Lege nr. 677 din 21 noiembrie 2001
/ 0
Lege nr. 677 din 21 noiembrie 2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date
Publicat in Monitorul Oficial, Partea I nr. 790 din 12 decembrie 2001
CAPITOLUL I
Dispozitii generale
Scop
Art. 1. -
(1) Prezenta lege
are ca scop garantarea si protejarea drepturilor si libertatilor
fundamentale ale persoanelor fizice, in special a dreptului la viata
intima, familiala si privata, cu privire la prelucrarea datelor cu
caracter personal.
(2) Exercitarea drepturilor prevazute
in prezenta lege nu poate fi restransa decat in cazuri expres si
limitativ prevazute de lege.
Domeniu de aplicare
Art. 2. -
(1) Prezenta lege
se aplica prelucrarilor de date cu caracter personal, efectuate, in tot
sau in parte, prin mijloace automate, precum si prelucrarii prin alte
mijloace decat cele automate a datelor cu caracter personal care fac
parte dintr-un sistem de evidenta sau care sunt destinate sa fie
incluse intr-un asemenea sistem.
(2) Prezenta lege se aplica:
a) prelucrarilor de date cu caracter personal, efectuate in cadrul
activitatilor desfasurate de operatori stabiliti in Romania;
b) prelucrarilor de date cu caracter personal, efectuate in cadrul
activitatilor desfasurate de misiunile diplomatice sau de oficiile
consulare ale Romaniei;
c) prelucrarilor de date cu
caracter personal, efectuate in cadrul activitatilor desfasurate de
operatori care nu sunt stabiliti in Romania, prin utilizarea de
mijloace de orice natura situate pe teritoriul Romaniei, cu exceptia
cazului in care aceste mijloace nu sunt utilizate decat in scopul
tranzitarii pe teritoriul Romaniei a datelor cu caracter personal care
fac obiectul prelucrarilor respective.
(3) In cazul
prevazut la alin. (2) lit. c) operatorul isi va desemna un reprezentant
care trebuie sa fie o persoana stabilita in Romania. Prevederile
prezentei legi aplicabile operatorului sunt aplicabile si
reprezentantului acestuia, fara a aduce atingere posibilitatii de a
introduce actiune in justitie direct impotriva operatorului.
(4) Prezenta lege se aplica prelucrarilor de date cu caracter personal
efectuate de persoane fizice sau juridice, romane ori straine, de drept
public sau de drept privat, indiferent daca au loc in sectorul public
sau in sectorul privat.
(5) In limitele prevazute de
prezenta lege, aceasta se aplica si prelucrarilor si transferului de
date cu caracter personal, efectuate in cadrul activitatilor de
prevenire, cercetare si reprimare a infractiunilor si de mentinere a
ordinii publice, precum si al altor activitati desfasurate in domeniul
dreptului penal, in limitele si cu restrictiile stabilite de lege.
(6) Prezenta lege nu se aplica prelucrarilor de date cu caracter
personal, efectuate de persoane fizice exclusiv pentru uzul lor
personal, daca datele in cauza nu sunt destinate a fi dezvaluite.
(7) Prezenta lege nu se aplica prelucrarilor si transferului de date cu
caracter personal, efectuate in cadrul activitatilor in domeniul
apararii nationale si sigurantei nationale, desfasurate in limitele si
cu restrictiile stabilite de lege.
(8) Prevederile prezentei legi nu aduc atingere obligatiilor asumate de Romania prin instrumente juridice ratificate.
Definitii
Art. 3. - In intelesul prezentei legi, urmatorii termeni se definesc dupa cum urmeaza:
a) date cu caracter personal - orice informatii referitoare la o
persoana fizica identificata sau identificabila; o persoana
identificabila este acea persoana care poate fi identificata, direct
sau indirect, in mod particular prin referire la un numar de
identificare ori la unul sau la mai multi factori specifici identitatii
sale fizice, fiziologice, psihice, economice, culturale sau sociale;
b) prelucrarea datelor cu caracter personal - orice operatiune sau set
de operatiuni care se efectueaza asupra datelor cu caracter personal,
prin mijloace automate sau neautomate, cum ar fi colectarea,
inregistrarea, organizarea, stocarea, adaptarea ori modificarea,
extragerea, consultarea, utilizarea, dezvaluirea catre terti prin
transmitere, diseminare sau in orice alt mod, alaturarea ori
combinarea, blocarea, stergerea sau distrugerea;
c) stocarea - pastrarea pe orice fel de suport a datelor cu caracter personal culese;
d) sistem de evidenta a datelor cu caracter personal - orice structura
organizata de date cu caracter personal, accesibila potrivit unor
criterii determinate, indiferent daca aceasta structura este organizata
in mod centralizat ori descentralizat sau este repartizata dupa
criterii functionale ori geografice;
e) operator - orice
persoana fizica sau juridica, de drept privat ori de drept public,
inclusiv autoritatile publice, institutiile si structurile teritoriale
ale acestora, care stabileste scopul si mijloacele de prelucrare a
datelor cu caracter personal; daca scopul si mijloacele de prelucrare a
datelor cu caracter personal sunt determinate printr-un act normativ
sau in baza unui act normativ, operator este persoana fizica sau
juridica, de drept public ori de drept privat, care este desemnata ca
operator prin acel act normativ sau in baza acelui act normativ;
f) persoana imputernicita de catre operator - o persoana fizica sau
juridica, de drept privat ori de drept public, inclusiv autoritatile
publice, institutiile si structurile teritoriale ale acestora, care
prelucreaza date cu caracter personal pe seama operatorului;
g) tert - orice persoana fizica sau juridica, de drept privat ori de
drept public, inclusiv autoritatile publice, institutiile si
structurile teritoriale ale acestora, alta decat persoana vizata,
operatorul ori persoana imputernicita sau persoanele care, sub
autoritatea directa a operatorului sau a persoanei imputernicite, sunt
autorizate sa prelucreze date;
h) destinatar - orice
persoana fizica sau juridica, de drept privat ori de drept public,
inclusiv autoritatile publice, institutiile si structurile teritoriale
ale acestora, careia ii sunt dezvaluite date, indiferent daca este sau
nu tert; autoritatile publice carora li se comunica date in cadrul unei
competente speciale de ancheta nu vor fi considerate destinatari;
i) date anonime - date care, datorita originii sau modalitatii
specifice de prelucrare, nu pot fi asociate cu o persoana identificata
sau identificabila.
