedă deja informaţiile respective:
a)identitatea
operatorului şi a
reprezentantului acestuia, dacă este cazul; b)scopul īn care se
face prelucrarea datelor;
c)informaţii
suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacă
furnizarea tuturor datelor cerute este obligatorie şi consecinţele refuzului de a le
furniza; existenţa drepturilor prevăzute de prezenta lege pentru persoana vizată, īn
special a dreptului de acces, de intervenţie asupra datelor şi de opoziţie, precum şi
condiţiile īn care pot fi exercitate;
d)orice alte
informaţii a căror furnizare este impusă prin dispoziţie
a autorităţii de supraveghere, ţinānd
seama de specificul prelucrării.
(2)Īn cazul īn care datele nu sunt obţinute direct de la
persoana vizată, operatorul este obligat ca, īn momentul
colectării datelor sau, dacă se intenţionează dezvăluirea
acestora către terţi, cel mai tārziu pānă īn momentul primei
dezvăluiri, să furnizeze persoanei vizate cel puţin următoarele
informaţii, cu excepţia cazului īn care persoana vizată posedă
deja informaţiile respective:
a)identitatea
operatorului şi a reprezentantului
acestuia, dacă este cazul; b)scopul īn care se
face prelucrarea datelor;
c)informaţii
suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de
destinatari ai datelor, existenţa drepturilor prevăzute de prezenta
lege pentru persoana vizată,
īn special a dreptului de acces, de intervenţie asupra datelor şi de opoziţie,
precum şi condiţiile īn care pot fi exercitate;
d)orice alte
informaţii a căror furnizare este impusă prin dispoziţie
a autorităţii de supraveghere, ţinānd
seama de specificul prelucrării.
(3)Prevederile alin.
(2) nu se aplică atunci cānd prelucrarea
datelor se efectuează exclusiv īn scopuri
jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor
de informare.
(4)Prevederile alin.
(2) nu se aplică īn cazul īn care
prelucrarea datelor se face īn scopuri statistice, de
cercetare istorică sau ştiinţifică, ori īn orice alte situaţii
īn care furnizarea unor asemenea
informaţii se dovedeşte imposibilă sau ar implica un efort disproporţionat faţă
de interesul legitim care ar putea fi lezat, precum şi īn situaţiile īn care īnregistrarea sau
dezvăluirea datelor este expres prevăzută de lege.
Art. 13: Dreptul de acces la date
(1)Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi īn mod gratuit pentru o solicitare pe an,
confirmarea faptului că datele care o privesc sunt sau nu sunt prelucrate
de acesta. Operatorul este obligat, īn situaţia īn care prelucrează
date cu caracter personal care privesc solicitantul, să comunice acestuia,
īmpreună cu confirmarea, cel puţin următoarele:
a)informaţii
referitoare la scopurile prelucrării, categoriile de date avute īn vedere şi destinatarii sau
categoriile de destinatari cărora le sunt dezvăluite datele; b)comunicarea
īntr-o formă inteligibilă a datelor care
fac obiectul prelucrării, precum şi a oricărei informaţii
disponibile cu privire la originea datelor;
c)informaţii
asupra principiilor de funcţionare a mecanismului prin care se efectuează orice prelucrare automată
a datelor care vizează persoana respectivă;
d)informaţii
privind existenţa dreptului de intervenţie asupra datelor şi a
dreptului de opoziţie, precum şi
condiţiile īn care pot fi exercitate;
e)informaţii
asupra posibilităţii de a consulta registrul de evidenţă a prelucrărilor
de date cu caracter
personal, prevăzut la art. 24, de a īnainta plāngere către
autoritatea de supraveghere, precum şi
de a se adresa instanţei pentru atacarea deciziilor operatorului, īn
conformitate cu dispoziţiile prezentei legi.
(2)Persoana vizată poate solicita de
la operator informaţiile prevăzute la alin. (1), printr-o cerere īntocmită
īn formă scrisă, datată şi semnată. Īn cerere
solicitantul poate arăta dacă
doreşte ca informaţiile să īi fie comunicate la o anumită
adresă, care poate fi şi de
poştă electronică, sau printr-un serviciu de corespondenţă
care să asigure că predarea
i se va face numai personal.
(3)Operatorul este
obligat să comunice informaţiile
solicitate, īn termen de 15 zile de la data primirii cererii,
cu respectarea eventualei opţiuni a solicitantului exprimate potrivit alin. (2).
(4)Īn cazul datelor
cu caracter personal legate de starea de sănătate, cererea prevăzută la
alin. (2) poate fi introdusă de persoana vizată fie direct, fie prin intermediul unui cadru
medical care va indica īn cerere persoana īn numele căreia este introdusă. La
cererea operatorului sau a persoanei vizate comunicarea prevăzută la
alin. (3) poate fi făcută prin intermediul unui cadru medical
desemnat de persoana vizată.
