LEGE nr. 677 din 21 noiembrie 2001
pentru protectia persoanelor cu privire la prelucrarea
datelor cu caracter personal si libera circulatie a acestor date
Emitent :
PARLAMENTUL
Publicata in : MONITORUL OFICIAL nr. 790 din 12 decembrie
2001
Parlamentul
Romaniei adopta prezenta lege.
CAP. 1
Dispozitii
generale
Scop
ART. 1
(1) Prezenta lege
are ca scop garantarea si protejarea drepturilor si libertatilor fundamentale
ale persoanelor fizice, in special a dreptului la viata intima, familiala si
privata, cu privire la prelucrarea datelor cu caracter personal.
(2) Exercitarea
drepturilor prevazute in prezenta lege nu poate fi restransa decat in cazuri
expres si limitativ prevazute de lege.
Domeniu de
aplicare
ART. 2
(1) Prezenta lege
se aplica prelucrarilor de date cu caracter personal, efectuate, in tot sau in
parte, prin mijloace automate, precum si prelucrarii prin alte mijloace.decat
cele automate a datelor cu caracter personal care fac parte dintr-un sistem de
evidenta sau care sunt destinate sa fie incluse intr-un asemenea sistem.
(2) Prezenta lege
se aplica:
a) prelucrarilor
de date cu caracter personal, efectuate in cadrul activitatilor desfasurate de
operatori stabiliti in
b) prelucrarilor
de date cu caracter personal, efectuate in cadrul activitatilor desfasurate de
misiunile diplomatice sau de oficiile consulare ale Romaniei;
c) prelucrarilor
de date cu caracter personal, efectuate in cadrul activitatilor desfasurate de
operatori care nu sunt stabiliti in Romania, prin utilizarea de mijloace de
orice natura situate pe teritoriul Romaniei, cu exceptia cazului in care aceste
mijloace nu sunt utilizate decat in scopul tranzitarii pe teritoriul Romaniei a
datelor cu caracter personal care fac obiectul prelucrarilor respective.
(3) In cazul
prevazut la alin. (2) lit. c) operatorul isi va desemna un reprezentant care
trebuie sa fie o persoana stabilita in
(4) Prezenta lege se aplica prelucrarilor de date
cu caracter personal efectuate de persoane fizice sau juridice, romane ori
straine, de drept public sau de drept privat, indiferent daca au loc in
sectorul public sau in sectorul privat.
(5) In limitele prevazute de prezenta lege,
aceasta se aplica si prelucrarilor si transferului de date cu caracter personal,
efectuate in cadrul activitatilor de prevenire, cercetare si reprimare a
infractiunilor si de mentinere a ordinii publice, precum si al altor activitati
desfasurate in domeniul dreptului penal, in limitele si cu restrictiile
stabilite de lege.
(6) Prezenta lege nu se aplica
prelucrarilor de date cu caracter personal, efectuate de persoane fizice
exclusiv pentru uzul lor personal, daca datele in cauza nu sunt destinate a fi
dezvaluite.
(7) Prezenta lege nu se aplica
prelucrarilor si transferului de date cu caracter personal, efectuate in cadrul
activitatilor in domeniul apararii nationale si sigurantei nationale,
desfasurate in limitele si cu restrictiile stabilite de lege.
(8) Prevederile prezentei legi nu aduc
atingere obligatiilor asumate de Romania prin instrumente juridice ratificate.
Definitii
ART. 3
In intelesul prezentei legi, urmatorii
termeni se definesc dupa cum urmeaza:
a) date cu caracter personal - orice
informatii referitoare la o persoana fizica identificata sau identificabila; o
persoana identificabila este acea persoana care poate fi identificata, direct
sau indirect, in mod particular prin referire la un numar de identificare ori
la unul sau la mai multi factori specifici identitatii sale fizice,
fiziologice, psihice, economice, culturale sau sociale;
b) prelucrarea datelor cu caracter
personal - orice operatiune sau set de operatiuni care se efectueaza asupra
datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi
colectarea, inregistrarea, organizarea, stocarea, adaptarea ori modificarea,
extragerea, consultarea, utilizarea, dezvaluirea catre terti prin transmitere,
diseminare sau in orice alt mod, alaturarea ori combinarea, blocarea, stergerea
sau distrugerea;
c) stocarea -
pastrarea pe orice fel de suport a datelor cu caracter personal culese;
d) sistem de
evidenta a datelor cu caracter personal - orice structura organizata de date cu
caracter personal, accesibila potrivit unor criterii determinate, indiferent
daca aceasta structura este organizata in mod centralizat ori descentralizat
sau este repartizata dupa criterii functionale ori geografice;
e) operator -
orice persoana fizica sau juridica, de drept privat ori de drept public,
inclusiv autoritatile publice, institutiile si structurile teritoriale ale
acestora, care stabileste scopul si mijloacele de prelucrare a datelor cu
caracter personal; daca scopul si mijloacele de prelucrare a datelor cu
caracter personal sunt determinate printr-un act normativ sau in baza unui act
normativ, operator este persoana fizica sau juridica, de drept public ori de
drept privat, care este desemnata ca operator prin acel act normativ sau in
baza acelui act normativ;
f) persoana
imputernicita de catre operator - o persoana fizica sau juridica, de drept
privat ori de drept public, inclusiv autoritatile publice, institutiile si
structurile teritoriale ale acestora, care prelucreaza date cu caracter
personal pe seama operatorului;
g) tert - orice
persoana fizica sau juridica, de drept privat ori de drept public, inclusiv
autoritatile publice, institutiile si structurile teritoriale ale acestora,
alta decat persoana vizata, operatorul ori persoana imputernicita sau
persoanele care, sub autoritatea directa a operatorului sau a persoanei imputernicite,
sunt autorizate sa prelucreze date;
h) destinatar - orice persoana fizica sau
juridica, de drept privat ori de drept public, inclusiv autoritatile publice,
institutiile si structurile teritoriale ale acestora, careia ii sunt dezvaluite
date, indiferent daca este sau nu tert; autoritatile publice carora li se
comunica date in cadrul unei competente speciale de ancheta nu vor fi
considerate destinatari;
i) date anonime - date care, datorita
originii sau modalitatii specifice de prelucrare, nu pot fi asociate cu o
persoana identificata sau identificabila.
