Lege nr. 677 din 21 noiembrie 2001
pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date

Publicat în Monitorul Oficial, Partea I nr. 790 din 12 decembrie 2001

Modificată prin Legea nr.102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările şi completările ulterioare, şi OUG nr.36/2007 pentru abrogarea Legii nr. 476/2003 privind aprobarea taxei de notificare a prelucrărilor de date cu caracter personal, care cad sub incidenţa Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi a alin. (7) al art. 22 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date

CAPITOLUL I

Dispoziţii generale

Scop

Art. 1. - (1) Prezenta lege are ca scop garantarea şi protejarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special a dreptului la viaţa intimă, familială şi privată, cu privire la prelucrarea datelor cu caracter personal.
   (2) Exercitarea drepturilor prevăzute în prezenta lege nu poate fi restrânsă decât în cazuri expres ÅŸi limitativ prevăzute de lege.

Domeniu de aplicare

Art. 2. - (1) Prezenta lege se aplică prelucrărilor de date cu caracter personal, efectuate, în tot sau în parte, prin mijloace automate, precum şi prelucrării prin alte mijloace decât cele automate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţă sau care sunt destinate să fie incluse într-un asemenea sistem.
   (2) Prezenta lege se aplică:
   a) prelucrărilor de date cu caracter personal, efectuate în cadrul activităţilor desfăşurate de operatori stabiliÅ£i în România;
   b) prelucrărilor de date cu caracter personal, efectuate în cadrul activităţilor desfăşurate de misiunile diplomatice sau de oficiile consulare ale României;
   c) prelucrărilor de date cu caracter personal, efectuate în cadrul activităţilor desfăşurate de operatori care nu sunt stabiliÅ£i în România, prin utilizarea de mijloace de orice natură situate pe teritoriul României, cu excepÅ£ia cazului în care aceste mijloace nu sunt utilizate decât în scopul tranzitării pe teritoriul României a datelor cu caracter personal care fac obiectul prelucrărilor respective.
   (3) ÃŽn cazul prevăzut la alin. (2) lit. c) operatorul îşi va desemna un reprezentant care trebuie să fie o persoană stabilită în România. Prevederile prezentei legi aplicabile operatorului sunt aplicabile ÅŸi reprezentantului acestuia, fără a aduce atingere posibilităţii de a introduce acÅ£iune în justiÅ£ie direct împotriva operatorului.
   (4) Prezenta lege se aplică prelucrărilor de date cu caracter personal efectuate de persoane fizice sau juridice, române ori străine, de drept public sau de drept privat, indiferent dacă au loc în sectorul public sau în sectorul privat.
   (5) ÃŽn limitele prevăzute de prezenta lege, aceasta se aplică ÅŸi prelucrărilor ÅŸi transferului de date cu caracter personal, efectuate în cadrul activităţilor de prevenire, cercetare ÅŸi reprimare a infracÅ£iunilor ÅŸi de menÅ£inere a ordinii publice, precum ÅŸi al altor activităţi desfăşurate în domeniul dreptului penal, în limitele ÅŸi cu restricÅ£iile stabilite de lege.
   (6) Prezenta lege nu se aplică prelucrărilor de date cu caracter personal, efectuate de persoane fizice exclusiv pentru uzul lor personal, dacă datele în cauză nu sunt destinate a fi dezvăluite.
   (7) Prezenta lege nu se aplică prelucrărilor ÅŸi transferului de date cu caracter personal, efectuate în cadrul activităţilor în domeniul apărării naÅ£ionale ÅŸi siguranÅ£ei naÅ£ionale, desfăşurate în limitele ÅŸi cu restricÅ£iile stabilite de lege.
   (8) Prevederile prezentei legi nu aduc atingere obligaÅ£iilor asumate de România prin instrumente juridice ratificate.

Definiţii

   Art. 3. - ÃŽn înÅ£elesul prezentei legi, următorii termeni se definesc după cum urmează:
   a) date cu caracter personal - orice informaÅ£ii referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulÅ£i factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
   b) prelucrarea datelor cu caracter personal - orice operaÅ£iune sau set de operaÅ£iuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvăluirea către terÅ£i prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ÅŸtergerea sau distrugerea;
   c) stocarea - păstrarea pe orice fel de suport a datelor cu caracter personal culese;
   d) sistem de evidenţă a datelor cu caracter personal - orice structură organizată de date cu caracter personal, accesibilă potrivit unor criterii determinate, indiferent dacă această structură este organizată în mod centralizat ori descentralizat sau este repartizată după criterii funcÅ£ionale ori geografice;
   e) operator - orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituÅ£iile ÅŸi structurile teritoriale ale acestora, care stabileÅŸte scopul ÅŸi mijloacele de prelucrare a datelor cu caracter personal; dacă scopul ÅŸi mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau în baza unui act normativ, operator este persoana fizică sau juridică, de drept public ori de drept privat, care este desemnată ca operator prin acel act normativ sau în baza acelui act normativ;
   f) persoană împuternicită de către operator - o persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituÅ£iile ÅŸi structurile teritoriale ale acestora, care prelucrează date cu caracter personal pe seama operatorului;
   g) terÅ£ - orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituÅ£iile ÅŸi structurile teritoriale ale acestora, alta decât persoana vizată, operatorul ori persoana împuternicită sau persoanele care, sub autoritatea directă a operatorului sau a persoanei împuternicite, sunt autorizate să prelucreze date;
   h) destinatar - orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autorităţile publice, instituÅ£iile ÅŸi structurile teritoriale ale acestora, căreia îi sunt dezvăluite date, indiferent dacă este sau nu terÅ£; autorităţile publice cărora li se comunică date în cadrul unei competenÅ£e speciale de anchetă nu vor fi considerate destinatari;
   i) date anonime - date care, datorită originii sau modalităţii specifice de prelucrare, nu pot fi asociate cu o persoană identificată sau identificabilă.

CAPITOLUL II
Reguli generale privind prelucrarea datelor cu caracter personal

Caracteristicile datelor cu caracter personal în cadrul prelucrării

Art. 4. - (1) Datele cu caracter personal destinate a face obiectul prelucrării trebuie să fie:
   a) prelucrate cu bună-credinţă ÅŸi în conformitate cu dispoziÅ£iile legale în vigoare;
   b) colectate în scopuri determinate, explicite ÅŸi legitime; prelucrarea ulterioară a datelor cu caracter personal în scopuri statistice, de cercetare istorică sau ÅŸtiinÅ£ifică nu va fi considerată incompatibilă cu scopul colectării dacă se efectuează cu respectarea dispoziÅ£iilor prezentei legi, inclusiv a celor care privesc efectuarea notificării către autoritatea de supraveghere, precum ÅŸi cu respectarea garanÅ£iilor privind prelucrarea datelor cu caracter personal, prevăzute de normele care reglementează activitatea statistică ori cercetarea istorică sau ÅŸtiinÅ£ifică;
   c) adecvate, pertinente ÅŸi neexcesive prin raportare la scopul în care sunt colectate ÅŸi ulterior prelucrate;
   d) exacte ÅŸi, dacă este cazul, actualizate; în acest scop se vor lua măsurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate ÅŸi pentru care vor fi ulterior prelucrate, să fie ÅŸterse sau rectificate;
   e) stocate într-o formă care să permită identificarea persoanelor vizate strict pe durata necesară realizării scopurilor în care datele sunt colectate ÅŸi în care vor fi ulterior prelucrate; stocarea datelor pe o durată mai mare decât cea menÅ£ionată, în scopuri statistice, de cercetare istorică sau ÅŸtiinÅ£ifică, se va face cu respectarea garanÅ£iilor privind prelucrarea datelor cu caracter personal, prevăzute în normele care reglementează aceste domenii, ÅŸi numai pentru perioada necesară realizării acestor scopuri.
   (2) Operatorii au obligaÅ£ia să respecte prevederile alin. (1) ÅŸi să asigure îndeplinirea acestor prevederi de către persoanele împuternicite.

