Lege
nr. 677
din
21 noiembrie 2001
pentru
protectia persoanelor cu privire la prelucrarea datelor cu caracter
personal si libera circulatie a acestor date
Publicat
in Monitorul Oficial, Partea I nr. 790 din 12 decembrie 2001
Parlamentul
Romaniei adopta prezenta lege.
CAPITOLUL
I
Dispozitii
generale
Scop
Art.
1. -
(1) Prezenta lege
are ca scop garantarea si protejarea drepturilor si libertatilor
fundamentale ale persoanelor fizice, in special a dreptului
la viata intima, familiala si privata, cu privire la prelucrarea
datelor cu caracter personal.
(2) Exercitarea drepturilor
prevazute in prezenta lege nu poate fi restransa decat in cazuri
expres si limitativ prevazute de lege.
Domeniu de aplicare
Art.
2. -
(1) Prezenta lege
se aplica prelucrarilor de date cu caracter personal, efectuate,
in tot sau in parte, prin mijloace automate, precum si prelucrarii
prin alte mijloace decat cele automate a datelor cu caracter
personal care fac parte dintr-un sistem de evidenta sau care
sunt destinate sa fie incluse intr-un asemenea sistem.
(2) Prezenta lege
se aplica:
a) prelucrarilor
de date cu caracter personal, efectuate in cadrul activitatilor
desfasurate de operatori stabiliti in Romania;
b) prelucrarilor
de date cu caracter personal, efectuate in cadrul activitatilor
desfasurate de misiunile diplomatice sau de oficiile consulare
ale Romaniei;
c) prelucrarilor
de date cu caracter personal, efectuate in cadrul activitatilor
desfasurate de operatori care nu sunt stabiliti in Romania,
prin utilizarea de mijloace de orice natura situate pe teritoriul
Romaniei, cu exceptia cazului in care aceste mijloace nu sunt
utilizate decat in scopul tranzitarii pe teritoriul Romaniei
a datelor cu caracter personal care fac obiectul prelucrarilor
respective.
(3) In cazul prevazut
la alin. (2) lit. c) operatorul isi va desemna un reprezentant
care trebuie sa fie o persoana stabilita in Romania. Prevederile
prezentei legi aplicabile operatorului sunt aplicabile si reprezentantului
acestuia, fara a aduce atingere posibilitatii de a introduce
actiune in justitie direct impotriva operatorului.
(4) Prezenta lege
se aplica prelucrarilor de date cu caracter personal efectuate
de persoane fizice sau juridice, romane ori straine, de drept
public sau de drept privat, indiferent daca au loc in sectorul
public sau in sectorul privat.
(5) In limitele prevazute
de prezenta lege, aceasta se aplica si prelucrarilor si transferului
de date cu caracter personal, efectuate in cadrul activitatilor
de prevenire, cercetare si reprimare a infractiunilor si de
mentinere a ordinii publice, precum si al altor activitati desfasurate
in domeniul dreptului penal, in limitele si cu restrictiile
stabilite de lege.
(6) Prezenta lege
nu se aplica prelucrarilor de date cu caracter personal, efectuate
de persoane fizice exclusiv pentru uzul lor personal, daca datele
in cauza nu sunt destinate a fi dezvaluite.
(7) Prezenta lege
nu se aplica prelucrarilor si transferului de date cu caracter
personal, efectuate in cadrul activitatilor in domeniul apararii
nationale si sigurantei nationale, desfasurate in limitele si
cu restrictiile stabilite de lege.
(8) Prevederile prezentei
legi nu aduc atingere obligatiilor asumate de Romania prin instrumente
juridice ratificate.
Definitii
Art.
3. - In
intelesul prezentei legi, urmatorii termeni se definesc dupa
cum urmeaza:
a) date cu
caracter personal - orice informatii referitoare la o persoana
fizica identificata sau identificabila; o persoana identificabila
este acea persoana care poate fi identificata, direct sau indirect,
in mod particular prin referire la un numar de identificare
ori la unul sau la mai multi factori specifici identitatii sale
fizice, fiziologice, psihice, economice, culturale sau sociale;
b) prelucrarea
datelor cu caracter personal - orice operatiune sau set de operatiuni
care se efectueaza asupra datelor cu caracter personal, prin
mijloace automate sau neautomate, cum ar fi colectarea, inregistrarea,
organizarea, stocarea, adaptarea ori modificarea, extragerea,
consultarea, utilizarea, dezvaluirea catre terti prin transmitere,
diseminare sau in orice alt mod, alaturarea ori combinarea,
blocarea, stergerea sau distrugerea;
c) stocarea
- pastrarea pe orice fel de suport a datelor cu caracter personal
culese;
d) sistem de
evidenta a datelor cu caracter personal - orice structura organizata
de date cu caracter personal, accesibila potrivit unor criterii
determinate, indiferent daca aceasta structura este organizata
in mod centralizat ori descentralizat sau este repartizata dupa
criterii functionale ori geografice;
e) operator
- orice persoana fizica sau juridica, de drept privat ori de
drept public, inclusiv autoritatile publice, institutiile si
structurile teritoriale ale acestora, care stabileste scopul
si mijloacele de prelucrare a datelor cu caracter personal;
daca scopul si mijloacele de prelucrare a datelor cu caracter
personal sunt determinate printr-un act normativ sau in baza
unui act normativ, operator este persoana fizica sau juridica,
de drept public ori de drept privat, care este desemnata ca
operator prin acel act normativ sau in baza acelui act normativ;
f) persoana
imputernicita de catre operator - o persoana fizica sau juridica,
de drept privat ori de drept public, inclusiv autoritatile publice,
institutiile si structurile teritoriale ale acestora, care prelucreaza
date cu caracter personal pe seama operatorului;
g) tert - orice
persoana fizica sau juridica, de drept privat ori de drept public,
inclusiv autoritatile publice, institutiile si structurile teritoriale
ale acestora, alta decat persoana vizata, operatorul ori persoana
imputernicita sau persoanele care, sub autoritatea directa a
operatorului sau a persoanei imputernicite, sunt autorizate
sa prelucreze date;
h) destinatar
- orice persoana fizica sau juridica, de drept privat ori de
drept public, inclusiv autoritatile publice, institutiile si
structurile teritoriale ale acestora, careia ii sunt dezvaluite
date, indiferent daca este sau nu tert; autoritatile publice
carora li se comunica date in cadrul unei competente speciale
de ancheta nu vor fi considerate destinatari;
i) date anonime
- date care, datorita originii sau modalitatii specifice de
prelucrare, nu pot fi asociate cu o persoana identificata sau
identificabila.
CAPITOLUL II
Reguli
generale privind prelucrarea datelor cu caracter personal
Caracteristicile
datelor cu caracter personal in cadrul prelucrarii
Art.
