Parlamentul Romaniei
Lege nr. 677
din 21 noiembrie 2001
pentru protectia persoanelor cu
privire la prelucrarea datelor cu caracter personal si libera circulatie
a acestor date
Publicat în Monitorul Oficial,
Partea I nr. 790 din 12 decembrie 2001
Parlamentul Romaniei adopta prezenta lege:
CAPITOLUL I
Dispozitii generale
Art. 1. - (1) Prezenta lege are ca
scop garantarea si protejarea drepturilor si libertatilor fundamentale ale
persoanelor fizice, în special a dreptului la viata intima, familiala
si privata, cu privire la prelucrarea datelor cu caracter personal.
(2) Exercitarea
drepturilor prevazute în prezenta lege nu poate fi restransa decat
în cazuri expres si limitativ prevazute de lege.
Art. 2. - (1) Prezenta lege se aplica
prelucrarilor de date cu caracter personal, efectuate, în tot sau
în parte, prin mijloace automate, precum si prelucrarii prin alte
mijloace decat cele automate a datelor cu caracter personal care fac parte
dintr-un sistem de evidenta sau care sunt destinate sa fie incluse într-un
asemenea sistem.
(2) Prezenta lege
se aplica:
a) prelucrarilor
de date cu caracter personal, efectuate în cadrul activitatilor desfasurate
de operatori stabiliti în Romania;
b) prelucrarilor
de date cu caracter personal, efectuate în cadrul activitatilor desfasurate
de misiunile diplomatice sau de oficiile consulare ale Romaniei;
c) prelucrarilor
de date cu caracter personal, efectuate în cadrul activitatilor desfasurate
de operatori care nu sunt stabiliti în Romania, prin utilizarea de
mijloace de orice natura situate pe teritoriul Romaniei, cu exceptia cazului
în care aceste mijloace nu sunt utilizate decat în scopul tranzitarii
pe teritoriul Romaniei a datelor cu caracter personal care fac obiectul
prelucrarilor respective.
(3) În cazul
prevazut la alin. (2) lit. c) operatorul îsi va desemna un reprezentant
care trebuie sa fie o persoana stabilita în Romania. Prevederile prezentei
legi aplicabile operatorului sunt aplicabile si reprezentantului acestuia,
fara a aduce atingere posibilitatii de a introduce actiune în justitie
direct împotriva operatorului.
(4) Prezenta lege
se aplica prelucrarilor de date cu caracter personal efectuate de persoane
fizice sau juridice, romane ori straine, de drept public sau de drept privat,
indiferent daca au loc în sectorul public sau în sectorul privat.
(5) În limitele
prevazute de prezenta lege, aceasta se aplica si prelucrarilor si transferului
de date cu caracter personal, efectuate în cadrul activitatilor de
prevenire, cercetare si reprimare a infractiunilor si de mentinere a ordinii
publice, precum si al altor activitati desfasurate în domeniul dreptului
penal, în limitele si cu restrictiile stabilite de lege.
(6) Prezenta lege
nu se aplica prelucrarilor de date cu caracter personal, efectuate de persoane
fizice exclusiv pentru uzul lor personal, daca datele în cauza nu
sunt destinate a fi dezvaluite.
(7) Prezenta lege
nu se aplica prelucrarilor si transferului de date cu caracter personal,
efectuate în cadrul activitatilor în domeniul apararii nationale
si sigurantei nationale, desfasurate în limitele si cu restrictiile
stabilite de lege.
(8) Prevederile
prezentei legi nu aduc atingere obligatiilor asumate de Romania prin instrumente
juridice ratificate.
Art. 3. -In intelesul prezentei legi, urmatorii termeni se definesc
dupa cum urmeaza:
a) date cu caracter
personal - orice informatii referitoare la o persoana fizica identificata
sau identificabila; o persoana identificabila este acea persoana care poate
fi identificata, direct sau indirect, in mod particular prin referire la
un numar de identificare ori la unul sau la mai multi factori specifici
identitatii sale fizice, fiziologice, psihice, economice, culturale sau
sociale;
b) prelucrarea
datelor cu caracter personal - orice operatiune sau set de operatiuni care
se efectueaza asupra datelor cu caracter personal, prin mijloace automate
sau neautomate, cum ar fi colectarea, inregistrarea, organizarea, stocarea,
adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvaluirea
catre terti prin transmitere, diseminare sau in orice alt mod, alaturarea
ori combinarea, blocarea, stergerea sau distrugerea;
c) stocarea -
pastrarea pe orice fel de suport a datelor cu caracter personal culese;
d) sistem de evidenta
a datelor cu caracter personal - orice structura organizata de date cu caracter
personal, accesibila potrivit unor criterii determinate, indiferent daca
aceasta structura este organizata in mod centralizat ori descentralizat
sau este repartizata dupa criterii functionale ori geografice;
e) operator - orice
persoana fizica sau juridica, de drept privat ori de drept public, inclusiv
autoritatile publice, institutiile si structurile teritoriale ale acestora,
care stabileste scopul si mijloacele de prelucrare a datelor cu caracter
personal; daca scopul si mijloacele de prelucrare a datelor cu caracter personal
sunt determinate printr-un act normativ sau in baza unui act normativ, operator
este persoana fizica sau juridica, de drept public ori de drept privat,
care este desemnata ca operator prin acel act normativ sau in baza acelui
act normativ;
f) persoana imputernicita
de catre operator - o persoana fizica sau juridica, de drept privat ori
de drept public, inclusiv autoritatile publice, institutiile si structurile
teritoriale ale acestora, care prelucreaza date cu caracter personal pe
seama operatorului;
g) tert - orice
persoana fizica sau juridica, de drept privat ori de drept public, inclusiv
autoritatile publice, institutiile si structurile teritoriale ale acestora,
alta decat persoana vizata, operatorul ori persoana imputernicita sau persoanele
care, sub autoritatea directa a operatorului sau a persoanei imputernicite,
sunt autorizate sa prelucreze date;
h) destinatar -
orice persoana fizica sau juridica, de drept privat ori de drept public,
inclusiv autoritatile publice, institutiile si structurile teritoriale ale
acestora, careia ii sunt dezvaluite date, indiferent daca este sau nu tert;
autoritatile publice carora li se comunica date in cadrul unei competente
speciale de ancheta nu vor fi considerate destinatari;
i) date anonime
- date care, datorita originii sau modalitatii specifice de prelucrare,
nu pot fi asociate cu o persoana identificata sau identificabila.
