LEGE nr. 677 din 21 noiembrie 2001 (*actualizata*)
pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date

EMITENT: PARLAMENTUL

Data intrarii in vigoare: 12 Decembrie 2001

Forma actualizata valabila la data de 9 Noiembrie 2011
Prezenta forma actualizata este valabila incepand cu data de 22 Octombrie 2007, pana la data de 9 Noiembrie 2011
—————-

*) Textul iniţial a fost publicat în MONITORUL OFICIAL nr. 790 din 12 decembrie 2001. Aceasta este forma actualizatã de S.C. “Centrul Teritorial de Calcul Electronic” S.A. Piatra-Neamţ valabila
la data de 9 Noiembrie 2011, cu modificãrile şi completãrile aduse de: LEGEA nr. 102 din 3 mai 2005 ; LEGEA nr. 278 din 15 octombrie 2007 .

Parlamentul României adopta prezenta lege.

CAP. I

Dispoziţii generale

Scop

ART. 1
(1) Prezenta lege are ca scop garantarea şi protejarea drepturilor şi libertãţilor fundamentale ale persoanelor fizice, în special a dreptului la viaţa intima, familialã şi privatã, cu privire la prelucrarea datelor cu caracter personal.
(2) Exercitarea drepturilor prevãzute în prezenta lege nu poate fi restrânsã decât în cazuri expres şi limitativ prevãzute de lege. Domeniu de aplicare
ART. 2 (1) Prezenta lege se aplica prelucrarilor de date cu caracter personal, efectuate, în tot sau în parte, prin mijloace automate, precum şi prelucrãrii prin alte mijloace.decât cele automate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta sau care sunt destinate sa fie incluse într-un asemenea sistem.
(2) Prezenta lege se aplica:
a) prelucrarilor de date cu caracter personal, efectuate în cadrul activitãţilor desfãşurate de operatori stabiliţi în România;
b) prelucrarilor de date cu caracter personal, efectuate în cadrul activitãţilor desfãşurate de misiunile diplomatice sau de oficiile consulare ale României;
c) prelucrarilor de date cu caracter personal, efectuate în cadrul activitãţilor desfãşurate de operatori care nu sunt stabiliţi în România, prin utilizarea de mijloace de orice natura situate pe teritoriul României, cu excepţia cazului în care aceste mijloace nu sunt utilizate decât în scopul tranzitarii pe teritoriul României a datelor cu caracter personal care fac obiectul prelucrarilor respective.
(3) In cazul prevãzut la alin. (2) lit. c) operatorul îşi va desemna un reprezentant care trebuie sa fie o persoana stabilitã în România. Prevederile prezentei legi aplicabile operatorului sunt aplicabile şi reprezentantului acestuia, fãrã a aduce atingere posibilitatii de a introduce acţiune în justiţie direct impotriva operatorului.
(4) Prezenta lege se aplica prelucrarilor de date cu caracter personal efectuate de persoane fizice sau juridice, romane ori strãine, de drept public sau de drept privat, indiferent dacã au loc în sectorul public sau în sectorul privat.
(5) In limitele prevãzute de prezenta lege, aceasta se aplica şi prelucrarilor şi transferului de date cu caracter personal, efectuate în cadrul activitãţilor de prevenire, cercetare şi reprimare a infracţiunilor şi de menţinere a ordinii publice, precum şi al altor activitãţi desfãşurate în domeniul dreptului penal, în limitele şi cu restricţiile stabilite de lege.
(6) Prezenta lege nu se aplica prelucrarilor de date cu caracter personal, efectuate de persoane fizice exclusiv pentru uzul lor personal, dacã datele în cauza nu sunt destinate a fi dezvãluite.
(7) Prezenta lege nu se aplica prelucrarilor şi transferului de date cu caracter personal, efectuate în cadrul activitãţilor în domeniul apãrãrii naţionale şi siguranţei naţionale, desfãşurate în limitele şi cu restricţiile stabilite de lege.
(8) Prevederile prezentei legi nu aduc atingere obligaţiilor asumate de România prin instrumente juridice ratificate.

Definiţii

ART. 3

In înţelesul prezentei legi, urmãtorii termeni se definesc dupã cum urmeazã:
a) date cu caracter personal – orice informaţii referitoare la o persoana fizica identificata sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, în mod particular prin referire la un numãr de identificare ori la unul sau la mai mulţi factori specifici identitãţii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
b) prelucrarea datelor cu caracter personal – orice operaţiune sau set de operaţiuni care se efectueazã asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvaluirea cãtre terţi prin transmitere, diseminare sau în orice alt mod, alaturarea ori combinarea, blocarea, ştergerea sau distrugerea;
c) stocarea – pãstrarea pe orice fel de suport a datelor cu caracter personal culese;
d) sistem de evidenta a datelor cu caracter personal – orice structura organizatã de date cu caracter personal, accesibila potrivit unor criterii determinate, indiferent dacã aceasta structura este organizatã în mod centralizat ori descentralizat sau este repartizata dupã criterii functionale ori geografice;
e) operator – orice persoana fizica sau juridicã, de drept privat ori de drept public, inclusiv autoritãţile publice, instituţiile şi structurile teritoriale ale acestora, care stabileşte scopul şi mijloacele de prelucrare a datelor cu caracter personal; dacã scopul şi mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizica sau juridicã, de drept public ori de drept privat, care este desemnatã ca operator prin acel act normativ sau în baza acelui act normativ;
f) persoana imputernicita de cãtre operator – o persoana fizica sau juridicã, de drept privat ori de drept public, inclusiv autoritãţile publice, instituţiile şi structurile teritoriale ale acestora, care prelucreaza date cu caracter personal pe seama operatorului;
g) terţ – orice persoana fizica sau juridicã, de drept privat ori de drept public, inclusiv autoritãţile publice, instituţiile şi structurile teritoriale ale acestora, alta decât persoana vizata, operatorul ori persoana imputernicita sau persoanele care, sub autoritatea directa a operatorului sau a persoanei împuternicite, sunt autorizate sa prelucreze date;
h) destinatar – orice persoana fizica sau juridicã, de drept privat ori de drept public, inclusiv autoritãţile publice, instituţiile şi structurile teritoriale ale acestora, cãreia ii sunt dezvãluite date, indiferent dacã este sau nu terţ; autoritãţile publice cãrora li se comunica date în cadrul unei competente speciale de ancheta nu vor fi considerate destinatari;
i) date anonime – date care, datoritã originii sau modalitatii specifice de prelucrare, nu pot fi asociate cu o persoana identificata sau identificabila.