Condiţii de legitimitate privind prelucrarea datelor

Art. 5. - (1) Orice prelucrare de date cu caracter personal, cu excepţia prelucrărilor care vizează date din categoriile menţionate la art. 7 alin. (1), art. 8 şi 10, poate fi efectuată numai dacă persoana vizată şi-a dat consimţământul în mod expres şi neechivoc pentru acea prelucrare.
   (2) Consimţământul persoanei vizate nu este cerut în următoarele cazuri:
   a) când prelucrarea este necesară în vederea executării unui contract sau antecontract la care persoana vizată este parte ori în vederea luării unor măsuri, la cererea acesteia, înaintea încheierii unui contract sau antecontract;
   b) când prelucrarea este necesară în vederea protejării vieÅ£ii, integrităţii fizice sau sănătăţii persoanei vizate ori a unei alte persoane ameninÅ£ate;
   c) când prelucrarea este necesară în vederea îndeplinirii unei obligaÅ£ii legale a operatorului;
   d) când prelucrarea este necesară în vederea aducerii la îndeplinire a unor măsuri de interes public sau care vizează exercitarea prerogativelor de autoritate publică cu care este învestit operatorul sau terÅ£ul căruia îi sunt dezvăluite datele;
   e) când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau al terÅ£ului căruia îi sunt dezvăluite datele, cu condiÅ£ia ca acest interes să nu prejudicieze interesul sau drepturile ÅŸi libertăţile fundamentale ale persoanei vizate;
   f) când prelucrarea priveÅŸte date obÅ£inute din documente accesibile publicului, conform legii;
   g) când prelucrarea este făcută exclusiv în scopuri statistice, de cercetare istorică sau ÅŸtiinÅ£ifică, iar datele rămân anonime pe toată durata prelucrării.
   (3) Prevederile alin. (2) nu aduc atingere dispoziÅ£iilor legale care reglementează obligaÅ£ia autorităţilor publice de a respecta ÅŸi de a ocroti viaÅ£a intimă, familială ÅŸi privată.

Încheierea operaţiunilor de prelucrare

Art. 6. - (1) La încheierea operaţiunilor de prelucrare, dacă persoana vizată nu şi-a dat în mod expres şi neechivoc consimţământul pentru o altă destinaţie sau pentru o prelucrare ulterioară, datele cu caracter personal vor fi:
   a) distruse;
   b) transferate unui alt operator, cu condiÅ£ia ca operatorul iniÅ£ial să garanteze faptul că prelucrările ulterioare au scopuri similare celor în care s-a făcut prelucrarea iniÅ£ială;
   c) transformate în date anonime ÅŸi stocate exclusiv în scopuri statistice, de cercetare istorică sau ÅŸtiinÅ£ifică.
   (2) ÃŽn cazul operaÅ£iunilor de prelucrare efectuate în condiÅ£iile prevăzute la art. 5 alin. (2) lit. c) sau d), în cadrul activităţilor descrise la art. 2 alin. (5), operatorul poate stoca datele cu caracter personal pe perioada necesară realizării scopurilor concrete urmărite, cu condiÅ£ia asigurării unor măsuri corespunzătoare de protejare a acestora, după care va proceda la distrugerea lor dacă nu sunt aplicabile prevederile legale privind păstrarea arhivelor.

CAPITOLUL III
Reguli speciale privind prelucrarea datelor cu caracter personal

Prelucrarea unor categorii speciale de date

Art. 7. - (1) Prelucrarea datelor cu caracter personal legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice sau de natură similară, de apartenenţa sindicală, precum şi a datelor cu caracter personal privind starea de sănătate sau viaţa sexuală este interzisă.
   (2) Prevederile alin. (1) nu se aplică în următoarele cazuri:
   a) când persoana vizată ÅŸi-a dat în mod expres consimţământul pentru o astfel de prelucrare;
   b) când prelucrarea este necesară în scopul respectării obligaÅ£iilor sau drepturilor specifice ale operatorului în domeniul dreptului muncii, cu respectarea garanÅ£iilor prevăzute de lege; o eventuală dezvăluire către un terÅ£ a datelor prelucrate poate fi efectuată numai dacă există o obligaÅ£ie legală a operatorului în acest sens sau dacă persoana vizată a consimÅ£it expres la această dezvăluire;
   c) când prelucrarea este necesară pentru protecÅ£ia vieÅ£ii, integrităţii fizice sau a sănătăţii persoanei vizate ori a altei persoane, în cazul în care persoana vizată se află în incapacitate fizică sau juridică de a-ÅŸi da consimţământul;
   d) când prelucrarea este efectuată în cadrul activităţilor sale legitime de către o fundaÅ£ie, asociaÅ£ie sau de către orice altă organizaÅ£ie cu scop nelucrativ ÅŸi cu specific politic, filozofic, religios ori sindical, cu condiÅ£ia ca persoana vizată să fie membră a acestei organizaÅ£ii sau să întreÅ£ină cu aceasta, în mod regulat, relaÅ£ii care privesc specificul activităţii organizaÅ£iei ÅŸi ca datele să nu fie dezvăluite unor terÅ£i fără consimţământul persoanei vizate;
   e) când prelucrarea se referă la date făcute publice în mod manifest de către persoana vizată;
   f) când prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în justiÅ£ie;
   g) când prelucrarea este necesară în scopuri de medicină preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizată ori de gestionare a serviciilor de sănătate care acÅ£ionează în interesul persoanei vizate, cu condiÅ£ia ca prelucrarea datelor respective să fie efectuate de către ori sub supravegherea unui cadru medical supus secretului profesional sau de către ori sub supravegherea unei alte persoane supuse unei obligaÅ£ii echivalente în ceea ce priveÅŸte secretul;
   h) când legea prevede în mod expres aceasta în scopul protejării unui interes public important, cu condiÅ£ia ca prelucrarea să se efectueze cu respectarea drepturilor persoanei vizate ÅŸi a celorlalte garanÅ£ii prevăzute de prezenta lege.
   (3) Prevederile alin. (2) nu aduc atingere dispoziÅ£iilor legale care reglementează obligaÅ£ia autorităţilor publice de a respecta ÅŸi de a ocroti viaÅ£a intimă, familială ÅŸi privată.
   (4) Autoritatea de supraveghere poate dispune, din motive întemeiate, interzicerea efectuării unei prelucrări de date din categoriile prevăzute la alin. (1), chiar dacă persoana vizată ÅŸi-a dat în scris ÅŸi în mod neechivoc consimţământul, iar acest consimţământ nu a fost retras, cu condiÅ£ia ca interdicÅ£ia prevăzută la alin. (1) să nu fie înlăturată prin unul dintre cazurile la care se referă alin. (2) lit. b)-g).

Prelucrarea datelor cu caracter personal având funcţie de identificare

Art. 8. - (1) Prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală poate fi efectuată numai dacă:
   a) persoana vizată ÅŸi-a dat în mod expres consimţământul; sau
   b) prelucrarea este prevăzută în mod expres de o dispoziÅ£ie legală.
   (2) Autoritatea de supraveghere poate stabili ÅŸi alte cazuri în care se poate efectua prelucrarea datelor prevăzute la alin. (1), numai cu condiÅ£ia instituirii unor garanÅ£ii adecvate pentru respectarea drepturilor persoanelor vizate.