CAPITOLUL II
Reguli generale privind prelucrarea datelor cu caracter
personal
Caracteristicile datelor cu caracter
personal in cadrul prelucrarii
Art. 4. - (1) Datele cu caracter
personal destinate a face obiectul prelucrarii trebuie sa fie:
a) prelucrate
cu buna-credinta si in conformitate cu dispozitiile legale in vigoare;
b) colectate in
scopuri determinate, explicite si legitime; prelucrarea ulterioara a datelor
cu caracter personal in scopuri statistice, de cercetare istorica sau stiintifica
nu va fi considerata incompatibila cu scopul colectarii daca se efectueaza
cu respectarea dispozitiilor prezentei legi, inclusiv a celor care privesc
efectuarea notificarii catre autoritatea de supraveghere, precum si cu respectarea
garantiilor privind prelucrarea datelor cu caracter personal, prevazute
de normele care reglementeaza activitatea statistica ori cercetarea istorica
sau stiintifica;
c) adecvate, pertinente
si neexcesive prin raportare la scopul in care sunt colectate si ulterior
prelucrate;
d) exacte si, daca
este cazul, actualizate; in acest scop se vor lua masurile necesare pentru
ca datele inexacte sau incomplete din punct de vedere al scopului pentru
care sunt colectate si pentru care vor fi ulterior prelucrate, sa fie sterse
sau rectificate;
e) stocate intr-o
forma care sa permita identificarea persoanelor vizate strict pe durata
necesara realizarii scopurilor in care datele sunt colectate si in care
vor fi ulterior prelucrate; stocarea datelor pe o durata mai mare decat
cea mentionata, in scopuri statistice, de cercetare istorica sau stiintifica,
se va face cu respectarea garantiilor privind prelucrarea datelor cu caracter
personal, prevazute in normele care reglementeaza aceste domenii, si numai
pentru perioada necesara realizarii acestor scopuri.
(2) Operatorii
au obligatia sa respecte prevederile alin. (1) si sa asigure indeplinirea
acestor prevederi de catre persoanele imputernicite.
Conditii de legitimitate privind
prelucrarea datelor
Art. 5. - (1) Orice prelucrare de
date cu caracter personal, cu exceptia prelucrarilor care vizeaza date din
categoriile mentionate la art. 7 alin. (1), art. 8 si 10, poate fi efectuata
numai daca persoana vizata si-a dat consimtamantul in mod expres si neechivoc
pentru acea prelucrare.
(2) Consimtamantul
persoanei vizate nu este cerut in urmatoarele cazuri:
a) cand prelucrarea
este necesara in vederea executarii unui contract sau antecontract la care
persoana vizata este parte ori in vederea luarii unor masuri, la cererea
acesteia, inaintea incheierii unui contract sau antecontract;
b) cand prelucrarea
este necesara in vederea protejarii vietii, integritatii fizice sau sanatatii
persoanei vizate ori a unei alte persoane amenintate;
c) cand prelucrarea
este necesara in vederea indeplinirii unei obligatii legale a operatorului;
d) cand prelucrarea
este necesara in vederea aducerii la indeplinire a unor masuri de interes
public sau care vizeaza exercitarea prerogativelor de autoritate publica
cu care este investit operatorul sau tertul caruia ii sunt dezvaluite datele;
e) cand prelucrarea
este necesara in vederea realizarii unui interes legitim al operatorului
sau al tertului caruia ii sunt dezvaluite datele, cu conditia ca acest interes
sa nu prejudicieze interesul sau drepturile si libertatile fundamentale ale
persoanei vizate;
f) cand prelucrarea
priveste date obtinute din documente accesibile publicului, conform legii;
g) cand prelucrarea
este facuta exclusiv in scopuri statistice, de cercetare istorica sau stiintifica,
iar datele raman anonime pe toata durata prelucrarii.
(3) Prevederile
alin. (2) nu aduc atingere dispozitiilor legale care reglementeaza obligatia
autoritatilor publice de a respecta si de a ocroti viata intima, familiala
si privata.
Incheierea operatiunilor de prelucrare
Art. 6. - (1) La incheierea operatiunilor
de prelucrare, daca persoana vizata nu si-a dat in mod expres si neechivoc
consimtamantul pentru o alta destinatie sau pentru o prelucrare ulterioara,
datele cu caracter personal vor fi:
a) distruse;
b) transferate
unui alt operator, cu conditia ca operatorul initial sa garanteze faptul
ca prelucrarile ulterioare au scopuri similare celor in care s-a facut prelucrarea
initiala;
c) transformate
in date anonime si stocate exclusiv in scopuri statistice, de cercetare istorica
sau stiintifica.
(2) În cazul
operatiunilor de prelucrare efectuate in conditiile prevazute la art. 5 alin.
(2) lit. c) sau d), in cadrul activitatilor descrise la art. 2 alin. (5),
operatorul poate stoca datele cu caracter personal pe perioada necesara
realizarii scopurilor concrete urmarite, cu conditia asigurarii unor masuri
corespunzatoare de protejare a acestora, dupa care va proceda la distrugerea
lor daca nu sunt aplicabile prevederile legale privind pastrarea arhivelor.
CAPITOLUL III
Reguli speciale privind prelucrarea datelor cu caracter
personal
Prelucrarea unor categorii speciale
de date
Art. 7. - (1) Prelucrarea datelor
cu caracter personal legate de originea rasiala sau etnica, de convingerile
politice, religioase, filozofice sau de natura similara, de apartenenta
sindicala, precum si a datelor cu caracter personal privind starea de sanatate
sau viata sexuala este interzisa.
(2) Prevederile
alin. (1) nu se aplica in urmatoarele cazuri:
a) cand persoana
vizata si-a dat in mod expres consimtamantul pentru o astfel de prelucrare;
b) cand prelucrarea
este necesara in scopul respectarii obligatiilor sau drepturilor specifice
ale operatorului in domeniul dreptului muncii, cu respectarea garantiilor
prevazute de lege; o eventuala dezvaluire catre un tert a datelor prelucrate
poate fi efectuata numai daca exista o obligatie legala a operatorului in
acest sens sau daca persoana vizata a consimtit expres la aceasta dezvaluire;
c) cand prelucrarea
este necesara pentru protectia vietii, integritatii fizice sau a sanatatii
persoanei vizate ori a altei persoane, in cazul in care persoana vizata
se afla in incapacitate fizica sau juridica de a-si da consimtamantul;
d) cand prelucrarea
este efectuata in cadrul activitatilor sale legitime de catre o fundatie,
asociatie sau de catre orice alta organizatie cu scop nelucrativ si cu specific
politic, filozofic, religios ori sindical, cu conditia ca persoana vizata
sa fie membra a acestei organizatii sau sa intretina cu aceasta, in mod
regulat, relatii care privesc specificul activitatii organizatiei si ca
datele sa nu fie dezvaluite unor terti fara consimtamantul persoanei vizate;
e) cand prelucrarea
se refera la date facute publice in mod manifest de catre persoana vizata;
f) cand prelucrarea
este necesara pentru constatarea, exercitarea sau apararea unui drept in
justitie;
g) cand prelucrarea
este necesara in scopuri de medicina preventiva, de stabilire a diagnosticelor
medicale, de administrare a unor ingrijiri sau tratamente medicale pentru
persoana vizata ori de gestionare a serviciilor de sanatate care actioneaza
in interesul persoanei vizate, cu conditia ca prelucrarea datelor respective
sa fie efectuate de catre ori sub supravegherea unui cadru medical supus
secretului profesional sau de catre ori sub supravegherea unei alte persoane
supuse unei obligatii echivalente in ceea ce priveste secretul;
h) cand legea prevede
in mod expres aceasta in scopul protejarii unui interes public important,
cu conditia ca prelucrarea sa se efectueze cu respectarea drepturilor persoanei
vizate si a celorlalte garantii prevazute de prezenta lege.