4. -
(1) Datele cu caracter
personal destinate a face obiectul prelucrarii trebuie sa fie:
a) prelucrate
cu buna-credinta si in conformitate cu dispozitiile legale in
vigoare;
b) colectate
in scopuri determinate, explicite si legitime; prelucrarea ulterioara
a datelor cu caracter personal in scopuri statistice, de cercetare
istorica sau stiintifica nu va fi considerata incompatibila
cu scopul colectarii daca se efectueaza cu respectarea dispozitiilor
prezentei legi, inclusiv a celor care privesc efectuarea notificarii
catre autoritatea de supraveghere, precum si cu respectarea
garantiilor privind prelucrarea datelor cu caracter personal,
prevazute de normele care reglementeaza activitatea statistica
ori cercetarea istorica sau stiintifica;
c) adecvate,
pertinente si neexcesive prin raportare la scopul in care sunt
colectate si ulterior prelucrate;
d) exacte si,
daca este cazul, actualizate; in acest scop se vor lua masurile
necesare pentru ca datele inexacte sau incomplete din punct
de vedere al scopului pentru care sunt colectate si pentru care
vor fi ulterior prelucrate, sa fie sterse sau rectificate;
e) stocate
intr-o forma care sa permita identificarea persoanelor vizate
strict pe durata necesara realizarii scopurilor in care datele
sunt colectate si in care vor fi ulterior prelucrate; stocarea
datelor pe o durata mai mare decat cea mentionata, in scopuri
statistice, de cercetare istorica sau stiintifica, se va face
cu respectarea garantiilor privind prelucrarea datelor cu caracter
personal, prevazute in normele care reglementeaza aceste domenii,
si numai pentru perioada necesara realizarii acestor scopuri.
(2) Operatorii au
obligatia sa respecte prevederile alin. (1) si sa asigure indeplinirea
acestor prevederi de catre persoanele imputernicite.
Conditii de legitimitate privind prelucrarea
datelor
Art.
5. -
(1) Orice prelucrare
de date cu caracter personal, cu exceptia prelucrarilor care
vizeaza date din categoriile mentionate la art. 7 alin. (1),
art. 8 si 10, poate fi efectuata numai daca persoana vizata
si-a dat consimtamantul in mod expres si neechivoc pentru acea
prelucrare.
(2) Consimtamantul
persoanei vizate nu este cerut in urmatoarele cazuri:
a) cand prelucrarea
este necesara in vederea executarii unui contract sau antecontract
la care persoana vizata este parte ori in vederea luarii unor
masuri, la cererea acesteia, inaintea incheierii unui contract
sau antecontract;
b) cand prelucrarea
este necesara in vederea protejarii vietii, integritatii fizice
sau sanatatii persoanei vizate ori a unei alte persoane amenintate;
c) cand prelucrarea
este necesara in vederea indeplinirii unei obligatii legale
a operatorului;
d) cand prelucrarea
este necesara in vederea aducerii la indeplinire a unor masuri
de interes public sau care vizeaza exercitarea prerogativelor
de autoritate publica cu care este investit operatorul sau tertul
caruia ii sunt dezvaluite datele;
e) cand prelucrarea
este necesara in vederea realizarii unui interes legitim al
operatorului sau al tertului caruia ii sunt dezvaluite datele,
cu conditia ca acest interes sa nu prejudicieze interesul sau
drepturile si libertatile fundamentale ale persoanei vizate;
f) cand prelucrarea
priveste date obtinute din documente accesibile publicului,
conform legii;
g) cand prelucrarea
este facuta exclusiv in scopuri statistice, de cercetare istorica
sau stiintifica, iar datele raman anonime pe toata durata prelucrarii.
(3) Prevederile alin.
(2) nu aduc atingere dispozitiilor legale care reglementeaza
obligatia autoritatilor publice de a respecta si de a ocroti
viata intima, familiala si privata.
Incheierea operatiunilor de prelucrare
Art.
6. -
(1) La incheierea
operatiunilor de prelucrare, daca persoana vizata nu si-a dat
in mod expres si neechivoc consimtamantul pentru o alta destinatie
sau pentru o prelucrare ulterioara, datele cu caracter personal
vor fi:
a) distruse;
b) transferate
unui alt operator, cu conditia ca operatorul initial sa garanteze
faptul ca prelucrarile ulterioare au scopuri similare celor
in care s-a facut prelucrarea initiala;
c) transformate
in date anonime si stocate exclusiv in scopuri statistice, de
cercetare istorica sau stiintifica.
(2) In cazul operatiunilor
de prelucrare efectuate in conditiile prevazute la art. 5 alin.
(2) lit. c) sau d), in cadrul activitatilor descrise la art.
2 alin. (5), operatorul poate stoca datele cu caracter personal
pe perioada necesara realizarii scopurilor concrete urmarite,
cu conditia asigurarii unor masuri corespunzatoare de protejare
a acestora, dupa care va proceda la distrugerea lor daca nu
sunt aplicabile prevederile legale privind pastrarea arhivelor.
CAPITOLUL
III
Reguli
speciale privind prelucrarea datelor cu caracter personal
Prelucrarea
unor categorii speciale de date
Art.
7. -
(1) Prelucrarea datelor
cu caracter personal legate de originea rasiala sau etnica,
de convingerile politice, religioase, filozofice sau de natura
similara, de apartenenta sindicala, precum si a datelor cu caracter
personal privind starea de sanatate sau viata sexuala este interzisa.
(2) Prevederile alin.
(1) nu se aplica in urmatoarele cazuri:
a) cand persoana
vizata si-a dat in mod expres consimtamantul pentru o astfel
de prelucrare;
b) cand prelucrarea
este necesara in scopul respectarii obligatiilor sau drepturilor
specifice ale operatorului in domeniul dreptului muncii, cu
respectarea garantiilor prevazute de lege; o eventuala dezvaluire
catre un tert a datelor prelucrate poate fi efectuata numai
daca exista o obligatie legala a operatorului in acest sens
sau daca persoana vizata a consimtit expres la aceasta dezvaluire;
c) cand prelucrarea
este necesara pentru protectia vietii, integritatii fizice sau
a sanatatii persoanei vizate ori a altei persoane, in cazul
in care persoana vizata se afla in incapacitate fizica sau juridica
de a-si da consimtamantul;
d) cand prelucrarea
este efectuata in cadrul activitatilor sale legitime de catre
o fundatie, asociatie sau de catre orice alta organizatie cu
scop nelucrativ si cu specific politic, filozofic, religios
ori sindical, cu conditia ca persoana vizata sa fie membra a
acestei organizatii sau sa intretina cu aceasta, in mod regulat,
relatii care privesc specificul activitatii organizatiei si
ca datele sa nu fie dezvaluite unor terti fara consimtamantul
persoanei vizate;
e) cand prelucrarea
se refera la date facute publice in mod manifest de catre persoana
vizata;
f) cand prelucrarea
este necesara pentru constatarea, exercitarea sau apararea unui
drept in justitie;
g) cand prelucrarea
este necesara in scopuri de medicina preventiva, de stabilire
a diagnosticelor medicale, de administrare a unor ingrijiri
sau tratamente medicale pentru persoana vizata ori de gestionare
a serviciilor de sanatate care actioneaza in interesul persoanei
vizate, cu conditia ca prelucrarea datelor respective sa fie
efectuate de catre ori sub supravegherea unui cadru medical
supus secretului profesional sau de catre ori sub supravegherea
unei alte persoane supuse unei obligatii echivalente in ceea
ce priveste secretul;
h) cand legea
prevede in mod expres aceasta in scopul protejarii unui interes
public important, cu conditia ca prelucrarea sa se efectueze
cu respectarea drepturilor persoanei vizate si a celorlalte
garantii prevazute de prezenta lege.