(5)Īn cazul īn care
datele cu caracter personal legate de starea de sănătate sunt prelucrate īn scop de
cercetare ştiinţifică, dacă nu există, cel puţin
aparent, riscul de a se aduce atingere
drepturilor persoanei vizate şi dacă datele nu sunt utilizate pentru a lua decizii sau
măsuri faţă de o anumită persoană, comunicarea prevăzută la alin. (3) se poate
face şi īntr-un termen mai mare decāt cel prevăzut la acel alineat, īn măsura
īn care aceasta ar putea afecta bunul mers sau rezultatele cercetării, şi
nu mai tārziu de momentul īn care cercetarea este īncheiată. Īn acest caz persoana vizată
trebuie să īşi fi dat īn mod expres şi neechivoc consimţămāntul ca datele să fie
prelucrate īn scop de cercetare ştiinţifică, precum şi
asupra posibilei amānări a comunicării
prevăzute la alin. (3) din acest motiv.
(6)Prevederile alin.
(2) nu se aplică atunci cānd prelucrarea
datelor se efectuează exclusiv īn scopuri
jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor
de informare.
Art. 14: Dreptul de intervenţie asupra datelor
(1)Orice persoană vizată are dreptul de a obţine de la operator, la cerere şi īn mod gratuit:
a)după caz,
rectificarea, actualizarea, blocarea sau ştergerea datelor a
căror prelucrare nu este
conformă prezentei legi, īn special a datelor incomplete sau inexacte;
b)după caz,
transformarea īn date anonime a datelor a căror prelucrare nu este conformă prezentei
legi;
c)notificarea către
terţii cărora le-au fost dezvăluite datele a oricărei operaţiuni efectuate conform lit. a)
sau b), dacă această notificare nu se dovedeşte imposibilă sau nu presupune un efort
disproporţionat faţă de interesul legitim care ar putea fi lezat.
(2)Pentru
exercitarea dreptului prevăzut la alin. (1) persoana vizată va īnainta operatorului o cerere
īntocmită īn formă scrisă, datată şi semnată. Īn
cerere solicitantul poate arăta
dacă doreşte ca informaţiile să īi fie comunicate la o
anumită adresă, care poate
fi şi de poştă electronică, sau printr-un serviciu de
corespondenţă care să asigure că
predarea i se va face numai personal.
(3)Operatorul este
obligat să comunice măsurile
luate īn temeiul alin. (1), precum şi, dacă este cazul,
numele terţului căruia i-au fost dezvăluite datele cu caracter
personal
referitoare la persoana vizată, īn termen de 15 zile de la data primirii
cererii, cu respectarea eventualei opţiuni a solicitantului exprimate
potrivit alin. (2).
Art. 15: Dreptul de opoziţie
(1)Persoana vizată are dreptul de a
se opune īn orice moment, din motive īntemeiate şi
legitime legate de situaţia sa particulară, ca date care o vizează
să facă obiectul unei prelucrări,
cu excepţia cazurilor īn care există dispoziţii legale contrare. Īn caz de opoziţie
justificată prelucrarea nu mai poate viza datele īn cauză.
(2)Persoana vizată are dreptul de a
se opune īn orice moment, īn mod gratuit şi fără nici o justificare, ca
datele care o vizează să fie prelucrate īn scop de marketing direct, īn numele
operatorului sau al unui terţ, sau să fie dezvăluite unor terţi
īntr-un asemenea scop.
(3)Īn vederea
exercitării drepturilor prevăzute la alin. (1) şi (2)
persoana vizată va īnainta operatorului o
cerere īntocmită īn formă scrisă, datată şi semnată.
Īn cerere solicitantul poate arăta
dacă doreşte ca informaţiile să īi fie comunicate la o
anumită adresă, care poate
fi şi de poştă electronică, sau printr-un serviciu de
corespondenţă care să asigure că
predarea i se va face numai personal.
(4)Operatorul este
obligat să comunice persoanei vizate
măsurile luate īn temeiul alin. (1) sau (2), precum
şi, dacă este cazul, numele terţului căruia i-au fost dezvăluite datele cu
caracter personal referitoare la persoana vizată, īn termen de 15 zile de la data primirii
cererii, cu respectarea eventualei opţiuni a solicitantului exprimate potrivit alin.
(3).
Art. 16: Excepţii
(1)Prevederile art.
12, 13, ale art. 14 alin. (3) şi ale art. 15 nu se
aplică īn cazul activităţilor
prevăzute la art. 2 alin. (5), dacă prin aplicarea acestora este prejudiciată eficienţa
acţiunii sau obiectivul urmărit īn īndeplinirea atribuţiilor
legale ale autorităţii
publice.
(2)Prevederile alin.
(1) sunt aplicabile strict pentru perioada necesară atingerii obiectivului urmărit
prin desfăşurarea activităţilor menţionate la art. 2
alin. (5).
(3)După īncetarea situaţiei
care justifică aplicarea alin. (1) şi (2)
operatorii care desfăşoară
activităţile prevăzute la art. 2 alin. (5) vor lua măsurile
necesare pentru a asigura respectarea
drepturilor persoanelor vizate.