(3) Prevederile
alin. (2) nu aduc atingere dispozitiilor legale care reglementeaza obligatia
autoritatilor publice de a respecta si de a ocroti viata intima, familiala
si privata.
(4) Autoritatea
de supraveghere poate dispune, din motive intemeiate, interzicerea efectuarii
unei prelucrari de date din categoriile prevazute la alin. (1), chiar daca
persoana vizata si-a dat in scris si in mod neechivoc consimtamantul, iar
acest consimtamant nu a fost retras, cu conditia ca interdictia prevazuta
la alin. (1) sa nu fie inlaturata prin unul dintre cazurile la care se refera
alin. (2) lit. b)-g).
Prelucrarea datelor cu caracter
personal avand functie de identificare
Art. 8. - (1) Prelucrarea codului
numeric personal sau a altor date cu caracter personal avand o functie de
identificare de aplicabilitate generala poate fi efectuata numai daca:
a) persoana vizata
si-a dat in mod expres consimtamantul; sau
b) prelucrarea
este prevazuta in mod expres de o dispozitie legala.
(2) Autoritatea
de supraveghere poate stabili si alte cazuri in care se poate efectua prelucrarea
datelor prevazute la alin. (1), numai cu conditia instituirii unor garantii
adecvate pentru respectarea drepturilor persoanelor vizate.
Prelucrarea datelor cu caracter
personal privind starea de sanatate
Art. 9. - (1) In afara cazurilor
prevazute la art. 7 alin. (2), prevederile art. 7 alin. (1) nu se aplica
in privinta prelucrarii datelor privind starea de sanatate in urmatoarele
cazuri:
a) daca prelucrarea
este necesara pentru protectia sanatatii publice;
b) daca prelucrarea
este necesara pentru prevenirea unui pericol iminent, pentru prevenirea
savarsirii unei fapte penale sau pentru impiedicarea producerii rezultatului
unei asemenea fapte ori pentru inlaturarea urmarilor prejudiciabile ale unei
asemenea fapte.
(2) Prelucrarea
datelor privind starea de sanatate poate fi efectuata numai de catre ori
sub supravegherea unui cadru medical, cu conditia respectarii secretului
profesional, cu exceptia situatiei in care persoana vizata si-a dat in scris
si in mod neechivoc consimtamantul atata timp cat acest consimtamant nu
a fost retras, precum si cu exceptia situatiei in care prelucrarea este
necesara pentru prevenirea unui pericol iminent, pentru prevenirea savarsirii
unei fapte penale, pentru impiedicarea producerii rezultatului unei asemenea
fapte sau pentru inlaturarea urmarilor sale prejudiciabile.
(3) Cadrele medicale,
institutiile de sanatate si personalul medical al acestora pot prelucra
date cu caracter personal referitoare la starea de sanatate, fara autorizatia
autoritatii de supraveghere, numai daca prelucrarea este necesara pentru
protejarea vietii, integritatii fizice sau sanatatii persoanei vizate. Cand
scopurile mentionate se refera la alte persoane sau la public in general
si persoana vizata nu si-a dat consimtamantul in scris si in mod neechivoc,
trebuie ceruta si obtinuta in prealabil autorizatia autoritatii de supraveghere.
Prelucrarea datelor cu caracter personal in afara limitelor prevazute in
autorizatie este interzisa.
(4) Cu exceptia
motivelor de urgenta, autorizatia prevazuta la alin. (3) poate fi acordata
numai dupa ce a fost consultat Colegiul Medicilor din Romania.
(5) Datele cu caracter
personal privind starea de sanatate pot fi colectate numai de la persoana
vizata. Prin exceptie, aceste date pot fi colectate din alte surse numai
in masura in care este necesar pentru a nu compromite scopurile prelucrarii,
iar persoana vizata nu vrea ori nu le poate furniza.
Prelucrarea datelor cu caracter
personal referitoare la fapte penale sau contraventii
Art. 10. - (1) Prelucrarea datelor
cu caracter personal referitoare la savarsirea de infractiuni de catre persoana
vizata ori la condamnari penale, masuri de siguranta sau sanctiuni administrative
ori contraventionale, aplicate persoanei vizate, poate fi efectuata numai
de catre sau sub controlul autoritatilor publice, in limitele puterilor
ce le sunt conferite prin lege si in conditiile stabilite de legile speciale
care reglementeaza aceste materii.
(2) Autoritatea
de supraveghere poate stabili si alte cazuri in care se poate efectua prelucrarea
datelor prevazute la alin. (1), numai cu conditia instituirii unor garantii
adecvate pentru respectarea drepturilor persoanelor vizate.
(3) Un registru
complet al condamnarilor penale poate fi tinut numai sub controlul unei
autoritati publice, in limitele puterilor ce ii sunt conferite prin lege.
Art. 11. - Prevederile art. 5, 6, 7 si 10 nu se aplica in situatia
in care prelucrarea datelor se face exclusiv in scopuri jurnalistice, literare
sau artistice, daca prelucrarea priveste date cu caracter personal care au
fost facute publice in mod manifest de catre persoana vizata sau care sunt
strans legate de calitatea de persoana publica a persoanei vizate ori de
caracterul public al faptelor in care este implicata.
CAPITOLUL IV
Drepturile persoanei vizate in contextul prelucrarii
datelor
cu caracter personal
Informarea persoanei vizate
Art. 12. - (1) In cazul in care datele
cu caracter personal sunt obtinute direct de la persoana vizata, operatorul
este obligat sa furnizeze persoanei vizate cel putin urmatoarele informatii,
cu exceptia cazului in care aceasta persoana poseda deja informatiile respective:
a) identitatea
operatorului si a reprezentantului acestuia, daca este cazul;
b) scopul in care
se face prelucrarea datelor;
c) informatii
suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor;
daca furnizarea tuturor datelor cerute este obligatorie si consecintele
refuzului de a le furniza; existenta drepturilor prevazute de prezenta lege
pentru persoana vizata, in special a dreptului de acces, de interventie
asupra datelor si de opozitie, precum si conditiile in care pot fi exercitate;
d) orice alte informatii
a caror furnizare este impusa prin dispozitie a autoritatii de supraveghere,
tinand seama de specificul prelucrarii.
(2) In cazul in
care datele nu sunt obtinute direct de la persoana vizata, operatorul este
obligat ca, in momentul colectarii datelor sau, daca se intentioneaza dezvaluirea
acestora catre terti, cel mai tarziu pana in momentul primei dezvaluiri,
sa furnizeze persoanei vizate cel putin urmatoarele informatii, cu exceptia
cazului in care persoana vizata poseda deja informatiile respective:
a) identitatea
operatorului si a reprezentantului acestuia, daca este cazul;
b) scopul in care
se face prelucrarea datelor;
c) informatii suplimentare,
precum: categoriile de date vizate, destinatarii sau categoriile de destinatari
ai datelor, existenta drepturilor prevazute de prezenta lege pentru persoana
vizata, in special a dreptului de acces, de interventie asupra datelor si
de opozitie, precum si conditiile in care pot fi exercitate;
d) orice alte informatii
a caror furnizare este impusa prin dispozitie a autoritatii de supraveghere,
tinand seama de specificul prelucrarii.