(3) Prevederile alin.
(2) nu aduc atingere dispozitiilor legale care reglementeaza
obligatia autoritatilor publice de a respecta si de a ocroti
viata intima, familiala si privata.
(4) Autoritatea de
supraveghere poate dispune, din motive intemeiate, interzicerea
efectuarii unei prelucrari de date din categoriile prevazute
la alin. (1), chiar daca persoana vizata si-a dat in scris si
in mod neechivoc consimtamantul, iar acest consimtamant nu a
fost retras, cu conditia ca interdictia prevazuta la alin. (1)
sa nu fie inlaturata prin unul dintre cazurile la care se refera
alin. (2) lit. b)-g).
Prelucrarea datelor cu
caracter personal avand functie de identificare
Art.
8. -
(1) Prelucrarea codului
numeric personal sau a altor date cu caracter personal avand
o functie de identificare de aplicabilitate generala poate fi
efectuata numai daca:
a) persoana
vizata si-a dat in mod expres consimtamantul; sau
b) prelucrarea
este prevazuta in mod expres de o dispozitie legala.
(2) Autoritatea de
supraveghere poate stabili si alte cazuri in care se poate efectua
prelucrarea datelor prevazute la alin. (1), numai cu conditia
instituirii unor garantii adecvate pentru respectarea drepturilor
persoanelor vizate.
Prelucrarea datelor cu caracter personal privind starea de
sanatate
Art.
9. -
(1) In afara cazurilor
prevazute la art. 7 alin. (2), prevederile art. 7 alin. (1)
nu se aplica in privinta prelucrarii datelor privind starea
de sanatate in urmatoarele cazuri:
a) daca prelucrarea
este necesara pentru protectia sanatatii publice;
b) daca prelucrarea
este necesara pentru prevenirea unui pericol iminent, pentru
prevenirea savarsirii unei fapte penale sau pentru impiedicarea
producerii rezultatului unei asemenea fapte ori pentru inlaturarea
urmarilor prejudiciabile ale unei asemenea fapte.
(2) Prelucrarea datelor
privind starea de sanatate poate fi efectuata numai de catre
ori sub supravegherea unui cadru medical, cu conditia respectarii
secretului profesional, cu exceptia situatiei in care persoana
vizata si-a dat in scris si in mod neechivoc consimtamantul
atata timp cat acest consimtamant nu a fost retras, precum si
cu exceptia situatiei in care prelucrarea este necesara pentru
prevenirea unui pericol iminent, pentru prevenirea savarsirii
unei fapte penale, pentru impiedicarea producerii rezultatului
unei asemenea fapte sau pentru inlaturarea urmarilor sale prejudiciabile.
(3) Cadrele medicale,
institutiile de sanatate si personalul medical al acestora pot
prelucra date cu caracter personal referitoare la starea de
sanatate, fara autorizatia autoritatii de supraveghere, numai
daca prelucrarea este necesara pentru protejarea vietii, integritatii
fizice sau sanatatii persoanei vizate. Cand scopurile mentionate
se refera la alte persoane sau la public in general si persoana
vizata nu si-a dat consimtamantul in scris si in mod neechivoc,
trebuie ceruta si obtinuta in prealabil autorizatia autoritatii
de supraveghere. Prelucrarea datelor cu caracter personal in
afara limitelor prevazute in autorizatie este interzisa.
(4) Cu exceptia motivelor
de urgenta, autorizatia prevazuta la alin. (3) poate fi acordata
numai dupa ce a fost consultat Colegiul Medicilor din Romania.
(5) Datele cu caracter
personal privind starea de sanatate pot fi colectate numai de
la persoana vizata. Prin exceptie, aceste date pot fi colectate
din alte surse numai in masura in care este necesar pentru a
nu compromite scopurile prelucrarii, iar persoana vizata nu
vrea ori nu le poate furniza.
Prelucrarea
datelor cu caracter personal referitoare la fapte penale
sau contraventii
Art.
10. -
(1) Prelucrarea datelor
cu caracter personal referitoare la savarsirea de infractiuni
de catre persoana vizata ori la condamnari penale, masuri de
siguranta sau sanctiuni administrative ori contraventionale,
aplicate persoanei vizate, poate fi efectuata numai de catre
sau sub controlul autoritatilor publice, in limitele puterilor
ce le sunt conferite prin lege si in conditiile stabilite de
legile speciale care reglementeaza aceste materii.
(2) Autoritatea de
supraveghere poate stabili si alte cazuri in care se poate efectua
prelucrarea datelor prevazute la alin. (1), numai cu conditia
instituirii unor garantii adecvate pentru respectarea drepturilor
persoanelor vizate.
(3) Un registru complet
al condamnarilor penale poate fi tinut numai sub controlul unei
autoritati publice, in limitele puterilor ce ii sunt conferite
prin lege.
Exceptii
Art.
11. - Prevederile
art. 5, 6, 7 si 10 nu se aplica in situatia in care prelucrarea
datelor se face exclusiv in scopuri jurnalistice, literare sau
artistice, daca prelucrarea priveste date cu caracter personal
care au fost facute publice in mod manifest de catre persoana
vizata sau care sunt strans legate de calitatea de persoana
publica a persoanei vizate ori de caracterul public al faptelor
in care este implicata.
CAPITOLUL
IV
Drepturile
persoanei vizate in contextul prelucrarii datelor
cu
caracter personal Informarea persoanei vizate
Art.
12. -
(1) In cazul in care
datele cu caracter personal sunt obtinute direct de la persoana
vizata, operatorul este obligat sa furnizeze persoanei vizate
cel putin urmatoarele informatii, cu exceptia cazului in care
aceasta persoana poseda deja informatiile respective:
a) identitatea
operatorului si a reprezentantului acestuia, daca este cazul;
b) scopul in
care se face prelucrarea datelor;
c) informatii
suplimentare, precum: destinatarii sau categoriile de destinatari
ai datelor; daca furnizarea tuturor datelor cerute este obligatorie
si consecintele refuzului de a le furniza; existenta drepturilor
prevazute de prezenta lege pentru persoana vizata, in special
a dreptului de acces, de interventie asupra datelor si de opozitie,
precum si conditiile in care pot fi exercitate;
d) orice alte
informatii a caror furnizare este impusa prin dispozitie a autoritatii
de supraveghere, tinand seama de specificul prelucrarii.
(2) In cazul in care
datele nu sunt obtinute direct de la persoana vizata, operatorul
este obligat ca, in momentul colectarii datelor sau, daca se
intentioneaza dezvaluirea acestora catre terti, cel mai tarziu
pana in momentul primei dezvaluiri, sa furnizeze persoanei vizate
cel putin urmatoarele informatii, cu exceptia cazului in care
persoana vizata poseda deja informatiile respective:
a) identitatea
operatorului si a reprezentantului acestuia, daca este cazul;
b) scopul in
care se face prelucrarea datelor;
c) informatii
suplimentare, precum: categoriile de date vizate, destinatarii
sau categoriile de destinatari ai datelor, existenta drepturilor
prevazute de prezenta lege pentru persoana vizata, in special
a dreptului de acces, de interventie asupra datelor si de opozitie,
precum si conditiile in care pot fi exercitate;
d) orice alte
informatii a caror furnizare este impusa prin dispozitie a autoritatii
de supraveghere, tinand seama de specificul prelucrarii.