CAPITOLUL II
Reguli generale privind prelucrarea datelor cu caracter personal
Caracteristicile datelor cu caracter personal in cadrul prelucrarii
Art. 4. -
(1) Datele cu caracter personal destinate a face obiectul prelucrarii trebuie sa fie:
a) prelucrate cu buna-credinta si in conformitate cu dispozitiile legale in vigoare;
b) colectate in scopuri determinate, explicite si legitime; prelucrarea
ulterioara a datelor cu caracter personal in scopuri statistice, de
cercetare istorica sau stiintifica nu va fi considerata incompatibila
cu scopul colectarii daca se efectueaza cu respectarea dispozitiilor
prezentei legi, inclusiv a celor care privesc efectuarea notificarii
catre autoritatea de supraveghere, precum si cu respectarea garantiilor
privind prelucrarea datelor cu caracter personal, prevazute de normele
care reglementeaza activitatea statistica ori cercetarea istorica sau
stiintifica;
c) adecvate, pertinente si neexcesive prin raportare la scopul in care sunt colectate si ulterior prelucrate;
d) exacte si, daca este cazul, actualizate; in acest scop se vor lua
masurile necesare pentru ca datele inexacte sau incomplete din punct de
vedere al scopului pentru care sunt colectate si pentru care vor fi
ulterior prelucrate, sa fie sterse sau rectificate;
e)
stocate intr-o forma care sa permita identificarea persoanelor vizate
strict pe durata necesara realizarii scopurilor in care datele sunt
colectate si in care vor fi ulterior prelucrate; stocarea datelor pe o
durata mai mare decat cea mentionata, in scopuri statistice, de
cercetare istorica sau stiintifica, se va face cu respectarea
garantiilor privind prelucrarea datelor cu caracter personal, prevazute
in normele care reglementeaza aceste domenii, si numai pentru perioada
necesara realizarii acestor scopuri.
(2) Operatorii au
obligatia sa respecte prevederile alin. (1) si sa asigure indeplinirea
acestor prevederi de catre persoanele imputernicite.
Conditii de legitimitate privind prelucrarea datelor
Art. 5. -
(1) Orice
prelucrare de date cu caracter personal, cu exceptia prelucrarilor care
vizeaza date din categoriile mentionate la art. 7 alin. (1), art. 8 si
10, poate fi efectuata numai daca persoana vizata si-a dat
consimtamantul in mod expres si neechivoc pentru acea prelucrare.
(2) Consimtamantul persoanei vizate nu este cerut in urmatoarele cazuri:
a) cand prelucrarea este necesara in vederea executarii unui contract
sau antecontract la care persoana vizata este parte ori in vederea
luarii unor masuri, la cererea acesteia, inaintea incheierii unui
contract sau antecontract;
b) cand prelucrarea este
necesara in vederea protejarii vietii, integritatii fizice sau
sanatatii persoanei vizate ori a unei alte persoane amenintate;
c) cand prelucrarea este necesara in vederea indeplinirii unei obligatii legale a operatorului;
d) cand prelucrarea este necesara in vederea aducerii la indeplinire a
unor masuri de interes public sau care vizeaza exercitarea
prerogativelor de autoritate publica cu care este investit operatorul
sau tertul caruia ii sunt dezvaluite datele;
e) cand
prelucrarea este necesara in vederea realizarii unui interes legitim al
operatorului sau al tertului caruia ii sunt dezvaluite datele, cu
conditia ca acest interes sa nu prejudicieze interesul sau drepturile
si libertatile fundamentale ale persoanei vizate;
f) cand prelucrarea priveste date obtinute din documente accesibile publicului, conform legii;
g) cand prelucrarea este facuta exclusiv in scopuri statistice, de
cercetare istorica sau stiintifica, iar datele raman anonime pe toata
durata prelucrarii.
(3) Prevederile alin. (2) nu aduc
atingere dispozitiilor legale care reglementeaza obligatia
autoritatilor publice de a respecta si de a ocroti viata intima,
familiala si privata.
Incheierea operatiunilor de prelucrare
Art. 6. -
(1) La incheierea
operatiunilor de prelucrare, daca persoana vizata nu si-a dat in mod
expres si neechivoc consimtamantul pentru o alta destinatie sau pentru
o prelucrare ulterioara, datele cu caracter personal vor fi:
a) distruse;
b) transferate unui alt operator, cu conditia ca operatorul initial sa
garanteze faptul ca prelucrarile ulterioare au scopuri similare celor
in care s-a facut prelucrarea initiala;
c) transformate in date anonime si stocate exclusiv in scopuri statistice, de cercetare istorica sau stiintifica.
(2) In cazul operatiunilor de prelucrare efectuate in conditiile
prevazute la art. 5 alin. (2) lit. c) sau d), in cadrul activitatilor
descrise la art. 2 alin. (5), operatorul poate stoca datele cu caracter
personal pe perioada necesara realizarii scopurilor concrete urmarite,
cu conditia asigurarii unor masuri corespunzatoare de protejare a
acestora, dupa care va proceda la distrugerea lor daca nu sunt
aplicabile prevederile legale privind pastrarea arhivelor.
CAPITOLUL III
Reguli speciale privind prelucrarea datelor cu caracter personal
Prelucrarea unor categorii speciale de date
Art. 7. -
(1) Prelucrarea
datelor cu caracter personal legate de originea rasiala sau etnica, de
convingerile politice, religioase, filozofice sau de natura similara,
de apartenenta sindicala, precum si a datelor cu caracter personal
privind starea de sanatate sau viata sexuala este interzisa.
(2) Prevederile alin. (1) nu se aplica in urmatoarele cazuri:
a) cand persoana vizata si-a dat in mod expres consimtamantul pentru o astfel de prelucrare;
b) cand prelucrarea este necesara in scopul respectarii obligatiilor
sau drepturilor specifice ale operatorului in domeniul dreptului
muncii, cu respectarea garantiilor prevazute de lege; o eventuala
dezvaluire catre un tert a datelor prelucrate poate fi efectuata numai
daca exista o obligatie legala a operatorului in acest sens sau daca
persoana vizata a consimtit expres la aceasta dezvaluire;
c) cand prelucrarea este necesara pentru protectia vietii, integritatii
fizice sau a sanatatii persoanei vizate ori a altei persoane, in cazul
in care persoana vizata se afla in incapacitate fizica sau juridica de
a-si da consimtamantul;
d) cand prelucrarea este
efectuata in cadrul activitatilor sale legitime de catre o fundatie,
asociatie sau de catre orice alta organizatie cu scop nelucrativ si cu
specific politic, filozofic, religios ori sindical, cu conditia ca
persoana vizata sa fie membra a acestei organizatii sau sa intretina cu
aceasta, in mod regulat, relatii care privesc specificul activitatii
organizatiei si ca datele sa nu fie dezvaluite unor terti fara
consimtamantul persoanei vizate;
e) cand prelucrarea se refera la date facute publice in mod manifest de catre persoana vizata;
f) cand prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept in justitie;
g) cand prelucrarea este necesara in scopuri de medicina preventiva, de
stabilire a diagnosticelor medicale, de administrare a unor ingrijiri
sau tratamente medicale pentru persoana vizata ori de gestionare a
serviciilor de sanatate care actioneaza in interesul persoanei vizate,
cu conditia ca prelucrarea datelor respective sa fie efectuate de catre
ori sub supravegherea unui cadru medical supus secretului profesional
sau de catre ori sub supravegherea unei alte persoane supuse unei
obligatii echivalente in ceea ce priveste secretul;
h)
cand legea prevede in mod expres aceasta in scopul protejarii unui
interes public important, cu conditia ca prelucrarea sa se efectueze cu
respectarea drepturilor persoanei vizate si a celorlalte garantii
prevazute de prezenta lege.