Prelucrarea datelor cu caracter personal privind starea de sănătate

   Art. 9. - (1) ÃŽn afara cazurilor prevăzute la art. 7 alin. (2), prevederile art. 7 alin. (1) nu se aplică în privinÅ£a prelucrării datelor privind starea de sănătate în următoarele cazuri:
   a) dacă prelucrarea este necesară pentru protecÅ£ia sănătăţii publice;
   b) dacă prelucrarea este necesară pentru prevenirea unui pericol iminent, pentru prevenirea săvârÅŸirii unei fapte penale sau pentru împiedicarea producerii rezultatului unei asemenea fapte ori pentru înlăturarea urmărilor prejudiciabile ale unei asemenea fapte.
   (2) Prelucrarea datelor privind starea de sănătate poate fi efectuată numai de către ori sub supravegherea unui cadru medical, cu condiÅ£ia respectării secretului profesional, cu excepÅ£ia situaÅ£iei în care persoana vizată ÅŸi-a dat în scris ÅŸi în mod neechivoc consimţământul atâta timp cât acest consimţământ nu a fost retras, precum ÅŸi cu excepÅ£ia situaÅ£iei în care prelucrarea este necesară pentru prevenirea unui pericol iminent, pentru prevenirea săvârÅŸirii unei fapte penale, pentru împiedicarea producerii rezultatului unei asemenea fapte sau pentru înlăturarea urmărilor sale prejudiciabile.
   (3) Cadrele medicale, instituÅ£iile de sănătate ÅŸi personalul medical al acestora pot prelucra date cu caracter personal referitoare la starea de sănătate, fără autorizaÅ£ia autorităţii de supraveghere, numai dacă prelucrarea este necesară pentru protejarea vieÅ£ii, integrităţii fizice sau sănătăţii persoanei vizate. Când scopurile menÅ£ionate se referă la alte persoane sau la public în general ÅŸi persoana vizată nu ÅŸi-a dat consimţământul în scris ÅŸi în mod neechivoc, trebuie cerută ÅŸi obÅ£inută în prealabil autorizaÅ£ia autorităţii de supraveghere. Prelucrarea datelor cu caracter personal în afara limitelor prevăzute în autorizaÅ£ie este interzisă.
   (4) Cu excepÅ£ia motivelor de urgenţă, autorizaÅ£ia prevăzută la alin. (3) poate fi acordată numai după ce a fost consultat Colegiul Medicilor din România.
   (5) Datele cu caracter personal privind starea de sănătate pot fi colectate numai de la persoana vizată. Prin excepÅ£ie, aceste date pot fi colectate din alte surse numai în măsura în care este necesar pentru a nu compromite scopurile prelucrării, iar persoana vizată nu vrea ori nu le poate furniza.

Prelucrarea datelor cu caracter personal referitoare la fapte
penale sau contravenţii

   Art. 10. - (1) Prelucrarea datelor cu caracter personal referitoare la săvârÅŸirea de infracÅ£iuni de către persoana vizată ori la condamnări penale, măsuri de siguranţă sau sancÅ£iuni administrative ori contravenÅ£ionale, aplicate persoanei vizate, poate fi efectuată numai de către sau sub controlul autorităţilor publice, în limitele puterilor ce le sunt conferite prin lege ÅŸi în condiÅ£iile stabilite de legile speciale care reglementează aceste materii.
   (2) Autoritatea de supraveghere poate stabili ÅŸi alte cazuri în care se poate efectua prelucrarea datelor prevăzute la alin. (1), numai cu condiÅ£ia instituirii unor garanÅ£ii adecvate pentru respectarea drepturilor persoanelor vizate.
   (3) Un registru complet al condamnărilor penale poate fi Å£inut numai sub controlul unei autorităţi publice, în limitele puterilor ce îi sunt conferite prin lege.

Excepţii

   Art. 11. - Prevederile art. 5, 6, 7 ÅŸi 10 nu se aplică în situaÅ£ia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice, dacă prelucrarea priveÅŸte date cu caracter personal care au fost făcute publice în mod manifest de către persoana vizată sau care sunt strâns legate de calitatea de persoană publică a persoanei vizate ori de caracterul public al faptelor în care este implicată.

  CAPITOLUL IV
  Drepturile persoanei vizate în contextul prelucrării datelor cu caracter personal

    Informarea persoanei vizate

   Art. 12. - (1) ÃŽn cazul în care datele cu caracter personal sunt obÅ£inute direct de la persoana vizată, operatorul este obligat să furnizeze persoanei vizate cel puÅ£in următoarele informaÅ£ii, cu excepÅ£ia cazului în care această persoană posedă deja informaÅ£iile respective:
   a) identitatea operatorului ÅŸi a reprezentantului acestuia, dacă este cazul;
   b) scopul în care se face prelucrarea datelor;
   c) informaÅ£ii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; dacă furnizarea tuturor datelor cerute este obligatorie ÅŸi consecinÅ£ele refuzului de a le furniza; existenÅ£a drepturilor prevăzute de prezenta lege pentru persoana vizată, în special a dreptului de acces, de intervenÅ£ie asupra datelor ÅŸi de opoziÅ£ie, precum ÅŸi condiÅ£iile în care pot fi exercitate;
   d) orice alte informaÅ£ii a căror furnizare este impusă prin dispoziÅ£ie a autorităţii de supraveghere, Å£inând seama de specificul prelucrării.
   (2) ÃŽn cazul în care datele nu sunt obÅ£inute direct de la persoana vizată, operatorul este obligat ca, în momentul colectării datelor sau, dacă se intenÅ£ionează dezvăluirea acestora către terÅ£i, cel mai târziu până în momentul primei dezvăluiri, să furnizeze persoanei vizate cel puÅ£in următoarele informaÅ£ii, cu excepÅ£ia cazului în care persoana vizată posedă deja informaÅ£iile respective:
   a) identitatea operatorului ÅŸi a reprezentantului acestuia, dacă este cazul;
   b) scopul în care se face prelucrarea datelor;
   c) informaÅ£ii suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari ai datelor, existenÅ£a drepturilor prevăzute de prezenta lege pentru persoana vizată, în special a dreptului de acces, de intervenÅ£ie asupra datelor ÅŸi de opoziÅ£ie, precum ÅŸi condiÅ£iile în care pot fi exercitate;
   d) orice alte informaÅ£ii a căror furnizare este impusă prin dispoziÅ£ie a autorităţii de supraveghere, Å£inând seama de specificul prelucrării.
   (3) Prevederile alin. (2) nu se aplică atunci când prelucrarea datelor se efectuează exclusiv în scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor de informare.
   (4) Prevederile alin. (2) nu se aplică în cazul în care prelucrarea datelor se face în scopuri statistice, de cercetare istorică sau ÅŸtiinÅ£ifică, ori în orice alte situaÅ£ii în care furnizarea unor asemenea informaÅ£ii se dovedeÅŸte imposibilă sau ar implica un efort disproporÅ£ionat faţă de interesul legitim care ar putea fi lezat, precum ÅŸi în situaÅ£iile în care înregistrarea sau dezvăluirea datelor este expres prevăzută de lege.