CAP. II

Reguli generale privind prelucrarea datelor cu caracter personal
Caracteristicile datelor cu caracter personal în cadrul prelucrãrii

ART. 4
(1) Datele cu caracter personal destinate a face obiectul prelucrãrii trebuie sa fie:
a) prelucrate cu buna-credinţa şi în conformitate cu dispoziţiile legale în vigoare;
b) colectate în scopuri determinate, explicite şi legitime; prelucrarea ulterioara a datelor cu caracter personal în scopuristatistice, de cercetare istorica sau ştiinţificã nu va fi
consideratã incompatibilã cu scopul colectãrii dacã se efectueazã cu respectarea dispoziţiilor prezentei legi, inclusiv a celor care privesc efectuarea notificãrii cãtre autoritatea de supraveghere, precum şi cu respectarea garanţiilor privind prelucrarea datelor cu caracter personal, prevãzute de normele care reglementeazãactivitatea statistica ori cercetarea istorica sau ştiinţificã;
c) adecvate, pertinente şi neexcesive prin raportare la scopul în care sunt colectate şi ulterior prelucrate;
d) exacte si, dacã este cazul, actualizate; în acest scop se vor lua mãsurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate şi pentru care vor fi ulterior prelucrate, sa fie şterse sau rectificate;
e) stocate într-o forma care sa permitã identificarea persoanelor vizate strict pe durata necesarã realizãrii scopurilor în care datele sunt colectate şi în care vor fi ulterior prelucrate; stocarea datelor pe o durata mai mare decât cea menţionatã, în scopuri statistice, de cercetare istorica sau ştiinţificã, se va face cu respectarea garanţiilor privind prelucrarea datelor cu caracter personal, prevãzute în normele care reglementeazã aceste domenii, şi numai pentru perioada necesarã realizãrii acestor scopuri.
(2) Operatorii au obligaţia sa respecte prevederile alin. (1) şi sa asigure îndeplinirea acestor prevederi de cãtre persoanele împuternicite. Condiţii de legitimitate privind prelucrarea datelor

ART. 5
(1) Orice prelucrare de date cu caracter personal, cu excepţia prelucrarilor care vizeazã date din categoriile menţionate la art. 7 alin. (1), art. 8 şi 10, poate fi efectuatã numai dacã persoana vizata si-a dat consimţãmântul în mod expres şi neechivoc pentru acea prelucrare.
(2) Consimţãmântul persoanei vizate nu este cerut în urmãtoarele cazuri:
a) când prelucrarea este necesarã în vederea executãrii unui contract sau antecontract la care persoana vizata este parte ori în vederea luãrii unor mãsuri, la cererea acesteia, înaintea încheierii unui contract sau antecontract;
b) când prelucrarea este necesarã în vederea protejãrii vieţii, integritãţii fizice sau sãnãtãţii persoanei vizate ori a unei alte persoane amenintate;
c) când prelucrarea este necesarã în vederea îndeplinirii unei obligaţii legale a operatorului;
d) când prelucrarea este necesarã în vederea aducerii la îndeplinire a unor mãsuri de interes public sau care vizeazã exercitarea prerogativelor de autoritate publica cu care este investit operatorul sau terţul cãruia ii sunt dezvãluite datele;
e) când prelucrarea este necesarã în vederea realizãrii unui interes legitim al operatorului sau al terţului cãruia ii sunt dezvãluite datele, cu condiţia ca acest interes sa nu prejudicieze interesul sau drepturile şi libertãţile fundamentale ale persoanei vizate;
f) când prelucrarea priveşte date obţinute din documente accesibile publicului, conform legii;
g) când prelucrarea este fãcuta exclusiv în scopuri statistice, de cercetare istorica sau ştiinţificã, iar datele rãmân anonime pe toatã durata prelucrãrii.
(3) Prevederile alin. (2) nu aduc atingere dispoziţiilor legale care reglementeazã obligaţia autoritãţilor publice de a respecta şi de a ocroti viaţa intima, familialã şi privatã. Încheierea operaţiunilor de prelucrare

ART. 6
(1) La încheierea operaţiunilor de prelucrare, dacã persoana vizata nu si-a dat în mod expres şi neechivoc consimţãmântul pentru o alta destinaţie sau pentru o prelucrare ulterioara, datele cu caracter personal vor fi:
a) distruse;
b) transferate unui alt operator, cu condiţia ca operatoruliniţial sa garanteze faptul ca prelucrãrile ulterioare au scopuri similare celor în care s-a fãcut prelucrarea iniţialã;
c) transformate în date anonime şi stocate exclusiv în scopuri statistice, de cercetare istorica sau ştiinţificã.
(2) In cazul operaţiunilor de prelucrare efectuate în condiţiile prevãzute la art. 5 alin. (2) lit. c) sau d), în cadrul activitãţilor descrise la art. 2 alin. (5), operatorul poate stoca datele cu caracter personal pe perioada necesarã realizãrii scopurilor concrete urmãrite, cu condiţia asigurãrii unor mãsuri corespunzãtoare de protejare a acestora, dupã care va proceda la distrugerea lor dacã nu sunt aplicabile prevederile legale privind pãstrarea arhivelor.

CAP. III
Reguli speciale privind prelucrarea datelor cu caracter personal
Prelucrarea unor categorii speciale de date

ART. 7
(1) Prelucrarea datelor cu caracter personal legate de originea rasialã sau etnicã, de convingerile politice, religioase, filozofice sau de natura similarã, de apartenenţa sindicala, precum şi a datelor cu caracter personal privind starea de sãnãtate sau viaţa sexualã este interzisã.
(2) Prevederile alin. (1) nu se aplica în urmãtoarele cazuri:
a) când persoana vizata si-a dat în mod expres consimţãmântul pentru o astfel de prelucrare;
b) când prelucrarea este necesarã în scopul respectãrii obligaţiilor sau drepturilor specifice ale operatorului în domeniul dreptului muncii, cu respectarea garanţiilor prevãzute de lege; o eventuala dezvaluire cãtre un terţ a datelor prelucrate poate fi efectuatã numai dacã exista o obligaţie legalã a operatorului în acest sens sau dacã persoana vizata a consimţit expres la aceasta dezvaluire;
c) când prelucrarea este necesarã pentru protecţia vieţii, integritãţii fizice sau a sãnãtãţii persoanei vizate ori a altei persoane, în cazul în care persoana vizata se afla în incapacitatefizica sau juridicã de a-si da consimţãmântul;
d) când prelucrarea este efectuatã în cadrul activitãţilor sale legitime de cãtre o fundaţie, asociaţie sau de cãtre orice alta organizaţie cu scop nelucrativ şi cu specific politic, filozofic, religios ori sindical, cu condiţia ca persoana vizata sa fie membra a acestei organizaţii sau sa întreţinã cu aceasta, în mod regulat, relaţii care privesc specificul activitãţii organizaţiei şi ca datele sa nu fie dezvãluite unor terţi fãrã consimţãmântul persoanei vizate;
e) când prelucrarea se referã la date fãcute publice în mod manifest de cãtre persoana vizata;
f) când prelucrarea este necesarã pentru constatarea, exercitarea sau apãrarea unui drept în justiţie;
g) când prelucrarea este necesarã în scopuri de medicina preventivã, de stabilire a diagnosticelor medicale, de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizata ori de gestionare a serviciilor de sãnãtate care acţioneazã în interesul persoanei vizate, cu condiţia ca prelucrarea datelor respective sa fie efectuate de cãtre ori sub supravegherea unui cadru medical supus secretului profesional sau de cãtre ori sub supravegherea unei alte persoane supuse unei obligaţii echivalente în ceea ce priveşte secretul;
h) când legea prevede în mod expres aceasta în scopul protejãrii unui interes public important, cu condiţia ca prelucrarea sa se efectueze cu respectarea drepturilor persoanei vizate şi a celorlalte garanţii prevãzute de prezenta lege.
(3) Prevederile alin. (2) nu aduc atingere dispoziţiilor legale care reglementeazã obligaţia autoritãţilor publice de a respecta şi de a ocroti viaţa intima, familialã şi privatã.
(4) Autoritatea de supraveghere poate dispune, din motive întemeiate, interzicerea efectuãrii unei prelucrari de date din categoriile prevãzute la alin. (1), chiar dacã persoana vizata si-a dat în scris şi în mod neechivoc consimţãmântul, iar acest consimţãmânt nu a fost retras, cu condiţia ca interdicţia prevãzutã la alin. (1) sa nu fie înlãturatã prin unul dintre cazurile la care se referã alin. (2) lit. b)-g). Prelucrarea datelor cu caracter personal având funcţie de identificare