(3) Prevederile alin. (2) nu
aduc atingere dispozitiilor legale care reglementeaza obligatia
autoritatilor publice de a respecta si de a ocroti viata intima,
familiala si privata.
(4) Autoritatea de supraveghere
poate dispune, din motive intemeiate, interzicerea efectuarii unei
prelucrari de date din categoriile prevazute la alin. (1), chiar daca
persoana vizata si-a dat in scris si in mod neechivoc consimtamantul,
iar acest consimtamant nu a fost retras, cu conditia ca interdictia
prevazuta la alin. (1) sa nu fie inlaturata prin unul dintre cazurile
la care se refera alin. (2) lit. b)-g).
Prelucrarea datelor cu caracter personal avand functie de identificare
Art. 8. -
(1) Prelucrarea
codului numeric personal sau a altor date cu caracter personal avand o
functie de identificare de aplicabilitate generala poate fi efectuata
numai daca:
a) persoana vizata si-a dat in mod expres consimtamantul; sau
b) prelucrarea este prevazuta in mod expres de o dispozitie legala.
(2) Autoritatea de supraveghere poate stabili si alte cazuri in care se
poate efectua prelucrarea datelor prevazute la alin. (1), numai cu
conditia instituirii unor garantii adecvate pentru respectarea
drepturilor persoanelor vizate.
Prelucrarea datelor cu caracter personal privind starea de sanatate
Art. 9. -
(1) In afara
cazurilor prevazute la art. 7 alin. (2), prevederile art. 7 alin. (1)
nu se aplica in privinta prelucrarii datelor privind starea de sanatate
in urmatoarele cazuri:
a) daca prelucrarea este necesara pentru protectia sanatatii publice;
b) daca prelucrarea este necesara pentru prevenirea unui pericol
iminent, pentru prevenirea savarsirii unei fapte penale sau pentru
impiedicarea producerii rezultatului unei asemenea fapte ori pentru
inlaturarea urmarilor prejudiciabile ale unei asemenea fapte.
(2) Prelucrarea datelor privind starea de sanatate poate fi efectuata
numai de catre ori sub supravegherea unui cadru medical, cu conditia
respectarii secretului profesional, cu exceptia situatiei in care
persoana vizata si-a dat in scris si in mod neechivoc consimtamantul
atata timp cat acest consimtamant nu a fost retras, precum si cu
exceptia situatiei in care prelucrarea este necesara pentru prevenirea
unui pericol iminent, pentru prevenirea savarsirii unei fapte penale,
pentru impiedicarea producerii rezultatului unei asemenea fapte sau
pentru inlaturarea urmarilor sale prejudiciabile.
(3)
Cadrele medicale, institutiile de sanatate si personalul medical al
acestora pot prelucra date cu caracter personal referitoare la starea
de sanatate, fara autorizatia autoritatii de supraveghere, numai daca
prelucrarea este necesara pentru protejarea vietii, integritatii fizice
sau sanatatii persoanei vizate. Cand scopurile mentionate se refera la
alte persoane sau la public in general si persoana vizata nu si-a dat
consimtamantul in scris si in mod neechivoc, trebuie ceruta si obtinuta
in prealabil autorizatia autoritatii de supraveghere. Prelucrarea
datelor cu caracter personal in afara limitelor prevazute in
autorizatie este interzisa.
(4) Cu exceptia motivelor de
urgenta, autorizatia prevazuta la alin. (3) poate fi acordata numai
dupa ce a fost consultat Colegiul Medicilor din Romania.
(5) Datele cu caracter personal privind starea de sanatate pot fi
colectate numai de la persoana vizata. Prin exceptie, aceste date pot
fi colectate din alte surse numai in masura in care este necesar pentru
a nu compromite scopurile prelucrarii, iar persoana vizata nu vrea ori
nu le poate furniza.
Prelucrarea datelor cu caracter personal referitoare la fapte penale sau contraventii
Art. 10. -
(1) Prelucrarea
datelor cu caracter personal referitoare la savarsirea de infractiuni
de catre persoana vizata ori la condamnari penale, masuri de siguranta
sau sanctiuni administrative ori contraventionale, aplicate persoanei
vizate, poate fi efectuata numai de catre sau sub controlul
autoritatilor publice, in limitele puterilor ce le sunt conferite prin
lege si in conditiile stabilite de legile speciale care reglementeaza
aceste materii.
(2) Autoritatea de supraveghere poate
stabili si alte cazuri in care se poate efectua prelucrarea datelor
prevazute la alin. (1), numai cu conditia instituirii unor garantii
adecvate pentru respectarea drepturilor persoanelor vizate.
(3) Un registru complet al condamnarilor penale poate fi tinut numai
sub controlul unei autoritati publice, in limitele puterilor ce ii sunt
conferite prin lege.
Exceptii
Art. 11. - Prevederile art. 5, 6, 7
si 10 nu se aplica in situatia in care prelucrarea datelor se face
exclusiv in scopuri jurnalistice, literare sau artistice, daca
prelucrarea priveste date cu caracter personal care au fost facute
publice in mod manifest de catre persoana vizata sau care sunt strans
legate de calitatea de persoana publica a persoanei vizate ori de
caracterul public al faptelor in care este implicata.
CAPITOLUL IV
Drepturile persoanei vizate in contextul prelucrarii datelor cu caracter personal Informarea persoanei vizate
Art. 12. -
(1) In cazul in
care datele cu caracter personal sunt obtinute direct de la persoana
vizata, operatorul este obligat sa furnizeze persoanei vizate cel putin
urmatoarele informatii, cu exceptia cazului in care aceasta persoana
poseda deja informatiile respective:
a) identitatea operatorului si a reprezentantului acestuia, daca este cazul;
b) scopul in care se face prelucrarea datelor;
c) informatii suplimentare, precum: destinatarii sau categoriile de
destinatari ai datelor; daca furnizarea tuturor datelor cerute este
obligatorie si consecintele refuzului de a le furniza; existenta
drepturilor prevazute de prezenta lege pentru persoana vizata, in
special a dreptului de acces, de interventie asupra datelor si de
opozitie, precum si conditiile in care pot fi exercitate;
d) orice alte informatii a caror furnizare este impusa prin dispozitie
a autoritatii de supraveghere, tinand seama de specificul prelucrarii.
(2) In cazul in care datele nu sunt obtinute direct de la persoana
vizata, operatorul este obligat ca, in momentul colectarii datelor sau,
daca se intentioneaza dezvaluirea acestora catre terti, cel mai tarziu
pana in momentul primei dezvaluiri, sa furnizeze persoanei vizate cel
putin urmatoarele informatii, cu exceptia cazului in care persoana
vizata poseda deja informatiile respective:
a) identitatea operatorului si a reprezentantului acestuia, daca este cazul;
b) scopul in care se face prelucrarea datelor;
c) informatii suplimentare, precum: categoriile de date vizate,
destinatarii sau categoriile de destinatari ai datelor, existenta
drepturilor prevazute de prezenta lege pentru persoana vizata, in
special a dreptului de acces, de interventie asupra datelor si de
opozitie, precum si conditiile in care pot fi exercitate;
d) orice alte informatii a caror furnizare este impusa prin dispozitie
a autoritatii de supraveghere, tinand seama de specificul prelucrarii.