Dreptul de acces la date

   Art. 13. - (1) Orice persoană vizată are dreptul de a obÅ£ine de la operator, la cerere ÅŸi în mod gratuit pentru o solicitare pe an, confirmarea faptului că datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, în situaÅ£ia în care prelucrează date cu caracter personal care privesc solicitantul, să comunice acestuia, împreună cu confirmarea, cel puÅ£in următoarele:
   a) informaÅ£ii referitoare la scopurile prelucrării, categoriile de date avute în vedere ÅŸi destinatarii sau categoriile de destinatari cărora le sunt dezvăluite datele;
   b) comunicarea într-o formă inteligibilă a datelor care fac obiectul prelucrării, precum ÅŸi a oricărei informaÅ£ii disponibile cu privire la originea datelor;
   c) informaÅ£ii asupra principiilor de funcÅ£ionare a mecanismului prin care se efectuează orice prelucrare automată a datelor care vizează persoana respectivă;
   d) informaÅ£ii privind existenÅ£a dreptului de intervenÅ£ie asupra datelor ÅŸi a dreptului de opoziÅ£ie, precum ÅŸi condiÅ£iile în care pot fi exercitate;
   e) informaÅ£ii asupra posibilităţii de a consulta registrul de evidenţă a prelucrărilor de date cu caracter personal, prevăzut la art. 24, de a înainta plângere către autoritatea de supraveghere, precum ÅŸi de a se adresa instanÅ£ei pentru atacarea deciziilor operatorului, în conformitate cu dispoziÅ£iile prezentei legi.
   (2) Persoana vizată poate solicita de la operator informaÅ£iile prevăzute la alin. (1), printr-o cerere întocmită în formă scrisă, datată ÅŸi semnată. ÃŽn cerere solicitantul poate arăta dacă doreÅŸte ca informaÅ£iile să îi fie comunicate la o anumită adresă, care poate fi ÅŸi de poÅŸtă electronică, sau printr-un serviciu de corespondenţă care să asigure că predarea i se va face numai personal.
   (3) Operatorul este obligat să comunice informaÅ£iile solicitate, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opÅ£iuni a solicitantului exprimate potrivit alin. (2).
   (4) ÃŽn cazul datelor cu caracter personal legate de starea de sănătate, cererea prevăzută la alin. (2) poate fi introdusă de persoana vizată fie direct, fie prin intermediul unui cadru medical care va indica în cerere persoana în numele căreia este introdusă. La cererea operatorului sau a persoanei vizate comunicarea prevăzută la alin. (3) poate fi făcută prin intermediul unui cadru medical desemnat de persoana vizată.
   (5) ÃŽn cazul în care datele cu caracter personal legate de starea de sănătate sunt prelucrate în scop de cercetare ÅŸtiinÅ£ifică, dacă nu există, cel puÅ£in aparent, riscul de a se aduce atingere drepturilor persoanei vizate ÅŸi dacă datele nu sunt utilizate pentru a lua decizii sau măsuri faţă de o anumită persoană, comunicarea prevăzută la alin. (3) se poate face ÅŸi într-un termen mai mare decât cel prevăzut la acel alineat, în măsura în care aceasta ar putea afecta bunul mers sau rezultatele cercetării, ÅŸi nu mai târziu de momentul în care cercetarea este încheiată. ÃŽn acest caz persoana vizată trebuie să îşi fi dat în mod expres ÅŸi neechivoc consimţământul ca datele să fie prelucrate în scop de cercetare ÅŸtiinÅ£ifică, precum ÅŸi asupra posibilei amânări a comunicării prevăzute la alin. (3) din acest motiv.
   (6) Prevederile alin. (2) nu se aplică atunci când prelucrarea datelor se efectuează exclusiv în scopuri jurnalistice, literare sau artistice, dacă aplicarea acestora ar da indicii asupra surselor de informare.

Dreptul de intervenţie asupra datelor

   Art. 14. - (1) Orice persoană vizată are dreptul de a obÅ£ine de la operator, la cerere ÅŸi în mod gratuit:
   a) după caz, rectificarea, actualizarea, blocarea sau ÅŸtergerea datelor a căror prelucrare nu este conformă prezentei legi, în special a datelor incomplete sau inexacte;
   b) după caz, transformarea în date anonime a datelor a căror prelucrare nu este conformă prezentei legi;
   c) notificarea către terÅ£ii cărora le-au fost dezvăluite datele a oricărei operaÅ£iuni efectuate conform lit. a) sau b), dacă această notificare nu se dovedeÅŸte imposibilă sau nu presupune un efort disproporÅ£ionat faţă de interesul legitim care ar putea fi lezat.
   (2) Pentru exercitarea dreptului prevăzut la alin. (1) persoana vizată va înainta operatorului o cerere întocmită în formă scrisă, datată ÅŸi semnată. ÃŽn cerere solicitantul poate arăta dacă doreÅŸte ca informaÅ£iile să îi fie comunicate la o anumită adresă, care poate fi ÅŸi de poÅŸtă electronică, sau printr-un serviciu de corespondenţă care să asigure că predarea i se va face numai personal.
   (3) Operatorul este obligat să comunice măsurile luate în temeiul alin. (1), precum ÅŸi, dacă este cazul, numele terÅ£ului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizată, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opÅ£iuni a solicitantului exprimate potrivit alin. (2).

Dreptul de opoziţie

   Art. 15. - (1) Persoana vizată are dreptul de a se opune în orice moment, din motive întemeiate ÅŸi legitime legate de situaÅ£ia sa particulară, ca date care o vizează să facă obiectul unei prelucrări, cu excepÅ£ia cazurilor în care există dispoziÅ£ii legale contrare. ÃŽn caz de opoziÅ£ie justificată prelucrarea nu mai poate viza datele în cauză.
   (2) Persoana vizată are dreptul de a se opune în orice moment, în mod gratuit ÅŸi fără nici o justificare, ca datele care o vizează să fie prelucrate în scop de marketing direct, în numele operatorului sau al unui terÅ£, sau să fie dezvăluite unor terÅ£i într-un asemenea scop.
   (3) ÃŽn vederea exercitării drepturilor prevăzute la alin. (1) ÅŸi (2) persoana vizată va înainta operatorului o cerere întocmită în formă scrisă, datată ÅŸi semnată. ÃŽn cerere solicitantul poate arăta dacă doreÅŸte ca informaÅ£iile să îi fie comunicate la o anumită adresă, care poate fi ÅŸi de poÅŸtă electronică, sau printr-un serviciu de corespondenţă care să asigure că predarea i se va face numai personal.
   (4) Operatorul este obligat să comunice persoanei vizate măsurile luate în temeiul alin. (1) sau (2), precum ÅŸi, dacă este cazul, numele terÅ£ului căruia i-au fost dezvăluite datele cu caracter personal referitoare la persoana vizată, în termen de 15 zile de la data primirii cererii, cu respectarea eventualei opÅ£iuni a solicitantului exprimate potrivit alin. (3).

Excepţii

   Art. 16. - (1) Prevederile art. 12, 13, ale art. 14 alin. (3) ÅŸi ale art. 15 nu se aplică în cazul activităţilor prevăzute la art. 2 alin. (5), dacă prin aplicarea acestora este prejudiciată eficienÅ£a acÅ£iunii sau obiectivul urmărit în îndeplinirea atribuÅ£iilor legale ale autorităţii publice.
   (2) Prevederile alin. (1) sunt aplicabile strict pentru perioada necesară atingerii obiectivului urmărit prin desfăşurarea activităţilor menÅ£ionate la art. 2 alin. (5).
   (3) După încetarea situaÅ£iei care justifică aplicarea alin. (1) ÅŸi (2) operatorii care desfăşoară activităţile prevăzute la art. 2 alin. (5) vor lua măsurile necesare pentru a asigura respectarea drepturilor persoanelor vizate.
   (4) Autorităţile publice Å£in evidenÅ£a unor astfel de cazuri ÅŸi informează periodic autoritatea de supraveghere despre modul de soluÅ£ionare a lor.