(3) Prevederile
alin. (2) nu se aplica atunci cand prelucrarea datelor se efectueaza exclusiv
in scopuri jurnalistice, literare sau artistice, daca aplicarea acestora
ar da indicii asupra surselor de informare.
(4) Prevederile
alin. (2) nu se aplica in cazul in care prelucrarea datelor se face in scopuri
statistice, de cercetare istorica sau stiintifica, ori in orice alte situatii
in care furnizarea unor asemenea informatii se dovedeste imposibila sau
ar implica un efort disproportionat fata de interesul legitim care ar putea
fi lezat, precum si in situatiile in care inregistrarea sau dezvaluirea datelor
este expres prevazuta de lege.
Art. 13. - (1) Orice persoana vizata
are dreptul de a obtine de la operator, la cerere si in mod gratuit pentru
o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau
nu sunt prelucrate de acesta. Operatorul este obligat, in situatia in care
prelucreaza date cu caracter personal care privesc solicitantul, sa comunice
acestuia, impreuna cu confirmarea, cel putin urmatoarele:
a) informatii referitoare
la scopurile prelucrarii, categoriile de date avute in vedere si destinatarii
sau categoriile de destinatari carora le sunt dezvaluite datele;
b) comunicarea
intr-o forma inteligibila a datelor care fac obiectul prelucrarii, precum
si a oricarei informatii disponibile cu privire la originea datelor;
c) informatii asupra
principiilor de functionare a mecanismului prin care se efectueaza orice
prelucrare automata a datelor care vizeaza persoana respectiva;
d) informatii privind
existenta dreptului de interventie asupra datelor si a dreptului de opozitie,
precum si conditiile in care pot fi exercitate;
e) informatii asupra
posibilitatii de a consulta registrul de evidenta a prelucrarilor de date
cu caracter personal, prevazut la art. 24, de a inainta plangere catre autoritatea
de supraveghere, precum si de a se adresa instantei pentru atacarea deciziilor
operatorului, in conformitate cu dispozitiile prezentei legi.
(2) Persoana vizata
poate solicita de la operator informatiile prevazute la alin. (1), printr-o
cerere intocmita in forma scrisa, datata si semnata. In cerere solicitantul
poate arata daca doreste ca informatiile sa ii fie comunicate la o anumita
adresa, care poate fi si de posta electronica, sau printr-un serviciu de
corespondenta care sa asigure ca predarea i se va face numai personal.
(3) Operatorul
este obligat sa comunice informatiile solicitate, in termen de 15 zile de
la data primirii cererii, cu respectarea eventualei optiuni a solicitantului
exprimate potrivit alin. (2).
(4) In cazul datelor
cu caracter personal legate de starea de sanatate, cererea prevazuta la
alin. (2) poate fi introdusa de persoana vizata fie direct, fie prin intermediul
unui cadru medical care va indica in cerere persoana in numele careia este
introdusa. La cererea operatorului sau a persoanei vizate comunicarea prevazuta
la alin. (3) poate fi facuta prin intermediul unui cadru medical desemnat
de persoana vizata.
(5) In cazul in
care datele cu caracter personal legate de starea de sanatate sunt prelucrate
in scop de cercetare stiintifica, daca nu exista, cel putin aparent, riscul
de a se aduce atingere drepturilor persoanei vizate si daca datele nu sunt
utilizate pentru a lua decizii sau masuri fata de o anumita persoana, comunicarea
prevazuta la alin. (3) se poate face si intr-un termen mai mare decat cel
prevazut la acel alineat, in masura in care aceasta ar putea afecta bunul
mers sau rezultatele cercetarii, si nu mai tarziu de momentul in care cercetarea
este incheiata. In acest caz persoana vizata trebuie sa isi fi dat in mod
expres si neechivoc consimtamantul ca datele sa fie prelucrate in scop de
cercetare stiintifica, precum si asupra posibilei amanari a comunicarii prevazute
la alin. (3) din acest motiv.
(6) Prevederile
alin. (2) nu se aplica atunci cand prelucrarea datelor se efectueaza exclusiv
in scopuri jurnalistice, literare sau artistice, daca aplicarea acestora
ar da indicii asupra surselor de informare.
Dreptul de interventie asupra datelor
Art. 14. - (1) Orice persoana vizata
are dreptul de a obtine de la operator, la cerere si in mod gratuit:
a) dupa caz, rectificarea,
actualizarea, blocarea sau stergerea datelor a caror prelucrare nu este
conforma prezentei legi, in special a datelor incomplete sau inexacte;
b) dupa caz, transformarea
in date anonime a datelor a caror prelucrare nu este conforma prezentei
legi;
c) notificarea
catre tertii carora le-au fost dezvaluite datele a oricarei operatiuni efectuate
conform lit. a) sau b), daca aceasta notificare nu se dovedeste imposibila
sau nu presupune un efort disproportionat fata de interesul legitim care
ar putea fi lezat.
(2) Pentru exercitarea
dreptului prevazut la alin. (1) persoana vizata va inainta operatorului
o cerere intocmita in forma scrisa, datata si semnata. In cerere solicitantul
poate arata daca doreste ca informatiile sa ii fie comunicate la o anumita
adresa, care poate fi si de posta electronica, sau printr-un serviciu de
corespondenta care sa asigure ca predarea i se va face numai personal.
(3) Operatorul
este obligat sa comunice masurile luate in temeiul alin. (1), precum si,
daca este cazul, numele tertului caruia i-au fost dezvaluite datele cu caracter
personal referitoare la persoana vizata, in termen de 15 zile de la data
primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate
potrivit alin. (2).
Art. 15. - (1) Persoana vizata are
dreptul de a se opune in orice moment, din motive intemeiate si legitime
legate de situatia sa particulara, ca date care o vizeaza sa faca obiectul
unei prelucrari, cu exceptia cazurilor in care exista dispozitii legale
contrare. In caz de opozitie justificata prelucrarea nu mai poate viza datele
in cauza.
(2) Persoana vizata
are dreptul de a se opune in orice moment, in mod gratuit si fara nici o
justificare, ca datele care o vizeaza sa fie prelucrate in scop de marketing
direct, in numele operatorului sau al unui tert, sau sa fie dezvaluite unor
terti intr-un asemenea scop.
(3) In vederea
exercitarii drepturilor prevazute la alin. (1) si (2) persoana vizata va
inainta operatorului o cerere intocmita in forma scrisa, datata si semnata.
In cerere solicitantul poate arata daca doreste ca informatiile sa ii fie
comunicate la o anumita adresa, care poate fi si de posta electronica, sau
printr-un serviciu de corespondenta care sa asigure ca predarea i se va
face numai personal.
(4) Operatorul
este obligat sa comunice persoanei vizate masurile luate in temeiul alin.
(1) sau (2), precum si, daca este cazul, numele tertului caruia i-au fost
dezvaluite datele cu caracter personal referitoare la persoana vizata, in
termen de 15 zile de la data primirii cererii, cu respectarea eventualei
optiuni a solicitantului exprimate potrivit alin. (3).