(3) Prevederile alin. (2) nu se aplica atunci cand prelucrarea datelor
se efectueaza exclusiv in scopuri jurnalistice, literare sau artistice,
daca aplicarea acestora ar da indicii asupra surselor de informare.
(4) Prevederile alin. (2) nu se aplica in cazul in care prelucrarea
datelor se face in scopuri statistice, de cercetare istorica sau
stiintifica, ori in orice alte situatii in care furnizarea unor
asemenea informatii se dovedeste imposibila sau ar implica un efort
disproportionat fata de interesul legitim care ar putea fi lezat,
precum si in situatiile in care inregistrarea sau dezvaluirea datelor
este expres prevazuta de lege.
Dreptul de acces la date
Art. 13. -
(1) Orice
persoana vizata are dreptul de a obtine de la operator, la cerere si in
mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele
care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este
obligat, in situatia in care prelucreaza date cu caracter personal care
privesc solicitantul, sa comunice acestuia, impreuna cu confirmarea,
cel putin urmatoarele:
a) informatii referitoare la
scopurile prelucrarii, categoriile de date avute in vedere si
destinatarii sau categoriile de destinatari carora le sunt dezvaluite
datele;
b) comunicarea intr-o forma inteligibila a
datelor care fac obiectul prelucrarii, precum si a oricarei informatii
disponibile cu privire la originea datelor;
c) informatii
asupra principiilor de functionare a mecanismului prin care se
efectueaza orice prelucrare automata a datelor care vizeaza persoana
respectiva;
d) informatii privind existenta dreptului de
interventie asupra datelor si a dreptului de opozitie, precum si
conditiile in care pot fi exercitate;
e) informatii
asupra posibilitatii de a consulta registrul de evidenta a
prelucrarilor de date cu caracter personal, prevazut la art. 24, de a
inainta plangere catre autoritatea de supraveghere, precum si de a se
adresa instantei pentru atacarea deciziilor operatorului, in
conformitate cu dispozitiile prezentei legi.
(2) Persoana
vizata poate solicita de la operator informatiile prevazute la alin.
(1), printr-o cerere intocmita in forma scrisa, datata si semnata. In
cerere solicitantul poate arata daca doreste ca informatiile sa ii fie
comunicate la o anumita adresa, care poate fi si de posta electronica,
sau printr-un serviciu de corespondenta care sa asigure ca predarea i
se va face numai personal.
(3) Operatorul este obligat sa
comunice informatiile solicitate, in termen de 15 zile de la data
primirii cererii, cu respectarea eventualei optiuni a solicitantului
exprimate potrivit alin. (2).
(4) In cazul datelor cu
caracter personal legate de starea de sanatate, cererea prevazuta la
alin. (2) poate fi introdusa de persoana vizata fie direct, fie prin
intermediul unui cadru medical care va indica in cerere persoana in
numele careia este introdusa. La cererea operatorului sau a persoanei
vizate comunicarea prevazuta la alin. (3) poate fi facuta prin
intermediul unui cadru medical desemnat de persoana vizata.
(5) In cazul in care datele cu caracter personal legate de starea de
sanatate sunt prelucrate in scop de cercetare stiintifica, daca nu
exista, cel putin aparent, riscul de a se aduce atingere drepturilor
persoanei vizate si daca datele nu sunt utilizate pentru a lua decizii
sau masuri fata de o anumita persoana, comunicarea prevazuta la alin.
(3) se poate face si intr-un termen mai mare decat cel prevazut la acel
alineat, in masura in care aceasta ar putea afecta bunul mers sau
rezultatele cercetarii, si nu mai tarziu de momentul in care cercetarea
este incheiata. In acest caz persoana vizata trebuie sa isi fi dat in
mod expres si neechivoc consimtamantul ca datele sa fie prelucrate in
scop de cercetare stiintifica, precum si asupra posibilei amanari a
comunicarii prevazute la alin. (3) din acest motiv.
(6)
Prevederile alin. (2) nu se aplica atunci cand prelucrarea datelor se
efectueaza exclusiv in scopuri jurnalistice, literare sau artistice,
daca aplicarea acestora ar da indicii asupra surselor de informare.
Dreptul de interventie asupra datelor
Art. 14. -
(1) Orice persoana vizata are dreptul de a obtine de la operator, la cerere si in mod gratuit:
a) dupa caz, rectificarea, actualizarea, blocarea sau stergerea datelor
a caror prelucrare nu este conforma prezentei legi, in special a
datelor incomplete sau inexacte;
b) dupa caz, transformarea in date anonime a datelor a caror prelucrare nu este conforma prezentei legi;
c) notificarea catre tertii carora le-au fost dezvaluite datele a
oricarei operatiuni efectuate conform lit. a) sau b), daca aceasta
notificare nu se dovedeste imposibila sau nu presupune un efort
disproportionat fata de interesul legitim care ar putea fi lezat.
(2) Pentru exercitarea dreptului prevazut la alin. (1) persoana vizata
va inainta operatorului o cerere intocmita in forma scrisa, datata si
semnata. In cerere solicitantul poate arata daca doreste ca
informatiile sa ii fie comunicate la o anumita adresa, care poate fi si
de posta electronica, sau printr-un serviciu de corespondenta care sa
asigure ca predarea i se va face numai personal.
(3)
Operatorul este obligat sa comunice masurile luate in temeiul alin.
(1), precum si, daca este cazul, numele tertului caruia i-au fost
dezvaluite datele cu caracter personal referitoare la persoana vizata,
in termen de 15 zile de la data primirii cererii, cu respectarea
eventualei optiuni a solicitantului exprimate potrivit alin. (2).
Dreptul de opozitie
Art. 15. -
(1) Persoana
vizata are dreptul de a se opune in orice moment, din motive intemeiate
si legitime legate de situatia sa particulara, ca date care o vizeaza
sa faca obiectul unei prelucrari, cu exceptia cazurilor in care exista
dispozitii legale contrare. In caz de opozitie justificata prelucrarea
nu mai poate viza datele in cauza.
(2) Persoana vizata are
dreptul de a se opune in orice moment, in mod gratuit si fara nici o
justificare, ca datele care o vizeaza sa fie prelucrate in scop de
marketing direct, in numele operatorului sau al unui tert, sau sa fie
dezvaluite unor terti intr-un asemenea scop.
(3) In
vederea exercitarii drepturilor prevazute la alin. (1) si (2) persoana
vizata va inainta operatorului o cerere intocmita in forma scrisa,
datata si semnata. In cerere solicitantul poate arata daca doreste ca
informatiile sa ii fie comunicate la o anumita adresa, care poate fi si
de posta electronica, sau printr-un serviciu de corespondenta care sa
asigure ca predarea i se va face numai personal.
(4)
Operatorul este obligat sa comunice persoanei vizate masurile luate in
temeiul alin. (1) sau (2), precum si, daca este cazul, numele tertului
caruia i-au fost dezvaluite datele cu caracter personal referitoare la
persoana vizata, in termen de 15 zile de la data primirii cererii, cu
respectarea eventualei optiuni a solicitantului exprimate potrivit
alin. (3).