Dreptul de a nu fi supus unei decizii individuale

   Art. 17. - (1) Orice persoană are dreptul de a cere ÅŸi de a obÅ£ine:
   a) retragerea sau anularea oricărei decizii care produce efecte juridice în privinÅ£a sa, adoptată exclusiv pe baza unei prelucrări de date cu caracter personal, efectuată prin mijloace automate, destinată să evalueze unele aspecte ale personalităţii sale, precum competenÅ£a profesională, credibilitatea, comportamentul său ori alte asemenea aspecte;
   b) reevaluarea oricărei alte decizii luate în privinÅ£a sa, care o afectează în mod semnificativ, dacă decizia a fost adoptată exclusiv pe baza unei prelucrări de date care întruneÅŸte condiÅ£iile prevăzute la lit. a).
   (2) Respectându-se celelalte garanÅ£ii prevăzute de prezenta lege, o persoană poate fi supusă unei decizii de natura celei vizate la alin. (1), numai în următoarele situaÅ£ii:
   a) decizia este luată în cadrul încheierii sau executării unui contract, cu condiÅ£ia ca cererea de încheiere sau de executare a contractului, introdusă de persoana vizată, să fi fost satisfăcută sau ca unele măsuri adecvate, precum posibilitatea de a-ÅŸi susÅ£ine punctul de vedere, să garanteze apărarea propriului interes legitim;
   b) decizia este autorizată de o lege care precizează măsurile ce garantează apărarea interesului legitim al persoanei vizate.

Dreptul de a se adresa justiţiei

   Art. 18. - (1) Fără a se aduce atingere posibilităţii de a se adresa cu plângere autorităţii de supraveghere, persoanele vizate au dreptul de a se adresa justiÅ£iei pentru apărarea oricăror drepturi garantate de prezenta lege, care le-au fost încălcate.
   (2) Orice persoană care a suferit un prejudiciu în urma unei prelucrări de date cu caracter personal, efectuată ilegal, se poate adresa instanÅ£ei competente pentru repararea acestuia.
   (3) InstanÅ£a competentă este cea în a cărei rază teritorială domiciliază reclamantul. Cererea de chemare în judecată este scutită de taxă de timbru.

CAPITOLUL V
  ConfidenÅ£ialitatea ÅŸi securitatea prelucrărilor

    ConfidenÅ£ialitatea prelucrărilor

   Art. 19. - Orice persoană care acÅ£ionează sub autoritatea operatorului sau a persoanei împuternicite, inclusiv persoana împuternicită, care are acces la date cu caracter personal, nu poate să le prelucreze decât pe baza instrucÅ£iunilor operatorului, cu excepÅ£ia cazului în care acÅ£ionează în temeiul unei obligaÅ£ii legale.

Securitatea prelucrărilor

   Art. 20. - (1) Operatorul este obligat să aplice măsurile tehnice ÅŸi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectivă comportă transmisii de date în cadrul unei reÅ£ele, precum ÅŸi împotriva oricărei alte forme de prelucrare ilegală.
   (2) Aceste măsuri trebuie să asigure, potrivit stadiului tehnicii utilizate în procesul de prelucrare ÅŸi de costuri, un nivel de securitate adecvat în ceea ce priveÅŸte riscurile pe care le reprezintă prelucrarea, precum ÅŸi în ceea ce priveÅŸte natura datelor care trebuie protejate. CerinÅ£ele minime de securitate vor fi elaborate de autoritatea de supraveghere ÅŸi vor fi actualizate periodic, corespunzător progresului tehnic ÅŸi experienÅ£ei acumulate.
   (3) Operatorul, atunci când desemnează o persoană împuternicită, este obligat să aleagă o persoană care prezintă suficiente garanÅ£ii în ceea ce priveÅŸte măsurile de securitate tehnică ÅŸi organizatorice cu privire la prelucrările ce vor fi efectuate, precum ÅŸi să vegheze la respectarea acestor măsuri de către persoana desemnată.
   (4) Autoritatea de supraveghere poate decide, în cazuri individuale, asupra obligării operatorului la adoptarea unor măsuri suplimentare de securitate, cu excepÅ£ia celor care privesc garantarea securităţii serviciilor de telecomunicaÅ£ii.
   (5) Efectuarea prelucrărilor prin persoane împuternicite trebuie să se desfăşoare în baza unui contract încheiat în formă scrisă, care va cuprinde în mod obligatoriu:
   a) obligaÅ£ia persoanei împuternicite de a acÅ£iona doar în baza instrucÅ£iunilor primite de la operator;
   b) faptul că îndeplinirea obligaÅ£iilor prevăzute la alin. (1) revine ÅŸi persoanei împuternicite.

CAPITOLUL VI
  Supravegherea ÅŸi controlul prelucrărilor de date cu caracter personal

    Autoritatea de supraveghere

   Art. 21. - (1) Autoritatea de supraveghere, în sensul prezentei legi, este Autoritatea NaÅ£ională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
     (2) Autoritatea de supraveghere îşi desfăşoară activitatea în condiÅ£ii de completă independenţă ÅŸi imparÅ£ialitate.
   (3) Autoritatea de supraveghere monitorizează ÅŸi controlează sub aspectul legalităţii prelucrările de date cu caracter personal care cad sub incidenÅ£a prezentei legi.
    ÃŽn acest scop autoritatea de supraveghere exercită următoarele atribuÅ£ii:
   a) elaborează formularele tipizate ale notificărilor ÅŸi ale registrelor proprii;
   b) primeÅŸte ÅŸi analizează notificările privind prelucrarea datelor cu caracter personal, anunţând operatorului rezultatele controlului prealabil;
   c) autorizează prelucrările de date în situaÅ£iile prevăzute de lege;
   d) poate dispune, în cazul în care constată încălcarea dispoziÅ£iilor prezentei legi, suspendarea provizorie sau încetarea prelucrării datelor, ÅŸtergerea parÅ£ială ori integrală a datelor prelucrate ÅŸi poate să sesiseze organele de urmărire penală sau să intenteze acÅ£iuni în justiÅ£ie;
   d1) informează persoanele fizice sau/ÅŸi juridice care activează în aceste domenii, în mod direct sau prin intermediul structurilor asociative ale acestora, asupra necesităţii respectării obligaÅ£iilor ÅŸi îndeplinirii procedurilor prevăzute de prezenta lege;
      e) păstrează ÅŸi pune la dispoziÅ£ie publicului registrul de evidenţă a prelucrărilor de date cu caracter personal;
   f) primeÅŸte ÅŸi soluÅ£ionează plângeri, sesizări sau cereri de la persoanele fizice ÅŸi comunică soluÅ£ia dată ori, după caz, diligenÅ£ele depuse;
   g) efectuează investigaÅ£ii din oficiu sau la primirea unor plângeri ori sesizări;
   h) este consultată atunci când se elaborează proiecte de acte normative referitoare la protecÅ£ia drepturilor ÅŸi libertăţilor persoanelor, în privinÅ£a prelucrării datelor cu caracter personal;
   i) poate face propuneri privind iniÅ£ierea unor proiecte de acte normative sau modificarea actelor normative în vigoare în domenii legate de prelucrarea datelor cu caracter personal;
   j) cooperează cu autorităţile publice ÅŸi cu organele administraÅ£iei publice, centralizează ÅŸi analizează rapoartele anuale de activitate ale acestora privind protecÅ£ia persoanelor în privinÅ£a prelucrării datelor cu caracter personal, formulează recomandări ÅŸi avize asupra oricărei chestiuni legate de protecÅ£ia drepturilor ÅŸi libertăţilor fundamentale în privinÅ£a prelucrării datelor cu caracter personal, la cererea oricărei persoane, inclusiv a autorităţilor publice ÅŸi a organelor administraÅ£iei publice; aceste recomandări ÅŸi avize trebuie să facă menÅ£iune despre temeiurile pe care se sprijină ÅŸi se comunică în copie ÅŸi Ministerului JustiÅ£iei; atunci când recomandarea sau avizul este cerut de lege, se publică în Monitorul Oficial al României, Partea I;
   k) cooperează cu autorităţile similare de peste hotare în vederea asistenÅ£ei mutuale, precum ÅŸi cu persoanele cu domiciliul sau cu sediul în străinătate, în scopul apărării drepturilor ÅŸi libertăţilor fundamentale ce pot fi afectate prin prelucrarea datelor cu caracter personal;
   l) îndeplineÅŸte alte atribuÅ£ii prevăzute de lege.
   m) modul de organizare ÅŸi funcÅ£ionare a Autorităţii NaÅ£ionale de Supraveghere a Prelucrării Datelor cu Caracter Personal se stabileÅŸte prin lege.
     (4) ÃŽntregul personal al autorităţii de supraveghere are obligaÅ£ia de a păstra secretul profesional, cu excepÅ£iile prevăzute de lege, pe termen nelimitat, asupra informaÅ£iilor confidenÅ£iale sau clasificate la care are sau a avut acces în exercitarea atribuÅ£iilor de serviciu, inclusiv după încetarea raporturilor juridice cu autoritatea de supraveghere.