Art. 16. - (1) Prevederile art. 12,
13, ale art. 14 alin. (3) si ale art. 15 nu se aplica in cazul activitatilor
prevazute la art. 2 alin. (5), daca prin aplicarea acestora este prejudiciata
eficienta actiunii sau obiectivul urmarit in indeplinirea atributiilor legale
ale autoritatii publice.
(2) Prevederile
alin. (1) sunt aplicabile strict pentru perioada necesara atingerii obiectivului
urmarit prin desfasurarea activitatilor mentionate la art. 2 alin. (5).
(3) Dupa incetarea
situatiei care justifica aplicarea alin. (1) si (2) operatorii care desfasoara
activitatile prevazute la art. 2 alin. (5) vor lua masurile necesare pentru
a asigura respectarea drepturilor persoanelor vizate.
(4) Autoritatile
publice tin evidenta unor astfel de cazuri si informeaza periodic autoritatea
de supraveghere despre modul de solutionare a lor.
Dreptul de a nu fi supus unei decizii
individuale
Art. 17. - (1) Orice persoana are
dreptul de a cere si de a obtine:
a) retragerea
sau anularea oricarei decizii care produce efecte juridice in privinta sa,
adoptata exclusiv pe baza unei prelucrari de date cu caracter personal,
efectuata prin mijloace automate, destinata sa evalueze unele aspecte ale
personalitatii sale, precum competenta profesionala, credibilitatea, comportamentul
sau ori alte asemenea aspecte;
b) reevaluarea
oricarei alte decizii luate in privinta sa, care o afecteaza in mod semnificativ,
daca decizia a fost adoptata exclusiv pe baza unei prelucrari de date care
intruneste conditiile prevazute la lit. a).
(2) Respectandu-se
celelalte garantii prevazute de prezenta lege, o persoana poate fi supusa
unei decizii de natura celei vizate la alin. (1), numai in urmatoarele situatii:
a) decizia este
luata in cadrul incheierii sau executarii unui contract, cu conditia ca
cererea de incheiere sau de executare a contractului, introdusa de persoana
vizata, sa fi fost satisfacuta sau ca unele masuri adecvate, precum posibilitatea
de a-si sustine punctul de vedere, sa garanteze apararea propriului interes
legitim;
b) decizia este
autorizata de o lege care precizeaza masurile ce garanteaza apararea interesului
legitim al persoanei vizate.
Dreptul de a se adresa justitiei
Art. 18. - (1) Fara a se aduce atingere
posibilitatii de a se adresa cu plangere autoritatii de supraveghere, persoanele
vizate au dreptul de a se adresa justitiei pentru apararea oricaror drepturi
garantate de prezenta lege, care le-au fost incalcate.
(2) Orice persoana
care a suferit un prejudiciu in urma unei prelucrari de date cu caracter
personal, efectuata ilegal, se poate adresa instantei competente pentru
repararea acestuia.
(3) Instanta competenta
este cea in a carei raza teritoriala domiciliaza reclamantul. Cererea de
chemare in judecata este scutita de taxa de timbru.
CAPITOLUL V
Confidentialitatea si securitatea prelucrarilor
Confidentialitatea prelucrarilor
Art. 19. - Orice persoana care actioneaza sub autoritatea operatorului
sau a persoanei imputernicite, inclusiv persoana imputernicita, care are
acces la date cu caracter personal, nu poate sa le prelucreze decat pe baza
instructiunilor operatorului, cu exceptia cazului in care actioneaza in
temeiul unei obligatii legale.
Securitatea prelucrarilor
Art. 20. - (1) Operatorul este obligat
sa aplice masurile tehnice si organizatorice adecvate pentru protejarea
datelor cu caracter personal impotriva distrugerii accidentale sau ilegale,
pierderii, modificarii, dezvaluirii sau accesului neautorizat, in special
daca prelucrarea respectiva comporta transmisii de date in cadrul unei retele,
precum si impotriva oricarei alte forme de prelucrare ilegala.
(2) Aceste masuri
trebuie sa asigure, potrivit stadiului tehnicii utilizate in procesul de
prelucrare si de costuri, un nivel de securitate adecvat in ceea ce priveste
riscurile pe care le reprezinta prelucrarea, precum si in ceea ce priveste
natura datelor care trebuie protejate. Cerintele minime de securitate vor
fi elaborate de autoritatea de supraveghere si vor fi actualizate periodic,
corespunzator progresului tehnic si experientei acumulate.
(3) Operatorul,
atunci cand desemneaza o persoana imputernicita, este obligat sa aleaga o
persoana care prezinta suficiente garantii in ceea ce priveste masurile
de securitate tehnica si organizatorice cu privire la prelucrarile ce vor
fi efectuate, precum si sa vegheze la respectarea acestor masuri de catre
persoana desemnata.
(4) Autoritatea
de supraveghere poate decide, in cazuri individuale, asupra obligarii operatorului
la adoptarea unor masuri suplimentare de securitate, cu exceptia celor care
privesc garantarea securitatii serviciilor de telecomunicatii.
(5) Efectuarea
prelucrarilor prin persoane imputernicite trebuie sa se desfasoare in baza
unui contract incheiat in forma scrisa, care va cuprinde in mod obligatoriu:
a) obligatia persoanei
imputernicite de a actiona doar in baza instructiunilor primite de la operator;
b) faptul ca indeplinirea
obligatiilor prevazute la alin. (1) revine si persoanei imputernicite.
CAPITOLUL VI
Supravegherea si controlul prelucrarilor de date cu
caracter personal
Autoritatea de supraveghere
Art. 21. - (1) Autoritatea de supraveghere,
in sensul prezentei legi, este Avocatul Poporului.
(2) Autoritatea
de supraveghere isi desfasoara activitatea in conditii de completa independenta
si impartialitate.
(3) Autoritatea
de supraveghere monitorizeaza si controleaza sub aspectul legalitatii prelucrarile
de date cu caracter personal care cad sub incidenta prezentei legi.
