|
Parlamentul Romāniei adopta prezenta lege.
CAPITOLUL I: Dispozitii generale
Art. 1: Scop
(1) Prezenta lege are ca scop garantarea si protejarea drepturilor si libertatilor fundamentale ale persoanelor fizice, īn special a dreptului la viata intima, familiala si privata, cu privire la prelucrarea datelor cu caracter personal.
(2) Exercitarea drepturilor prevazute īn prezenta lege nu poate fi restrānsa decāt īn cazuri expres si limitativ prevazute de lege.
Art. 2: Domeniu de aplicare
(1) Prezenta lege se aplica prelucrarilor de date cu caracter personal, efectuate, īn tot sau īn parte, prin mijloace automate, precum si prelucrarii prin alte mijloace decāt cele automate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta sau care sunt destinate sa fie incluse īntr-un asemenea sistem.
(2) Prezenta lege se aplica:
a) prelucrarilor de date cu caracter personal, efectuate īn cadrul activitatilor desfasurate de operatori stabiliti īn Romānia;
b) prelucrarilor de date cu caracter personal, efectuate īn cadrul activitatilor desfasurate de misiunile diplomatice sau de oficiile consulare ale Romāniei;
c) prelucrarilor de date cu caracter personal, efectuate īn cadrul activitatilor desfasurate de operatori care nu sunt stabiliti īn Romānia, prin utilizarea de mijloace de orice natura situate pe teritoriul Romāniei, cu exceptia cazului īn care aceste mijloace nu sunt utilizate decāt īn scopul tranzitarii pe teritoriul Romāniei a datelor cu caracter personal care fac obiectul prelucrarilor respective.
(3) Īn cazul prevazut la alin. (2) lit. c) operatorul īsi va desemna un reprezentant care trebuie sa fie o persoana stabilita īn Romānia. Prevederile prezentei legi aplicabile operatorului sunt aplicabile si reprezentantului acestuia, fara a aduce atingere posibilitatii de a introduce actiune īn justitie direct īmpotriva operatorului.
(4) Prezenta lege se aplica prelucrarilor de date cu caracter personal efectuate de persoane fizice sau juridice, romāne ori straine, de drept public sau de drept privat, indiferent daca au loc īn sectorul public sau īn sectorul privat.
(5) Īn limitele prevazute de prezenta lege, aceasta se aplica si prelucrarilor si transferului de date cu caracter personal, efectuate īn cadrul activitatilor de prevenire, cercetare si reprimare a infractiunilor si de mentinere a ordinii publice, precum si al altor activitati desfasurate īn domeniul dreptului penal, īn limitele si cu restrictiile stabilite de lege.
(6) Prezenta lege nu se aplica prelucrarilor de date cu caracter personal, efectuate de persoane fizice exclusiv pentru uzul lor personal, daca datele īn cauza nu sunt destinate a fi dezvaluite.
(7) Prezenta lege nu se aplica prelucrarilor si transferului de date cu caracter personal, efectuate īn cadrul activitatilor īn domeniul apararii nationale si sigurantei nationale, desfasurate īn limitele si cu restrictiile stabilite de lege.
(8) Prevederile prezentei legi nu aduc atingere obligatiilor asumate de Romānia prin instrumente juridice ratificate.
Art. 3: Definitii
Īn īntelesul prezentei legi, urmatorii termeni se definesc dupa cum urmeaza:
a) date cu caracter personal - orice informatii referitoare la o persoana fizica identificata sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, īn mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
b) prelucrarea datelor cu caracter personal - orice operatiune sau set de operatiuni care se efectueaza asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, īnregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvaluirea catre terti prin transmitere, diseminare sau īn orice alt mod, alaturarea ori combinarea, blocarea, stergerea sau distrugerea;
c) stocarea - pastrarea pe orice fel de suport a datelor cu caracter personal culese;
d) sistem de evidenta a datelor cu caracter personal - orice structura organizata de date cu caracter personal, accesibila potrivit unor criterii determinate, indiferent daca aceasta structura este organizata īn mod centralizat ori descentralizat sau este repartizata dupa criterii functionale ori geografice;
e) operator - orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, care stabileste scopul si mijloacele de prelucrare a datelor cu caracter personal;
daca scopul si mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau īn baza unui act normativ, operator este persoana fizica sau juridica, de drept public ori de drept privat, care este desemnata ca operator prin acel act normativ sau īn baza acelui act normativ;
f) persoana īmputernicita de catre operator - o persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, care prelucreaza date cu caracter personal pe seama operatorului;
g) tert - orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, alta decāt persoana vizata, operatorul ori persoana īmputernicita sau persoanele care, sub autoritatea directa a operatorului sau a persoanei īmputernicite, sunt autorizate sa prelucreze date;
h) destinatar - orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, careia īi sunt dezvaluite date, indiferent daca este sau nu tert; autoritatile publice carora li se comunica date īn cadrul unei competente speciale de ancheta nu vor fi considerate destinatari;
i) date anonime - date care, datorita originii sau modalitatii specifice de prelucrare, nu pot fi asociate cu o persoana identificata sau identificabila.