CAP. 2
Reguli generale
privind prelucrarea datelor cu caracter personal
Caracteristicile
datelor cu caracter personal in cadrul prelucrarii
ART. 4
(1) Datele cu caracter personal destinate a face
obiectul prelucrarii trebuie sa fie:
a) prelucrate cu buna-credinta si in
conformitate cu dispozitiile legale in vigoare;
b) colectate in scopuri determinate,
explicite si legitime; prelucrarea ulterioara a datelor cu caracter personal in
scopuri statistice, de cercetare istorica sau stiintifica nu va fi considerata
incompatibila cu scopul colectarii daca se efectueaza cu respectarea
dispozitiilor prezentei legi, inclusiv a celor care privesc efectuarea
notificarii catre autoritatea de supraveghere, precum si cu respectarea
garantiilor privind prelucrarea datelor cu caracter personal, prevazute de
normele care reglementeaza activitatea statistica ori cercetarea istorica sau
stiintifica;
c) adecvate, pertinente si neexcesive prin
raportare la scopul in care sunt colectate si ulterior prelucrate;
d) exacte si, daca este cazul, actualizate;
in acest scop se vor lua masurile necesare pentru ca datele inexacte sau
incomplete din punct de vedere al scopului pentru care sunt colectate si pentru
care vor fi ulterior prelucrate, sa fie sterse sau rectificate;
e) stocate intr-o forma care sa permita
identificarea persoanelor vizate strict pe durata necesara realizarii
scopurilor in care datele sunt colectate si in care vor fi ulterior prelucrate;
stocarea datelor pe o durata mai mare decat cea mentionata, in scopuri
statistice, de cercetare istorica sau stiintifica, se va face cu respectarea
garantiilor privind prelucrarea datelor cu caracter personal, prevazute in
normele care reglementeaza aceste domenii, si numai pentru perioada necesara
realizarii acestor scopuri.
(2) Operatorii au obligatia sa respecte
prevederile alin. (1) si sa asigure indeplinirea acestor prevederi de catre
persoanele imputernicite.
Conditii de legitimitate privind
prelucrarea datelor
ART. 5
(1) Orice prelucrare de date cu caracter
personal, cu exceptia prelucrarilor care vizeaza date din categoriile
mentionate la art. 7 alin. (1), art. 8 si 10, poate fi efectuata numai daca
persoana vizata si-a dat consimtamantul in mod expres si neechivoc pentru acea
prelucrare.
(2) Consimtamantul persoanei vizate nu este
cerut in urmatoarele cazuri:
a) cand prelucrarea este necesara in
vederea executarii unui contract sau antecontract la care persoana vizata este
parte ori in vederea luarii unor masuri, la cererea acesteia, inaintea
incheierii unui contract sau antecontract;
b) cand prelucrarea este necesara in
vederea protejarii vietii, integritatii fizice sau sanatatii persoanei vizate
ori a unei alte persoane amenintate;
c) cand
prelucrarea este necesara in vederea indeplinirii unei obligatii legale a
operatorului;
d) cand prelucrarea
este necesara in vederea aducerii la indeplinire a unor masuri de interes
public sau care vizeaza exercitarea prerogativelor de autoritate publica cu
care este investit operatorul sau tertul caruia ii sunt dezvaluite datele;
e) cand
prelucrarea este necesara in vederea realizarii unui interes legitim al
operatorului sau al tertului caruia ii sunt dezvaluite datele, cu conditia ca
acest interes sa nu prejudicieze interesul sau drepturile si libertatile
fundamentale ale persoanei vizate;
f) cand prelucrarea priveste date obtinute din
documente accesibile publicului, conform legii;
g) cand prelucrarea este facuta exclusiv in
scopuri statistice, de cercetare istorica sau stiintifica, iar datele raman
anonime pe toata durata prelucrarii.
(3) Prevederile alin. (2) nu aduc atingere
dispozitiilor legale care reglementeaza obligatia autoritatilor publice de a
respecta si de a ocroti viata intima, familiala si privata.
Incheierea operatiunilor de
prelucrare
ART. 6
(1) La incheierea
operatiunilor de prelucrare, daca persoana vizata nu si-a dat in mod expres si
neechivoc consimtamantul pentru o alta destinatie sau pentru o prelucrare
ulterioara, datele cu caracter personal vor fi:
a) distruse;
b) transferate
unui alt operator, cu conditia ca operatorul initial sa garanteze faptul ca
prelucrarile ulterioare au scopuri similare celor in care s-a facut prelucrarea
initiala;
c) transformate in
date anonime si stocate exclusiv in scopuri statistice, de cercetare istorica
sau stiintifica.
(2) In cazul
operatiunilor de prelucrare efectuate in conditiile prevazute la art. 5 alin.
(2) lit. c) sau d), in cadrul activitatilor descrise la art. 2 alin. (5),
operatorul poate stoca datele cu caracter personal pe perioada necesara
realizarii scopurilor concrete urmarite, cu conditia asigurarii unor masuri
corespunzatoare de protejare a acestora, dupa care va proceda la distrugerea
lor daca nu sunt aplicabile prevederile legale privind pastrarea arhivelor.
CAP. 3
Reguli speciale
privind prelucrarea datelor cu caracter personal
Prelucrarea unor
categorii speciale de date
ART. 7
(1) Prelucrarea datelor cu caracter personal
legate de originea rasiala sau etnica, de convingerile politice, religioase,
filozofice sau de natura similara, de apartenenta sindicala, precum si a
datelor cu caracter personal privind starea de sanatate sau viata sexuala este
interzisa.
(2) Prevederile alin. (1) nu se
aplica in urmatoarele cazuri:
a) cand persoana
vizata si-a dat in mod expres consimtamantul pentru o astfel de prelucrare;
b) cand
prelucrarea este necesara in scopul respectarii obligatiilor sau drepturilor
specifice ale operatorului in domeniul dreptului muncii, cu respectarea
garantiilor prevazute de lege; o eventuala dezvaluire catre un tert a datelor
prelucrate poate fi efectuata numai daca exista o obligatie legala a operatorului
in acest sens sau daca persoana vizata a consimtit expres la aceasta
dezvaluire;
c) cand
prelucrarea este necesara pentru protectia vietii, integritatii fizice sau a
sanatatii persoanei vizate ori a altei persoane, in cazul in care persoana
vizata se afla in incapacitate fizica sau juridica de a-si da consimtamantul;
d) cand
prelucrarea este efectuata in cadrul activitatilor sale legitime de catre o
fundatie, asociatie sau de catre orice alta organizatie cu scop nelucrativ si
cu specific politic, filozofic, religios ori sindical, cu conditia ca persoana
vizata sa fie membra a acestei organizatii sau sa intretina cu aceasta, in mod
regulat, relatii care privesc specificul activitatii organizatiei si ca datele
sa nu fie dezvaluite unor terti fara consimtamantul persoanei vizate;
e) cand prelucrarea se refera la date facute
publice in mod manifest de catre persoana vizata;
f) cand prelucrarea este necesara
pentru constatarea, exercitarea sau apararea unui drept in justitie;
g) cand prelucrarea
este necesara in scopuri de medicina preventiva, de stabilire a diagnosticelor
medicale, de administrare a unor ingrijiri sau tratamente medicale pentru
persoana vizata ori de gestionare a serviciilor de sanatate care actioneaza in
interesul persoanei vizate, cu conditia ca prelucrarea datelor respective sa
fie efectuate de catre ori sub supravegherea unui cadru medical supus
secretului profesional sau de catre ori sub supravegherea unei alte persoane
supuse unei obligatii echivalente in ceea ce priveste secretul;
h) cand legea
prevede in mod expres aceasta in scopul protejarii unui interes public
important, cu conditia ca prelucrarea sa se efectueze cu respectarea
drepturilor persoanei vizate si a celorlalte garantii prevazute de prezenta
lege.