(3) Prevederile alin.
(2) nu se aplica atunci cand prelucrarea datelor se efectueaza
exclusiv in scopuri jurnalistice, literare sau artistice, daca
aplicarea acestora ar da indicii asupra surselor de informare.
(4) Prevederile alin.
(2) nu se aplica in cazul in care prelucrarea datelor se face
in scopuri statistice, de cercetare istorica sau stiintifica,
ori in orice alte situatii in care furnizarea unor asemenea
informatii se dovedeste imposibila sau ar implica un efort disproportionat
fata de interesul legitim care ar putea fi lezat, precum si
in situatiile in care inregistrarea sau dezvaluirea datelor
este expres prevazuta de lege.
Dreptul de acces la date
Art.
13. -
(1) Orice persoana
vizata are dreptul de a obtine de la operator, la cerere si
in mod gratuit pentru o solicitare pe an, confirmarea faptului
ca datele care o privesc sunt sau nu sunt prelucrate de acesta.
Operatorul este obligat, in situatia in care prelucreaza date
cu caracter personal care privesc solicitantul, sa comunice
acestuia, impreuna cu confirmarea, cel putin urmatoarele:
a) informatii
referitoare la scopurile prelucrarii, categoriile de date avute
in vedere si destinatarii sau categoriile de destinatari carora
le sunt dezvaluite datele;
b) comunicarea
intr-o forma inteligibila a datelor care fac obiectul prelucrarii,
precum si a oricarei informatii disponibile cu privire la originea
datelor;
c) informatii
asupra principiilor de functionare a mecanismului prin care
se efectueaza orice prelucrare automata a datelor care vizeaza
persoana respectiva;
d) informatii
privind existenta dreptului de interventie asupra datelor si
a dreptului de opozitie, precum si conditiile in care pot fi
exercitate;
e) informatii
asupra posibilitatii de a consulta registrul de evidenta a prelucrarilor
de date cu caracter personal, prevazut la art. 24, de a inainta
plangere catre autoritatea de supraveghere, precum si de a se
adresa instantei pentru atacarea deciziilor operatorului, in
conformitate cu dispozitiile prezentei legi.
(2) Persoana vizata
poate solicita de la operator informatiile prevazute la alin.
(1), printr-o cerere intocmita in forma scrisa, datata si semnata.
In cerere solicitantul poate arata daca doreste ca informatiile
sa ii fie comunicate la o anumita adresa, care poate fi si de
posta electronica, sau printr-un serviciu de corespondenta care
sa asigure ca predarea i se va face numai personal.
(3) Operatorul este
obligat sa comunice informatiile solicitate, in termen de 15
zile de la data primirii cererii, cu respectarea eventualei
optiuni a solicitantului exprimate potrivit alin. (2).
(4) In cazul datelor
cu caracter personal legate de starea de sanatate, cererea prevazuta
la alin. (2) poate fi introdusa de persoana vizata fie direct,
fie prin intermediul unui cadru medical care va indica in cerere
persoana in numele careia este introdusa. La cererea operatorului
sau a persoanei vizate comunicarea prevazuta la alin. (3) poate
fi facuta prin intermediul unui cadru medical desemnat de persoana
vizata.
(5) In cazul in care
datele cu caracter personal legate de starea de sanatate sunt
prelucrate in scop de cercetare stiintifica, daca nu exista,
cel putin aparent, riscul de a se aduce atingere drepturilor
persoanei vizate si daca datele nu sunt utilizate pentru a lua
decizii sau masuri fata de o anumita persoana, comunicarea prevazuta
la alin. (3) se poate face si intr-un termen mai mare decat
cel prevazut la acel alineat, in masura in care aceasta ar putea
afecta bunul mers sau rezultatele cercetarii, si nu mai tarziu
de momentul in care cercetarea este incheiata. In acest caz
persoana vizata trebuie sa isi fi dat in mod expres si neechivoc
consimtamantul ca datele sa fie prelucrate in scop de cercetare
stiintifica, precum si asupra posibilei amanari a comunicarii
prevazute la alin. (3) din acest motiv.
(6) Prevederile alin.
(2) nu se aplica atunci cand prelucrarea datelor se efectueaza
exclusiv in scopuri jurnalistice, literare sau artistice, daca
aplicarea acestora ar da indicii asupra surselor de informare.
Dreptul de interventie asupra datelor
Art.
14. -
(1) Orice persoana
vizata are dreptul de a obtine de la operator, la cerere si
in mod gratuit:
a) dupa caz,
rectificarea, actualizarea, blocarea sau stergerea datelor a
caror prelucrare nu este conforma prezentei legi, in special
a datelor incomplete sau inexacte;
b) dupa caz,
transformarea in date anonime a datelor a caror prelucrare nu
este conforma prezentei legi;
c) notificarea
catre tertii carora le-au fost dezvaluite datele a oricarei
operatiuni efectuate conform lit. a) sau b), daca aceasta notificare
nu se dovedeste imposibila sau nu presupune un efort disproportionat
fata de interesul legitim care ar putea fi lezat.
(2) Pentru exercitarea
dreptului prevazut la alin. (1) persoana vizata va inainta operatorului
o cerere intocmita in forma scrisa, datata si semnata. In cerere
solicitantul poate arata daca doreste ca informatiile sa ii
fie comunicate la o anumita adresa, care poate fi si de posta
electronica, sau printr-un serviciu de corespondenta care sa
asigure ca predarea i se va face numai personal.
(3) Operatorul este
obligat sa comunice masurile luate in temeiul alin. (1), precum
si, daca este cazul, numele tertului caruia i-au fost dezvaluite
datele cu caracter personal referitoare la persoana vizata,
in termen de 15 zile de la data primirii cererii, cu respectarea
eventualei optiuni a solicitantului exprimate potrivit alin.
(2).
Dreptul de opozitie
Art.
15. -
(1) Persoana vizata
are dreptul de a se opune in orice moment, din motive intemeiate
si legitime legate de situatia sa particulara, ca date care
o vizeaza sa faca obiectul unei prelucrari, cu exceptia cazurilor
in care exista dispozitii legale contrare. In caz de opozitie
justificata prelucrarea nu mai poate viza datele in cauza.
(2) Persoana vizata
are dreptul de a se opune in orice moment, in mod gratuit si
fara nici o justificare, ca datele care o vizeaza sa fie prelucrate
in scop de marketing direct, in numele operatorului sau al unui
tert, sau sa fie dezvaluite unor terti intr-un asemenea scop.
(3) In vederea exercitarii
drepturilor prevazute la alin. (1) si (2) persoana vizata va
inainta operatorului o cerere intocmita in forma scrisa, datata
si semnata. In cerere solicitantul poate arata daca doreste
ca informatiile sa ii fie comunicate la o anumita adresa, care
poate fi si de posta electronica, sau printr-un serviciu de
corespondenta care sa asigure ca predarea i se va face numai
personal.
(4) Operatorul este
obligat sa comunice persoanei vizate masurile luate in temeiul
alin. (1) sau (2), precum si, daca este cazul, numele tertului
caruia i-au fost dezvaluite datele cu caracter personal referitoare
la persoana vizata, in termen de 15 zile de la data primirii
cererii, cu respectarea eventualei optiuni a solicitantului
exprimate potrivit alin. (3).