CAPITOLUL II: Reguli generale privind prelucrarea datelor cu caracter personal
Art. 4: Caracteristicile datelor cu caracter personal īn cadrul prelucrarii
(1) Datele cu caracter personal destinate a face obiectul prelucrarii trebuie sa fie:
a) prelucrate cu buna-credinta si īn conformitate cu dispozitiile legale īn vigoare;
b) colectate īn scopuri determinate, explicite si legitime; prelucrarea ulterioara a datelor cu caracter personal īn scopuri statistice, de cercetare istorica sau stiintifica nu va fi considerata incompatibila cu scopul colectarii daca se efectueaza cu respectarea dispozitiilor prezentei legi, inclusiv a celor care privesc efectuarea notificarii catre autoritatea de supraveghere, precum si cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevazute de normele care reglementeaza activitatea statistica ori cercetarea istorica sau stiintifica;
c) adecvate, pertinente si neexcesive prin raportare la scopul īn care sunt colectate si ulterior prelucrate;
d) exacte si, daca este cazul, actualizate; īn acest scop se vor lua masurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate si pentru care vor fi ulterior prelucrate, sa fie sterse sau rectificate;
e) stocate īntr-o forma care sa permita identificarea persoanelor vizate strict pe durata necesara realizarii scopurilor īn care datele sunt colectate si īn care vor fi ulterior prelucrate; stocarea datelor pe o durata mai mare decāt cea mentionata, īn scopuri statistice, de cercetare istorica sau stiintifica, se va face cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevazute īn normele care reglementeaza aceste domenii, si numai pentru perioada necesara realizarii acestor scopuri.
(2) Operatorii au obligatia sa respecte prevederile alin. (1) si sa asigure īndeplinirea acestor prevederi de catre persoanele īmputernicite.
Art. 5: Conditii de legitimitate privind prelucrarea datelor
(1) Orice prelucrare de date cu caracter personal, cu exceptia prelucrarilor care vizeaza date din categoriile mentionate la art. 7 alin. (1), art. 8 si 10, poate fi efectuata numai daca persoana vizata si-a dat consimtamāntul īn mod expres si neechivoc pentru acea prelucrare.
(2) Consimtamāntul persoanei vizate nu este cerut īn urmatoarele cazuri:
a) cānd prelucrarea este necesara īn vederea executarii unui contract sau antecontract la care persoana vizata este parte ori īn vederea luarii unor masuri, la cererea acesteia, īnaintea īncheierii unui contract sau antecontract;
b) cānd prelucrarea este necesara īn vederea protejarii vietii, integritatii fizice sau sanatatii persoanei vizate ori a unei alte persoane amenintate;
c) cānd prelucrarea este necesara īn vederea īndeplinirii unei obligatii legale a operatorului;
d) cānd prelucrarea este necesara īn vederea aducerii la īndeplinire a unor masuri de interes public sau care vizeaza exercitarea prerogativelor de autoritate publica cu care este īnvestit operatorul sau tertul caruia īi sunt dezvaluite datele;
e) cānd prelucrarea este necesara īn vederea realizarii unui interes legitim al operatorului sau al tertului caruia īi sunt dezvaluite datele, cu conditia ca acest interes sa nu prejudicieze interesul sau drepturile si libertatile fundamentale ale persoanei vizate;
f) cānd prelucrarea priveste date obtinute din documente accesibile publicului, conform legii;
g) cānd prelucrarea este facuta exclusiv īn scopuri statistice, de cercetare istorica sau stiintifica, iar datele ramān anonime pe toata durata prelucrarii.
(3) Prevederile alin. (2) nu aduc atingere dispozitiilor legale care reglementeaza obligatia autoritatilor publice de a respecta si de a ocroti viata intima, familiala si privata.
Art. 6: Īncheierea operatiunilor de prelucrare
(1) La īncheierea operatiunilor de prelucrare, daca persoana vizata nu si-a dat īn mod expres si neechivoc consimtamāntul pentru o alta destinatie sau pentru o prelucrare ulterioara, datele cu caracter personal vor fi:
a) distruse;
b) transferate unui alt operator, cu conditia ca operatorul initial sa garanteze faptul ca prelucrarile ulterioare au scopuri similare celor īn care s-a facut prelucrarea initiala;
c) transformate īn date anonime si stocate exclusiv īn scopuri statistice, de cercetare istorica sau stiintifica.
(2) Īn cazul operatiunilor de prelucrare efectuate īn conditiile prevazute la art. 5 alin. (2) lit. c) sau d), īn cadrul activitatilor descrise la art. 2 alin. (5), operatorul poate stoca datele cu caracter personal pe perioada necesara realizarii scopurilor concrete urmarite, cu conditia asigurarii unor masuri corespunzatoare de protejare a acestora, dupa care va proceda la distrugerea lor daca nu sunt aplicabile prevederile legale privind pastrarea arhivelor.