Notificarea către autoritatea de supraveghere

   Art. 22. - (1) Operatorul este obligat să notifice autorităţii de supraveghere, personal sau prin reprezentant, înainte de efectuarea oricărei prelucrări ori a oricărui ansamblu de prelucrări având acelaÅŸi scop sau scopuri corelate.
   (2) Notificarea nu este necesară în cazul în care prelucrarea are ca unic scop Å£inerea unui registru destinat prin lege informării publicului ÅŸi deschis spre consultare publicului în general sau oricărei persoane care probează un interes legitim, cu condiÅ£ia ca prelucrarea să se limiteze la datele strict necesare Å£inerii registrului menÅ£ionat.
   (3) Notificarea va cuprinde cel puÅ£in următoarele informaÅ£ii:
   a) numele sau denumirea ÅŸi domiciliul ori sediul operatorului ÅŸi ale reprezentantului desemnat al acestuia, dacă este cazul;
   b) scopul sau scopurile prelucrării;
   c) o descriere a categoriei sau a categoriilor de persoane vizate ÅŸi a datelor ori a categoriilor de date ce vor fi prelucrate;
   d) destinatarii sau categoriile de destinatari cărora se intenÅ£ionează să li se dezvăluie datele;
   e) garanÅ£iile care însoÅ£esc dezvăluirea datelor către terÅ£i;
   f) modul în care persoanele vizate sunt informate asupra drepturilor lor; data estimată pentru încheierea operaÅ£iunilor de prelucrare, precum ÅŸi destinaÅ£ia ulterioară a datelor;
   g) transferuri de date care se intenÅ£ionează să fie făcute către alte state;
   h) o descriere generală care să permită aprecierea preliminară a măsurilor luate pentru asigurarea securităţii prelucrării;
   i) specificarea oricărui sistem de evidenţă a datelor cu caracter personal, care are legătură cu prelucrarea, precum ÅŸi a eventualelor legături cu alte prelucrări de date sau cu alte sisteme de evidenţă a datelor cu caracter personal, indiferent dacă se efectuează, respectiv dacă sunt sau nu sunt situate pe teritoriul României;
   j) motivele care justifică aplicarea prevederilor art. 11, art. 12 alin. (3) sau (4) ori ale art. 13 alin. (5) sau (6), în situaÅ£ia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice ori în scopuri statistice, de cercetare istorică sau ÅŸtiinÅ£ifică.
   (4) Dacă notificarea este incompletă, autoritatea de supraveghere va solicita completarea acesteia.
   (5) ÃŽn limitele puterilor de investigare de care dispune, autoritatea de supraveghere poate solicita ÅŸi alte informaÅ£ii, în special privind originea datelor, tehnologia de prelucrare automată utilizată ÅŸi detalii referitoare la măsurile de securitate. DispoziÅ£iile prezentului alineat nu se aplică în situaÅ£ia în care prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice.
   (6) Dacă se intenÅ£ionează ca datele care sunt prelucrate să fie transferate în străinătate, notificarea va cuprinde ÅŸi următoarele elemente:
   a) categoriile de date care vor face obiectul transferului;
   b) Å£ara de destinaÅ£ie pentru fiecare categorie de date.
   (7) Abrogat prin alineatul (2) din OrdonanÅ£a de urgenţă nr. 36/2007 începând cu 22.10.2007.
   (8) Autorităţile publice care efectuează prelucrări de date cu caracter personal în legătură cu activităţile descrise la art. 2 alin. (5), în temeiul legii sau în îndeplinirea obligaÅ£iilor asumate prin acorduri internaÅ£ionale ratificate, sunt scutite de taxa prevăzută la alin. (7). Notificarea se va transmite în termen de 15 zile de la intrarea în vigoare a actului normativ care instituie obligaÅ£ia respectivă ÅŸi va cuprinde numai următoarele elemente:
   a) denumirea ÅŸi sediul operatorului;
   b) scopul ÅŸi temeiul legal al prelucrării;
   c) categoriile de date cu caracter personal supuse prelucrării.
   (9) Autoritatea de supraveghere poate stabili ÅŸi alte situaÅ£ii în care notificarea nu este necesară, în afara celei prevăzute la alin. (2), sau situaÅ£ii în care notificarea se poate efectua într-o formă simplificată, precum ÅŸi conÅ£inutul acesteia, numai în unul dintre următoarele cazuri:
   a) atunci când, luând în considerare natura datelor destinate să fie prelucrate, prelucrarea nu poate afecta, cel puÅ£in aparent, drepturile persoanelor vizate, cu condiÅ£ia să precizeze expres scopurile în care se poate face o asemenea prelucrare, datele sau categoriile de date care pot fi prelucrate, categoria sau categoriile de persoane vizate, destinatarii sau categoriile de destinatari cărora datele le pot fi dezvăluite ÅŸi perioada pentru care datele pot fi stocate;
   b) atunci când prelucrarea se efectuează în condiÅ£iile art. 7 alin. (2) lit. d).

Controlul prealabil

   Art. 23. - (1) Autoritatea de supraveghere va stabili categoriile de operaÅ£iuni de prelucrare care sunt susceptibile de a prezenta riscuri speciale pentru drepturile ÅŸi libertăţile persoanelor.
   (2) Dacă pe baza notificării autoritatea de supraveghere constată că prelucrarea se încadrează în una dintre categoriile menÅ£ionate la alin. (1), va dispune obligatoriu efectuarea unui control prealabil începerii prelucrării respective, cu anunÅ£area operatorului.
   (3) Operatorii care nu au fost anunÅ£aÅ£i în termen de 5 zile de la data notificării despre efectuarea unui control prealabil pot începe prelucrarea.
   (4) ÃŽn situaÅ£ia prevăzută la alin. (2) autoritatea de supraveghere este obligată ca, în termen de cel mult 30 de zile de la data notificării, să aducă la cunoÅŸtinţă operatorului rezultatul controlului efectuat, precum ÅŸi decizia emisă în urma acestuia.