ART. 8
(1) Prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generalã poate fi efectuatã numai dacã:
a) persoana vizata si-a dat în mod expres consimţãmântul; sau
b) prelucrarea este prevãzutã în mod expres de o dispoziţielegalã.
(2) Autoritatea de supraveghere poate stabili şi alte cazuri în care se poate efectua prelucrarea datelor prevãzute la alin. (1),numai cu condiţia instituirii unor garanţii adecvate pentru respectarea drepturilor persoanelor vizate. Prelucrarea datelor cu caracter personal privind starea de sãnãtate

ART. 9
(1) In afarã cazurilor prevãzute la art. 7 alin. (2),
prevederile art. 7 alin. (1) nu se aplica în privinţa prelucrãrii
datelor privind starea de sãnãtate în urmãtoarele cazuri:
a) dacã prelucrarea este necesarã pentru protecţia sãnãtãţii
publice;
b) dacã prelucrarea este necesarã pentru prevenirea unui pericol
iminent, pentru prevenirea sãvârşirii unei fapte penale sau pentru
împiedicarea producerii rezultatului unei asemenea fapte ori pentru
înlãturarea urmãrilor prejudiciabile ale unei asemenea fapte.
(2) Prelucrarea datelor privind starea de sãnãtate poate fi
efectuatã numai de cãtre ori sub supravegherea unui cadru medical,
cu condiţia respectãrii secretului profesional, cu excepţia
situaţiei în care persoana vizata si-a dat în scris şi în mod
neechivoc consimţãmântul atâta timp cat acest consimţãmânt nu a fost
retras, precum şi cu excepţia situaţiei în care prelucrarea este
necesarã pentru prevenirea unui pericol iminent, pentru prevenirea
sãvârşirii unei fapte penale, pentru împiedicarea producerii
rezultatului unei asemenea fapte sau pentru înlãturarea urmãrilor
sale prejudiciabile.
(3) Cadrele medicale, instituţiile de sãnãtate şi personalul
medical al acestora pot prelucra date cu caracter personal
referitoare la starea de sãnãtate, fãrã autorizaţia autoritãţii de
supraveghere, numai dacã prelucrarea este necesarã pentru protejarea
vieţii, integritãţii fizice sau sãnãtãţii persoanei vizate. Când
scopurile menţionate se referã la alte persoane sau la public în
general şi persoana vizata nu si-a dat consimţãmântul în scris şi în
mod neechivoc, trebuie cerutã şi obţinutã în prealabil autorizaţia
autoritãţii de supraveghere. Prelucrarea datelor cu caracter
personal în afarã limitelor prevãzute în autorizaţie este interzisã.
(4) Cu excepţia motivelor de urgenta, autorizaţia prevãzutã la
alin. (3) poate fi acordatã numai dupã ce a fost consultat Colegiul
Medicilor din România.
(5) Datele cu caracter personal privind starea de sãnãtate pot
fi colectate numai de la persoana vizata. Prin excepţie, aceste date
pot fi colectate din alte surse numai în mãsura în care este necesar
pentru a nu compromite scopurile prelucrãrii, iar persoana vizata nu
vrea ori nu le poate furniza.
Prelucrarea datelor cu caracter personal referitoare la fapte
penale sau contravenţii
ART. 10
(1) Prelucrarea datelor cu caracter personal referitoare la
sãvârşirea de infracţiuni de cãtre persoana vizata ori la condamnãri
penale, mãsuri de siguranţa sau sancţiuni administrative ori
contravenţionale, aplicate persoanei vizate, poate fi efectuatã
numai de cãtre sau sub controlul autoritãţilor publice, în limitele
puterilor ce le sunt conferite prin lege şi în condiţiile stabilite
de legile speciale care reglementeazã aceste materii.
(2) Autoritatea de supraveghere poate stabili şi alte cazuri în
care se poate efectua prelucrarea datelor prevãzute la alin. (1),
numai cu condiţia instituirii unor garanţii adecvate pentru
respectarea drepturilor persoanelor vizate.
(3) Un registru complet al condamnãrilor penale poate fi ţinut
numai sub controlul unei autoritãţi publice, în limitele puterilor
ce ii sunt conferite prin lege.
Excepţii
ART. 11
Prevederile art. 5, 6, 7 şi 10 nu se aplica în situaţia în care
prelucrarea datelor se face exclusiv în scopuri jurnalistice,
literare sau artistice, dacã prelucrarea priveşte date cu caracter
personal care au fost fãcute publice în mod manifest de cãtre
persoana vizata sau care sunt strâns legate de calitatea de persoana
publica a persoanei vizate ori de caracterul public al faptelor în
care este implicata.
CAP. IV
Drepturile persoanei vizate în contextul prelucrãrii datelor cu
caracter personal
Informarea persoanei vizate
ART. 12
(1) In cazul în care datele cu caracter personal sunt obţinute
direct de la persoana vizata, operatorul este obligat sa furnizeze
persoanei vizate cel puţin urmãtoarele informaţii, cu excepţia
cazului în care aceasta persoana poseda deja informaţiile
respective:
a) identitatea operatorului şi a reprezentantului acestuia, dacã
este cazul;
b) scopul în care se face prelucrarea datelor;
c) informaţii suplimentare, precum: destinatarii sau categoriile
de destinatari ai datelor; dacã furnizarea tuturor datelor cerute
este obligatorie şi consecinţele refuzului de a le furniza;
existenta drepturilor prevãzute de prezenta lege pentru persoana
vizata, în special a dreptului de acces, de intervenţie asupra
datelor şi de opoziţie, precum şi condiţiile în care pot fi
exercitate;
d) orice alte informaţii a cãror furnizare este impusa prin
dispoziţie a autoritãţii de supraveghere, ţinând seama de specificul
prelucrãrii.
(2) In cazul în care datele nu sunt obţinute direct de la
persoana vizata, operatorul este obligat ca, în momentul colectãrii
datelor sau, dacã se intenţioneazã dezvaluirea acestora cãtre terţi,
cel mai târziu pana în momentul primei dezvaluiri, sa furnizeze
persoanei vizate cel puţin urmãtoarele informaţii, cu excepţia
cazului în care persoana vizata poseda deja informaţiile respective:
a) identitatea operatorului şi a reprezentantului acestuia, dacã
este cazul;
b) scopul în care se face prelucrarea datelor;
c) informaţii suplimentare, precum: categoriile de date vizate,
destinatarii sau categoriile de destinatari ai datelor, existenta
drepturilor prevãzute de prezenta lege pentru persoana vizata, în
special a dreptului de acces, de intervenţie asupra datelor şi de
opoziţie, precum şi condiţiile în care pot fi exercitate;
d) orice alte informaţii a cãror furnizare este impusa prin
dispoziţie a autoritãţii de supraveghere, ţinând seama de specificul
prelucrãrii.
(3) Prevederile alin. (2) nu se aplica atunci când prelucrarea
datelor se efectueazã exclusiv în scopuri jurnalistice, literare sau
artistice, dacã aplicarea acestora ar da indicii asupra surselor de
informare.
(4) Prevederile alin. (2) nu se aplica în cazul în care
prelucrarea datelor se face în scopuri statistice, de cercetare
istorica sau ştiinţificã, ori în orice alte situaţii în care
furnizarea unor asemenea informaţii se dovedeşte imposibila sau ar
implica un efort disproportionat fata de interesul legitim care ar
putea fi lezat, precum şi în situaţiile în care înregistrarea sau
dezvaluirea datelor este expres prevãzutã de lege.