(3)
Prevederile alin. (2) nu aduc atingere dispozitiilor legale care reglementeaza
obligatia autoritatilor publice de a respecta si de a ocroti viata intima,
familiala si privata.
(4) Autoritatea de supraveghere poate
dispune, din motive intemeiate, interzicerea efectuarii unei prelucrari de date
din categoriile prevazute la alin. (1), chiar daca persoana vizata si-a dat in
scris si in mod neechivoc consimtamantul, iar acest consimtamant nu a fost
retras, cu conditia ca interdictia prevazuta la alin. (1) sa nu fie inlaturata
prin unul dintre cazurile la care se refera alin. (2) lit. b)-g).
Prelucrarea datelor cu caracter personal
avand functie de identificare
ART. 8
(1) Prelucrarea codului numeric personal
sau a altor date cu caracter personal avand o functie de identificare de
aplicabilitate generala poate fi efectuata numai daca:
a) persoana vizata si-a dat in mod expres
consimtamantul; sau
b) prelucrarea este prevazuta in mod expres
de o dispozitie legala.
(2) Autoritatea de supraveghere poate
stabili si alte cazuri in care se poate efectua prelucrarea datelor prevazute
la alin. (1), numai cu conditia instituirii unor garantii adecvate pentru
respectarea drepturilor persoanelor vizate.
Prelucrarea datelor cu caracter personal
privind starea de sanatate
ART. 9
(1) In afara
cazurilor prevazute la art. 7 alin. (2), prevederile art. 7 alin. (1) nu se
aplica in privinta prelucrarii datelor privind starea de sanatate in
urmatoarele cazuri:
a) daca
prelucrarea este necesara pentru protectia sanatatii publice;
b) daca
prelucrarea este necesara pentru prevenirea unui pericol iminent, pentru
prevenirea savarsirii unei fapte penale sau pentru impiedicarea producerii
rezultatului unei asemenea fapte ori pentru inlaturarea urmarilor
prejudiciabile ale unei asemenea fapte.
(2) Prelucrarea
datelor privind starea de sanatate poate fi efectuata numai de catre ori sub
supravegherea unui cadru medical, cu conditia respectarii secretului
profesional, cu exceptia situatiei in care persoana vizata si-a dat in scris si
in mod neechivoc consimtamantul atata timp cat acest consimtamant nu a fost
retras, precum si cu exceptia situatiei in care prelucrarea este necesara
pentru prevenirea unui pericol iminent, pentru prevenirea savarsirii unei fapte
penale, pentru impiedicarea producerii rezultatului unei asemenea fapte sau
pentru inlaturarea urmarilor sale prejudiciabile.
(3) Cadrele medicale, institutiile de sanatate si
personalul medical al acestora pot prelucra date cu caracter personal
referitoare la starea de sanatate, fara autorizatia autoritatii de
supraveghere, numai daca prelucrarea este necesara pentru protejarea vietii,
integritatii fizice sau sanatatii persoanei vizate. Cand scopurile mentionate
se refera la alte persoane sau la public in general si persoana vizata nu si-a
dat consimtamantul in scris si in mod neechivoc, trebuie ceruta si obtinuta in
prealabil autorizatia autoritatii de supraveghere. Prelucrarea datelor
cu caracter personal in afara limitelor prevazute in autorizatie este
interzisa.
(4) Cu exceptia
motivelor de urgenta, autorizatia prevazuta la alin. (3) poate fi acordata
numai dupa ce a fost consultat Colegiul Medicilor din Romania.
(5) Datele cu caracter personal privind starea de
sanatate pot fi colectate numai de la persoana vizata. Prin exceptie, aceste
date pot fi colectate din alte surse numai in masura in care este necesar
pentru a nu compromite scopurile prelucrarii, iar persoana vizata nu vrea ori
nu le poate furniza.
Prelucrarea datelor cu caracter personal
referitoare la fapte penale sau contraventii
ART. 10
(1) Prelucrarea datelor cu caracter
personal referitoare la savarsirea de infractiuni de catre persoana vizata ori
la condamnari penale, masuri de siguranta sau sanctiuni administrative ori
contraventionale, aplicate persoanei vizate, poate fi efectuata numai de catre
sau sub controlul autoritatilor publice, in limitele puterilor ce le sunt
conferite prin lege si in conditiile stabilite de legile speciale care
reglementeaza aceste materii.
(2) Autoritatea de supraveghere poate
stabili si alte cazuri in care se poate efectua prelucrarea datelor prevazute
la alin. (1), numai cu conditia instituirii unor garantii adecvate pentru
respectarea drepturilor persoanelor vizate.
(3) Un registru complet al condamnarilor
penale poate fi tinut numai sub controlul unei autoritati publice, in limitele
puterilor ce ii sunt conferite prin lege.
Exceptii
ART. 11
Prevederile art. 5, 6, 7 si 10 nu se aplica
in situatia in care prelucrarea datelor se face exclusiv in scopuri
jurnalistice, literare sau artistice, daca prelucrarea priveste date cu
caracter personal care au fost facute publice in mod manifest de catre persoana
vizata sau care sunt strans legate de calitatea de persoana publica a persoanei
vizate ori de caracterul public al faptelor in care este implicata.
CAP. 4
Drepturile
persoanei vizate in contextul prelucrarii datelor cu caracter personal
Informarea
persoanei vizate
ART. 12
(1) In cazul in
care datele cu caracter personal sunt obtinute direct de la persoana vizata,
operatorul este obligat sa furnizeze persoanei vizate cel putin urmatoarele
informatii, cu exceptia cazului in care aceasta persoana poseda deja
informatiile respective:
a) identitatea operatorului si a reprezentantului
acestuia, daca este cazul;
b) scopul in care se face
prelucrarea datelor;
c) informatii suplimentare, precum: destinatarii
sau categoriile de destinatari ai datelor; daca furnizarea tuturor datelor
cerute este obligatorie si consecintele refuzului de a le furniza; existenta
drepturilor prevazute de prezenta lege pentru persoana vizata, in special a
dreptului de acces, de interventie asupra datelor si de opozitie, precum si
conditiile in care pot fi exercitate;
d) orice alte informatii a caror furnizare
este impusa prin dispozitie a autoritatii de supraveghere, tinand seama de
specificul prelucrarii.
(2) In cazul in care datele nu sunt
obtinute direct de la persoana vizata, operatorul este obligat ca, in momentul
colectarii datelor sau, daca se intentioneaza dezvaluirea acestora catre terti,
cel mai tarziu pana in momentul primei dezvaluiri, sa furnizeze persoanei
vizate cel putin urmatoarele informatii, cu exceptia cazului in care persoana
vizata poseda deja informatiile respective:
a) identitatea operatorului si a reprezentantului
acestuia, daca este cazul;
b) scopul in care se face
prelucrarea datelor;
c) informatii suplimentare, precum: categoriile de
date vizate, destinatarii sau categoriile de destinatari ai datelor, existenta
drepturilor prevazute de prezenta lege pentru persoana vizata, in special a
dreptului de acces, de interventie asupra datelor si de opozitie, precum si
conditiile in care pot fi exercitate;
d) orice alte informatii a caror furnizare
este impusa prin dispozitie a autoritatii de supraveghere, tinand seama de
specificul prelucrarii.