(4)Autorităţile
publice ţin evidenţa unor astfel de cazuri şi informează periodic autoritatea de
supraveghere despre modul de soluţionare a lor.
Art. 17: Dreptul de a nu fi supus unei decizii individuale
(1)Orice persoană are dreptul de a cere şi de a obţine:
a)retragerea sau
anularea oricărei decizii care produce efecte juridice īn privinţa
sa, adoptată exclusiv pe
baza unei prelucrări de date cu caracter personal, efectuată prin mijloace automate,
destinată să evalueze unele aspecte ale personalităţii
sale, precum competenţa
profesională, credibilitatea, comportamentul său ori alte asemenea aspecte;
b)reevaluarea oricărei
alte decizii luate īn privinţa sa, care o afectează īn mod semnificativ, dacă
decizia a fost adoptată exclusiv pe baza unei prelucrări de date care īntruneşte
condiţiile prevăzute la lit. a).
(2)Respectāndu-se celelalte garanţii prevăzute de prezenta
lege, o persoană poate fi supusă unei decizii de
natura celei vizate la alin. (1), numai īn următoarele situaţii: a)decizia este luată īn cadrul
īncheierii sau executării unui contract, cu condiţia ca cererea de īncheiere sau
de executare a contractului, introdusă de persoana vizată, să fi fost satisfăcută
sau ca unele măsuri adecvate, precum posibilitatea de a-şi susţine punctul de
vedere, să garanteze apărarea propriului interes legitim; b)decizia este
autorizată de o lege care precizează măsurile ce
garantează apărarea interesului legitim al
persoanei vizate.
Art. 18: Dreptul de a se adresa justiţiei
(1)Fără a se aduce
atingere posibilităţii de a se adresa cu plāngere autorităţii
de supraveghere, persoanele
vizate au dreptul de a se adresa justiţiei pentru apărarea oricăror drepturi
garantate de prezenta lege, care le-au fost īncălcate.
(2)Orice persoană care a suferit un
prejudiciu īn urma unei prelucrări de date cu caracter personal,
efectuată ilegal, se poate adresa instanţei competente pentru repararea acestuia.
(3)Instanţa
competentă este cea īn a cărei
rază teritorială domiciliază reclamantul. Cererea de chemare īn
judecată este scutită de taxă de timbru.
CAPITOLUL
V: Confidenţialitatea şi securitatea prelucrărilor
Art. 19: Confidenţialitatea prelucrărilor
Orice persoană
care acţionează sub autoritatea operatorului sau a persoanei īmputernicite,
inclusiv persoana īmputernicită, care are acces la date cu caracter personal, nu poate să
le prelucreze decāt pe baza instrucţiunilor operatorului, cu excepţia
cazului īn care acţionează īn temeiul unei obligaţii legale.
Art. 20: Securitatea prelucrărilor
(1)Operatorul este
obligat să aplice măsurile
tehnice şi organizatorice adecvate pentru protejarea datelor
cu caracter personal īmpotriva distrugerii accidentale sau ilegale, pierderii,
modificării, dezvăluirii sau accesului neautorizat, īn special dacă prelucrarea respectivă
comportă transmisii de date īn cadrul unei reţele, precum şi īmpotriva oricărei
alte forme de prelucrare ilegală.
(2)Aceste măsuri
trebuie să asigure, potrivit
stadiului tehnicii utilizate īn procesul de prelucrare şi de
costuri, un nivel de securitate adecvat īn ceea ce priveşte riscurile pe care le reprezintă
prelucrarea, precum şi īn ceea ce priveşte natura datelor care trebuie protejate. Cerinţele
minime de securitate vor fi elaborate de autoritatea de supraveghere şi vor
fi actualizate periodic, corespunzător progresului tehnic şi experienţei
acumulate.
(3)Operatorul,
atunci cānd desemnează o persoană īmputernicită,
este obligat să aleagă o persoană
care prezintă suficiente garanţii īn ceea ce priveşte măsurile
de securitate tehnică
şi organizatorice cu privire la prelucrările ce vor fi efectuate, precum şi să
vegheze la respectarea acestor măsuri de către persoana desemnată.
(4)Autoritatea de
supraveghere poate decide, īn cazuri individuale, asupra obligării operatorului la adoptarea
unor măsuri suplimentare de securitate, cu excepţia celor care privesc garantarea
securităţii serviciilor de telecomunicaţii.
(5)Efectuarea prelucrărilor prin persoane īmputernicite trebuie
să se desfăşoare īn baza unui contract īncheiat īn
formă scrisă, care va cuprinde īn mod obligatoriu: a)obligaţia
persoanei īmputernicite de a acţiona doar īn baza instrucţiunilor
primite de la operator;
b)faptul că īndeplinirea
obligaţiilor prevăzute la alin. (1) revine şi persoanei īmputernicite.