Dreptul de acces la date
ART. 13
(1) Orice persoana vizata are dreptul de a obţine de la
operator, la cerere şi în mod gratuit pentru o solicitare pe an,
confirmarea faptului ca datele care o privesc sunt sau nu sunt
prelucrate de acesta. Operatorul este obligat, în situaţia în care
prelucreaza date cu caracter personal care privesc solicitantul, sa
comunice acestuia, împreunã cu confirmarea, cel puţin urmãtoarele:
a) informaţii referitoare la scopurile prelucrãrii, categoriile
de date avute în vedere şi destinatarii sau categoriile de
destinatari cãrora le sunt dezvãluite datele;
b) comunicarea într-o forma inteligibila a datelor care fac
obiectul prelucrãrii, precum şi a oricãrei informaţii disponibile cu
privire la originea datelor;
c) informaţii asupra principiilor de funcţionare a mecanismului
prin care se efectueazã orice prelucrare automatã a datelor care
vizeazã persoana respectiva;
d) informaţii privind existenta dreptului de intervenţie asupra
datelor şi a dreptului de opoziţie, precum şi condiţiile în care pot
fi exercitate;
e) informaţii asupra posibilitatii de a consulta registrul de
evidenta a prelucrarilor de date cu caracter personal, prevãzut la
art. 24, de a înainta plângere cãtre autoritatea de supraveghere,
precum şi de a se adresa instanţei pentru atacarea deciziilor
operatorului, în conformitate cu dispoziţiile prezentei legi.
(2) Persoana vizata poate solicita de la operator informaţiile
prevãzute la alin. (1), printr-o cerere întocmitã în forma scrisã,
datatã şi semnatã. In cerere solicitantul poate arata dacã doreşte
ca informaţiile sa ii fie comunicate la o anumitã adresa, care poate
fi şi de posta electronica, sau printr-un serviciu de corespondenta
care sa asigure ca predarea i se va face numai personal.
(3) Operatorul este obligat sa comunice informaţiile solicitate,
în termen de 15 zile de la data primirii cererii, cu respectarea
eventualei optiuni a solicitantului exprimate potrivit alin. (2).
(4) In cazul datelor cu caracter personal legate de starea de
sãnãtate, cererea prevãzutã la alin. (2) poate fi introdusã de
persoana vizata fie direct, fie prin intermediul unui cadru medical
care va indica în cerere persoana în numele cãreia este introdusã.
La cererea operatorului sau a persoanei vizate comunicarea prevãzutã
la alin. (3) poate fi fãcuta prin intermediul unui cadru medical
desemnat de persoana vizata.
(5) In cazul în care datele cu caracter personal legate de
starea de sãnãtate sunt prelucrate în scop de cercetare ştiinţificã,
dacã nu exista, cel puţin aparent, riscul de a se aduce atingere
drepturilor persoanei vizate şi dacã datele nu sunt utilizate pentru
a lua decizii sau mãsuri fata de o anumitã persoana, comunicarea
prevãzutã la alin. (3) se poate face şi într-un termen mai mare
decât cel prevãzut la acel alineat, în mãsura în care aceasta ar
putea afecta bunul mers sau rezultatele cercetãrii, şi nu mai târziu
de momentul în care cercetarea este încheiatã. In acest caz persoana
vizata trebuie sa îşi fi dat în mod expres şi neechivoc
consimţãmântul ca datele sa fie prelucrate în scop de cercetare
ştiinţificã, precum şi asupra posibilei amânãri a comunicãrii
prevãzute la alin. (3) din acest motiv.
(6) Prevederile alin. (2) nu se aplica atunci când prelucrarea
datelor se efectueazã exclusiv în scopuri jurnalistice, literare sau
artistice, dacã aplicarea acestora ar da indicii asupra surselor de
informare.
Dreptul de intervenţie asupra datelor
ART. 14
(1) Orice persoana vizata are dreptul de a obţine de la
operator, la cerere şi în mod gratuit:
a) dupã caz, rectificarea, actualizarea, blocarea sau ştergerea
datelor a cãror prelucrare nu este conformã prezentei legi, în
special a datelor incomplete sau inexacte;
b) dupã caz, transformarea în date anonime a datelor a cãror
prelucrare nu este conformã prezentei legi;
c) notificarea cãtre terţii cãrora le-au fost dezvãluite datele
a oricãrei operaţiuni efectuate conform lit. a) sau b), dacã aceasta
notificare nu se dovedeşte imposibila sau nu presupune un efort
disproportionat fata de interesul legitim care ar putea fi lezat.
(2) Pentru exercitarea dreptului prevãzut la alin. (1) persoana
vizata va înainta operatorului o cerere întocmitã în forma scrisã,
datatã şi semnatã. In cerere solicitantul poate arata dacã doreşte
ca informaţiile sa ii fie comunicate la o anumitã adresa, care poate
fi şi de posta electronica, sau printr-un serviciu de corespondenta
care sa asigure ca predarea i se va face numai personal.
(3) Operatorul este obligat sa comunice mãsurile luate în
temeiul alin. (1), precum si, dacã este cazul, numele terţului
cãruia i-au fost dezvãluite datele cu caracter personal referitoare
la persoana vizata, în termen de 15 zile de la data primirii
cererii, cu respectarea eventualei optiuni a solicitantului
exprimate potrivit alin. (2).
Dreptul de opoziţie
ART. 15
(1) Persoana vizata are dreptul de a se opune în orice moment,
din motive întemeiate şi legitime legate de situaţia sa particularã,
ca date care o vizeazã sa facã obiectul unei prelucrari, cu excepţia
cazurilor în care exista dispoziţii legale contrare. In caz de
opoziţie justificatã prelucrarea nu mai poate viza datele în cauza.
(2) Persoana vizata are dreptul de a se opune în orice moment,
în mod gratuit şi fãrã nici o justificare, ca datele care o vizeazã
sa fie prelucrate în scop de marketing direct, în numele
operatorului sau al unui terţ, sau sa fie dezvãluite unor terţi
într-un asemenea scop.
(3) In vederea exercitãrii drepturilor prevãzute la alin. (1) şi
(2) persoana vizata va înainta operatorului o cerere întocmitã în
forma scrisã, datatã şi semnatã. In cerere solicitantul poate arata
dacã doreşte ca informaţiile sa ii fie comunicate la o anumitã
adresa, care poate fi şi de posta electronica, sau printr-un
serviciu de corespondenta care sa asigure ca predarea i se va face
numai personal.
(4) Operatorul este obligat sa comunice persoanei vizate
mãsurile luate în temeiul alin. (1) sau (2), precum si, dacã este
cazul, numele terţului cãruia i-au fost dezvãluite datele cu
caracter personal referitoare la persoana vizata, în termen de 15
zile de la data primirii cererii, cu respectarea eventualei optiuni
a solicitantului exprimate potrivit alin. (3).
Excepţii
ART. 16
(1) Prevederile art. 12, 13, ale art. 14 alin. (3) şi ale art.
15 nu se aplica în cazul activitãţilor prevãzute la art. 2 alin.
(5), dacã prin aplicarea acestora este prejudiciata eficienta
acţiunii sau obiectivul urmãrit în îndeplinirea atribuţiilor legale
ale autoritãţii publice.
(2) Prevederile alin. (1) sunt aplicabile strict pentru perioada
necesarã atingerii obiectivului urmãrit prin desfãşurarea
activitãţilor menţionate la art. 2 alin. (5).
(3) Dupã încetarea situaţiei care justifica aplicarea alin. (1)