(3) Prevederile alin. (2) nu se aplica
atunci cand prelucrarea datelor se efectueaza exclusiv in scopuri jurnalistice,
literare sau artistice, daca aplicarea acestora ar da indicii asupra surselor
de informare.
(4) Prevederile alin. (2) nu se aplica in
cazul in care prelucrarea datelor se face in scopuri statistice, de cercetare
istorica sau stiintifica, ori in orice alte situatii in care furnizarea unor
asemenea informatii se dovedeste imposibila sau ar implica un efort
disproportionat fata de interesul legitim care ar putea fi lezat, precum si in
situatiile in care inregistrarea sau dezvaluirea datelor este expres prevazuta
de lege.
Dreptul de acces la date
ART. 13
(1) Orice persoana vizata are dreptul de a
obtine de la operator, la cerere si in mod gratuit pentru o solicitare pe an,
confirmarea faptului ca datele care o privesc sunt sau nu sunt prelucrate de
acesta. Operatorul este obligat, in situatia in care prelucreaza date cu
caracter personal care privesc solicitantul, sa comunice acestuia, impreuna cu
confirmarea, cel putin urmatoarele:
a) informatii referitoare la scopurile
prelucrarii, categoriile de date avute in vedere si destinatarii sau
categoriile de destinatari carora le sunt dezvaluite datele;
b) comunicarea intr-o forma inteligibila a
datelor care fac obiectul prelucrarii, precum si a oricarei informatii
disponibile cu privire la originea datelor;
c) informatii asupra principiilor de
functionare a mecanismului prin care se efectueaza orice prelucrare automata a
datelor care vizeaza persoana respectiva;
d) informatii privind existenta dreptului
de interventie asupra datelor si a dreptului de opozitie, precum si conditiile
in care pot fi exercitate;
e) informatii asupra posibilitatii de a
consulta registrul de evidenta a prelucrarilor de date cu caracter personal,
prevazut la art. 24, de a inainta plangere catre autoritatea de supraveghere,
precum si de a se adresa instantei pentru atacarea deciziilor operatorului, in
conformitate cu dispozitiile prezentei legi.
(2) Persoana vizata poate solicita de la
operator informatiile prevazute la alin. (1), printr-o cerere intocmita in
forma scrisa, datata si semnata. In cerere solicitantul poate arata daca
doreste ca informatiile sa ii fie comunicate la o anumita adresa, care poate fi
si de posta electronica, sau printr-un serviciu de corespondenta care sa
asigure ca predarea i se va face numai personal.
(3) Operatorul este obligat sa comunice
informatiile solicitate, in termen de 15 zile de la data primirii cererii, cu
respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).
(4) In cazul datelor cu caracter personal
legate de starea de sanatate, cererea prevazuta la alin. (2) poate fi introdusa
de persoana vizata fie direct, fie prin intermediul unui cadru medical care va
indica in cerere persoana in numele careia este introdusa. La cererea
operatorului sau a persoanei vizate comunicarea prevazuta la alin. (3) poate fi
facuta prin intermediul unui cadru medical desemnat de persoana vizata.
(5) In cazul in care datele cu caracter
personal legate de starea de sanatate sunt prelucrate in scop de cercetare
stiintifica, daca nu exista, cel putin aparent, riscul de a se aduce atingere
drepturilor persoanei vizate si daca datele nu sunt utilizate pentru a lua
decizii sau masuri fata de o anumita persoana, comunicarea prevazuta la alin. (3)
se poate face si intr-un termen mai mare decat cel prevazut la acel alineat, in
masura in care aceasta ar putea afecta bunul mers sau rezultatele cercetarii,
si nu mai tarziu de momentul in care cercetarea este incheiata. In acest caz
persoana vizata trebuie sa isi fi dat in mod expres si neechivoc consimtamantul
ca datele sa fie prelucrate in scop de cercetare stiintifica, precum si asupra
posibilei amanari a comunicarii prevazute la alin. (3) din acest motiv.
(6) Prevederile alin. (2) nu se aplica
atunci cand prelucrarea datelor se efectueaza exclusiv in scopuri jurnalistice,
literare sau artistice, daca aplicarea acestora ar da indicii asupra surselor
de informare.
Dreptul de interventie asupra datelor
ART. 14
(1) Orice persoana vizata are dreptul de a
obtine de la operator, la cerere si in mod gratuit:
a) dupa caz, rectificarea,
actualizarea, blocarea sau stergerea datelor a caror prelucrare nu este
conforma prezentei legi, in special a datelor incomplete sau inexacte;
b) dupa caz,
transformarea in date anonime a datelor a caror prelucrare nu este conforma
prezentei legi;
c) notificarea
catre tertii carora le-au fost dezvaluite datele a oricarei operatiuni
efectuate conform lit. a) sau b), daca aceasta notificare nu se dovedeste
imposibila sau nu presupune un efort disproportionat fata de interesul legitim
care ar putea fi lezat.
(2) Pentru exercitarea dreptului prevazut la alin.
(1) persoana vizata va inainta operatorului o cerere intocmita in forma scrisa,
datata si semnata. In cerere solicitantul poate arata daca doreste ca
informatiile sa ii fie comunicate la o anumita adresa, care poate fi si de
posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca
predarea i se va face numai personal.
(3) Operatorul este obligat sa comunice
masurile luate in temeiul alin. (1), precum si, daca este cazul, numele
tertului caruia i-au fost dezvaluite datele cu caracter personal referitoare la
persoana vizata, in termen de 15 zile de la data primirii cererii, cu
respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).
Dreptul de opozitie
ART. 15
(1) Persoana vizata are dreptul de a se
opune in orice moment, din motive intemeiate si legitime legate de situatia sa
particulara, ca date care o vizeaza sa faca obiectul unei prelucrari, cu
exceptia cazurilor in care exista dispozitii legale contrare. In caz de
opozitie justificata prelucrarea nu mai poate viza datele in cauza.
(2) Persoana vizata are dreptul de a se
opune in orice moment, in mod gratuit si fara nici o justificare, ca datele
care o vizeaza sa fie prelucrate in scop de marketing direct, in numele
operatorului sau al unui tert, sau sa fie dezvaluite unor terti intr-un
asemenea scop.
(3) In vederea exercitarii
drepturilor prevazute la alin. (1)
si (2) persoana vizata va inainta operatorului o cerere intocmita in forma
scrisa, datata si semnata. In cerere solicitantul poate arata daca doreste ca
informatiile sa ii fie comunicate la o anumita adresa, care poate fi si de
posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca
predarea i se va face numai personal.
(4) Operatorul este obligat sa comunice
persoanei vizate masurile luate in temeiul alin. (1) sau (2), precum si, daca
este cazul, numele tertului caruia i-au fost dezvaluite datele cu caracter
personal referitoare la persoana vizata, in termen de 15 zile de la data
primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate
potrivit alin. (3).