In acest scop autoritatea de supraveghere exercita
urmatoarele atributii:
a) elaboreaza formularele
tipizate ale notificarilor si ale registrelor proprii;
b) primeste si
analizeaza notificarile privind prelucrarea datelor cu caracter personal,
anuntand operatorului rezultatele controlului prealabil;
c) autorizeaza
prelucrarile de date in situatiile prevazute de lege;
d) poate dispune,
in cazul in care constata incalcarea dispozitiilor prezentei legi, suspendarea
provizorie sau incetarea prelucrarii datelor, stergerea partiala ori integrala
a datelor prelucrate si poate sa sesiseze organele de urmarire penala sau
sa intenteze actiuni in justitie;
e) pastreaza si
pune la dispozitie publicului registrul de evidenta a prelucrarilor de date
cu caracter personal;
f) primeste si
solutioneaza plangeri, sesizari sau cereri de la persoanele fizice si comunica
solutia data ori, dupa caz, diligentele depuse;
g) efectueaza investigatii
din oficiu sau la primirea unor plangeri ori sesizari;
h) este consultata
atunci cand se elaboreaza proiecte de acte normative referitoare la protectia
drepturilor si libertatilor persoanelor, in privinta prelucrarii datelor
cu caracter personal;
i) poate face propuneri
privind initierea unor proiecte de acte normative sau modificarea actelor
normative in vigoare in domenii legate de prelucrarea datelor cu caracter
personal;
j) coopereaza cu
autoritatile publice si cu organele administratiei publice, centralizeaza
si analizeaza rapoartele anuale de activitate ale acestora privind protectia
persoanelor in privinta prelucrarii datelor cu caracter personal, formuleaza
recomandari si avize asupra oricarei chestiuni legate de protectia drepturilor
si libertatilor fundamentale in privinta prelucrarii datelor cu caracter
personal, la cererea oricarei persoane, inclusiv a autoritatilor publice
si a organelor administratiei publice; aceste recomandari si avize trebuie
sa faca mentiune despre temeiurile pe care se sprijina si se comunica in
copie si Ministerului Justitiei; atunci cand recomandarea sau avizul este
cerut de lege, se publica in Monitorul Oficial al Romaniei, Partea I;
k) coopereaza cu
autoritatile similare de peste hotare in vederea asistentei mutuale, precum
si cu persoanele cu domiciliul sau cu sediul in strainatate, in scopul apararii
drepturilor si libertatilor fundamentale ce pot fi afectate prin prelucrarea
datelor cu caracter personal;
l) indeplineste
alte atributii prevazute de lege.
(4) Intregul personal
al autoritatii de supraveghere are obligatia de a pastra secretul profesional,
cu exceptiile prevazute de lege, pe termen nelimitat, asupra informatiilor
confidentiale sau clasificate la care are sau a avut acces in exercitarea
atributiilor de serviciu, inclusiv dupa incetarea raporturilor juridice
cu autoritatea de supraveghere.
Notificarea catre autoritatea de
supraveghere
Art. 22. - (1) Operatorul este obligat
sa notifice autoritatii de supraveghere, personal sau prin reprezentant,
inainte de efectuarea oricarei prelucrari ori a oricarui ansamblu de prelucrari
avand acelasi scop sau scopuri corelate.
(2) Notificarea
nu este necesara in cazul in care prelucrarea are ca unic scop tinerea unui
registru destinat prin lege informarii publicului si deschis spre consultare
publicului in general sau oricarei persoane care probeaza un interes legitim,
cu conditia ca prelucrarea sa se limiteze la datele strict necesare tinerii
registrului mentionat.
(3) Notificarea
va cuprinde cel putin urmatoarele informatii:
a) numele sau
denumirea si domiciliul ori sediul operatorului si ale reprezentantului
desemnat al acestuia, daca este cazul;
b) scopul sau
scopurile prelucrarii;
c) o descriere
a categoriei sau a categoriilor de persoane vizate si a datelor ori a categoriilor
de date ce vor fi prelucrate;
d) destinatarii
sau categoriile de destinatari carora se intentioneaza sa li se dezvaluie
datele;
e) garantiile care
insotesc dezvaluirea datelor catre terti;
f) modul in care
persoanele vizate sunt informate asupra drepturilor lor; data estimata pentru
incheierea operatiunilor de prelucrare, precum si destinatia ulterioara
a datelor;
g) transferuri
de date care se intentioneaza sa fie facute catre alte state;
h) o descriere
generala care sa permita aprecierea preliminara a masurilor luate pentru
asigurarea securitatii prelucrarii;
i) specificarea
oricarui sistem de evidenta a datelor cu caracter personal, care are legatura
cu prelucrarea, precum si a eventualelor legaturi cu alte prelucrari de
date sau cu alte sisteme de evidenta a datelor cu caracter personal, indiferent
daca se efectueaza, respectiv daca sunt sau nu sunt situate pe teritoriul
Romaniei;
j) motivele care
justifica aplicarea prevederilor art. 11, art. 12 alin. (3) sau (4) ori
ale art. 13 alin. (5) sau (6), in situatia in care prelucrarea datelor se
face exclusiv in scopuri jurnalistice, literare sau artistice ori in scopuri
statistice, de cercetare istorica sau stiintifica.
(4) Daca notificarea
este incompleta, autoritatea de supraveghere va solicita completarea acesteia.
(5) In limitele
puterilor de investigare de care dispune, autoritatea de supraveghere poate
solicita si alte informatii, in special privind originea datelor, tehnologia
de prelucrare automata utilizata si detalii referitoare la masurile de securitate.
Dispozitiile prezentului alineat nu se aplica in situatia in care prelucrarea
datelor se face exclusiv in scopuri jurnalistice, literare sau artistice.
(6) Daca se intentioneaza
ca datele care sunt prelucrate sa fie transferate in strainatate, notificarea
va cuprinde si urmatoarele elemente:
a) categoriile
de date care vor face obiectul transferului;
b) tara de destinatie
pentru fiecare categorie de date.
(7) Notificarea
este supusa unei taxe care trebuie platita de operator autoritatii de supraveghere.
(8) Autoritatile
publice care efectueaza prelucrari de date cu caracter personal in legatura
cu activitatile descrise la art. 2 alin. (5), in temeiul legii sau in indeplinirea
obligatiilor asumate prin acorduri internationale ratificate, sunt scutite
de taxa prevazuta la alin. (7). Notificarea se va transmite in termen de
15 zile de la intrarea in vigoare a actului normativ care instituie obligatia
respectiva si va cuprinde numai urmatoarele elemente:
a) denumirea si
sediul operatorului;
b) scopul si temeiul
legal al prelucrarii;
c) categoriile
de date cu caracter personal supuse prelucrarii.
(9) Autoritatea
de supraveghere poate stabili si alte situatii in care notificarea nu este
necesara, in afara celei prevazute la alin. (2), sau situatii in care notificarea
se poate efectua intr-o forma simplificata, precum si continutul acesteia,
numai in unul dintre urmatoarele cazuri:
a) atunci cand,
luand in considerare natura datelor destinate sa fie prelucrate, prelucrarea
nu poate afecta, cel putin aparent, drepturile persoanelor vizate, cu conditia
sa precizeze expres scopurile in care se poate face o asemenea prelucrare,
datele sau categoriile de date care pot fi prelucrate, categoria sau categoriile
de persoane vizate, destinatarii sau categoriile de destinatari carora datele
le pot fi dezvaluite si perioada pentru care datele pot fi stocate;
b) atunci cand
prelucrarea se efectueaza in conditiile art. 7 alin. (2) lit. d).
Art. 23. - (1) Autoritatea de supraveghere
va stabili categoriile de operatiuni de prelucrare care sunt susceptibile
de a prezenta riscuri speciale pentru drepturile si libertatile persoanelor.
(2) Daca pe baza
notificarii autoritatea de supraveghere constata ca prelucrarea se incadreaza
in una dintre categoriile mentionate la alin. (1), va dispune obligatoriu
efectuarea unui control prealabil inceperii prelucrarii respective, cu anuntarea
operatorului.
(3) Operatorii
care nu au fost anuntati in termen de 5 zile de la data notificarii despre
efectuarea unui control prealabil pot incepe prelucrarea.