CAPITOLUL
VI: Supravegherea şi
controlul prelucrărilor de date cu caracter
personal
Art. 21: Autoritatea de supraveghere
(1)Autoritatea de supraveghere, īn sensul prezentei legi,
este Avocatul Poporului.
(1)Autoritatea de
supraveghere, īn sensul prezentei legi, este Autoritatea Naţională de
Supraveghere a Prelucrării Datelor cu Caracter Personal.
(la data
12-May-2005 Art. 21, alin. (1) din capitolul VI modificat de Art. 22, punctul
1. din capitolul V din
Legea 102/2005 )
(2)Autoritatea de
supraveghere īşi desfăşoară activitatea īn condiţii
de completă independenţă
şi imparţialitate.
(3)Autoritatea de supraveghere monitorizează şi controlează sub aspectul legalităţii prelucrările de date cu
caracter personal care cad sub incidenţa prezentei legi.
Īn acest scop
autoritatea de supraveghere exercită următoarele atribuţii:
a)elaborează formularele
tipizate ale notificărilor şi ale registrelor
proprii; b)primeşte şi analizează notificările
privind prelucrarea datelor cu caracter personal, anunţānd
operatorului rezultatele controlului prealabil;
c)autorizează prelucrările
de date īn situaţiile prevăzute de lege;
d)poate dispune, īn
cazul īn care constată īncălcarea dispoziţiilor
prezentei legi, suspendarea provizorie
sau īncetarea prelucrării datelor, ştergerea parţială ori integrală a datelor
prelucrate şi poate să sesiseze organele de urmărire penală
sau să intenteze acţiuni
īn justiţie;
d 1)informează persoanele
fizice sau/şi juridice care activează īn aceste domenii, īn mod direct sau
prin intermediul structurilor asociative ale
(la data
12-May-2005 Art. 21, alin. (3), litera D. din capitolul VI completat de Art.
22, punctul 2. din
capitolul V din Legea 102/2005 )
e)păstrează
şi pune la dispoziţie publicului registrul de evidenţă a prelucrărilor
de date cu caracter
personal;
f)primeşte şi soluţionează plāngeri, sesizări
sau cereri de la persoanele fizice şi comunică soluţia
dată ori, după caz, diligenţele depuse;
g)efectuează investigaţii
din oficiu sau la primirea unor plāngeri ori sesizări;
h)este consultată atunci cānd se
elaborează proiecte de acte
normative referitoare la protecţia
drepturilor şi libertăţilor persoanelor, īn privinţa
prelucrării datelor cu caracter personal;
i)poate face
propuneri privind iniţierea unor proiecte de acte normative sau modificarea actelor
normative īn vigoare īn domenii legate de prelucrarea datelor cu caracter personal;
j)cooperează cu autorităţile
publice şi cu organele administraţiei publice, centralizează şi
analizează rapoartele anuale de activitate ale acestora privind protecţia
persoanelor īn privinţa prelucrării datelor cu caracter personal,
formulează recomandări şi
avize asupra oricărei chestiuni legate de protecţia drepturilor şi libertăţilor
fundamentale īn privinţa prelucrării datelor cu caracter personal, la cererea oricărei
persoane, inclusiv a autorităţilor publice şi a organelor
administraţiei publice; aceste recomandări
şi avize trebuie să facă menţiune despre temeiurile pe care se sprijină
şi se comunică īn copie şi Ministerului Justiţiei; atunci
cānd recomandarea sau avizul
este cerut de lege, se publică īn Monitorul Oficial al Romāniei, Partea I;
k)cooperează cu autorităţile
similare de peste hotare īn vederea asistenţei mutuale, precum şi cu
persoanele cu domiciliul sau cu sediul īn străinătate, īn scopul apărării drepturilor şi
libertăţilor fundamentale ce pot fi afectate prin prelucrarea datelor
cu caracter personal;
l)īndeplineşte
alte atribuţii prevăzute de lege.
m)modul de organizare şi funcţionare a Autorităţii Naţionale
de Supraveghere a Prelucrării Datelor cu Caracter Personal se stabileşte
prin lege.
(la data
12-May-2005 Art. 21, alin. (3) din capitolul VI completat de Art. 22, punctul
3. din capitolul V din
Legea 102/2005 )
(4)Īntregul personal
al autorităţii de supraveghere are obligaţia de a păstra
secretul profesional, cu excepţiile
prevăzute de lege, pe termen nelimitat, asupra informaţiilor confidenţiale sau
clasificate la care are sau a avut acces īn exercitarea atribuţiilor de serviciu, inclusiv după
īncetarea raporturilor juridice cu autoritatea de supraveghere.
Art. 22: Notificarea către autoritatea de supraveghere
(2)Notificarea nu
este necesară īn cazul īn care
prelucrarea are ca unic scop ţinerea unui registru destinat
prin lege informării publicului şi deschis spre consultare publicului īn general sau
oricărei persoane care probează un interes legitim, cu condiţia ca
prelucrarea să se limiteze la datele strict necesare ţinerii
registrului menţionat.