şi (2) operatorii care desfãşoarã activitãţile prevãzute la art. 2
alin. (5) vor lua mãsurile necesare pentru a asigura respectarea
drepturilor persoanelor vizate.
(4) Autoritãţile publice ţin evidenta unor astfel de cazuri şi
informeazã periodic autoritatea de supraveghere despre modul de
soluţionare a lor.
Dreptul de a nu fi supus unei decizii individuale
ART. 17
(1) Orice persoana are dreptul de a cere şi de a obţine:
a) retragerea sau anularea oricãrei decizii care produce efecte
juridice în privinţa sa, adoptatã exclusiv pe baza unei prelucrari
de date cu caracter personal, efectuatã prin mijloace automate,
destinatã sa evalueze unele aspecte ale personalitãţii sale, precum
competenta profesionalã, credibilitatea, comportamentul sau ori alte
asemenea aspecte;
b) reevaluarea oricãrei alte decizii luate în privinţa sa, care
o afecteazã în mod semnificativ, dacã decizia a fost adoptatã
exclusiv pe baza unei prelucrari de date care întruneşte condiţiile
prevãzute la lit. a).
(2) Respectându-se celelalte garanţii prevãzute de prezenta
lege, o persoana poate fi supusã unei decizii de natura celei vizate
la alin. (1), numai în urmãtoarele situaţii:
a) decizia este luatã în cadrul încheierii sau executãrii unui
contract, cu condiţia ca cererea de încheiere sau de executare a
contractului, introdusã de persoana vizata, sa fi fost satisfacuta
sau ca unele mãsuri adecvate, precum posibilitatea de a-si susţine
punctul de vedere, sa garanteze apãrarea propriului interes legitim;
b) decizia este autorizata de o lege care precizeazã mãsurile ce
garanteazã apãrarea interesului legitim al persoanei vizate.
Dreptul de a se adresa justiţiei
ART. 18
(1) Fãrã a se aduce atingere posibilitatii de a se adresa cu
plângere autoritãţii de supraveghere, persoanele vizate au dreptul
de a se adresa justiţiei pentru apãrarea oricãror drepturi garantate
de prezenta lege, care le-au fost incalcate.
(2) Orice persoana care a suferit un prejudiciu în urma unei
prelucrari de date cu caracter personal, efectuatã ilegal, se poate
adresa instanţei competente pentru repararea acestuia.
(3) Instanta competenta este cea în a carei raza teritorialã
domiciliazã reclamantul. Cererea de chemare în judecata este scutitã
de taxa de timbru.
CAP. V
Confidenţialitatea şi securitatea prelucrarilor
Confidenţialitatea prelucrarilor
ART. 19
Orice persoana care acţioneazã sub autoritatea operatorului sau
a persoanei împuternicite, inclusiv persoana imputernicita, care are
acces la date cu caracter personal, nu poate sa le prelucreze decât
pe baza instrucţiunilor operatorului, cu excepţia cazului în care
acţioneazã în temeiul unei obligaţii legale.
Securitatea prelucrarilor
ART. 20
(1) Operatorul este obligat sa aplice mãsurile tehnice şi
organizatorice adecvate pentru protejarea datelor cu caracter
personal impotriva distrugerii accidentale sau ilegale, pierderii,
modificãrii, dezvaluirii sau accesului neautorizat, în special dacã
prelucrarea respectiva comporta transmisii de date în cadrul unei
reţele, precum şi impotriva oricãrei alte forme de prelucrare
ilegala.
(2) Aceste mãsuri trebuie sa asigure, potrivit stadiului
tehnicii utilizate în procesul de prelucrare şi de costuri, un nivel
de securitate adecvat în ceea ce priveşte riscurile pe care le
reprezintã prelucrarea, precum şi în ceea ce priveşte natura datelor
care trebuie protejate. Cerinţele minime de securitate vor fi
elaborate de autoritatea de supraveghere şi vor fi actualizate
periodic, corespunzãtor progresului tehnic şi experienţei acumulate.
(3) Operatorul, atunci când desemneazã o persoana imputernicita,
este obligat sa aleagã o persoana care prezintã suficiente garanţii
în ceea ce priveşte mãsurile de securitate tehnica şi organizatorice
cu privire la prelucrãrile ce vor fi efectuate, precum şi sa vegheze
la respectarea acestor mãsuri de cãtre persoana desemnatã.
(4) Autoritatea de supraveghere poate decide, în cazuri
individuale, asupra obligãrii operatorului la adoptarea unor mãsuri
suplimentare de securitate, cu excepţia celor care privesc
garantarea securitãţii serviciilor de telecomunicaţii.
(5) Efectuarea prelucrarilor prin persoane împuternicite trebuie
sa se desfãşoare în baza unui contract încheiat în forma scrisã,
care va cuprinde în mod obligatoriu:
a) obligaţia persoanei împuternicite de a acţiona doar în baza
instrucţiunilor primite de la operator;
b) faptul ca îndeplinirea obligaţiilor prevãzute la alin. (1)
revine şi persoanei împuternicite.
CAP. VI
Supravegherea şi controlul prelucrarilor de date cu caracter
personal
Autoritatea de supraveghere
ART. 21
(1) Autoritatea de supraveghere, în sensul prezentei legi, este
Autoritatea Naţionalã de Supraveghere a Prelucrãrii Datelor cu
Caracter Personal.
————
Alin. (1) al art. 21 a fost modificat de pct. 1 al art. 22 din
LEGEA nr. 102 din 3 mai 2005 , publicatã în MONITORUL OFICIAL nr.
391 din 9 mai 2005.
(2) Autoritatea de supraveghere îşi desfãşoarã activitatea în
condiţii de completa independenta şi impartialitate.
(3) Autoritatea de supraveghere monitorizeazã şi controleazã sub
aspectul legalitãţii prelucrãrile de date cu caracter personal care
cad sub incidenta prezentei legi.
In acest scop autoritatea de supraveghere exercita urmãtoarele
atribuţii:
a) elaboreazã formularele tipizate ale notificãrilor şi ale
registrelor proprii;
b) primeşte şi analizeazã notificãrile privind prelucrarea
datelor cu caracter personal, anuntând operatorului rezultatele
controlului prealabil;
c) autorizeazã prelucrãrile de date în situaţiile prevãzute de
lege;
d) poate dispune, în cazul în care constata încãlcarea
dispoziţiilor prezentei legi, suspendarea provizorie sau încetarea
prelucrãrii datelor, ştergerea parţialã ori integrala a datelor
prelucrate şi poate sa sesiseze organele de urmãrire penalã sau sa
intenteze acţiuni în justiţie;
d^1) informeazã persoanele fizice sau/şi juridice care activeazã
în aceste domenii, în mod direct sau prin intermediul structurilor
asociative ale acestora, asupra necesitãţii respectãrii obligaţiilor
şi îndeplinirii procedurilor prevãzute de prezenta lege;
————
Litera d^1) a alin. (3) al art. 21 a fost introdusã de pct. 2 al
art. 22 din LEGEA nr. 102 din 3 mai 2005 , publicatã în MONITORUL
OFICIAL nr. 391 din 9 mai 2005.
e) pãstreazã şi pune la dispoziţie publicului registrul de
evidenta a prelucrarilor de date cu caracter personal;
f) primeşte şi soluţioneazã plângeri, sesizãri sau cereri de la
persoanele fizice şi comunica soluţia data ori, dupã caz,
diligenţele depuse;
g) efectueazã investigaţii din oficiu sau la primirea unor
plângeri ori sesizãri;
h) este consultata atunci când se elaboreazã proiecte de acte
normative referitoare la protecţia drepturilor şi libertãţilor
persoanelor, în privinţa prelucrãrii datelor cu caracter personal;