(4) In situatia
prevazuta la alin. (2) autoritatea de supraveghere este obligata ca, in
termen de cel mult 30 de zile de la data notificarii, sa aduca la cunostinta
operatorului rezultatul controlului efectuat, precum si decizia emisa in
urma acestuia.
Registrul de evidenta a prelucrarilor
de date cu caracter personal
Art. 24. - (1) Autoritatea de supraveghere
pastreaza un registru de evidenta a prelucrarilor de date cu caracter personal,
notificate in conformitate cu prevederile art. 22. Registrul va cuprinde
toate informatiile prevazute la art. 22 alin. (3).
(2) Fiecare operator
primeste un numar de inregistrare. Numarul de inregistrare trebuie mentionat
pe orice act prin care datele sunt colectate, stocate sau dezvaluite.
(3) Orice schimbare
de natura sa afecteze exactitatea informatiilor inregistrate va fi comunicata
autoritatii de supraveghere in termen de 5 zile. Autoritatea de supraveghere
va dispune de indata efectuarea mentiunilor corespunzatoare in registru.
(4) Activitatile
de prelucrare a datelor cu caracter personal, incepute anterior intrarii
in vigoare a prezentei legi, vor fi notificate in vederea inregistrarii
in termen de 15 zile de la data intrarii in vigoare a prezentei legi.
(5) Registrul de
evidenta a prelucrarilor de date cu caracter personal este deschis spre
consultare publicului. Modalitatea de consultare se stabileste de autoritatea
de supraveghere.
Plangeri adresate autoritatii de
supraveghere
Art. 25. - (1) In vederea apararii
drepturilor prevazute de prezenta lege persoanele ale caror date cu caracter
personal fac obiectul unei prelucrari care cade sub incidenta prezentei
legi pot inainta plangere catre autoritatea de supraveghere. Plangerea se
poate face direct sau prin reprezentant. Persoana lezata poate imputernici
o asociatie sau o fundatie sa ii reprezinte interesele.
(2) Plangerea catre
autoritatea de supraveghere nu poate fi inaintata daca o cerere in justitie,
avand acelasi obiect si aceleasi parti, a fost introdusa anterior.
(3) In afara cazurilor
in care o intarziere ar cauza un prejudiciu iminent si ireparabil, plangerea
catre autoritatea de supraveghere nu poate fi inaintata mai devreme de 15
zile de la inaintarea unei plangeri cu acelasi continut catre operator.
(4) In vederea
solutionarii plangerii, daca apreciaza ca este necesar, autoritatea de supraveghere
poate audia persoana vizata, operatorul si, daca este cazul, persoana imputernicita
sau asociatia ori fundatia care reprezinta interesele persoanei vizate.
Aceste persoane au dreptul de a inainta cereri, documente si memorii. Autoritatea
de supraveghere poate dispune efectuarea de expertize.
(5) Daca plangerea
este gasita intemeiata, autoritatea de supraveghere poate decide oricare
dintre masurile prevazute la art. 21 alin. (3) lit. d). Interdictia temporara
a prelucrarii poate fi instituita numai pana la incetarea motivelor care
au determinat luarea acestei masuri.
(6) Decizia trebuie
motivata si se comunica partilor interesate in termen de 30 de zile de la
data primirii plangerii.
(7) Autoritatea
de supraveghere poate ordona, daca apreciaza necesar, suspendarea unora
sau tuturor operatiunilor de prelucrare pana la solutionarea plangerii in
conditiile alin. (5).
(8) Autoritatea
de supraveghere se poate adresa justitiei pentru apararea oricaror drepturi
garantate de prezenta lege persoanelor vizate. Instanta competenta este
Tribunalul Municipiului Bucuresti. Cererea de chemare in judecata este scutita
de taxa de timbru.
(9) La cererea
persoanelor vizate, pentru motive intemeiate, instanta poate dispune suspendarea
prelucrarii pana la solutionarea plangerii de catre autoritatea de supraveghere.
(10) Prevederile
alin. (4)-(9) se aplica in mod corespunzator si in situatia in care autoritatea
de supraveghere afla pe orice alta cale despre savarsirea unei incalcari
a drepturilor recunoscute de prezenta lege persoanelor vizate.
Contestarea deciziilor autoritatii
de supraveghere
Art. 26. - (1) Impotriva oricarei
decizii emise de autoritatea de supraveghere in temeiul dispozitiilor prezentei
legi operatorul sau persoana vizata poate formula contestatie in termen
de 15 zile de la comunicare, sub sanctiunea decaderii, la instanta de contencios
administrativ competenta. Cererea se judeca de urgenta, cu citarea partilor.
Solutia este definitiva si irevocabila.
(2) Fac exceptie
de la prevederile alin. (1), precum si de la cele ale art. 23 si 25 prelucrarile
de date cu caracter personal, efectuate in cadrul activitatilor prevazute
la art. 2 alin. (5).
Exercitarea atributiilor de investigare
Art. 27. - (1) Autoritatea de supraveghere
poate investiga, din oficiu sau la primirea unei plangeri, orice incalcare
a drepturilor persoanelor vizate, respectiv a obligatiilor care revin operatorilor
si, dupa caz, persoanelor imputernicite, in cadrul efectuarii prelucrarilor
de date cu caracter personal, in scopul apararii drepturilor si libertatilor
fundamentale ale persoanelor vizate.
(2) Atributiile
de investigare nu pot fi exercitate de catre autoritatea de supraveghere
in cazul in care o cerere in justitie introdusa anterior are ca obiect savarsirea
aceleiasi incalcari a drepturilor si opune aceleasi parti.
(3) In exercitarea
atributiilor de investigare autoritatea de supraveghere poate solicita operatorului
orice informatii legate de prelucrarea datelor cu caracter personal si poate
verifica orice document sau inregistrare referitoare la prelucrarea de date
cu caracter personal.
(4) Secretul de
stat si secretul profesional nu pot fi invocate pentru a impiedica exercitarea
atributiilor acordate prin prezenta lege autoritatii de supraveghere. Atunci
cand este invocata protectia secretului de stat sau a secretului profesional,
autoritatea de supraveghere are obligatia de a pastra secretul.
(5) Daca exercitarea
atributiei de investigare a autoritatii de supraveghere are ca obiect o
prelucrare de date cu caracter personal, efectuata de autoritatile publice
in legatura cu activitatile descrise la art. 2 alin. (5) pentru un caz concret,
este necesara obtinerea acordului prealabil al procurorului sau al instantei
competente.
Art. 28. - (1) Asociatiile profesionale
au obligatia de a elabora si de a supune spre avizare autoritatii de supraveghere
coduri de conduita care sa contina norme adecvate pentru protectia drepturilor
persoanelor ale caror date cu caracter personal pot fi prelucrate de catre
membrii acestora.
(2) Normele de
conduita trebuie sa prevada masuri si proceduri care sa asigure un nivel
satisfacator de protectie, tinand seama de natura datelor ce pot fi prelucrate.
Autoritatea de supraveghere poate dispune masuri si proceduri specifice
pentru perioada in care normele de conduita la care s-a facut referire anterior
nu sunt adoptate.