Exceptii
Art.
16. -
(1) Prevederile art.
12, 13, ale art. 14 alin. (3) si ale art. 15 nu se aplica in
cazul activitatilor prevazute la art. 2 alin. (5), daca prin
aplicarea acestora este prejudiciata eficienta actiunii sau
obiectivul urmarit in indeplinirea atributiilor legale ale autoritatii
publice.
(2) Prevederile alin.
(1) sunt aplicabile strict pentru perioada necesara atingerii
obiectivului urmarit prin desfasurarea activitatilor mentionate
la art. 2 alin. (5).
(3) Dupa incetarea
situatiei care justifica aplicarea alin. (1) si (2) operatorii
care desfasoara activitatile prevazute la art. 2 alin. (5) vor
lua masurile necesare pentru a asigura respectarea drepturilor
persoanelor vizate.
(4) Autoritatile
publice tin evidenta unor astfel de cazuri si informeaza periodic
autoritatea de supraveghere despre modul de solutionare a lor.
Dreptul de a nu fi supus unei decizii individuale
Art.
17. -
(1) Orice persoana
are dreptul de a cere si de a obtine:
a) retragerea
sau anularea oricarei decizii care produce efecte juridice in
privinta sa, adoptata exclusiv pe baza unei prelucrari de date
cu caracter personal, efectuata prin mijloace automate, destinata
sa evalueze unele aspecte ale personalitatii sale, precum competenta
profesionala, credibilitatea, comportamentul sau ori alte asemenea
aspecte;
b) reevaluarea
oricarei alte decizii luate in privinta sa, care o afecteaza
in mod semnificativ, daca decizia a fost adoptata exclusiv pe
baza unei prelucrari de date care intruneste conditiile prevazute
la lit. a).
(2) Respectandu-se
celelalte garantii prevazute de prezenta lege, o persoana poate
fi supusa unei decizii de natura celei vizate la alin. (1),
numai in urmatoarele situatii:
a) decizia
este luata in cadrul incheierii sau executarii unui contract,
cu conditia ca cererea de incheiere sau de executare a contractului,
introdusa de persoana vizata, sa fi fost satisfacuta sau ca
unele masuri adecvate, precum posibilitatea de a-si sustine
punctul de vedere, sa garanteze apararea propriului interes
legitim;
b) decizia
este autorizata de o lege care precizeaza masurile ce garanteaza
apararea interesului legitim al persoanei vizate.
Dreptul de a se adresa justitiei
Art.
18. -
(1) Fara a se aduce
atingere posibilitatii de a se adresa cu plangere autoritatii
de supraveghere, persoanele vizate au dreptul de a se adresa
justitiei pentru apararea oricaror drepturi garantate de prezenta
lege, care le-au fost incalcate.
(2) Orice persoana
care a suferit un prejudiciu in urma unei prelucrari de date
cu caracter personal, efectuata ilegal, se poate adresa instantei
competente pentru repararea acestuia.
(3) Instanta competenta
este cea in a carei raza teritoriala domiciliaza reclamantul.
Cererea de chemare in judecata este scutita de taxa de timbru.
CAPITOLUL
V
Confidentialitatea
si securitatea prelucrarilor
Confidentialitatea
prelucrarilor
Art.
19. - Orice
persoana care actioneaza sub autoritatea operatorului sau a
persoanei imputernicite, inclusiv persoana imputernicita, care
are acces la date cu caracter personal, nu poate sa le prelucreze
decat pe baza instructiunilor operatorului, cu exceptia cazului
in care actioneaza in temeiul unei obligatii legale.
Securitatea prelucrarilor
Art.
20. -
(1) Operatorul este
obligat sa aplice masurile tehnice si organizatorice adecvate
pentru protejarea datelor cu caracter personal impotriva distrugerii
accidentale sau ilegale, pierderii, modificarii, dezvaluirii
sau accesului neautorizat, in special daca prelucrarea respectiva
comporta transmisii de date in cadrul unei retele, precum si
impotriva oricarei alte forme de prelucrare ilegala.
(2) Aceste masuri
trebuie sa asigure, potrivit stadiului tehnicii utilizate in
procesul de prelucrare si de costuri, un nivel de securitate
adecvat in ceea ce priveste riscurile pe care le reprezinta
prelucrarea, precum si in ceea ce priveste natura datelor care
trebuie protejate. Cerintele minime de securitate vor fi elaborate
de autoritatea de supraveghere si vor fi actualizate periodic,
corespunzator progresului tehnic si experientei acumulate.
(3) Operatorul, atunci
cand desemneaza o persoana imputernicita, este obligat sa aleaga
o persoana care prezinta suficiente garantii in ceea ce priveste
masurile de securitate tehnica si organizatorice cu privire
la prelucrarile ce vor fi efectuate, precum si sa vegheze la
respectarea acestor masuri de catre persoana desemnata.
(4) Autoritatea de
supraveghere poate decide, in cazuri individuale, asupra obligarii
operatorului la adoptarea unor masuri suplimentare de securitate,
cu exceptia celor care privesc garantarea securitatii serviciilor
de telecomunicatii.
(5) Efectuarea prelucrarilor
prin persoane imputernicite trebuie sa se desfasoare in baza
unui contract incheiat in forma scrisa, care va cuprinde in
mod obligatoriu:
a) obligatia
persoanei imputernicite de a actiona doar in baza instructiunilor
primite de la operator;
b) faptul ca
indeplinirea obligatiilor prevazute la alin. (1) revine si persoanei
imputernicite.
CAPITOLUL
VI
Supravegherea
si controlul prelucrarilor de date cu caracter personal
Autoritatea
de supraveghere
Art.
21. -
(1) Autoritatea de
supraveghere, in sensul prezentei legi, este Avocatul Poporului.
(2) Autoritatea de
supraveghere isi desfasoara activitatea in conditii de completa
independenta si impartialitate.