(3)Notificarea va cuprinde cel puţin următoarele informaţii:
a)numele sau
denumirea şi domiciliul ori sediul operatorului şi ale
reprezentantului desemnat al acestuia, dacă
este cazul;
b)scopul sau
scopurile prelucrării;
c)o descriere a
categoriei sau a categoriilor de persoane vizate şi a datelor ori a categoriilor de date ce
vor fi prelucrate;
d)destinatarii sau
categoriile de destinatari cărora se intenţionează să li se dezvăluie datele;
e)garanţiile
care īnsoţesc dezvăluirea datelor către terţi;
f)modul īn care
persoanele vizate sunt informate asupra drepturilor lor; data estimată pentru
īncheierea operaţiunilor de prelucrare, precum şi destinaţia ulterioară a
datelor;
g)transferuri de
date care se intenţionează să fie făcute către
alte state;
h)o descriere
generală care să permită aprecierea
preliminară a măsurilor luate pentru asigurarea securităţii
prelucrării;
i)specificarea oricărui
sistem de evidenţă a datelor cu caracter
personal, care are legătură cu
prelucrarea, precum şi a eventualelor legături cu alte prelucrări
de date sau cu alte sisteme de
evidenţă a datelor cu caracter personal, indiferent dacă se efectuează,
respectiv dacă sunt sau nu sunt situate pe teritoriul Romāniei; j)motivele care
justifică aplicarea prevederilor
art. 11, art. 12 alin. (3) sau (4) ori ale art. 13 alin. (5) sau
(6), īn situaţia īn care prelucrarea datelor se face exclusiv īn scopuri jurnalistice,
literare sau artistice ori īn scopuri statistice, de cercetare istorică sau ştiinţifică.
(4)Dacă notificarea este
incompletă, autoritatea de supraveghere va solicita completarea acesteia.
(5)Īn limitele
puterilor de investigare de care dispune, autoritatea de supraveghere poate solicita şi
alte informaţii, īn special privind originea datelor, tehnologia de prelucrare automată
utilizată şi detalii referitoare la măsurile de securitate. Dispoziţiile
prezentului alineat nu se aplică īn situaţia īn care prelucrarea
datelor se face exclusiv īn scopuri
jurnalistice, literare sau artistice.
(6)Dacă se intenţionează ca datele care sunt prelucrate să fie transferate īn străinătate, notificarea va cuprinde şi următoarele
elemente:
a)categoriile de
date care vor face obiectul transferului; b)ţara de
destinaţie pentru fiecare categorie de date.
(7)Notificarea este supusă unei taxe care trebuie plătită de operator autorităţii de supraveghere.
(la data
22-Oct-2007 Art. 22, alin. (7) din capitolul VI abrogat de Art. 1, punctul 2.
din
Legea 278/2007 )
(8)Autorităţile publice care efectuează prelucrări de date cu caracter personal īn legătură cu activităţile descrise la art. 2
alin. (5), īn temeiul legii sau īn īndeplinirea obligaţiilor asumate prin
acorduri internaţionale ratificate, sunt scutite de taxa prevăzută
la alin. (7). Notificarea se va transmite īn termen de 15 zile de la intrarea
īn vigoare a actului normativ care instituie obligaţia respectivă
şi va cuprinde numai următoarele elemente:
a)denumirea şi sediul
operatorului; b)scopul şi temeiul
legal al prelucrării;
c)categoriile de
date cu caracter personal supuse prelucrării.
(9)Autoritatea de supraveghere poate
stabili şi alte situaţii īn care notificarea nu este necesară, īn afara celei prevăzute la alin. (2),
sau situaţii īn care notificarea se poate efectua īntr-o formă
simplificată, precum şi conţinutul acesteia, numai īn unul
dintre următoarele cazuri:
a)atunci cānd,
luānd īn considerare natura datelor destinate să fie prelucrate, prelucrarea nu poate
afecta, cel puţin aparent, drepturile persoanelor vizate, cu condiţia să
precizeze expres scopurile īn care se poate face o asemenea prelucrare, datele sau categoriile de
date care pot fi prelucrate, categoria sau categoriile de persoane vizate,
destinatarii sau categoriile de destinatari cărora datele le pot fi dezvăluite şi
perioada pentru care datele pot fi stocate;
b)atunci cānd
prelucrarea se efectuează īn condiţiile art. 7
alin. (2) lit. d).
Art. 23: Controlul prealabil
(1)Autoritatea de
supraveghere va stabili categoriile de operaţiuni de prelucrare care sunt susceptibile de a
prezenta riscuri speciale pentru drepturile şi libertăţile persoanelor.
(2)Dacă pe baza notificării
autoritatea de supraveghere constată că prelucrarea se īncadrează īn una
dintre categoriile menţionate la alin. (1), va dispune obligatoriu efectuarea unui control
prealabil īnceperii prelucrării respective, cu anunţarea operatorului.
(3)Operatorii care
nu au fost anunţaţi īn termen de 5 zile de la data notificării
despre efectuarea unui control
prealabil pot īncepe prelucrarea.