Exceptii
Art. 16. -
(1) Prevederile
art. 12, 13, ale art. 14 alin. (3) si ale art. 15 nu se aplica in cazul
activitatilor prevazute la art. 2 alin. (5), daca prin aplicarea
acestora este prejudiciata eficienta actiunii sau obiectivul urmarit in
indeplinirea atributiilor legale ale autoritatii publice.
(2) Prevederile alin. (1) sunt aplicabile strict pentru perioada
necesara atingerii obiectivului urmarit prin desfasurarea activitatilor
mentionate la art. 2 alin. (5).
(3) Dupa incetarea
situatiei care justifica aplicarea alin. (1) si (2) operatorii care
desfasoara activitatile prevazute la art. 2 alin. (5) vor lua masurile
necesare pentru a asigura respectarea drepturilor persoanelor vizate.
(4) Autoritatile publice tin evidenta unor astfel de cazuri si
informeaza periodic autoritatea de supraveghere despre modul de
solutionare a lor.
Dreptul de a nu fi supus unei decizii individuale
Art. 17. -
(1) Orice persoana are dreptul de a cere si de a obtine:
a) retragerea sau anularea oricarei decizii care produce efecte
juridice in privinta sa, adoptata exclusiv pe baza unei prelucrari de
date cu caracter personal, efectuata prin mijloace automate, destinata
sa evalueze unele aspecte ale personalitatii sale, precum competenta
profesionala, credibilitatea, comportamentul sau ori alte asemenea
aspecte;
b) reevaluarea oricarei alte decizii luate in
privinta sa, care o afecteaza in mod semnificativ, daca decizia a fost
adoptata exclusiv pe baza unei prelucrari de date care intruneste
conditiile prevazute la lit. a).
(2) Respectandu-se
celelalte garantii prevazute de prezenta lege, o persoana poate fi
supusa unei decizii de natura celei vizate la alin. (1), numai in
urmatoarele situatii:
a) decizia este luata in cadrul
incheierii sau executarii unui contract, cu conditia ca cererea de
incheiere sau de executare a contractului, introdusa de persoana
vizata, sa fi fost satisfacuta sau ca unele masuri adecvate, precum
posibilitatea de a-si sustine punctul de vedere, sa garanteze apararea
propriului interes legitim;
b) decizia este autorizata de
o lege care precizeaza masurile ce garanteaza apararea interesului
legitim al persoanei vizate.
Dreptul de a se adresa justitiei
Art. 18. -
(1) Fara a se
aduce atingere posibilitatii de a se adresa cu plangere autoritatii de
supraveghere, persoanele vizate au dreptul de a se adresa justitiei
pentru apararea oricaror drepturi garantate de prezenta lege, care
le-au fost incalcate.
(2) Orice persoana care a suferit un
prejudiciu in urma unei prelucrari de date cu caracter personal,
efectuata ilegal, se poate adresa instantei competente pentru repararea
acestuia.
(3) Instanta competenta este cea in a carei raza
teritoriala domiciliaza reclamantul. Cererea de chemare in judecata
este scutita de taxa de timbru.
CAPITOLUL V
Confidentialitatea si securitatea prelucrarilor
Confidentialitatea prelucrarilor
Art. 19. - Orice persoana care actioneaza sub autoritatea operatorului sau a persoanei imputernicite, inclusiv persoana imputernicita, care are acces la date cu caracter personal, nu poate sa le prelucreze decat pe baza instructiunilor operatorului, cu exceptia cazului in care actioneaza in temeiul unei obligatii legale.
Securitatea prelucrarilor
Art. 20. -
(1) Operatorul
este obligat sa aplice masurile tehnice si organizatorice adecvate
pentru protejarea datelor cu caracter personal impotriva distrugerii
accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau
accesului neautorizat, in special daca prelucrarea respectiva comporta
transmisii de date in cadrul unei retele, precum si impotriva oricarei
alte forme de prelucrare ilegala.
(2) Aceste masuri
trebuie sa asigure, potrivit stadiului tehnicii utilizate in procesul
de prelucrare si de costuri, un nivel de securitate adecvat in ceea ce
priveste riscurile pe care le reprezinta prelucrarea, precum si in ceea
ce priveste natura datelor care trebuie protejate. Cerintele minime de
securitate vor fi elaborate de autoritatea de supraveghere si vor fi
actualizate periodic, corespunzator progresului tehnic si experientei
acumulate.
(3) Operatorul, atunci cand desemneaza o
persoana imputernicita, este obligat sa aleaga o persoana care prezinta
suficiente garantii in ceea ce priveste masurile de securitate tehnica
si organizatorice cu privire la prelucrarile ce vor fi efectuate,
precum si sa vegheze la respectarea acestor masuri de catre persoana
desemnata.
(4) Autoritatea de supraveghere poate decide,
in cazuri individuale, asupra obligarii operatorului la adoptarea unor
masuri suplimentare de securitate, cu exceptia celor care privesc
garantarea securitatii serviciilor de telecomunicatii.
(5)
Efectuarea prelucrarilor prin persoane imputernicite trebuie sa se
desfasoare in baza unui contract incheiat in forma scrisa, care va
cuprinde in mod obligatoriu:
a) obligatia persoanei imputernicite de a actiona doar in baza instructiunilor primite de la operator;
b) faptul ca indeplinirea obligatiilor prevazute la alin. (1) revine si persoanei imputernicite.
CAPITOLUL VI
Supravegherea si controlul prelucrarilor de date cu caracter personal
Autoritatea de supraveghere
Art. 21. -
(1) Autoritatea de supraveghere, in sensul prezentei legi, este Avocatul Poporului.
(2) Autoritatea de supraveghere isi desfasoara activitatea in conditii de completa independenta si impartialitate.