(3) Autoritatea de
supraveghere monitorizeaza si controleaza sub aspectul legalitatii
prelucrarile de date cu caracter personal care cad sub incidenta
prezentei legi. In acest scop autoritatea de supraveghere exercita
urmatoarele atributii:
a) elaboreaza
formularele tipizate ale notificarilor si ale registrelor proprii;
b) primeste
si analizeaza notificarile privind prelucrarea datelor cu caracter
personal, anuntand operatorului rezultatele controlului prealabil;
c) autorizeaza
prelucrarile de date in situatiile prevazute de lege;
d) poate dispune,
in cazul in care constata incalcarea dispozitiilor prezentei
legi, suspendarea provizorie sau incetarea prelucrarii datelor,
stergerea partiala ori integrala a datelor prelucrate si poate
sa sesiseze organele de urmarire penala sau sa intenteze actiuni
in justitie;
e) pastreaza
si pune la dispozitie publicului registrul de evidenta a prelucrarilor
de date cu caracter personal;
f) primeste
si solutioneaza plangeri, sesizari sau cereri de la persoanele
fizice si comunica solutia data ori, dupa caz, diligentele depuse;
g) efectueaza
investigatii din oficiu sau la primirea unor plangeri ori sesizari;
h) este consultata
atunci cand se elaboreaza proiecte de acte normative referitoare
la protectia drepturilor si libertatilor persoanelor, in privinta
prelucrarii datelor cu caracter personal;
i) poate face
propuneri privind initierea unor proiecte de acte normative
sau modificarea actelor normative in vigoare in domenii legate
de prelucrarea datelor cu caracter personal;
j) coopereaza
cu autoritatile publice si cu organele administratiei publice,
centralizeaza si analizeaza rapoartele anuale de activitate
ale acestora privind protectia persoanelor in privinta prelucrarii
datelor cu caracter personal, formuleaza recomandari si avize
asupra oricarei chestiuni legate de protectia drepturilor si
libertatilor fundamentale in privinta prelucrarii datelor cu
caracter personal, la cererea oricarei persoane, inclusiv a
autoritatilor publice si a organelor administratiei publice;
aceste recomandari si avize trebuie sa faca mentiune despre
temeiurile pe care se sprijina si se comunica in copie si Ministerului
Justitiei; atunci cand recomandarea sau avizul este cerut de
lege, se publica in Monitorul Oficial al Romaniei, Partea I;
k) coopereaza
cu autoritatile similare de peste hotare in vederea asistentei
mutuale, precum si cu persoanele cu domiciliul sau cu sediul
in strainatate, in scopul apararii drepturilor si libertatilor
fundamentale ce pot fi afectate prin prelucrarea datelor cu
caracter personal;
l) indeplineste
alte atributii prevazute de lege.
(4) Intregul personal
al autoritatii de supraveghere are obligatia de a pastra secretul
profesional, cu exceptiile prevazute de lege, pe termen nelimitat,
asupra informatiilor confidentiale sau clasificate la care are
sau a avut acces in exercitarea atributiilor de serviciu, inclusiv
dupa incetarea raporturilor juridice cu autoritatea de supraveghere.
Notificarea catre autoritatea de supraveghere
Art.
22. -
(1) Operatorul este
obligat sa notifice autoritatii de supraveghere, personal sau
prin reprezentant, inainte de efectuarea oricarei prelucrari
ori a oricarui ansamblu de prelucrari avand acelasi scop sau
scopuri corelate.
(2) Notificarea nu
este necesara in cazul in care prelucrarea are ca unic scop
tinerea unui registru destinat prin lege informarii publicului
si deschis spre consultare publicului in general sau oricarei
persoane care probeaza un interes legitim, cu conditia ca prelucrarea
sa se limiteze la datele strict necesare tinerii registrului
mentionat.
(3) Notificarea va
cuprinde cel putin urmatoarele informatii:
a) numele sau
denumirea si domiciliul ori sediul operatorului si ale reprezentantului
desemnat al acestuia, daca este cazul;
b) scopul sau
scopurile prelucrarii;
c) o descriere
a categoriei sau a categoriilor de persoane vizate si a datelor
ori a categoriilor de date ce vor fi prelucrate;
d) destinatarii
sau categoriile de destinatari carora se intentioneaza sa li
se dezvaluie datele;
e) garantiile
care insotesc dezvaluirea datelor catre terti;
f) modul in
care persoanele vizate sunt informate asupra drepturilor lor;
data estimata pentru incheierea operatiunilor de prelucrare,
precum si destinatia ulterioara a datelor;
g) transferuri
de date care se intentioneaza sa fie facute catre alte state;
h) o descriere
generala care sa permita aprecierea preliminara a masurilor
luate pentru asigurarea securitatii prelucrarii;
i) specificarea
oricarui sistem de evidenta a datelor cu caracter personal,
care are legatura cu prelucrarea, precum si a eventualelor legaturi
cu alte prelucrari de date sau cu alte sisteme de evidenta a
datelor cu caracter personal, indiferent daca se efectueaza,
respectiv daca sunt sau nu sunt situate pe teritoriul Romaniei;
j) motivele
care justifica aplicarea prevederilor art. 11, art. 12 alin.
(3) sau (4) ori ale art. 13 alin. (5) sau (6), in situatia in
care prelucrarea datelor se face exclusiv in scopuri jurnalistice,
literare sau artistice ori in scopuri statistice, de cercetare
istorica sau stiintifica.
(4) Daca notificarea
este incompleta, autoritatea de supraveghere va solicita completarea
acesteia.
(5) In limitele puterilor
de investigare de care dispune, autoritatea de supraveghere
poate solicita si alte informatii, in special privind originea
datelor, tehnologia de prelucrare automata utilizata si detalii
referitoare la masurile de securitate. Dispozitiile prezentului
alineat nu se aplica in situatia in care prelucrarea datelor
se face exclusiv in scopuri jurnalistice, literare sau artistice.
(6) Daca se intentioneaza
ca datele care sunt prelucrate sa fie transferate in strainatate,
notificarea va cuprinde si urmatoarele elemente:
a) categoriile
de date care vor face obiectul transferului;
b) tara de
destinatie pentru fiecare categorie de date.
(7) Notificarea este
supusa unei taxe care trebuie platita de operator autoritatii
de supraveghere.
(8) Autoritatile
publice care efectueaza prelucrari de date cu caracter personal
in legatura cu activitatile descrise la art. 2 alin. (5), in
temeiul legii sau in indeplinirea obligatiilor asumate prin
acorduri internationale ratificate, sunt scutite de taxa prevazuta
la alin. (7). Notificarea se va transmite in termen de 15 zile
de la intrarea in vigoare a actului normativ care instituie
obligatia respectiva si va cuprinde numai urmatoarele elemente:
a) denumirea
si sediul operatorului;
b) scopul si
temeiul legal al prelucrarii;
c) categoriile
de date cu caracter personal supuse prelucrarii.
(9) Autoritatea de
supraveghere poate stabili si alte situatii in care notificarea
nu este necesara, in afara celei prevazute la alin. (2), sau
situatii in care notificarea se poate efectua intr-o forma simplificata,
precum si continutul acesteia, numai in unul dintre urmatoarele
cazuri:
a) atunci cand,
luand in considerare natura datelor destinate sa fie prelucrate,
prelucrarea nu poate afecta, cel putin aparent, drepturile persoanelor
vizate, cu conditia sa precizeze expres scopurile in care se
poate face o asemenea prelucrare, datele sau categoriile de
date care pot fi prelucrate, categoria sau categoriile de persoane
vizate, destinatarii sau categoriile de destinatari carora datele
le pot fi dezvaluite si perioada pentru care datele pot fi stocate;
b) atunci cand
prelucrarea se efectueaza in conditiile art. 7 alin. (2) lit.
d).
Controlul prealabil
Art.
23. -
(1) Autoritatea de
supraveghere va stabili categoriile de operatiuni de prelucrare
care sunt susceptibile de a prezenta riscuri speciale pentru
drepturile si libertatile persoanelor.
(2) Daca pe baza
notificarii autoritatea de supraveghere constata ca prelucrarea
se incadreaza in una dintre categoriile mentionate la alin.
(1), va dispune obligatoriu efectuarea unui control prealabil
inceperii prelucrarii respective, cu anuntarea operatorului.
(3) Operatorii care
nu au fost anuntati in termen de 5 zile de la data notificarii
despre efectuarea unui control prealabil pot incepe prelucrarea.