(4)Īn situaţia
prevăzută la alin. (2) autoritatea
de supraveghere este obligată ca, īn termen de cel mult 30 de
zile de la data notificării, să aducă la cunoştinţă operatorului rezultatul
controlului efectuat, precum şi decizia emisă īn urma acestuia.
Art. 24: Registrul
de evidenţă a prelucrărilor de date cu caracter personal
(1)Autoritatea de
supraveghere păstrează un registru de evidenţă a prelucrărilor
de date cu caracter
personal, notificate īn conformitate cu prevederile art. 22. Registrul va cuprinde toate informaţiile
prevăzute la art. 22 alin. (3).
(2)Fiecare operator
primeşte un număr de īnregistrare. Numărul de īnregistrare trebuie menţionat pe
orice act prin care datele sunt colectate, stocate sau dezvăluite.
(3)Orice schimbare
de natură să afecteze
exactitatea informaţiilor īnregistrate va fi comunicată autorităţii
de supraveghere īn termen de 5 zile. Autoritatea de supraveghere va dispune
de īndată efectuarea menţiunilor corespunzătoare īn registru.
(4)Activităţile
de prelucrare a datelor cu caracter personal, īncepute anterior intrării īn vigoare a prezentei
legi, vor fi notificate īn vederea īnregistrării īn termen de 15 zile de la data intrării
īn vigoare a prezentei legi.
(5)Registrul de
evidenţă a prelucrărilor de
date cu caracter personal este deschis spre consultare
publicului. Modalitatea de consultare se stabileşte de autoritatea de supraveghere.
Art. 25: Plāngeri adresate autorităţii de supraveghere
(1)Īn vederea apărării
drepturilor prevăzute de prezenta lege persoanele ale căror date cu caracter personal
fac obiectul unei prelucrări care cade sub incidenţa prezentei legi pot
īnainta plāngere către autoritatea de supraveghere. Plāngerea se poate face direct sau
prin reprezentant. Persoana lezată poate īmputernici o asociaţie sau o fundaţie să
īi reprezinte interesele.
(2)Plāngerea către
autoritatea de supraveghere nu poate fi īnaintată dacă o cerere īn justiţie, avānd
acelaşi obiect şi aceleaşi părţi, a fost introdusă
anterior.
(3)Īn afara
cazurilor īn care o īntārziere ar cauza un prejudiciu iminent şi
ireparabil, plāngerea către
autoritatea de supraveghere nu poate fi īnaintată mai devreme de 15 zile de la īnaintarea
unei plāngeri cu acelaşi conţinut către operator.
(4)Īn vederea soluţionării
plāngerii, dacă apreciază că este necesar,
autoritatea de supraveghere poate audia
persoana vizată, operatorul şi, dacă este cazul, persoana īmputernicită sau
asociaţia ori fundaţia care reprezintă interesele persoanei
vizate. Aceste persoane au
dreptul de a īnainta cereri, documente şi memorii. Autoritatea de supraveghere poate dispune
efectuarea de expertize.
(5)Dacă plāngerea este găsită īntemeiată,
autoritatea de supraveghere poate decide oricare dintre măsurile
prevăzute la art. 21 alin. (3) lit. d). Interdicţia temporară a prelucrării poate fi
instituită numai pānă la īncetarea motivelor care au determinat luarea acestei măsuri.
(6)Decizia trebuie
motivată şi se comunică părţilor
interesate īn termen de 30 de zile de la data primirii
plāngerii.
(7)Autoritatea de
supraveghere poate ordona, dacă apreciază necesar,
suspendarea unora sau tuturor operaţiunilor
de prelucrare pānă la soluţionarea plāngerii īn condiţiile alin.
(5).
(8)Autoritatea de
supraveghere se poate adresa justiţiei pentru apărarea oricăror drepturi garantate de
prezenta lege persoanelor vizate. Instanţa competentă este Tribunalul Municipiului
Bucureşti. Cererea de chemare īn judecată este scutită de taxa de timbru.
(9)La cererea
persoanelor vizate, pentru motive īntemeiate, instanţa poate dispune suspendarea prelucrării
pānă la soluţionarea plāngerii de către autoritatea de supraveghere.
(10)Prevederile alin. (4)-(9) se aplică īn mod corespunzător şi īn situaţia
īn care autoritatea de
supraveghere află pe orice altă cale despre săvārşirea unei
īncălcări a drepturilor recunoscute
de prezenta lege persoanelor vizate.
Art. 26: Contestarea deciziilor autorităţii de
supraveghere
(1)Īmpotriva oricărei
decizii emise de autoritatea de supraveghere īn temeiul dispoziţiilor
prezentei legi operatorul sau persoana vizată poate formula contestaţie īn termen de 15 zile de
la comunicare, sub sancţiunea decăderii, la instanţa de contencios administrativ
competentă. Cererea se judecă de urgenţă, cu citarea părţilor. Soluţia
este definitivă şi irevocabilă.