Exceptii
ART. 16
(1) Prevederile
art. 12, 13, ale art. 14 alin. (3) si ale art. 15 nu se aplica in cazul activitatilor
prevazute la art. 2 alin. (5), daca prin aplicarea acestora este prejudiciata
eficienta actiunii sau obiectivul urmarit in indeplinirea atributiilor legale
ale autoritatii publice.
(2) Prevederile
alin. (1) sunt aplicabile strict pentru perioada necesara atingerii
obiectivului urmarit prin desfasurarea activitatilor mentionate la art. 2 alin.
(5).
(3) Dupa incetarea
situatiei care justifica aplicarea alin. (1) si (2) operatorii care desfasoara
activitatile prevazute la art. 2 alin. (5) vor lua masurile necesare pentru a
asigura respectarea drepturilor persoanelor vizate.
(4) Autoritatile publice tin evidenta unor astfel
de cazuri si informeaza periodic autoritatea de supraveghere despre modul de
solutionare a lor.
Dreptul de a nu fi supus unei decizii
individuale
ART. 17
(1) Orice persoana are dreptul de a cere si
de a obtine:
a) retragerea sau anularea oricarei decizii
care produce efecte juridice in privinta sa, adoptata exclusiv pe baza unei
prelucrari de date cu caracter personal, efectuata prin mijloace automate,
destinata sa evalueze unele aspecte ale personalitatii sale, precum competenta
profesionala, credibilitatea, comportamentul sau ori alte asemenea aspecte;
b) reevaluarea oricarei alte decizii luate
in privinta sa, care o afecteaza in mod semnificativ, daca decizia a fost
adoptata exclusiv pe baza unei prelucrari de date care intruneste conditiile
prevazute la lit. a).
(2) Respectandu-se celelalte garantii
prevazute de prezenta lege, o persoana poate fi supusa unei decizii de natura
celei vizate la alin. (1), numai in urmatoarele situatii:
a) decizia este luata in cadrul incheierii
sau executarii unui contract, cu conditia ca cererea de incheiere sau de
executare a contractului, introdusa de persoana vizata, sa fi fost satisfacuta
sau ca unele masuri adecvate, precum posibilitatea de a-si sustine punctul de
vedere, sa garanteze apararea propriului interes legitim;
b) decizia este autorizata de o lege care
precizeaza masurile ce garanteaza apararea interesului legitim al persoanei
vizate.
Dreptul de a se adresa justitiei
ART. 18
(1) Fara a se aduce atingere posibilitatii
de a se adresa cu plangere autoritatii de supraveghere, persoanele vizate au
dreptul de a se adresa justitiei pentru apararea oricaror drepturi garantate de
prezenta lege, care le-au fost incalcate.
(2) Orice persoana care a suferit un
prejudiciu in urma unei prelucrari de date cu caracter personal, efectuata
ilegal, se poate adresa instantei competente pentru repararea acestuia.
(3) Instanta competenta este cea in a carei
raza teritoriala domiciliaza reclamantul. Cererea de chemare in judecata este
scutita de taxa de timbru.
CAP. 5
Confidentialitatea
si securitatea prelucrarilor
Confidentialitatea
prelucrarilor
ART. 19
Orice persoana
care actioneaza sub autoritatea operatorului sau a persoanei imputernicite,
inclusiv persoana imputernicita, care are acces la date cu caracter personal,
nu poate sa le prelucreze decat pe baza instructiunilor operatorului, cu
exceptia cazului in care actioneaza in temeiul unei obligatii legale.
Securitatea prelucrarilor
ART. 20
(1) Operatorul
este obligat sa aplice masurile tehnice si organizatorice adecvate pentru
protejarea datelor cu caracter personal impotriva distrugerii accidentale sau
ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat, in
special daca prelucrarea respectiva comporta transmisii de date in cadrul unei
retele, precum si impotriva oricarei alte forme de prelucrare ilegala.
(2) Aceste masuri trebuie sa asigure, potrivit
stadiului tehnicii utilizate in procesul de prelucrare si de costuri, un nivel
de securitate adecvat in ceea ce priveste riscurile pe care le reprezinta
prelucrarea, precum si in ceea ce priveste natura datelor care trebuie
protejate. Cerintele minime de securitate vor fi elaborate de autoritatea de supraveghere
si vor fi actualizate periodic, corespunzator progresului tehnic si experientei
acumulate.
(3) Operatorul, atunci cand desemneaza o
persoana imputernicita, este obligat sa aleaga o persoana care prezinta
suficiente garantii in ceea ce priveste masurile de securitate tehnica si
organizatorice cu privire la prelucrarile ce vor fi efectuate, precum si sa
vegheze la respectarea acestor masuri de catre persoana desemnata.
(4) Autoritatea de supraveghere poate
decide, in cazuri individuale, asupra obligarii operatorului la adoptarea unor
masuri suplimentare de securitate, cu exceptia celor care privesc garantarea
securitatii serviciilor de telecomunicatii.
(5) Efectuarea prelucrarilor prin persoane
imputernicite trebuie sa se desfasoare in baza unui contract incheiat in forma
scrisa, care va cuprinde in mod obligatoriu:
a) obligatia persoanei imputernicite de a
actiona doar in baza instructiunilor primite de la operator;
b) faptul ca indeplinirea obligatiilor
prevazute la alin. (1) revine si persoanei imputernicite.
CAP. 6
Supravegherea si controlul prelucrarilor de
date cu caracter personal
Autoritatea de supraveghere
ART. 21
(1) Autoritatea de supraveghere, in sensul
prezentei legi, este Avocatul Poporului.
(2) Autoritatea de supraveghere isi
desfasoara activitatea in conditii de completa independenta si impartialitate.
(3) Autoritatea de supraveghere
monitorizeaza si controleaza sub aspectul legalitatii prelucrarile de date cu
caracter personal care cad sub incidenta prezentei legi.