(4) In situatia prevazuta
la alin. (2) autoritatea de supraveghere este obligata ca, in
termen de cel mult 30 de zile de la data notificarii, sa aduca
la cunostinta operatorului rezultatul controlului efectuat,
precum si decizia emisa in urma acestuia.
Registrul de evidenta a prelucrarilor de
date cu caracter personal
Art.
24. -
(1) Autoritatea de
supraveghere pastreaza un registru de evidenta a prelucrarilor
de date cu caracter personal, notificate in conformitate cu
prevederile art. 22. Registrul va cuprinde toate informatiile
prevazute la art. 22 alin. (3).
(2) Fiecare operator
primeste un numar de inregistrare. Numarul de inregistrare trebuie
mentionat pe orice act prin care datele sunt colectate, stocate
sau dezvaluite.
(3) Orice schimbare
de natura sa afecteze exactitatea informatiilor inregistrate
va fi comunicata autoritatii de supraveghere in termen de 5
zile. Autoritatea de supraveghere va dispune de indata efectuarea
mentiunilor corespunzatoare in registru.
(4) Activitatile
de prelucrare a datelor cu caracter personal, incepute anterior
intrarii in vigoare a prezentei legi, vor fi notificate in vederea
inregistrarii in termen de 15 zile de la data intrarii in vigoare
a prezentei legi.
(5) Registrul de
evidenta a prelucrarilor de date cu caracter personal este deschis
spre consultare publicului. Modalitatea de consultare se stabileste
de autoritatea de supraveghere.
Plangeri adresate autoritatii de supraveghere
Art.
25. -
(1) In vederea apararii
drepturilor prevazute de prezenta lege persoanele ale caror
date cu caracter personal fac obiectul unei prelucrari care
cade sub incidenta prezentei legi pot inainta plangere catre
autoritatea de supraveghere. Plangerea se poate face direct
sau prin reprezentant. Persoana lezata poate imputernici o asociatie
sau o fundatie sa ii reprezinte interesele.
(2) Plangerea catre
autoritatea de supraveghere nu poate fi inaintata daca o cerere
in justitie, avand acelasi obiect si aceleasi parti, a fost
introdusa anterior.
(3) In afara cazurilor
in care o intarziere ar cauza un prejudiciu iminent si ireparabil,
plangerea catre autoritatea de supraveghere nu poate fi inaintata
mai devreme de 15 zile de la inaintarea unei plangeri cu acelasi
continut catre operator.
(4) In vederea solutionarii
plangerii, daca apreciaza ca este necesar, autoritatea de supraveghere
poate audia persoana vizata, operatorul si, daca este cazul,
persoana imputernicita sau asociatia ori fundatia care reprezinta
interesele persoanei vizate. Aceste persoane au dreptul de a
inainta cereri, documente si memorii. Autoritatea de supraveghere
poate dispune efectuarea de expertize.
(5) Daca plangerea
este gasita intemeiata, autoritatea de supraveghere poate decide
oricare dintre masurile prevazute la art. 21 alin. (3) lit.
d). Interdictia temporara a prelucrarii poate fi instituita
numai pana la incetarea motivelor care au determinat luarea
acestei masuri.
(6) Decizia trebuie
motivata si se comunica partilor interesate in termen de 30
de zile de la data primirii plangerii.
(7) Autoritatea de
supraveghere poate ordona, daca apreciaza necesar, suspendarea
unora sau tuturor operatiunilor de prelucrare pana la solutionarea
plangerii in conditiile alin. (5).
(8) Autoritatea de
supraveghere se poate adresa justitiei pentru apararea oricaror
drepturi garantate de prezenta lege persoanelor vizate. Instanta
competenta este Tribunalul Municipiului Bucuresti. Cererea de
chemare in judecata este scutita de taxa de timbru.
(9) La cererea persoanelor
vizate, pentru motive intemeiate, instanta poate dispune suspendarea
prelucrarii pana la solutionarea plangerii de catre autoritatea
de supraveghere.
(10) Prevederile
alin. (4)-(9) se aplica in mod corespunzator si in situatia
in care autoritatea de supraveghere afla pe orice alta cale
despre savarsirea unei incalcari a drepturilor recunoscute de
prezenta lege persoanelor vizate.
Contestarea deciziilor autoritatii de supraveghere
Art.
26. -
(1) Impotriva oricarei
decizii emise de autoritatea de supraveghere in temeiul dispozitiilor
prezentei legi operatorul sau persoana vizata poate formula
contestatie in termen de 15 zile de la comunicare, sub sanctiunea
decaderii, la instanta de contencios administrativ competenta.
Cererea se judeca de urgenta, cu citarea partilor. Solutia este
definitiva si irevocabila.
(2) Fac exceptie
de la prevederile alin. (1), precum si de la cele ale art. 23
si 25 prelucrarile de date cu caracter personal, efectuate in
cadrul activitatilor prevazute la art. 2 alin. (5).
Exercitarea atributiilor de investigare
Art.
27. -
(1) Autoritatea de
supraveghere poate investiga, din oficiu sau la primirea unei
plangeri, orice incalcare a drepturilor persoanelor vizate,
respectiv a obligatiilor care revin operatorilor si, dupa caz,
persoanelor imputernicite, in cadrul efectuarii prelucrarilor
de date cu caracter personal, in scopul apararii drepturilor
si libertatilor fundamentale ale persoanelor vizate.
(2) Atributiile de
investigare nu pot fi exercitate de catre autoritatea de supraveghere
in cazul in care o cerere in justitie introdusa anterior are
ca obiect savarsirea aceleiasi incalcari a drepturilor si opune
aceleasi parti.
(3) In exercitarea
atributiilor de investigare autoritatea de supraveghere poate
solicita operatorului orice informatii legate de prelucrarea
datelor cu caracter personal si poate verifica orice document
sau inregistrare referitoare la prelucrarea de date cu caracter
personal.
(4) Secretul de stat
si secretul profesional nu pot fi invocate pentru a impiedica
exercitarea atributiilor acordate prin prezenta lege autoritatii
de supraveghere. Atunci cand este invocata protectia secretului
de stat sau a secretului profesional, autoritatea de supraveghere
are obligatia de a pastra secretul.
(5) Daca exercitarea
atributiei de investigare a autoritatii de supraveghere are
ca obiect o prelucrare de date cu caracter personal, efectuata
de autoritatile publice in legatura cu activitatile descrise
la art. 2 alin. (5) pentru un caz concret, este necesara obtinerea
acordului prealabil al procurorului sau al instantei competente.
Norme de conduita
Art.
28. -
(1) Asociatiile profesionale
au obligatia de a elabora si de a supune spre avizare autoritatii
de supraveghere coduri de conduita care sa contina norme adecvate
pentru protectia drepturilor persoanelor ale caror date cu caracter
personal pot fi prelucrate de catre membrii acestora.
(2) Normele de conduita
trebuie sa prevada masuri si proceduri care sa asigure un nivel
satisfacator de protectie, tinand seama de natura datelor ce
pot fi prelucrate. Autoritatea de supraveghere poate dispune
masuri si proceduri specifice pentru perioada in care normele
de conduita la care s-a facut referire anterior nu sunt adoptate.