i) poate face propuneri privind iniţierea unor proiecte de acte
normative sau modificarea actelor normative în vigoare în domenii
legate de prelucrarea datelor cu caracter personal;
j) coopereazã cu autoritãţile publice şi cu organele
administraţiei publice, centralizeazã şi analizeazã rapoartele
anuale de activitate ale acestora privind protecţia persoanelor în
privinţa prelucrãrii datelor cu caracter personal, formuleazã
recomandãri şi avize asupra oricãrei chestiuni legate de protecţia
drepturilor şi libertãţilor fundamentale în privinţa prelucrãrii
datelor cu caracter personal, la cererea oricãrei persoane, inclusiv
a autoritãţilor publice şi a organelor administraţiei publice;
aceste recomandãri şi avize trebuie sa facã menţiune despre
temeiurile pe care se sprijinã şi se comunica în copie şi
Ministerului Justiţiei; atunci când recomandarea sau avizul este
cerut de lege, se publica în Monitorul Oficial al României, Partea
I;
k) coopereazã cu autoritãţile similare de peste hotare în
vederea asistenţei mutuale, precum şi cu persoanele cu domiciliul
sau cu sediul în strãinãtate, în scopul apãrãrii drepturilor şi
libertãţilor fundamentale ce pot fi afectate prin prelucrarea
datelor cu caracter personal;
l) îndeplineşte alte atribuţii prevãzute de lege.
m) modul de organizare şi funcţionare a Autoritãţii Naţionale de
Supraveghere a Prelucrãrii Datelor cu Caracter Personal se
stabileşte prin lege.
————
Litera m) a alin. (3) al art. 21 a fost introdusã de pct. 3 al
art. 22 din LEGEA nr. 102 din 3 mai 2005 , publicatã în MONITORUL
OFICIAL nr. 391 din 9 mai 2005.
(4) Întregul personal al autoritãţii de supraveghere are
obligaţia de a pãstra secretul profesional, cu excepţiile prevãzute
de lege, pe termen nelimitat, asupra informaţiilor confidenţiale sau
clasificate la care are sau a avut acces în exercitarea atribuţiilor
de serviciu, inclusiv dupã încetarea raporturilor juridice cu
autoritatea de supraveghere.
Notificarea cãtre autoritatea de supraveghere
ART. 22
(1) Operatorul este obligat sa notifice autoritãţii de
supraveghere, personal sau prin reprezentant, înainte de efectuarea
oricãrei prelucrari ori a oricãrui ansamblu de prelucrari având
acelaşi scop sau scopuri corelate.
(2) Notificarea nu este necesarã în cazul în care prelucrarea
are ca unic scop ţinerea unui registru destinat prin lege informãrii
publicului şi deschis spre consultare publicului în general sau
oricãrei persoane care probeazã un interes legitim, cu condiţia ca
prelucrarea sa se limiteze la datele strict necesare ţinerii
registrului menţionat.
(3) Notificarea va cuprinde cel puţin urmãtoarele informaţii:
a) numele sau denumirea şi domiciliul ori sediul operatorului şi
ale reprezentantului desemnat al acestuia, dacã este cazul;
b) scopul sau scopurile prelucrãrii;
c) o descriere a categoriei sau a categoriilor de persoane
vizate şi a datelor ori a categoriilor de date ce vor fi prelucrate;
d) destinatarii sau categoriile de destinatari cãrora se
intenţioneazã sa li se dezvaluie datele;
e) garanţiile care însoţesc dezvaluirea datelor cãtre terţi;
f) modul în care persoanele vizate sunt informate asupra
drepturilor lor; data estimatã pentru încheierea operaţiunilor de
prelucrare, precum şi destinaţia ulterioara a datelor;
g) transferuri de date care se intenţioneazã sa fie fãcute cãtre
alte state;
h) o descriere generalã care sa permitã aprecierea preliminarã a
mãsurilor luate pentru asigurarea securitãţii prelucrãrii;
i) specificarea oricãrui sistem de evidenta a datelor cu
caracter personal, care are legãtura cu prelucrarea, precum şi a
eventualelor legãturi cu alte prelucrari de date sau cu alte sisteme
de evidenta a datelor cu caracter personal, indiferent dacã se
efectueazã, respectiv dacã sunt sau nu sunt situate pe teritoriul
României;
j) motivele care justifica aplicarea prevederilor art. 11, art.
12 alin. (3) sau (4) ori ale art. 13 alin. (5) sau (6), în situaţia
în care prelucrarea datelor se face exclusiv în scopuri
jurnalistice, literare sau artistice ori în scopuri statistice, de
cercetare istorica sau ştiinţificã.
(4) Dacã notificarea este incompleta, autoritatea de
supraveghere va solicita completarea acesteia.
(5) In limitele puterilor de investigare de care dispune,
autoritatea de supraveghere poate solicita şi alte informaţii, în
special privind originea datelor, tehnologia de prelucrare automatã
utilizata şi detalii referitoare la mãsurile de securitate.
Dispoziţiile prezentului alineat nu se aplica în situaţia în care
prelucrarea datelor se face exclusiv în scopuri jurnalistice,
literare sau artistice.
(6) Dacã se intenţioneazã ca datele care sunt prelucrate sa fie
transferate în strãinãtate, notificarea va cuprinde şi urmãtoarele
elemente:
a) categoriile de date care vor face obiectul transferului;
b) ţara de destinaţie pentru fiecare categorie de date.
————–
Alin. (7) al art. 22 a fost abrogat de pct. 2 al articolului
unic din LEGEA nr. 278 din 15 octombrie 2007 , publicatã în
MONITORUL OFICIAL nr. 708 din 19 octombrie 2007.
(8) Autoritãţile publice care efectueazã prelucrari de date cu
caracter personal în legãtura cu activitãţile descrise la art. 2
alin. (5), în temeiul legii sau în îndeplinirea obligaţiilor asumate
prin acorduri internaţionale ratificate, sunt scutite de taxa
prevãzutã la alin. (7). Notificarea se va transmite în termen de 15
zile de la intrarea în vigoare a actului normativ care instituie
obligaţia respectiva şi va cuprinde numai urmãtoarele elemente:
a) denumirea şi sediul operatorului;
b) scopul şi temeiul legal al prelucrãrii;
c) categoriile de date cu caracter personal supuse prelucrãrii.
(9) Autoritatea de supraveghere poate stabili şi alte situaţii
în care notificarea nu este necesarã, în afarã celei prevãzute la
alin. (2), sau situaţii în care notificarea se poate efectua într-o
forma simplificata, precum şi conţinutul acesteia, numai în unul
dintre urmãtoarele cazuri:
a) atunci când, luând în considerare natura datelor destinate sa
fie prelucrate, prelucrarea nu poate afecta, cel puţin aparent,
drepturile persoanelor vizate, cu condiţia sa precizeze expres
scopurile în care se poate face o asemenea prelucrare, datele sau
categoriile de date care pot fi prelucrate, categoria sau
categoriile de persoane vizate, destinatarii sau categoriile de
destinatari cãrora datele le pot fi dezvãluite şi perioada pentru
care datele pot fi stocate;
b) atunci când prelucrarea se efectueazã în condiţiile art. 7
alin. (2) lit. d).
Controlul prealabil
ART. 23
(1) Autoritatea de supraveghere va stabili categoriile de
operaţiuni de prelucrare care sunt susceptibile de a prezenta
riscuri speciale pentru drepturile şi libertãţile persoanelor.
(2) Dacã pe baza notificãrii autoritatea de supraveghere
constata ca prelucrarea se încadreazã în una dintre categoriile