In acest scop autoritatea de supraveghere
exercita urmatoarele atributii:
a) elaboreaza formularele tipizate ale
notificarilor si ale registrelor proprii;
b) primeste si analizeaza notificarile
privind prelucrarea datelor cu caracter personal, anuntand operatorului
rezultatele controlului prealabil;
c) autorizeaza prelucrarile de date in
situatiile prevazute de lege;
d) poate dispune, in cazul in care constata
incalcarea dispozitiilor prezentei legi, suspendarea provizorie sau incetarea
prelucrarii datelor, stergerea partiala ori integrala a datelor prelucrate si
poate sa sesiseze organele de urmarire penala sau sa intenteze actiuni in
justitie;
e) pastreaza si pune la dispozitie
publicului registrul de evidenta a prelucrarilor de date cu caracter personal;
f) primeste si solutioneaza plangeri,
sesizari sau cereri de la persoanele fizice si comunica solutia data ori, dupa
caz, diligentele depuse;
g) efectueaza investigatii din oficiu sau
la primirea unor plangeri ori sesizari;
h) este consultata atunci cand se
elaboreaza proiecte de acte normative referitoare la protectia drepturilor si
libertatilor persoanelor, in privinta prelucrarii datelor cu caracter personal;
i) poate face propuneri privind initierea
unor proiecte de acte normative sau modificarea actelor normative in vigoare in
domenii legate de prelucrarea datelor cu caracter personal;
j) coopereaza cu autoritatile publice si cu
organele administratiei publice, centralizeaza si analizeaza rapoartele anuale
de activitate ale acestora privind protectia persoanelor in privinta
prelucrarii datelor cu caracter personal, formuleaza recomandari si avize
asupra oricarei chestiuni legate de protectia drepturilor si libertatilor
fundamentale in privinta prelucrarii datelor cu caracter personal, la cererea
oricarei persoane, inclusiv a autoritatilor publice si a organelor
administratiei publice; aceste recomandari si avize trebuie sa faca mentiune
despre temeiurile pe care se sprijina si se comunica in copie si Ministerului
Justitiei; atunci cand recomandarea sau avizul este cerut de lege, se publica
in Monitorul Oficial al Romaniei, Partea I;
k) coopereaza cu autoritatile similare de
peste hotare in vederea asistentei mutuale, precum si cu persoanele cu
domiciliul sau cu sediul in strainatate, in scopul apararii drepturilor si
libertatilor fundamentale ce pot fi afectate prin prelucrarea datelor cu
caracter personal;
l) indeplineste alte atributii prevazute de
lege.
(4) Intregul personal al autoritatii de
supraveghere are obligatia de a pastra secretul profesional, cu exceptiile
prevazute de lege, pe termen nelimitat, asupra informatiilor confidentiale sau
clasificate la care are sau a avut acces in exercitarea atributiilor de serviciu,
inclusiv dupa incetarea raporturilor juridice cu autoritatea de supraveghere.
Notificarea catre autoritatea de
supraveghere
ART. 22
(1) Operatorul este obligat sa notifice
autoritatii de supraveghere, personal sau prin reprezentant, inainte de
efectuarea oricarei prelucrari ori a oricarui ansamblu de prelucrari avand
acelasi scop sau scopuri corelate.
(2) Notificarea nu este necesara in cazul
in care prelucrarea are ca unic scop tinerea unui registru destinat prin lege
informarii publicului si deschis spre consultare publicului in general sau
oricarei persoane care probeaza un interes legitim, cu conditia ca prelucrarea
sa se limiteze la datele strict necesare tinerii registrului mentionat.
(3) Notificarea va cuprinde cel putin urmatoarele
informatii:
a) numele sau denumirea si domiciliul ori
sediul operatorului si ale reprezentantului desemnat al acestuia, daca este
cazul;
b) scopul sau scopurile prelucrarii;
c) o descriere a categoriei sau a
categoriilor de persoane vizate si a datelor ori a categoriilor de date ce vor
fi prelucrate;
d) destinatarii sau categoriile de
destinatari carora se intentioneaza sa li se dezvaluie datele;
e) garantiile care insotesc
dezvaluirea datelor catre terti;
f) modul in care
persoanele vizate sunt informate asupra drepturilor lor; data estimata pentru
incheierea operatiunilor de prelucrare, precum si destinatia ulterioara a
datelor;
g) transferuri de date care se intentioneaza sa
fie facute catre alte state;
h) o descriere generala care sa
permita aprecierea preliminara a masurilor luate pentru asigurarea securitatii
prelucrarii;
i) specificarea
oricarui sistem de evidenta a datelor cu caracter personal, care are legatura
cu prelucrarea, precum si a eventualelor legaturi cu alte prelucrari de date
sau cu alte sisteme de evidenta a datelor cu caracter personal, indiferent daca
se efectueaza, respectiv daca sunt sau nu sunt situate pe teritoriul Romaniei;
j) motivele care
justifica aplicarea prevederilor art. 11, art. 12 alin. (3) sau (4) ori ale
art. 13 alin. (5) sau (6), in situatia in care prelucrarea datelor se face
exclusiv in scopuri jurnalistice, literare sau artistice ori in scopuri
statistice, de cercetare istorica sau stiintifica.
(4) Daca notificarea este incompleta, autoritatea
de supraveghere va solicita completarea acesteia.
(5) In limitele puterilor de investigare de
care dispune, autoritatea de supraveghere poate solicita si alte informatii, in
special privind originea datelor, tehnologia de prelucrare automata utilizata
si detalii referitoare la masurile de securitate. Dispozitiile prezentului
alineat nu se aplica in situatia in care prelucrarea datelor se face exclusiv
in scopuri jurnalistice, literare sau artistice.
(6) Daca se intentioneaza ca datele care
sunt prelucrate sa fie transferate in strainatate, notificarea va cuprinde si
urmatoarele elemente:
a) categoriile de date care vor face
obiectul transferului;
b) tara de destinatie pentru fiecare
categorie de date.
(7) Notificarea este supusa unei taxe care
trebuie platita de operator autoritatii de supraveghere.
(8) Autoritatile publice care efectueaza
prelucrari de date cu caracter personal in legatura cu activitatile descrise la
art. 2 alin. (5), in temeiul legii sau in indeplinirea obligatiilor asumate
prin acorduri internationale ratificate, sunt scutite de taxa prevazuta la
alin. (7). Notificarea se va transmite in termen de 15 zile de la intrarea in
vigoare a actului normativ care instituie obligatia respectiva si va cuprinde
numai urmatoarele elemente:
a) denumirea si sediul operatorului;
b) scopul si temeiul legal al prelucrarii;
c) categoriile de date cu caracter personal
supuse prelucrarii.
(9) Autoritatea de supraveghere poate
stabili si alte situatii in care notificarea nu este necesara, in afara celei
prevazute la alin. (2), sau situatii in care notificarea se poate efectua
intr-o forma simplificata, precum si continutul acesteia, numai in unul dintre
urmatoarele cazuri:
a)
atunci cand, luand in considerare natura datelor destinate sa fie prelucrate,
prelucrarea nu poate afecta, cel putin aparent, drepturile persoanelor vizate,
cu conditia sa precizeze expres scopurile in care se poate face o asemenea
prelucrare, datele sau categoriile de date care pot fi prelucrate, categoria
sau categoriile de persoane vizate, destinatarii sau categoriile de destinatari
carora datele le pot fi dezvaluite si perioada pentru care datele pot fi
stocate;
b) atunci cand prelucrarea se efectueaza
in conditiile art. 7 alin. (2) lit.
d).
Controlul prealabil
ART. 23
(1) Autoritatea de supraveghere va stabili
categoriile de operatiuni de prelucrare care sunt susceptibile de a prezenta
riscuri speciale pentru drepturile si libertatile persoanelor.
(2) Daca pe baza notificarii autoritatea de
supraveghere constata ca prelucrarea se incadreaza in una dintre categoriile
mentionate la alin. (1), va dispune obligatoriu efectuarea unui control
prealabil inceperii prelucrarii respective, cu anuntarea operatorului.
(3) Operatorii care nu au fost anuntati in
termen de 5 zile de la data notificarii despre efectuarea unui control
prealabil pot incepe prelucrarea.