CAPITOLUL VII
Transferul
in strainatate al datelor cu caracter personal
Conditiile
transferului in strainatate al datelor cu caracter personal
Art.
29. -
(1) Transferul catre
un alt stat de date cu caracter personal care fac obiectul unei
prelucrari sau sunt destinate sa fie prelucrate dupa transfer
poate avea loc numai in conditiile in care nu se incalca legea
romana, iar statul catre care se intentioneaza transferul asigura
un nivel de protectie adecvat.
(2) Nivelul de protectie
va fi apreciat de catre autoritatea de supraveghere, tinand
seama de totalitatea imprejurarilor in care se realizeaza transferul
de date, in special avand in vedere natura datelor transmise,
scopul prelucrarii si durata propusa pentru prelucrare, statul
de origine si statul de destinatie finala, precum si legislatia
statului solicitant. In cazul in care autoritatea de supraveghere
constata ca nivelul de protectie oferit de statul de destinatie
este nesatisfacator, poate dispune interzicerea transferului
de date.
(3) In toate situatiile
transferul de date cu caracter personal catre un alt stat va
face obiectul unei notificari prealabile a autoritatii de supraveghere.
(4) Autoritatea de
supraveghere poate autoriza transferul de date cu caracter personal
catre un stat a carui legislatie nu prevede un nivel de protectie
cel putin egal cu cel oferit de legea romana atunci cand operatorul
ofera garantii suficiente cu privire la protectia drepturilor
fundamentale ale persoanelor. Aceste garantii trebuie sa fie
stabilite prin contracte incheiate intre operatori si persoanele
fizice sau juridice din dispozitia carora se efectueaza transferul.
(5) Prevederile alin.
(2), (3) si (4) nu se aplica daca transferul datelor se face
in baza prevederilor unei legi speciale sau ale unui acord international
ratificat de Romania, in special daca transferul se face in
scopul prevenirii, cercetarii sau reprimarii unei infractiuni.
(6) Prevederile prezentului
articol nu se aplica atunci cand prelucrarea datelor se face
exclusiv in scopuri jurnalistice, literare sau artistice, daca
datele au fost facute publice in mod manifest de catre persoana
vizata sau sunt strans legate de calitatea de persoana publica
a persoanei vizate ori de caracterul public al faptelor in care
este implicata.
Situatii in care transferul este intotdeauna
permis
Art.
30. - Transferul
de date este intotdeauna permis in urmatoarele situatii:
a) cand persoana
vizata si-a dat in mod explicit consimtamantul pentru efectuarea
transferului; in cazul in care transferul de date se face in
legatura cu oricare dintre datele prevazute la art. 7, 8 si
10, consimtamantul trebuie dat in scris;
b) cand este
necesar pentru executarea unui contract incheiat intre persoana
vizata si operator sau pentru executarea unor masuri precontractuale
dispuse la cererea pesoanei vizate;
c) cand este
necesar pentru incheierea sau pentru executarea unui contract
incheiat ori care se va incheia, in interesul persoanei vizate,
intre operator si un tert;
d) cand este
necesar pentru satisfacerea unui interes public major, precum
apararea nationala, ordinea publica sau siguranta nationala,
pentru buna desfasurare a procesului penal ori pentru constatarea,
exercitarea sau apararea unui drept in justitie, cu conditia
ca datele sa fie prelucrate in legatura cu acest scop si nu
mai mult timp decat este necesar;
e) cand este
necesar pentru a proteja viata, integritatea fizica sau sanatatea
persoanei vizate;
f) cand intervine
ca urmare a unei cereri anterioare de acces la documente oficiale
care sunt publice ori a unei cereri privind informatii care
pot fi obtinute din registre sau prin orice alte documente accesibile
publicului.
CAPITOLUL
VIII
Contraventii
si sanctiuni
Omisiunea
de a notifica si notificarea cu rea-credinta
Art.
31. - Omisiunea
de a efectua notificarea in conditiile art. 22 sau ale art.
29 alin. (3) in situatiile in care aceasta notificare este obligatorie,
precum si notificarea incompleta sau care contine informatii
false constituie contraventii, daca nu sunt savarsite in astfel
de conditii incat sa constituie infractiuni, si se sanctioneaza
cu amenda de la 5.000.000 lei la 100.000.000 lei.
Prelucrarea nelegala a datelor cu caracter personal
Art.
32. - Prelucrarea
datelor cu caracter personal de catre un operator sau de o persoana
imputernicita de acesta, cu incalcarea prevederilor art. 4-10
sau cu nesocotirea drepturilor prevazute la art. 12-15 sau la
art. 17, constituie contraventie, daca nu este savarsita in
astfel de conditii incat sa constituie infractiune, si se sanctioneaza
cu amenda de la 10.000.000 lei la 250.000.000 lei.
Neindeplinirea
obligatiilor privind confidentialitatea si aplicarea
masurilor de securitate
Art.
33. - Neindeplinirea
obligatiilor privind aplicarea masurilor de securitate si de
pastrare a confidentialitatii prelucrarilor, prevazute la art.
19 si 20, constituie contraventie, daca nu este savarsita in
astfel de conditii incat sa constituie infractiune, si se sanctioneaza
cu amenda de la 15.000.000 lei la 500.000.000 lei.
Refuzul de a furniza informatii
Art.
34. - Refuzul
de a furniza autoritatii de supraveghere informatiile sau documentele
cerute de aceasta in exercitarea atributiilor de investigare
prevazute la art. 27 constituie contraventie, daca nu este savarsita
in astfel de conditii incat sa constituie infractiune, si se
sanctioneaza cu amenda de la 10.000.000 lei la 150.000.000 lei.
Constatarea contraventiilor si aplicarea
sanctiunilor
Art.
35. -
(1) Constatarea contraventiilor
si aplicarea sanctiunilor se efectueaza de catre autoritatea
de supraveghere, care poate delega aceste atributii unor persoane
recrutate din randul personalului sau, precum si de reprezentanti
imputerniciti ai organelor cu atributii de supraveghere si control,
abilitate potrivit legii.
(2) Dispozitiile
prezentei legi referitoare la contraventii se completeaza cu
prevederile Ordonantei Guvernului nr.
2/2001
privind regimul juridic al contraventiilor, in masura in care
prezenta lege nu dispune altfel.
(3) Impotriva proceselor-verbale
de constatare si sanctionare se poate face plangere la sectiile
de contencios administrativ ale tribunalelor.
CAPITOLUL
IX
Dispozitii
finale
Intrarea
in vigoare
Art.
36. - Prezenta
lege intra in vigoare la data publicarii ei in Monitorul Oficial
al Romaniei, Partea I, si se pune in aplicare in termen de 3
luni de la intrarea sa in vigoare. Aceasta lege a fost adoptata
de Senat in sedinta din 15 octombrie 2001, cu respectarea prevederilor
art.
74
alin. (2) din Constitutia Romaniei.
PRESEDINTELE
SENATULUI
NICOLAE
VACAROIU
Aceasta
lege a fost adoptata de Camera Deputatilor in sedinta din 22
octombrie 2001, cu respectarea prevederilor art. 74 alin. (2)
din Constitutia Romaniei.
PRESEDINTELE
CAMEREI DEPUTATILOR
VALER
DORNEANU
Bucuresti,
21 noiembrie 2001. Nr. 677.