menţionate la alin. (1), va dispune obligatoriu efectuarea unui
control prealabil începerii prelucrãrii respective, cu anunţarea
operatorului.
(3) Operatorii care nu au fost anunţaţi în termen de 5 zile de
la data notificãrii despre efectuarea unui control prealabil pot
începe prelucrarea.
(4) In situaţia prevãzutã la alin. (2) autoritatea de
supraveghere este obligatã ca, în termen de cel mult 30 de zile de
la data notificãrii, sa aducã la cunoştinţa operatorului rezultatul
controlului efectuat, precum şi decizia emisã în urma acestuia.
Registrul de evidenta a prelucrarilor de date cu caracter
personal
ART. 24
(1) Autoritatea de supraveghere pãstreazã un registru de
evidenta a prelucrarilor de date cu caracter personal, notificate în
conformitate cu prevederile art. 22. Registrul va cuprinde toate
informaţiile prevãzute la art. 22 alin. (3).
(2) Fiecare operator primeşte un numãr de înregistrare. Numãrul
de înregistrare trebuie menţionat pe orice act prin care datele sunt
colectate, stocate sau dezvãluite.
(3) Orice schimbare de natura sa afecteze exactitatea
informaţiilor înregistrate va fi comunicatã autoritãţii de
supraveghere în termen de 5 zile. Autoritatea de supraveghere va
dispune de îndatã efectuarea mentiunilor corespunzãtoare în
registru.
(4) Activitãţile de prelucrare a datelor cu caracter personal,
începute anterior intrãrii în vigoare a prezentei legi, vor fi
notificate în vederea înregistrãrii în termen de 15 zile de la data
intrãrii în vigoare a prezentei legi.
(5) Registrul de evidenta a prelucrarilor de date cu caracter
personal este deschis spre consultare publicului. Modalitatea de
consultare se stabileşte de autoritatea de supraveghere.
Plângeri adresate autoritãţii de supraveghere
ART. 25
(1) In vederea apãrãrii drepturilor prevãzute de prezenta lege
persoanele ale cãror date cu caracter personal fac obiectul unei
prelucrari care cade sub incidenta prezentei legi pot înainta
plângere cãtre autoritatea de supraveghere. Plângerea se poate face
direct sau prin reprezentant. Persoana lezata poate imputernici o
asociaţie sau o fundaţie sa ii reprezinte interesele.
(2) Plângerea cãtre autoritatea de supraveghere nu poate fi
înaintatã dacã o cerere în justiţie, având acelaşi obiect şi
aceleaşi pãrţi, a fost introdusã anterior.
(3) In afarã cazurilor în care o întârziere ar cauza un
prejudiciu iminent şi ireparabil, plângerea cãtre autoritatea de
supraveghere nu poate fi înaintatã mai devreme de 15 zile de la
înaintarea unei plângeri cu acelaşi conţinut cãtre operator.
(4) In vederea soluţionãrii plângerii, dacã apreciazã ca este
necesar, autoritatea de supraveghere poate audia persoana vizata,
operatorul si, dacã este cazul, persoana imputernicita sau asociaţia
ori fundaţia care reprezintã interesele persoanei vizate. Aceste
persoane au dreptul de a înainta cereri, documente şi memorii.
Autoritatea de supraveghere poate dispune efectuarea de expertize.
(5) Dacã plângerea este gasita intemeiata, autoritatea de
supraveghere poate decide oricare dintre mãsurile prevãzute la art.
21 alin. (3) lit. d). Interdicţia temporarã a prelucrãrii poate fi
instituitã numai pana la încetarea motivelor care au determinat
luarea acestei mãsuri.
(6) Decizia trebuie motivatã şi se comunica pãrţilor interesate
în termen de 30 de zile de la data primirii plângerii.
(7) Autoritatea de supraveghere poate ordona, dacã apreciazã
necesar, suspendarea unora sau tuturor operaţiunilor de prelucrare
pana la soluţionarea plângerii în condiţiile alin. (5).
(8) Autoritatea de supraveghere se poate adresa justiţiei pentru
apãrarea oricãror drepturi garantate de prezenta lege persoanelor
vizate. Instanta competenta este Tribunalul Municipiului Bucureşti.
Cererea de chemare în judecata este scutitã de taxa de timbru.
(9) La cererea persoanelor vizate, pentru motive întemeiate,
instanta poate dispune suspendarea prelucrãrii pana la soluţionarea
plângerii de cãtre autoritatea de supraveghere.
(10) Prevederile alin. (4)-(9) se aplica în mod corespunzãtor şi
în situaţia în care autoritatea de supraveghere afla pe orice alta
cale despre sãvârşirea unei încãlcãri a drepturilor recunoscute de
prezenta lege persoanelor vizate.
Contestarea deciziilor autoritãţii de supraveghere
ART. 26
(1) Impotriva oricãrei decizii emise de autoritatea de
supraveghere în temeiul dispoziţiilor prezentei legi operatorul sau
persoana vizata poate formula contestaţie în termen de 15 zile de la
comunicare, sub sancţiunea decãderii, la instanta de contencios
administrativ competenta. Cererea se judeca de urgenta, cu citarea
pãrţilor. Soluţia este definitiva şi irevocabilã.
(2) Fac excepţie de la prevederile alin. (1), precum şi de la
cele ale art. 23 şi 25 prelucrãrile de date cu caracter personal,
efectuate în cadrul activitãţilor prevãzute la art. 2 alin. (5).
Exercitarea atribuţiilor de investigare
ART. 27
(1) Autoritatea de supraveghere poate investiga, din oficiu sau
la primirea unei plângeri, orice încãlcare a drepturilor persoanelor
vizate, respectiv a obligaţiilor care revin operatorilor si, dupã
caz, persoanelor împuternicite, în cadrul efectuãrii prelucrarilor
de date cu caracter personal, în scopul apãrãrii drepturilor şi
libertãţilor fundamentale ale persoanelor vizate.
(2) Atribuţiile de investigare nu pot fi exercitate de cãtre
autoritatea de supraveghere în cazul în care o cerere în justiţie
introdusã anterior are ca obiect sãvârşirea aceleiaşi încãlcãri a
drepturilor şi opune aceleaşi pãrţi.
(3) In exercitarea atribuţiilor de investigare autoritatea de
supraveghere poate solicita operatorului orice informaţii legate de
prelucrarea datelor cu caracter personal şi poate verifica orice
document sau înregistrare referitoare la prelucrarea de date cu
caracter personal.
(4) Secretul de stat şi secretul profesional nu pot fi invocate
pentru a împiedica exercitarea atribuţiilor acordate prin prezenta
lege autoritãţii de supraveghere. Atunci când este invocatã
protecţia secretului de stat sau a secretului profesional,
autoritatea de supraveghere are obligaţia de a pãstra secretul.
————
Alin. (5) al art. 27 a fost abrogat de pct. 4 al art. 22 din
LEGEA nr. 102 din 3 mai 2005 , publicatã în MONITORUL OFICIAL nr.
391 din 9 mai 2005.
Norme de conduita
ART. 28
(1) Asociaţiile profesionale au obligaţia de a elabora şi de a
supune spre avizare autoritãţii de supraveghere coduri de conduita
care sa conţinã norme adecvate pentru protecţia drepturilor
persoanelor ale cãror date cu caracter personal pot fi prelucrate de
cãtre membrii acestora.
(2) Normele de conduita trebuie sa prevadã mãsuri şi proceduri
care sa asigure un nivel satisfãcãtor de protecţie, ţinând seama de
natura datelor ce pot fi prelucrate. Autoritatea de supraveghere
poate dispune mãsuri şi proceduri specifice pentru perioada în care