(2)Fac excepţie
de la prevederile alin. (1), precum şi de la cele ale
art. 23 şi 25 prelucrările de date
cu caracter personal, efectuate īn cadrul activităţilor prevăzute
la art. 2 alin. (5).
Art. 27: Exercitarea atribuţiilor de investigare
(1)Autoritatea de
supraveghere poate investiga, din oficiu sau la primirea unei plāngeri, orice īncălcare
a drepturilor persoanelor vizate, respectiv a obligaţiilor care revin operatorilor şi,
după caz, persoanelor īmputernicite, īn cadrul efectuării prelucrărilor de
date cu caracter personal, īn scopul apărării drepturilor şi
libertăţilor fundamentale ale
persoanelor vizate.
(2)Atribuţiile
de investigare nu pot fi exercitate de către autoritatea de supraveghere īn cazul īn care o cerere
īn justiţie introdusă anterior are ca obiect săvārşirea aceleiaşi īncălcări
a drepturilor şi opune aceleaşi părţi.
(3)Īn exercitarea
atribuţiilor de investigare autoritatea de supraveghere poate solicita operatorului
orice informaţii legate de prelucrarea datelor cu caracter personal şi poate
verifica orice document sau īnregistrare referitoare la prelucrarea de date cu caracter
personal.
(4)Secretul de stat şi secretul
profesional nu pot fi invocate pentru a īmpiedica exercitarea atribuţiilor
acordate prin prezenta lege autorităţii de supraveghere. Atunci cānd este invocată
protecţia secretului de stat sau a secretului profesional, autoritatea de
supraveghere are obligaţia de a păstra secretul.
(5)Dacă exercitarea
atribuţiei de investigare a autorităţii de supraveghere are ca obiect o
prelucrare de date cu caracter personal, efectuată de autorităţile
publice īn
legătură cu activităţile descrise la art. 2
alin. (5) pentru un caz concret, este necesară obţinerea acordului
prealabil al procurorului sau al instanţei competente.
(la data
12-May-2005 Art. 27, alin. (5) din capitolul VI abrogat de Art. 22, punctul 4.
din capitolul V din Legea
102/2005 )
Art. 28: Norme de conduită
(1)Asociaţiile
profesionale au obligaţia de a elabora şi de a supune spre
avizare autorităţii de
supraveghere coduri de conduită care să conţină norme
adecvate pentru protecţia
drepturilor persoanelor ale căror date cu caracter personal pot fi prelucrate de către
membrii acestora.
(2)Normele de
conduită trebuie să prevadă măsuri şi proceduri
care să asigure un nivel satisfăcător
de protecţie, ţinānd seama de natura datelor ce pot fi prelucrate. Autoritatea de
supraveghere poate dispune măsuri şi proceduri specifice pentru perioada īn care normele
de conduită la care s-a făcut referire anterior nu sunt adoptate.
CAPITOLUL VII: Transferul īn străinătate al datelor cu caracter personal
Art. 29: Condiţiile
transferului īn străinătate al datelor cu caracter personal
(la data
10-Mar-2003 Art. 29 din capitolul VII a fost reglementat de Ordinul
6/2003 )
(1)Transferul către
un alt stat de date cu caracter personal care fac obiectul unei prelucrări sau sunt
destinate să fie prelucrate după transfer poate avea loc numai īn condiţiile īn care
nu se īncalcă legea romānă, iar statul către care se intenţionează transferul asigură
un nivel de protecţie adecvat.
(2)Nivelul de protecţie
va fi apreciat de către autoritatea de supraveghere, ţinānd seama de totalitatea
īmprejurărilor īn care se realizează transferul de date, īn special avānd īn vedere natura
datelor transmise, scopul prelucrării şi durata propusă pentru prelucrare, statul de origine
şi statul de destinaţie finală, precum şi legislaţia
statului solicitant. Īn cazul īn
care autoritatea de supraveghere constată că nivelul de protecţie oferit de
statul de destinaţie este nesatisfăcător, poate dispune
interzicerea transferului de date.
(3)Īn toate situaţiile
transferul de date cu caracter personal către un alt stat va face obiectul unei notificări
prealabile a autorităţii de supraveghere.
(4)Autoritatea de
supraveghere poate autoriza transferul de date cu caracter personal către un
stat a cărui legislaţie nu prevede un nivel de protecţie cel puţin egal cu cel oferit de
legea romānă atunci cānd operatorul oferă garanţii suficiente cu privire la protecţia
drepturilor fundamentale ale persoanelor. Aceste garanţii trebuie să fie stabilite
prin contracte īncheiate īntre operatori şi persoanele fizice sau juridice din dispoziţia cărora
se efectuează transferul.
(5)Prevederile alin.
(2), (3) şi (4) nu se aplică dacă transferul
datelor se face īn baza prevederilor unei legi
speciale sau ale unui acord internaţional ratificat de Romānia, īn special dacă
transferul se face īn scopul prevenirii, cercetării sau reprimării
unei infracţiuni.