Registrul de evidenţă a prelucrărilor de date cu caracter personal

   Art. 24. - (1) Autoritatea de supraveghere păstrează un registru de evidenţă a prelucrărilor de date cu caracter personal, notificate în conformitate cu prevederile art. 22. Registrul va cuprinde toate informaÅ£iile prevăzute la art. 22 alin. (3).
   (2) Fiecare operator primeÅŸte un număr de înregistrare. Numărul de înregistrare trebuie menÅ£ionat pe orice act prin care datele sunt colectate, stocate sau dezvăluite.
   (3) Orice schimbare de natură să afecteze exactitatea informaÅ£iilor înregistrate va fi comunicată autorităţii de supraveghere în termen de 5 zile. Autoritatea de supraveghere va dispune de îndată efectuarea menÅ£iunilor corespunzătoare în registru.
   (4) Activităţile de prelucrare a datelor cu caracter personal, începute anterior intrării în vigoare a prezentei legi, vor fi notificate în vederea înregistrării în termen de 15 zile de la data intrării în vigoare a prezentei legi.
   (5) Registrul de evidenţă a prelucrărilor de date cu caracter personal este deschis spre consultare publicului. Modalitatea de consultare se stabileÅŸte de autoritatea de supraveghere.

Plângeri adresate autorităţii de supraveghere

   Art. 25. - (1) ÃŽn vederea apărării drepturilor prevăzute de prezenta lege persoanele ale căror date cu caracter personal fac obiectul unei prelucrări care cade sub incidenÅ£a prezentei legi pot înainta plângere către autoritatea de supraveghere. Plângerea se poate face direct sau prin reprezentant. Persoana lezată poate împuternici o asociaÅ£ie sau o fundaÅ£ie să îi reprezinte interesele.
   (2) Plângerea către autoritatea de supraveghere nu poate fi înaintată dacă o cerere în justiÅ£ie, având acelaÅŸi obiect ÅŸi aceleaÅŸi părÅ£i, a fost introdusă anterior.
   (3) ÃŽn afara cazurilor în care o întârziere ar cauza un prejudiciu iminent ÅŸi ireparabil, plângerea către autoritatea de supraveghere nu poate fi înaintată mai devreme de 15 zile de la înaintarea unei plângeri cu acelaÅŸi conÅ£inut către operator.
   (4) ÃŽn vederea soluÅ£ionării plângerii, dacă apreciază că este necesar, autoritatea de supraveghere poate audia persoana vizată, operatorul ÅŸi, dacă este cazul, persoana împuternicită sau asociaÅ£ia ori fundaÅ£ia care reprezintă interesele persoanei vizate. Aceste persoane au dreptul de a înainta cereri, documente ÅŸi memorii. Autoritatea de supraveghere poate dispune efectuarea de expertize.
   (5) Dacă plângerea este găsită întemeiată, autoritatea de supraveghere poate decide oricare dintre măsurile prevăzute la art. 21 alin. (3) lit. d). InterdicÅ£ia temporară a prelucrării poate fi instituită numai până la încetarea motivelor care au determinat luarea acestei măsuri.
   (6) Decizia trebuie motivată ÅŸi se comunică părÅ£ilor interesate în termen de 30 de zile de la data primirii plângerii.
   (7) Autoritatea de supraveghere poate ordona, dacă apreciază necesar, suspendarea unora sau tuturor operaÅ£iunilor de prelucrare până la soluÅ£ionarea plângerii în condiÅ£iile alin. (5).
   (8) Autoritatea de supraveghere se poate adresa justiÅ£iei pentru apărarea oricăror drepturi garantate de prezenta lege persoanelor vizate. InstanÅ£a competentă este Tribunalul Municipiului BucureÅŸti. Cererea de chemare în judecată este scutită de taxa de timbru.
   (9) La cererea persoanelor vizate, pentru motive întemeiate, instanÅ£a poate dispune suspendarea prelucrării până la soluÅ£ionarea plângerii de către autoritatea de supraveghere.
   (10) Prevederile alin. (4)-(9) se aplică în mod corespunzător ÅŸi în situaÅ£ia în care autoritatea de supraveghere află pe orice altă cale despre săvârÅŸirea unei încălcări a drepturilor recunoscute de prezenta lege persoanelor vizate.

Contestarea deciziilor autorităţii de supraveghere

   Art. 26. - (1) ÃŽmpotriva oricărei decizii emise de autoritatea de supraveghere în temeiul dispoziÅ£iilor prezentei legi operatorul sau persoana vizată poate formula contestaÅ£ie în termen de 15 zile de la comunicare, sub sancÅ£iunea decăderii, la instanÅ£a de contencios administrativ competentă. Cererea se judecă de urgenţă, cu citarea părÅ£ilor. SoluÅ£ia este definitivă ÅŸi irevocabilă.
   (2) Fac excepÅ£ie de la prevederile alin. (1), precum ÅŸi de la cele ale art. 23 ÅŸi 25 prelucrările de date cu caracter personal, efectuate în cadrul activităţilor prevăzute la art. 2 alin. (5).

Exercitarea atribuţiilor de investigare

   Art. 27. - (1) Autoritatea de supraveghere poate investiga, din oficiu sau la primirea unei plângeri, orice încălcare a drepturilor persoanelor vizate, respectiv a obligaÅ£iilor care revin operatorilor ÅŸi, după caz, persoanelor împuternicite, în cadrul efectuării prelucrărilor de date cu caracter personal, în scopul apărării drepturilor ÅŸi libertăţilor fundamentale ale persoanelor vizate.
   (2) AtribuÅ£iile de investigare nu pot fi exercitate de către autoritatea de supraveghere în cazul în care o cerere în justiÅ£ie introdusă anterior are ca obiect săvârÅŸirea aceleiaÅŸi încălcări a drepturilor ÅŸi opune aceleaÅŸi părÅ£i.
   (3) ÃŽn exercitarea atribuÅ£iilor de investigare autoritatea de supraveghere poate solicita operatorului orice informaÅ£ii legate de prelucrarea datelor cu caracter personal ÅŸi poate verifica orice document sau înregistrare referitoare la prelucrarea de date cu caracter personal.
   (4) Secretul de stat ÅŸi secretul profesional nu pot fi invocate pentru a împiedica exercitarea atribuÅ£iilor acordate prin prezenta lege autorităţii de supraveghere. Atunci când este invocată protecÅ£ia secretului de stat sau a secretului profesional, autoritatea de supraveghere are obligaÅ£ia de a păstra secretul.
   (5) Abrogat prin punctul 4. din Legea nr. 102/2005 începând cu 12.05.2005.
   

Norme de conduită

   Art. 28. - (1) AsociaÅ£iile profesionale au obligaÅ£ia de a elabora ÅŸi de a supune spre avizare autorităţii de supraveghere coduri de conduită care să conÅ£ină norme adecvate pentru protecÅ£ia drepturilor persoanelor ale căror date cu caracter personal pot fi prelucrate de către membrii acestora.
   (2) Normele de conduită trebuie să prevadă măsuri ÅŸi proceduri care să asigure un nivel satisfăcător de protecÅ£ie, Å£inând seama de natura datelor ce pot fi prelucrate. Autoritatea de supraveghere poate dispune măsuri ÅŸi proceduri specifice pentru perioada în care normele de conduită la care s-a făcut referire anterior nu sunt adoptate.