(3) Autoritatea de supraveghere monitorizeaza si controleaza sub
aspectul legalitatii prelucrarile de date cu caracter personal care cad
sub incidenta prezentei legi. In acest scop autoritatea de supraveghere
exercita urmatoarele atributii:
a) elaboreaza formularele tipizate ale notificarilor si ale registrelor proprii;
b) primeste si analizeaza notificarile privind prelucrarea datelor cu
caracter personal, anuntand operatorului rezultatele controlului
prealabil;
c) autorizeaza prelucrarile de date in situatiile prevazute de lege;
d) poate dispune, in cazul in care constata incalcarea dispozitiilor
prezentei legi, suspendarea provizorie sau incetarea prelucrarii
datelor, stergerea partiala ori integrala a datelor prelucrate si poate
sa sesiseze organele de urmarire penala sau sa intenteze actiuni in
justitie;
e) pastreaza si pune la dispozitie publicului registrul de evidenta a prelucrarilor de date cu caracter personal;
f) primeste si solutioneaza plangeri, sesizari sau cereri de la
persoanele fizice si comunica solutia data ori, dupa caz, diligentele
depuse;
g) efectueaza investigatii din oficiu sau la primirea unor plangeri ori sesizari;
h) este consultata atunci cand se elaboreaza proiecte de acte normative
referitoare la protectia drepturilor si libertatilor persoanelor, in
privinta prelucrarii datelor cu caracter personal;
i)
poate face propuneri privind initierea unor proiecte de acte normative
sau modificarea actelor normative in vigoare in domenii legate de
prelucrarea datelor cu caracter personal;
j) coopereaza
cu autoritatile publice si cu organele administratiei publice,
centralizeaza si analizeaza rapoartele anuale de activitate ale
acestora privind protectia persoanelor in privinta prelucrarii datelor
cu caracter personal, formuleaza recomandari si avize asupra oricarei
chestiuni legate de protectia drepturilor si libertatilor fundamentale
in privinta prelucrarii datelor cu caracter personal, la cererea
oricarei persoane, inclusiv a autoritatilor publice si a organelor
administratiei publice; aceste recomandari si avize trebuie sa faca
mentiune despre temeiurile pe care se sprijina si se comunica in copie
si Ministerului Justitiei; atunci cand recomandarea sau avizul este
cerut de lege, se publica in Monitorul Oficial al Romaniei, Partea I;
k) coopereaza cu autoritatile similare de peste hotare in vederea
asistentei mutuale, precum si cu persoanele cu domiciliul sau cu sediul
in strainatate, in scopul apararii drepturilor si libertatilor
fundamentale ce pot fi afectate prin prelucrarea datelor cu caracter
personal;
l) indeplineste alte atributii prevazute de lege.
(4) Intregul personal al autoritatii de supraveghere are obligatia de a
pastra secretul profesional, cu exceptiile prevazute de lege, pe termen
nelimitat, asupra informatiilor confidentiale sau clasificate la care
are sau a avut acces in exercitarea atributiilor de serviciu, inclusiv
dupa incetarea raporturilor juridice cu autoritatea de supraveghere.
Notificarea catre autoritatea de supraveghere
Art. 22. -
(1) Operatorul
este obligat sa notifice autoritatii de supraveghere, personal sau prin
reprezentant, inainte de efectuarea oricarei prelucrari ori a oricarui
ansamblu de prelucrari avand acelasi scop sau scopuri corelate.
(2) Notificarea nu este necesara in cazul in care prelucrarea are ca
unic scop tinerea unui registru destinat prin lege informarii
publicului si deschis spre consultare publicului in general sau
oricarei persoane care probeaza un interes legitim, cu conditia ca
prelucrarea sa se limiteze la datele strict necesare tinerii
registrului mentionat.
(3) Notificarea va cuprinde cel putin urmatoarele informatii:
a) numele sau denumirea si domiciliul ori sediul operatorului si ale
reprezentantului desemnat al acestuia, daca este cazul;
b) scopul sau scopurile prelucrarii;
c) o descriere a categoriei sau a categoriilor de persoane vizate si a
datelor ori a categoriilor de date ce vor fi prelucrate;
d) destinatarii sau categoriile de destinatari carora se intentioneaza sa li se dezvaluie datele;
e) garantiile care insotesc dezvaluirea datelor catre terti;
f) modul in care persoanele vizate sunt informate asupra drepturilor
lor; data estimata pentru incheierea operatiunilor de prelucrare,
precum si destinatia ulterioara a datelor;
g) transferuri de date care se intentioneaza sa fie facute catre alte state;
h) o descriere generala care sa permita aprecierea preliminara a
masurilor luate pentru asigurarea securitatii prelucrarii;
i) specificarea oricarui sistem de evidenta a datelor cu caracter
personal, care are legatura cu prelucrarea, precum si a eventualelor
legaturi cu alte prelucrari de date sau cu alte sisteme de evidenta a
datelor cu caracter personal, indiferent daca se efectueaza, respectiv
daca sunt sau nu sunt situate pe teritoriul Romaniei;
j)
motivele care justifica aplicarea prevederilor art. 11, art. 12 alin.
(3) sau (4) ori ale art. 13 alin. (5) sau (6), in situatia in care
prelucrarea datelor se face exclusiv in scopuri jurnalistice, literare
sau artistice ori in scopuri statistice, de cercetare istorica sau
stiintifica.
(4) Daca notificarea este incompleta, autoritatea de supraveghere va solicita completarea acesteia.
(5) In limitele puterilor de investigare de care dispune, autoritatea
de supraveghere poate solicita si alte informatii, in special privind
originea datelor, tehnologia de prelucrare automata utilizata si
detalii referitoare la masurile de securitate. Dispozitiile prezentului
alineat nu se aplica in situatia in care prelucrarea datelor se face
exclusiv in scopuri jurnalistice, literare sau artistice.
(6) Daca se intentioneaza ca datele care sunt prelucrate sa fie
transferate in strainatate, notificarea va cuprinde si urmatoarele
elemente:
a) categoriile de date care vor face obiectul transferului;
b) tara de destinatie pentru fiecare categorie de date.
(7) Notificarea este supusa unei taxe care trebuie platita de operator autoritatii de supraveghere.
(8) Autoritatile publice care efectueaza prelucrari de date cu caracter
personal in legatura cu activitatile descrise la art. 2 alin. (5), in
temeiul legii sau in indeplinirea obligatiilor asumate prin acorduri
internationale ratificate, sunt scutite de taxa prevazuta la alin. (7).
Notificarea se va transmite in termen de 15 zile de la intrarea in
vigoare a actului normativ care instituie obligatia respectiva si va
cuprinde numai urmatoarele elemente:
a) denumirea si sediul operatorului;
b) scopul si temeiul legal al prelucrarii;
c) categoriile de date cu caracter personal supuse prelucrarii.
(9) Autoritatea de supraveghere poate stabili si alte situatii in care
notificarea nu este necesara, in afara celei prevazute la alin. (2),
sau situatii in care notificarea se poate efectua intr-o forma
simplificata, precum si continutul acesteia, numai in unul dintre
urmatoarele cazuri:
a) atunci cand, luand in considerare
natura datelor destinate sa fie prelucrate, prelucrarea nu poate
afecta, cel putin aparent, drepturile persoanelor vizate, cu conditia
sa precizeze expres scopurile in care se poate face o asemenea
prelucrare, datele sau categoriile de date care pot fi prelucrate,
categoria sau categoriile de persoane vizate, destinatarii sau
categoriile de destinatari carora datele le pot fi dezvaluite si
perioada pentru care datele pot fi stocate;
b) atunci cand prelucrarea se efectueaza in conditiile art. 7 alin. (2) lit. d).
Controlul prealabil
Art. 23. -
(1) Autoritatea
de supraveghere va stabili categoriile de operatiuni de prelucrare care
sunt susceptibile de a prezenta riscuri speciale pentru drepturile si
libertatile persoanelor.
(2) Daca pe baza notificarii
autoritatea de supraveghere constata ca prelucrarea se incadreaza in
una dintre categoriile mentionate la alin. (1), va dispune obligatoriu
efectuarea unui control prealabil inceperii prelucrarii respective, cu
anuntarea operatorului.
(3) Operatorii care nu au fost
anuntati in termen de 5 zile de la data notificarii despre efectuarea
unui control prealabil pot incepe prelucrarea.