(6)Prevederile
prezentului articol nu se aplică atunci cānd prelucrarea
datelor se face exclusiv īn scopuri
jurnalistice, literare sau artistice, dacă datele au fost făcute publice īn mod manifest
de către persoana vizată sau sunt strāns legate de calitatea de persoană publică
a persoanei vizate ori de caracterul public al faptelor īn care este implicată.
Art. 30: Situaţii īn care transferul este īntotdeauna permis
Transferul de date
este īntotdeauna permis īn următoarele situaţii:
a)cānd persoana
vizată şi-a dat īn mod explicit consimţămāntul pentru
efectuarea transferului; īn cazul īn
care transferul de date se face īn legătură cu oricare dintre datele prevăzute la
art. 7, 8 şi 10, consimţămāntul trebuie dat īn scris;
b)cānd este necesar
pentru executarea unui contract īncheiat īntre persoana vizată şi operator sau
pentru executarea unor măsuri precontractuale dispuse la cererea persoanei vizate;
c)cānd este necesar
pentru īncheierea sau pentru executarea unui contract īncheiat ori care se va īncheia,
īn interesul persoanei vizate, īntre operator şi un terţ;
d)cānd este necesar
pentru satisfacerea unui interes public major, precum apărarea naţională,
ordinea publică sau siguranţa naţională, pentru buna desfăşurare
a procesului penal ori
pentru constatarea, exercitarea sau apărarea unui drept īn justiţie, cu condiţia
ca datele să fie prelucrate īn legătură cu acest scop şi nu
mai mult timp decāt este
necesar;
e)cānd este necesar
pentru a proteja viaţa, integritatea fizică sau sănătatea persoanei vizate;
f)cānd intervine ca
urmare a unei cereri anterioare de acces la documente oficiale care sunt publice ori a
unei cereri privind informaţii care pot fi obţinute din registre sau prin orice alte
documente accesibile publicului.
CAPITOLUL
VIII: Contravenţii şi sancţiuni
Art. 31: Omisiunea de a notifica şi
notificarea cu rea-credinţă
Omisiunea de a
efectua notificarea īn condiţiile art. 22 sau ale art. 29 alin. (3) īn situaţiile īn
care această notificare este obligatorie, precum şi notificarea
incompletă sau care conţine
informaţii false constituie contravenţii, dacă nu sunt săvārşite
īn astfel de condiţii
īncāt să constituie infracţiuni, şi se sancţionează cu
amendă de la 5.000.000 lei la
100.000.000 lei.
Art. 32: Prelucrarea nelegală a datelor
cu caracter personal
Prelucrarea datelor
cu caracter personal de către un operator sau de o persoană īmputernicită
de acesta, cu īncălcarea prevederilor art. 4-10 sau cu nesocotirea drepturilor prevăzute
la art. 12-15 sau la art. 17, constituie contravenţie, dacă nu este săvārşită
īn astfel de condiţii īncāt să constituie infracţiune, şi
se sancţionează cu amendă de la
10.000.000 lei la 250.000.000 lei.
Art. 33: Neīndeplinirea
obligaţiilor privind confidenţialitatea şi aplicarea măsurilor
de securitate
Neīndeplinirea
obligaţiilor privind aplicarea măsurilor de securitate şi de păstrare
a confidenţialităţii
prelucrărilor, prevăzute la art. 19 şi 20, constituie contravenţie,
dacă nu este săvārşită
īn astfel de condiţii īncāt să constituie infracţiune, şi
se sancţionează
cu amendă de la 15.000.000 lei la 500.000.000 lei.
Art. 34: Refuzul de
a furniza informaţii
Refuzul de a furniza
autorităţii de supraveghere informaţiile sau documentele cerute de aceasta īn
exercitarea atribuţiilor de investigare prevăzute la art. 27
constituie contravenţie,
dacă nu este săvārşită īn astfel de condiţii īncāt să
constituie infracţiune, şi
se sancţionează cu amendă de la 10.000.000 lei la 150.000.000
lei.
Art. 35: Constatarea contravenţiilor şi
aplicarea sancţiunilor
(1)Constatarea
contravenţiilor şi aplicarea sancţiunilor
se efectuează de către autoritatea de
supraveghere, care poate delega aceste atribuţii unor persoane recrutate din rāndul
personalului său, precum şi de reprezentanţi īmputerniciţi
ai organelor cu atribuţii
de supraveghere şi control, abilitate potrivit legii.
(2)Dispoziţiile
prezentei legi referitoare la contravenţii se completează cu prevederile Ordonanţei
Guvernului nr. 2/2001 privind regimul juridic
al contravenţiilor, īn măsura īn care
prezenta lege nu dispune altfel.
(3)Īmpotriva
proceselor-verbale de constatare şi sancţionare
se poate face plāngere la secţiile de
contencios administrativ ale tribunalelor.
CAPITOLUL
IX: Dispoziţii finale
Art. 36: Intrarea īn vigoare