CAPITOLUL VII
  Transferul în străinătate al datelor cu caracter personal

    CondiÅ£iile transferului în străinătate al datelor cu caracter personal

   Art. 29. - (1) Transferul către un alt stat de date cu caracter personal care fac obiectul unei prelucrări sau sunt destinate să fie prelucrate după transfer poate avea loc numai în condiÅ£iile în care nu se încalcă legea română, iar statul către care se intenÅ£ionează transferul asigură un nivel de protecÅ£ie adecvat.
   (2) Nivelul de protecÅ£ie va fi apreciat de către autoritatea de supraveghere, Å£inând seama de totalitatea împrejurărilor în care se realizează transferul de date, în special având în vedere natura datelor transmise, scopul prelucrării ÅŸi durata propusă pentru prelucrare, statul de origine ÅŸi statul de destinaÅ£ie finală, precum ÅŸi legislaÅ£ia statului solicitant. ÃŽn cazul în care autoritatea de supraveghere constată că nivelul de protecÅ£ie oferit de statul de destinaÅ£ie este nesatisfăcător, poate dispune interzicerea transferului de date.
   (3) ÃŽn toate situaÅ£iile transferul de date cu caracter personal către un alt stat va face obiectul unei notificări prealabile a autorităţii de supraveghere.
   (4) Autoritatea de supraveghere poate autoriza transferul de date cu caracter personal către un stat a cărui legislaÅ£ie nu prevede un nivel de protecÅ£ie cel puÅ£in egal cu cel oferit de legea română atunci când operatorul oferă garanÅ£ii suficiente cu privire la protecÅ£ia drepturilor fundamentale ale persoanelor. Aceste garanÅ£ii trebuie să fie stabilite prin contracte încheiate între operatori ÅŸi persoanele fizice sau juridice din dispoziÅ£ia cărora se efectuează transferul.
   (5) Prevederile alin. (2), (3) ÅŸi (4) nu se aplică dacă transferul datelor se face în baza prevederilor unei legi speciale sau ale unui acord internaÅ£ional ratificat de România, în special dacă transferul se face în scopul prevenirii, cercetării sau reprimării unei infracÅ£iuni.
   (6) Prevederile prezentului articol nu se aplică atunci când prelucrarea datelor se face exclusiv în scopuri jurnalistice, literare sau artistice, dacă datele au fost făcute publice în mod manifest de către persoana vizată sau sunt strâns legate de calitatea de persoană publică a persoanei vizate ori de caracterul public al faptelor în care este implicată.

Situaţii în care transferul este întotdeauna permis

   Art. 30. - Transferul de date este întotdeauna permis în următoarele situaÅ£ii:
   a) când persoana vizată ÅŸi-a dat în mod explicit consimţământul pentru efectuarea transferului; în cazul în care transferul de date se face în legătură cu oricare dintre datele prevăzute la art. 7, 8 ÅŸi 10, consimţământul trebuie dat în scris;
   b) când este necesar pentru executarea unui contract încheiat între persoana vizată ÅŸi operator sau pentru executarea unor măsuri precontractuale dispuse la cererea pesoanei vizate;
   c) când este necesar pentru încheierea sau pentru executarea unui contract încheiat ori care se va încheia, în interesul persoanei vizate, între operator ÅŸi un terÅ£;
   d) când este necesar pentru satisfacerea unui interes public major, precum apărarea naÅ£ională, ordinea publică sau siguranÅ£a naÅ£ională, pentru buna desfăşurare a procesului penal ori pentru constatarea, exercitarea sau apărarea unui drept în justiÅ£ie, cu condiÅ£ia ca datele să fie prelucrate în legătură cu acest scop ÅŸi nu mai mult timp decât este necesar;
   e) când este necesar pentru a proteja viaÅ£a, integritatea fizică sau sănătatea persoanei vizate;
   f) când intervine ca urmare a unei cereri anterioare de acces la documente oficiale care sunt publice ori a unei cereri privind informaÅ£ii care pot fi obÅ£inute din registre sau prin orice alte documente accesibile publicului.

CAPITOLUL VIII
  ContravenÅ£ii ÅŸi sancÅ£iuni

    Omisiunea de a notifica ÅŸi notificarea cu rea-credinţă

   Art. 31. - Omisiunea de a efectua notificarea în condiÅ£iile art. 22 sau ale art. 29 alin. (3) în situaÅ£iile în care această notificare este obligatorie, precum ÅŸi notificarea incompletă sau care conÅ£ine informaÅ£ii false constituie contravenÅ£ii, dacă nu sunt săvârÅŸite în astfel de condiÅ£ii încât să constituie infracÅ£iuni, ÅŸi se sancÅ£ionează cu amendă de la 5.000.000 lei la 100.000.000 lei.

Prelucrarea nelegală a datelor cu caracter personal

   Art. 32. - Prelucrarea datelor cu caracter personal de către un operator sau de o persoană împuternicită de acesta, cu încălcarea prevederilor art. 4-10 sau cu nesocotirea drepturilor prevăzute la art. 12-15 sau la art. 17, constituie contravenÅ£ie, dacă nu este săvârÅŸită în astfel de condiÅ£ii încât să constituie infracÅ£iune, ÅŸi se sancÅ£ionează cu amendă de la 10.000.000 lei la 250.000.000 lei.

    Neîndeplinirea obligaÅ£iilor privind confidenÅ£ialitatea ÅŸi aplicarea măsurilor de securitate

   Art. 33. - Neîndeplinirea obligaÅ£iilor privind aplicarea măsurilor de securitate ÅŸi de păstrare a confidenÅ£ialităţii prelucrărilor, prevăzute la art. 19 ÅŸi 20, constituie contravenÅ£ie, dacă nu este săvârÅŸită în astfel de condiÅ£ii încât să constituie infracÅ£iune, ÅŸi se sancÅ£ionează cu amendă de la 15.000.000 lei la 500.000.000 lei.

Refuzul de a furniza informaţii

   Art. 34. - Refuzul de a furniza autorităţii de supraveghere informaÅ£iile sau documentele cerute de aceasta în exercitarea atribuÅ£iilor de investigare prevăzute la art. 27 constituie contravenÅ£ie, dacă nu este săvârÅŸită în astfel de condiÅ£ii încât să constituie infracÅ£iune, ÅŸi se sancÅ£ionează cu amendă de la 10.000.000 lei la 150.000.000 lei.

Constatarea contravenţiilor şi aplicarea sancţiunilor

   Art. 35. - (1) Constatarea contravenÅ£iilor ÅŸi aplicarea sancÅ£iunilor se efectuează de către autoritatea de supraveghere, care poate delega aceste atribuÅ£ii unor persoane recrutate din rândul personalului său, precum ÅŸi de reprezentanÅ£i împuterniciÅ£i ai organelor cu atribuÅ£ii de supraveghere ÅŸi control, abilitate potrivit legii.
   (2) DispoziÅ£iile prezentei legi referitoare la contravenÅ£ii se completează cu prevederile OrdonanÅ£ei Guvernului nr. 2/2001 privind regimul juridic al contravenÅ£iilor, în măsura în care prezenta lege nu dispune altfel.
   (3) ÃŽmpotriva proceselor-verbale de constatare ÅŸi sancÅ£ionare se poate face plângere la secÅ£iile de contencios administrativ ale tribunalelor.

CAPITOLUL IX
  DispoziÅ£ii finale

    Intrarea în vigoare

   Art. 36. - Prezenta lege intră în vigoare la data publicării ei în Monitorul Oficial al României, Partea I, ÅŸi se pune în aplicare în termen de 3 luni de la intrarea sa în vigoare.

Înapoi