(4) In situatia prevazuta la alin. (2)
autoritatea de supraveghere este obligata ca, in termen de cel mult 30 de zile
de la data notificarii, sa aduca la cunostinta operatorului rezultatul
controlului efectuat, precum si decizia emisa in urma acestuia.
Registrul de evidenta a prelucrarilor de
date cu caracter personal
ART. 24
(1) Autoritatea de supraveghere pastreaza
un registru de evidenta a prelucrarilor de date cu caracter personal,
notificate in conformitate cu prevederile art. 22. Registrul va cuprinde toate
informatiile prevazute la art. 22 alin. (3).
(2) Fiecare operator primeste un numar de
inregistrare. Numarul de inregistrare trebuie mentionat pe orice act prin care
datele sunt colectate, stocate sau dezvaluite.
(3) Orice schimbare de natura sa afecteze
exactitatea informatiilor inregistrate va fi comunicata autoritatii de
supraveghere in termen de 5 zile. Autoritatea de supraveghere va dispune de
indata efectuarea mentiunilor corespunzatoare in registru.
(4) Activitatile de prelucrare a datelor cu
caracter personal, incepute anterior intrarii in vigoare a prezentei legi, vor
fi notificate in vederea inregistrarii in termen de 15 zile de la data intrarii
in vigoare a prezentei legi.
(5) Registrul de evidenta a prelucrarilor
de date cu caracter personal este deschis spre consultare publicului.
Modalitatea de consultare se stabileste de autoritatea de supraveghere.
Plangeri adresate autoritatii de
supraveghere
ART. 25
(1) In vederea apararii drepturilor
prevazute de prezenta lege persoanele ale caror date cu caracter personal fac
obiectul unei prelucrari care cade sub incidenta prezentei legi pot inainta
plangere catre autoritatea de supraveghere. Plangerea se poate face direct sau
prin reprezentant. Persoana lezata poate imputernici o asociatie sau o fundatie
sa ii reprezinte interesele.
(2) Plangerea catre autoritatea de
supraveghere nu poate fi inaintata daca o cerere in justitie, avand acelasi
obiect si aceleasi parti, a fost introdusa anterior.
(3) In afara cazurilor in care o intarziere
ar cauza un prejudiciu iminent si ireparabil, plangerea catre autoritatea de
supraveghere nu poate fi inaintata mai devreme de 15 zile de la inaintarea unei
plangeri cu acelasi continut catre operator.
(4) In vederea solutionarii plangerii, daca
apreciaza ca este necesar, autoritatea de supraveghere poate audia persoana
vizata, operatorul si, daca este cazul, persoana imputernicita sau asociatia
ori fundatia care reprezinta interesele persoanei vizate. Aceste persoane au
dreptul de a inainta cereri, documente si memorii. Autoritatea de supraveghere
poate dispune efectuarea de expertize.
(5) Daca plangerea este gasita intemeiata,
autoritatea de supraveghere poate decide oricare dintre masurile prevazute la
art. 21 alin. (3) lit. d). Interdictia temporara a prelucrarii poate fi
instituita numai pana la incetarea motivelor care au determinat luarea acestei
masuri.
(6) Decizia trebuie motivata si se comunica
partilor interesate in termen de 30 de zile de la data primirii plangerii.
(7) Autoritatea de supraveghere poate
ordona, daca apreciaza necesar, suspendarea unora sau tuturor operatiunilor de
prelucrare pana la solutionarea plangerii in conditiile alin. (5).
(8) Autoritatea de supraveghere se poate
adresa justitiei pentru apararea oricaror drepturi garantate de prezenta lege
persoanelor vizate. Instanta competenta este Tribunalul Municipiului Bucuresti.
Cererea de chemare in judecata este scutita de taxa de timbru.
(9) La cererea persoanelor vizate, pentru
motive intemeiate, instanta poate dispune suspendarea prelucrarii pana la
solutionarea plangerii de catre autoritatea de supraveghere.
(10) Prevederile alin. (4)-(9) se aplica in
mod corespunzator si in situatia in care autoritatea de supraveghere afla pe
orice alta cale despre savarsirea unei incalcari a drepturilor recunoscute de
prezenta lege persoanelor vizate.
Contestarea deciziilor autoritatii
de supraveghere
ART. 26
(1) Impotriva
oricarei decizii emise de autoritatea de supraveghere in temeiul dispozitiilor
prezentei legi operatorul sau persoana vizata poate formula contestatie in
termen de 15 zile de la comunicare, sub sanctiunea decaderii, la instanta de
contencios administrativ competenta. Cererea se judeca de urgenta, cu citarea partilor. Solutia este definitiva
si irevocabila.
(2) Fac exceptie de la prevederile alin. (1),
precum si de la cele ale art. 23 si 25 prelucrarile de date cu caracter
personal, efectuate in cadrul activitatilor prevazute la art. 2 alin. (5).
Exercitarea atributiilor de investigare
ART. 27
(1) Autoritatea de supraveghere poate
investiga, din oficiu sau la primirea unei plangeri, orice incalcare a
drepturilor persoanelor vizate, respectiv a obligatiilor care revin operatorilor
si, dupa caz, persoanelor imputernicite, in cadrul efectuarii prelucrarilor de
date cu caracter personal, in scopul apararii drepturilor si libertatilor
fundamentale ale persoanelor vizate.
(2) Atributiile de investigare nu pot fi
exercitate de catre autoritatea de supraveghere in cazul in care o cerere in
justitie introdusa anterior are ca obiect savarsirea aceleiasi incalcari a
drepturilor si opune aceleasi parti.
(3) In exercitarea atributiilor de
investigare autoritatea de supraveghere poate solicita operatorului orice
informatii legate de prelucrarea datelor cu caracter personal si poate verifica
orice document sau inregistrare referitoare la prelucrarea de date cu caracter
personal.
(4) Secretul de stat si secretul
profesional nu pot fi invocate pentru a impiedica exercitarea atributiilor
acordate prin prezenta lege autoritatii de supraveghere. Atunci cand este
invocata protectia secretului de stat sau a secretului profesional, autoritatea
de supraveghere are obligatia de a pastra secretul.
(5) Daca exercitarea atributiei de
investigare a autoritatii de supraveghere are ca obiect o prelucrare de date cu
caracter personal, efectuata de autoritatile publice in legatura cu
activitatile descrise la art. 2 alin. (5) pentru un caz concret, este necesara
obtinerea acordului prealabil al procurorului sau al instantei competente.
Norme de conduita
ART. 28
(1) Asociatiile profesionale au obligatia
de a elabora si de a supune spre avizare autoritatii de supraveghere coduri de conduita
care sa contina norme adecvate pentru protectia drepturilor persoanelor ale
caror date cu caracter personal pot fi prelucrate de catre membrii acestora.
(2) Normele de conduita trebuie sa prevada
masuri si proceduri care sa asigure un nivel satisfacator de protectie, tinand
seama de natura datelor ce pot fi prelucrate. Autoritatea de supraveghere poate
dispune masuri si proceduri specifice pentru perioada in care normele de
conduita la care s-a facut referire anterior nu sunt adoptate.