(4) In
situatia prevazuta la alin. (2) autoritatea de supraveghere este
obligata ca, in termen de cel mult 30 de zile de la data notificarii,
sa aduca la cunostinta operatorului rezultatul controlului efectuat,
precum si decizia emisa in urma acestuia.
Registrul de evidenta a prelucrarilor de date cu caracter personal
Art. 24. -
(1) Autoritatea
de supraveghere pastreaza un registru de evidenta a prelucrarilor de
date cu caracter personal, notificate in conformitate cu prevederile
art. 22. Registrul va cuprinde toate informatiile prevazute la art. 22
alin. (3).
(2) Fiecare operator primeste un numar de
inregistrare. Numarul de inregistrare trebuie mentionat pe orice act
prin care datele sunt colectate, stocate sau dezvaluite.
(3) Orice schimbare de natura sa afecteze exactitatea informatiilor
inregistrate va fi comunicata autoritatii de supraveghere in termen de
5 zile. Autoritatea de supraveghere va dispune de indata efectuarea
mentiunilor corespunzatoare in registru.
(4) Activitatile
de prelucrare a datelor cu caracter personal, incepute anterior
intrarii in vigoare a prezentei legi, vor fi notificate in vederea
inregistrarii in termen de 15 zile de la data intrarii in vigoare a
prezentei legi.
(5) Registrul de evidenta a prelucrarilor
de date cu caracter personal este deschis spre consultare publicului.
Modalitatea de consultare se stabileste de autoritatea de supraveghere.
Plangeri adresate autoritatii de supraveghere
Art. 25. -
(1) In vederea
apararii drepturilor prevazute de prezenta lege persoanele ale caror
date cu caracter personal fac obiectul unei prelucrari care cade sub
incidenta prezentei legi pot inainta plangere catre autoritatea de
supraveghere. Plangerea se poate face direct sau prin reprezentant.
Persoana lezata poate imputernici o asociatie sau o fundatie sa ii
reprezinte interesele.
(2) Plangerea catre autoritatea de
supraveghere nu poate fi inaintata daca o cerere in justitie, avand
acelasi obiect si aceleasi parti, a fost introdusa anterior.
(3) In afara cazurilor in care o intarziere ar cauza un prejudiciu
iminent si ireparabil, plangerea catre autoritatea de supraveghere nu
poate fi inaintata mai devreme de 15 zile de la inaintarea unei
plangeri cu acelasi continut catre operator.
(4) In
vederea solutionarii plangerii, daca apreciaza ca este necesar,
autoritatea de supraveghere poate audia persoana vizata, operatorul si,
daca este cazul, persoana imputernicita sau asociatia ori fundatia care
reprezinta interesele persoanei vizate. Aceste persoane au dreptul de a
inainta cereri, documente si memorii. Autoritatea de supraveghere poate
dispune efectuarea de expertize.
(5) Daca plangerea este
gasita intemeiata, autoritatea de supraveghere poate decide oricare
dintre masurile prevazute la art. 21 alin. (3) lit. d). Interdictia
temporara a prelucrarii poate fi instituita numai pana la incetarea
motivelor care au determinat luarea acestei masuri.
(6) Decizia trebuie motivata si se comunica partilor interesate in termen de 30 de zile de la data primirii plangerii.
(7) Autoritatea de supraveghere poate ordona, daca apreciaza necesar,
suspendarea unora sau tuturor operatiunilor de prelucrare pana la
solutionarea plangerii in conditiile alin. (5).
(8)
Autoritatea de supraveghere se poate adresa justitiei pentru apararea
oricaror drepturi garantate de prezenta lege persoanelor vizate.
Instanta competenta este Tribunalul Municipiului Bucuresti. Cererea de
chemare in judecata este scutita de taxa de timbru.
(9) La
cererea persoanelor vizate, pentru motive intemeiate, instanta poate
dispune suspendarea prelucrarii pana la solutionarea plangerii de catre
autoritatea de supraveghere.
(10) Prevederile alin.
(4)-(9) se aplica in mod corespunzator si in situatia in care
autoritatea de supraveghere afla pe orice alta cale despre savarsirea
unei incalcari a drepturilor recunoscute de prezenta lege persoanelor
vizate.
Contestarea deciziilor autoritatii de supraveghere
Art. 26. -
(1) Impotriva
oricarei decizii emise de autoritatea de supraveghere in temeiul
dispozitiilor prezentei legi operatorul sau persoana vizata poate
formula contestatie in termen de 15 zile de la comunicare, sub
sanctiunea decaderii, la instanta de contencios administrativ
competenta. Cererea se judeca de urgenta, cu citarea partilor. Solutia
este definitiva si irevocabila.
(2) Fac exceptie de la
prevederile alin. (1), precum si de la cele ale art. 23 si 25
prelucrarile de date cu caracter personal, efectuate in cadrul
activitatilor prevazute la art. 2 alin. (5).
Exercitarea atributiilor de investigare
Art. 27. -
(1) Autoritatea
de supraveghere poate investiga, din oficiu sau la primirea unei
plangeri, orice incalcare a drepturilor persoanelor vizate, respectiv a
obligatiilor care revin operatorilor si, dupa caz, persoanelor
imputernicite, in cadrul efectuarii prelucrarilor de date cu caracter
personal, in scopul apararii drepturilor si libertatilor fundamentale
ale persoanelor vizate.
(2) Atributiile de investigare nu
pot fi exercitate de catre autoritatea de supraveghere in cazul in care
o cerere in justitie introdusa anterior are ca obiect savarsirea
aceleiasi incalcari a drepturilor si opune aceleasi parti.
(3) In exercitarea atributiilor de investigare autoritatea de
supraveghere poate solicita operatorului orice informatii legate de
prelucrarea datelor cu caracter personal si poate verifica orice
document sau inregistrare referitoare la prelucrarea de date cu
caracter personal.
(4) Secretul de stat si secretul
profesional nu pot fi invocate pentru a impiedica exercitarea
atributiilor acordate prin prezenta lege autoritatii de supraveghere.
Atunci cand este invocata protectia secretului de stat sau a secretului
profesional, autoritatea de supraveghere are obligatia de a pastra
secretul.
(5) Daca exercitarea atributiei de investigare a
autoritatii de supraveghere are ca obiect o prelucrare de date cu
caracter personal, efectuata de autoritatile publice in legatura cu
activitatile descrise la art. 2 alin. (5) pentru un caz concret, este
necesara obtinerea acordului prealabil al procurorului sau al instantei
competente.
Norme de conduita
Art. 28. -
(1) Asociatiile
profesionale au obligatia de a elabora si de a supune spre avizare
autoritatii de supraveghere coduri de conduita care sa contina norme
adecvate pentru protectia drepturilor persoanelor ale caror date cu
caracter personal pot fi prelucrate de catre membrii acestora.
(2) Normele de conduita trebuie sa prevada masuri si proceduri care sa
asigure un nivel satisfacator de protectie, tinand seama de natura
datelor ce pot fi prelucrate. Autoritatea de supraveghere poate dispune
masuri si proceduri specifice pentru perioada in care normele de
conduita la care s-a facut referire anterior nu sunt adoptate.