CAPITOLUL VII
Transferul in strainatate al datelor cu caracter personal
Conditiile transferului in strainatate
al datelor cu caracter personal
Art. 29. - (1) Transferul catre un
alt stat de date cu caracter personal care fac obiectul unei prelucrari
sau sunt destinate sa fie prelucrate dupa transfer poate avea loc numai
in conditiile in care nu se incalca legea romana, iar statul catre care
se intentioneaza transferul asigura un nivel de protectie adecvat.
(2) Nivelul de
protectie va fi apreciat de catre autoritatea de supraveghere, tinand seama
de totalitatea imprejurarilor in care se realizeaza transferul de date,
in special avand in vedere natura datelor transmise, scopul prelucrarii
si durata propusa pentru prelucrare, statul de origine si statul de destinatie
finala, precum si legislatia statului solicitant. In cazul in care autoritatea
de supraveghere constata ca nivelul de protectie oferit de statul de destinatie
este nesatisfacator, poate dispune interzicerea transferului de date.
(3) In toate situatiile
transferul de date cu caracter personal catre un alt stat va face obiectul
unei notificari prealabile a autoritatii de supraveghere.
(4) Autoritatea
de supraveghere poate autoriza transferul de date cu caracter personal catre
un stat a carui legislatie nu prevede un nivel de protectie cel putin egal
cu cel oferit de legea romana atunci cand operatorul ofera garantii suficiente
cu privire la protectia drepturilor fundamentale ale persoanelor. Aceste
garantii trebuie sa fie stabilite prin contracte incheiate intre operatori
si persoanele fizice sau juridice din dispozitia carora se efectueaza transferul.
(5) Prevederile
alin. (2), (3) si (4) nu se aplica daca transferul datelor se face in baza
prevederilor unei legi speciale sau ale unui acord international ratificat
de Romania, in special daca transferul se face in scopul prevenirii, cercetarii
sau reprimarii unei infractiuni.
(6) Prevederile
prezentului articol nu se aplica atunci cand prelucrarea datelor se face
exclusiv in scopuri jurnalistice, literare sau artistice, daca datele au
fost facute publice in mod manifest de catre persoana vizata sau sunt strans
legate de calitatea de persoana publica a persoanei vizate ori de caracterul
public al faptelor in care este implicata.
Situatii in care transferul este
intotdeauna permis
Art. 30. - Transferul de date este intotdeauna permis in urmatoarele
situatii:
a) cand persoana
vizata si-a dat in mod explicit consimtamantul pentru efectuarea transferului;
in cazul in care transferul de date se face in legatura cu oricare dintre
datele prevazute la art. 7, 8 si 10, consimtamantul trebuie dat in scris;
b) cand este necesar
pentru executarea unui contract incheiat intre persoana vizata si operator
sau pentru executarea unor masuri precontractuale dispuse la cererea pesoanei
vizate;
c) cand este necesar
pentru incheierea sau pentru executarea unui contract incheiat ori care
se va incheia, in interesul persoanei vizate, intre operator si un tert;
d) cand este necesar
pentru satisfacerea unui interes public major, precum apararea nationala,
ordinea publica sau siguranta nationala, pentru buna desfasurare a procesului
penal ori pentru constatarea, exercitarea sau apararea unui drept in justitie,
cu conditia ca datele sa fie prelucrate in legatura cu acest scop si nu
mai mult timp decat este necesar;
e) cand este necesar
pentru a proteja viata, integritatea fizica sau sanatatea persoanei vizate;
f) cand intervine
ca urmare a unei cereri anterioare de acces la documente oficiale care sunt
publice ori a unei cereri privind informatii care pot fi obtinute din registre
sau prin orice alte documente accesibile publicului.
CAPITOLUL VIII
Contraventii si sanctiuni
Omisiunea de a notifica si notificarea
cu rea-credinta
Art. 31. - Omisiunea de a efectua notificarea in conditiile art. 22
sau ale art. 29 alin. (3) in situatiile in care aceasta notificare este
obligatorie, precum si notificarea incompleta sau care contine informatii
false constituie contraventii, daca nu sunt savarsite in astfel de conditii
incat sa constituie infractiuni, si se sanctioneaza cu amenda de la 5.000.000
lei la 100.000.000 lei.
Prelucrarea nelegala a datelor
cu caracter personal
Art. 32. - Prelucrarea datelor cu caracter personal de catre un operator
sau de o persoana imputernicita de acesta, cu incalcarea prevederilor art.
4-10 sau cu nesocotirea drepturilor prevazute la art. 12-15 sau la art.
17, constituie contraventie, daca nu este savarsita in astfel de conditii
incat sa constituie infractiune, si se sanctioneaza cu amenda de la 10.000.000
lei la 250.000.000 lei.
Neindeplinirea obligatiilor privind
confidentialitatea si aplicarea masurilor de securitate
Art. 33. - Neindeplinirea obligatiilor privind aplicarea masurilor
de securitate si de pastrare a confidentialitatii prelucrarilor, prevazute
la art. 19 si 20, constituie contraventie, daca nu este savarsita in astfel
de conditii incat sa constituie infractiune, si se sanctioneaza cu amenda
de la 15.000.000 lei la 500.000.000 lei.
Refuzul de a furniza informatii
Art. 34. - Refuzul de a furniza autoritatii de supraveghere informatiile
sau documentele cerute de aceasta in exercitarea atributiilor de investigare
prevazute la art. 27 constituie contraventie, daca nu este savarsita in
astfel de conditii incat sa constituie infractiune, si se sanctioneaza cu
amenda de la 10.000.000 lei la 150.000.000 lei.
Constatarea contraventiilor si
aplicarea sanctiunilor
Art. 35. - (1) Constatarea contraventiilor
si aplicarea sanctiunilor se efectueaza de catre autoritatea de supraveghere,
care poate delega aceste atributii unor persoane recrutate din randul personalului
sau, precum si de reprezentanti imputerniciti ai organelor cu atributii
de supraveghere si control, abilitate potrivit legii.
(2) Dispozitiile
prezentei legi referitoare la contraventii se completeaza cu prevederile
Ordonantei Guvernului nr.
2/2001 privind regimul juridic al contraventiilor,
in masura in care prezenta lege nu dispune altfel.
(3) Impotriva proceselor-verbale
de constatare si sanctionare se poate face plangere la sectiile de contencios
administrativ ale tribunalelor.
CAPITOLUL IX
Dispozitii finale
Art. 36. - Prezenta lege intra in vigoare la data publicarii ei in
Monitorul Oficial al Romaniei, Partea I, si se pune in aplicare in termen
de 3 luni de la intrarea sa in vigoare.
PRESEDINTELE SENATULUI
NICOLAE VÃCÃROIU
Aceasta lege a fost adoptata de Camera Deputatilor
in sedinta din 22 octombrie 2001, cu respectarea prevederilor art. 74 alin.
(2) din Constitutia Romaniei.
PRESEDINTELE CAMEREI DEPUTAÞILOR
VALER DORNEANU
Bucuresti, 21 noiembrie 2001.
Nr. 677.
Data adoptarii in Senat: 10/15/2001
Data adoptarii in Camera Deputatilor: 10/22/2001
Data promulgarii: 11/21/2001
Data intrarii in vigoare: 12/12/2001