normele de conduita la care s-a fãcut referire anterior nu sunt
adoptate.
CAP. VII
Transferul în strãinãtate al datelor cu caracter personal
Condiţiile transferului în strãinãtate al datelor cu caracter
personal
ART. 29
(1) Transferul cãtre un alt stat de date cu caracter personal
care fac obiectul unei prelucrari sau sunt destinate sa fie
prelucrate dupã transfer poate avea loc numai în condiţiile în care
nu se încalca legea romana, iar statul cãtre care se intenţioneazã
transferul asigura un nivel de protecţie adecvat.
(2) Nivelul de protecţie va fi apreciat de cãtre autoritatea de
supraveghere, ţinând seama de totalitatea împrejurãrilor în care se
realizeazã transferul de date, în special având în vedere natura
datelor transmise, scopul prelucrãrii şi durata propusã pentru
prelucrare, statul de origine şi statul de destinaţie finala, precum
şi legislaţia statului solicitant. In cazul în care autoritatea de
supraveghere constata ca nivelul de protecţie oferit de statul de
destinaţie este nesatisfãcãtor, poate dispune interzicerea
transferului de date.
(3) In toate situaţiile transferul de date cu caracter personal
cãtre un alt stat va face obiectul unei notificãri prealabile a
autoritãţii de supraveghere.
(4) Autoritatea de supraveghere poate autoriza transferul de
date cu caracter personal cãtre un stat a cãrui legislaţie nu
prevede un nivel de protecţie cel puţin egal cu cel oferit de legea
romana atunci când operatorul oferã garanţii suficiente cu privire
la protecţia drepturilor fundamentale ale persoanelor. Aceste
garanţii trebuie sa fie stabilite prin contracte încheiate între
operatori şi persoanele fizice sau juridice din dispoziţia cãrora se
efectueazã transferul.
(5) Prevederile alin. (2), (3) şi (4) nu se aplica dacã
transferul datelor se face în baza prevederilor unei legi speciale
sau ale unui acord internaţional ratificat de România, în special
dacã transferul se face în scopul prevenirii, cercetãrii sau
reprimãrii unei infracţiuni.
(6) Prevederile prezentului articol nu se aplica atunci când
prelucrarea datelor se face exclusiv în scopuri jurnalistice,
literare sau artistice, dacã datele au fost fãcute publice în mod
manifest de cãtre persoana vizata sau sunt strâns legate de
calitatea de persoana publica a persoanei vizate ori de caracterul
public al faptelor în care este implicata.
Situaţii în care transferul este întotdeauna permis
ART. 30
Transferul de date este întotdeauna permis în urmãtoarele
situaţii:
a) când persoana vizata si-a dat în mod explicit consimţãmântul
pentru efectuarea transferului; în cazul în care transferul de date
se face în legãtura cu oricare dintre datele prevãzute la art. 7, 8
şi 10, consimţãmântul trebuie dat în scris;
b) când este necesar pentru executarea unui contract încheiat
între persoana vizata şi operator sau pentru executarea unor mãsuri
precontractuale dispuse la cererea pesoanei vizate;
c) când este necesar pentru încheierea sau pentru executarea
unui contract încheiat ori care se va încheia, în interesul
persoanei vizate, între operator şi un terţ;
d) când este necesar pentru satisfacerea unui interes public
major, precum apãrarea naţionala, ordinea publica sau siguranţa
naţionala, pentru buna desfãşurare a procesului penal ori pentru
constatarea, exercitarea sau apãrarea unui drept în justiţie, cu
condiţia ca datele sa fie prelucrate în legãtura cu acest scop şi nu
mai mult timp decât este necesar;
e) când este necesar pentru a proteja viaţa, integritatea fizica
sau sãnãtatea persoanei vizate;
f) când intervine ca urmare a unei cereri anterioare de acces la
documente oficiale care sunt publice ori a unei cereri privind
informaţii care pot fi obţinute din registre sau prin orice alte
documente accesibile publicului.
CAP. VIII
Contravenţii şi sancţiuni
Omisiunea de a notifica şi notificarea cu rea-credinţa
ART. 31
Omisiunea de a efectua notificarea în condiţiile art. 22 sau ale
art. 29 alin. (3) în situaţiile în care aceasta notificare este
obligatorie, precum şi notificarea incompleta sau care conţine
informaţii false constituie contravenţii, dacã nu sunt sãvârşite în
astfel de condiţii încât sa constituie infracţiuni, şi se
sancţioneazã cu amenda de la 5.000.000 lei la 100.000.000 lei.
Prelucrarea nelegalã a datelor cu caracter personal
ART. 32
Prelucrarea datelor cu caracter personal de cãtre un operator
sau de o persoana imputernicita de acesta, cu încãlcarea
prevederilor art. 4-10 sau cu nesocotirea drepturilor prevãzute la
art. 12-15 sau la art. 17, constituie contravenţie, dacã nu este
sãvârşitã în astfel de condiţii încât sa constituie infracţiune, şi
se sancţioneazã cu amenda de la 10.000.000 lei la 250.000.000 lei.
Neîndeplinirea obligaţiilor privind confidenţialitatea şi
aplicarea mãsurilor de securitate
ART. 33
Neîndeplinirea obligaţiilor privind aplicarea mãsurilor de
securitate şi de pãstrare a confidenţialitãţii prelucrarilor,
prevãzute la art. 19 şi 20, constituie contravenţie, dacã nu este
sãvârşitã în astfel de condiţii încât sa constituie infracţiune, şi
se sancţioneazã cu amenda de la 15.000.000 lei la 500.000.000 lei.
Refuzul de a furniza informaţii
ART. 34
Refuzul de a furniza autoritãţii de supraveghere informaţiile
sau documentele cerute de aceasta în exercitarea atribuţiilor de
investigare prevãzute la art. 27 constituie contravenţie, dacã nu
este sãvârşitã în astfel de condiţii încât sa constituie
infracţiune, şi se sancţioneazã cu amenda de la 10.000.000 lei la
150.000.000 lei.
Constatarea contravenţiilor şi aplicarea sancţiunilor
ART. 35
(1) Constatarea contravenţiilor şi aplicarea sancţiunilor se
efectueazã de cãtre autoritatea de supraveghere, care poate delega
aceste atribuţii unor persoane recrutate din rândul personalului
sau, precum şi de reprezentanţi împuterniciţi ai organelor cu
atribuţii de supraveghere şi control, abilitate potrivit legii.
(2) Dispoziţiile prezentei legi referitoare la contravenţii se
completeazã cu prevederile Ordonanţei Guvernului nr. 2/2001 privind
regimul juridic al contravenţiilor, în mãsura în care prezenta lege
nu dispune altfel.
(3) Impotriva proceselor-verbale de constatare şi sancţionare se
poate face plângere la secţiile de contencios administrativ ale
tribunalelor.
CAP. IX
Dispoziţii finale
Intrarea în vigoare
ART. 36
Prezenta lege intra în vigoare la data publicãrii ei în
Monitorul Oficial al României, Partea I, şi se pune în aplicare în
termen de 3 luni de la intrarea sa în vigoare.
Aceasta lege a fost adoptatã de Senat în şedinţa din 15
octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din
Constituţia României.

PREŞEDINTELE SENATULUI
NICOLAE VACAROIU

Aceasta lege a fost adoptatã de Camera Deputaţilor în şedinţa din 22 octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constituţia României.

PREŞEDINTELE
CAMEREI DEPUTAŢILOR
VALER DORNEANU
—————