CAP. 7
Transferul in
strainatate al datelor cu caracter personal
Conditiile
transferului in strainatate al datelor cu caracter personal
ART. 29
(1) Transferul catre un alt stat de date cu
caracter personal care fac obiectul unei prelucrari sau sunt destinate sa fie
prelucrate dupa transfer poate avea loc numai in conditiile in care nu se
incalca legea romana, iar statul catre care se intentioneaza transferul asigura
un nivel de protectie adecvat.
(2) Nivelul de protectie va fi apreciat de
catre autoritatea de supraveghere, tinand seama de totalitatea imprejurarilor
in care se realizeaza transferul de date, in special avand in vedere natura
datelor transmise, scopul prelucrarii si durata propusa pentru prelucrare,
statul de origine si statul de destinatie finala, precum si legislatia statului
solicitant. In cazul in care autoritatea de supraveghere constata ca nivelul de
protectie oferit de statul de destinatie este nesatisfacator, poate dispune
interzicerea transferului de date.
(3) In toate situatiile transferul de date
cu caracter personal catre un alt stat va face obiectul unei notificari
prealabile a autoritatii de supraveghere.
(4) Autoritatea de supraveghere poate
autoriza transferul de date cu caracter personal catre un stat a carui
legislatie nu prevede un nivel de protectie cel putin egal cu cel oferit de
legea romana atunci cand operatorul ofera garantii suficiente cu privire la
protectia drepturilor fundamentale ale persoanelor. Aceste garantii trebuie sa
fie stabilite prin contracte incheiate intre operatori si persoanele fizice sau
juridice din dispozitia carora se efectueaza transferul.
(5) Prevederile alin. (2), (3) si (4) nu se
aplica daca transferul datelor se face in baza prevederilor unei legi speciale
sau ale unui acord international ratificat de Romania, in special daca
transferul se face in scopul prevenirii, cercetarii sau reprimarii unei
infractiuni.
(6) Prevederile prezentului articol nu se
aplica atunci cand prelucrarea datelor se face exclusiv in scopuri
jurnalistice, literare sau artistice, daca datele au fost facute publice in mod
manifest de catre persoana vizata sau sunt strans legate de calitatea de
persoana publica a persoanei vizate ori de caracterul public al faptelor in
care este implicata.
Situatii in care transferul este
intotdeauna permis
ART. 30
Transferul de date
este intotdeauna permis in urmatoarele situatii:
a) cand persoana
vizata si-a dat in mod explicit consimtamantul pentru efectuarea transferului;
in cazul in care transferul de date se face in legatura cu oricare dintre
datele prevazute la art. 7, 8 si 10, consimtamantul trebuie dat in scris;
b) cand este
necesar pentru executarea unui contract incheiat intre persoana vizata si
operator sau pentru executarea unor masuri precontractuale dispuse la cererea
pesoanei vizate;
c) cand este
necesar pentru incheierea sau pentru executarea unui contract incheiat ori care
se va incheia, in interesul persoanei vizate, intre operator si un tert;
d) cand este necesar
pentru satisfacerea unui interes public major, precum apararea nationala,
ordinea publica sau siguranta nationala, pentru buna desfasurare a procesului
penal ori pentru constatarea, exercitarea sau apararea unui drept in justitie,
cu conditia ca datele sa fie prelucrate in legatura cu acest scop si nu mai
mult timp decat este necesar;
e) cand este
necesar pentru a proteja viata, integritatea fizica sau sanatatea persoanei
vizate;
f) cand intervine
ca urmare a unei cereri anterioare de acces la documente oficiale care sunt
publice ori a unei cereri privind informatii care pot fi obtinute din registre
sau prin orice alte documente accesibile publicului.
CAP. 8
Contraventii si sanctiuni
Omisiunea de a notifica si notificarea cu
rea-credinta
ART. 31
Omisiunea de a
efectua notificarea in conditiile art. 22 sau ale art. 29 alin. (3) in situatiile in care aceasta notificare este
obligatorie, precum si notificarea incompleta sau care contine informatii false
constituie contraventii, daca nu sunt savarsite in astfel de conditii incat sa
constituie infractiuni, si se sanctioneaza cu amenda de la 5.000.000 lei la
100.000.000 lei.
Prelucrarea nelegala a datelor cu
caracter personal
ART. 32
Prelucrarea datelor cu caracter personal de
catre un operator sau de o persoana imputernicita de acesta, cu incalcarea
prevederilor art. 4-10 sau cu nesocotirea drepturilor prevazute la art. 12-15
sau la art. 17, constituie contraventie, daca nu este savarsita in astfel de
conditii incat sa constituie infractiune, si se sanctioneaza cu amenda de la
10.000.000 lei la 250.000.000 lei.
Neindeplinirea obligatiilor privind
confidentialitatea si aplicarea masurilor de securitate
ART. 33
Neindeplinirea obligatiilor privind aplicarea
masurilor de securitate si de pastrare a confidentialitatii prelucrarilor,
prevazute la art. 19 si 20, constituie contraventie, daca nu este savarsita in
astfel de conditii incat sa constituie infractiune, si se sanctioneaza cu
amenda de la 15.000.000 lei la 500.000.000 lei.
Refuzul de a furniza informatii
ART. 34
Refuzul de a furniza autoritatii de
supraveghere informatiile sau documentele cerute de aceasta in exercitarea
atributiilor de investigare prevazute la art. 27 constituie contraventie, daca
nu este savarsita in astfel de conditii incat sa constituie infractiune, si se
sanctioneaza cu amenda de la 10.000.000 lei la 150.000.000 lei.
Constatarea contraventiilor si aplicarea
sanctiunilor
ART. 35
(1) Constatarea contraventiilor si
aplicarea sanctiunilor se efectueaza de catre autoritatea de supraveghere, care
poate delega aceste atributii unor persoane recrutate din randul personalului
sau, precum si de reprezentanti imputerniciti ai organelor cu atributii de
supraveghere si control, abilitate potrivit legii.
(2) Dispozitiile prezentei legi referitoare
la contraventii se completeaza cu prevederile Ordonantei Guvernului nr. 2/2001
privind regimul juridic al contraventiilor, in masura in care prezenta lege nu
dispune altfel.
(3) Impotriva proceselor-verbale de
constatare si sanctionare se poate face plangere la sectiile de contencios
administrativ ale tribunalelor.
CAP. 9
Dispozitii finale
Intrarea in
vigoare
ART. 36
Prezenta lege
intra in vigoare la data publicarii ei in Monitorul Oficial al Romaniei, Partea
I, si se pune in aplicare in termen de 3 luni de la intrarea sa in vigoare.
Aceasta lege a
fost adoptata de Senat in sedinta din 15 octombrie 2001, cu respectarea
prevederilor art. 74 alin. (2) din Constitutia Romaniei.
PRESEDINTELE SENATULUI
NICOLAE
VACAROIU
Aceasta lege a
fost adoptata de Camera Deputatilor in sedinta din 22 octombrie 2001, cu
respectarea prevederilor art. 74 alin. (2) din Constitutia Romaniei.
PRESEDINTELE
CAMEREI DEPUTATILOR
VALER DORNEANU