CAPITOLUL VII
Transferul in strainatate al datelor cu caracter personal
Conditiile transferului in strainatate al datelor cu caracter personal
Art. 29. -
(1) Transferul
catre un alt stat de date cu caracter personal care fac obiectul unei
prelucrari sau sunt destinate sa fie prelucrate dupa transfer poate
avea loc numai in conditiile in care nu se incalca legea romana, iar
statul catre care se intentioneaza transferul asigura un nivel de
protectie adecvat.
(2) Nivelul de protectie va fi apreciat
de catre autoritatea de supraveghere, tinand seama de totalitatea
imprejurarilor in care se realizeaza transferul de date, in special
avand in vedere natura datelor transmise, scopul prelucrarii si durata
propusa pentru prelucrare, statul de origine si statul de destinatie
finala, precum si legislatia statului solicitant. In cazul in care
autoritatea de supraveghere constata ca nivelul de protectie oferit de
statul de destinatie este nesatisfacator, poate dispune interzicerea
transferului de date.
(3) In toate situatiile transferul
de date cu caracter personal catre un alt stat va face obiectul unei
notificari prealabile a autoritatii de supraveghere.
(4)
Autoritatea de supraveghere poate autoriza transferul de date cu
caracter personal catre un stat a carui legislatie nu prevede un nivel
de protectie cel putin egal cu cel oferit de legea romana atunci cand
operatorul ofera garantii suficiente cu privire la protectia
drepturilor fundamentale ale persoanelor. Aceste garantii trebuie sa
fie stabilite prin contracte incheiate intre operatori si persoanele
fizice sau juridice din dispozitia carora se efectueaza transferul.
(5) Prevederile alin. (2), (3) si (4) nu se aplica daca transferul
datelor se face in baza prevederilor unei legi speciale sau ale unui
acord international ratificat de Romania, in special daca transferul se
face in scopul prevenirii, cercetarii sau reprimarii unei infractiuni.
(6) Prevederile prezentului articol nu se aplica atunci cand
prelucrarea datelor se face exclusiv in scopuri jurnalistice, literare
sau artistice, daca datele au fost facute publice in mod manifest de
catre persoana vizata sau sunt strans legate de calitatea de persoana
publica a persoanei vizate ori de caracterul public al faptelor in care
este implicata.
Situatii in care transferul este intotdeauna permis
Art. 30. - Transferul de date este intotdeauna permis in urmatoarele situatii:
a) cand persoana vizata si-a dat in mod explicit consimtamantul pentru
efectuarea transferului; in cazul in care transferul de date se face in
legatura cu oricare dintre datele prevazute la art. 7, 8 si 10,
consimtamantul trebuie dat in scris;
b) cand este necesar
pentru executarea unui contract incheiat intre persoana vizata si
operator sau pentru executarea unor masuri precontractuale dispuse la
cererea pesoanei vizate;
c) cand este necesar pentru
incheierea sau pentru executarea unui contract incheiat ori care se va
incheia, in interesul persoanei vizate, intre operator si un tert;
d) cand este necesar pentru satisfacerea unui interes public major,
precum apararea nationala, ordinea publica sau siguranta nationala,
pentru buna desfasurare a procesului penal ori pentru constatarea,
exercitarea sau apararea unui drept in justitie, cu conditia ca datele
sa fie prelucrate in legatura cu acest scop si nu mai mult timp decat
este necesar;
e) cand este necesar pentru a proteja viata, integritatea fizica sau sanatatea persoanei vizate;
f) cand intervine ca urmare a unei cereri anterioare de acces la
documente oficiale care sunt publice ori a unei cereri privind
informatii care pot fi obtinute din registre sau prin orice alte
documente accesibile publicului.
CAPITOLUL VIII
Contraventii si sanctiuni
Omisiunea de a notifica si notificarea cu rea-credinta
Art. 31. - Omisiunea de a efectua notificarea in conditiile art. 22 sau ale art. 29 alin. (3) in situatiile in care aceasta notificare este obligatorie, precum si notificarea incompleta sau care contine informatii false constituie contraventii, daca nu sunt savarsite in astfel de conditii incat sa constituie infractiuni, si se sanctioneaza cu amenda de la 5.000.000 lei la 100.000.000 lei.
Prelucrarea nelegala a datelor cu caracter personal
Art. 32. - Prelucrarea datelor cu caracter personal de catre un operator sau de o persoana imputernicita de acesta, cu incalcarea prevederilor art. 4-10 sau cu nesocotirea drepturilor prevazute la art. 12-15 sau la art. 17, constituie contraventie, daca nu este savarsita in astfel de conditii incat sa constituie infractiune, si se sanctioneaza cu amenda de la 10.000.000 lei la 250.000.000 lei.
Neindeplinirea obligatiilor privind confidentialitatea si aplicarea masurilor de securitate
Art. 33. - Neindeplinirea obligatiilor privind aplicarea masurilor de securitate si de pastrare a confidentialitatii prelucrarilor, prevazute la art. 19 si 20, constituie contraventie, daca nu este savarsita in astfel de conditii incat sa constituie infractiune, si se sanctioneaza cu amenda de la 15.000.000 lei la 500.000.000 lei.
Refuzul de a furniza informatii
Art. 34. - Refuzul de a furniza autoritatii de supraveghere informatiile sau documentele cerute de aceasta in exercitarea atributiilor de investigare prevazute la art. 27 constituie contraventie, daca nu este savarsita in astfel de conditii incat sa constituie infractiune, si se sanctioneaza cu amenda de la 10.000.000 lei la 150.000.000 lei.
Constatarea contraventiilor si aplicarea sanctiunilor
Art. 35. -
(1) Constatarea
contraventiilor si aplicarea sanctiunilor se efectueaza de catre
autoritatea de supraveghere, care poate delega aceste atributii unor
persoane recrutate din randul personalului sau, precum si de
reprezentanti imputerniciti ai organelor cu atributii de supraveghere
si control, abilitate potrivit legii.
(2) Dispozitiile
prezentei legi referitoare la contraventii se completeaza cu
prevederile Ordonantei Guvernului nr. 2/2001 privind regimul juridic al
contraventiilor, in masura in care prezenta lege nu dispune altfel.
(3) Impotriva proceselor-verbale de constatare si sanctionare se poate
face plangere la sectiile de contencios administrativ ale tribunalelor.
CAPITOLUL IX
Dispozitii finale
Intrarea in vigoare
Art. 36. - Prezenta lege intra in vigoare la data publicarii ei in Monitorul Oficial al Romaniei, Partea I, si se pune in aplicare in termen de 3 luni de la intrarea sa in vigoare. Aceasta lege a fost adoptata de Senat in sedinta din 15 octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constitutia Romaniei.
PRESEDINTELE SENATULUI
NICOLAE VACAROIU
Aceasta lege a fost adoptata de Camera Deputatilor in sedinta din 22 octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constitutia Romaniei.
PRESEDINTELE CAMEREI DEPUTATILOR
VALER DORNEANU
Bucuresti, 21 noiembrie 2001. Nr. 677.