CAPITOLUL III: Reguli speciale privind prelucrarea datelor cu caracter personal
Art. 7: Prelucrarea unor categorii speciale de date
(1) Prelucrarea datelor cu caracter personal legate de originea rasiala sau etnica, de convingerile politice, religioase, filozofice sau de natura similara, de apartenenta sindicala, precum si a datelor cu caracter personal privind starea de sanatate sau viata sexuala este interzisa.
(2) Prevederile alin. (1) nu se aplica īn urmatoarele cazuri:
a) cānd persoana vizata si-a dat īn mod expres consimtamāntul pentru o astfel de prelucrare;
b) cānd prelucrarea este necesara īn scopul respectarii obligatiilor sau drepturilor specifice ale operatorului īn domeniul dreptului muncii, cu respectarea garantiilor prevazute de lege; o eventuala dezvaluire catre un tert a datelor prelucrate poate fi efectuata numai daca exista o obligatie legala a operatorului īn acest sens sau daca persoana vizata a consimtit expres la aceasta dezvaluire;
c) cānd prelucrarea este necesara pentru protectia vietii, integritatii fizice sau a sanatatii persoanei vizate ori a altei persoane, īn cazul īn care persoana vizata se afla īn incapacitate fizica sau juridica de a-si da consimtamāntul;
d) cānd prelucrarea este efectuata īn cadrul activitatilor sale legitime de catre o fundatie, asociatie sau de catre orice alta organizatie cu scop nelucrativ si cu specific politic, filozofic, religios ori sindical, cu conditia ca persoana vizata sa fie membra a acestei organizatii sau sa īntretina cu aceasta, īn mod regulat, relatii care privesc specificul activitatii organizatiei si ca datele sa nu fie dezvaluite unor terti fara consimtamāntul persoanei vizate;
e) cānd prelucrarea se refera la date facute publice īn mod manifest de catre persoana vizata;
f) cānd prelucrarea este necesara pentru constatarea, exercitarea sau apararea unui drept īn justitie;
g) cānd prelucrarea este necesara īn scopuri de medicina preventiva, de stabilire a diagnosticelor medicale, de administrare a unor īngrijiri sau tratamente medicale pentru persoana vizata ori de gestionare a serviciilor de sanatate care actioneaza īn interesul persoanei vizate, cu conditia ca prelucrarea datelor respective sa fie efectuate de catre ori sub supravegherea unui cadru medical supus secretului profesional sau de catre ori sub supravegherea unei alte persoane supuse unei obligatii echivalente īn ceea ce priveste secretul;
h) cānd legea prevede īn mod expres aceasta īn scopul protejarii unui interes public important, cu conditia ca prelucrarea sa se efectueze cu respectarea drepturilor persoanei vizate si a celorlalte garantii prevazute de prezenta lege.
(3) Prevederile alin. (2) nu aduc atingere dispozitiilor legale care reglementeaza obligatia autoritatilor publice de a respecta si de a ocroti viata intima, familiala si privata.
(4) Autoritatea de supraveghere poate dispune, din motive īntemeiate, interzicerea efectuarii unei prelucrari de date din categoriile prevazute la alin. (1), chiar daca persoana vizata si-a dat īn scris si īn mod neechivoc consimtamāntul, iar acest consimtamānt nu a fost retras, cu conditia ca interdictia prevazuta la alin. (1) sa nu fie īnlaturata prin unul dintre cazurile la care se refera alin. (2) lit. b)-g).
Art. 8: Prelucrarea datelor cu caracter personal avānd functie de identificare
(1) Prelucrarea codului numeric personal sau a altor date cu caracter personal avānd o functie de identificare de aplicabilitate generala poate fi efectuata numai daca:
a) persoana vizata si-a dat īn mod expres consimtamāntul; sau
b) prelucrarea este prevazuta īn mod expres de o dispozitie legala.
(2) Autoritatea de supraveghere poate stabili si alte cazuri īn care se poate efectua prelucrarea datelor prevazute la alin. (1), numai cu conditia instituirii unor garantii adecvate pentru respectarea drepturilor persoanelor vizate.
Art. 9: Prelucrarea datelor cu caracter personal privind starea de sanatate
(1) Īn afara cazurilor prevazute la art. 7 alin. (2), prevederile art. 7 alin. (1) nu se aplica īn privinta prelucrarii datelor privind starea de sanatate īn urmatoarele cazuri:
a) daca prelucrarea este necesara pentru protectia sanatatii publice;
b) daca prelucrarea este necesara pentru prevenirea unui pericol iminent, pentru prevenirea savārsirii unei fapte penale sau pentru īmpiedicarea producerii rezultatului unei asemenea fapte ori pentru īnlaturarea urmarilor prejudiciabile ale unei asemenea fapte.
(2) Prelucrarea datelor privind starea de sanatate poate fi efectuata numai de catre ori sub supravegherea unui cadru medical, cu conditia respectarii secretului profesional, cu exceptia situatiei īn care persoana vizata si-a dat īn scris si īn mod neechivoc consimtamāntul atāta timp cāt acest consimtamānt nu a fost retras, precum si cu exceptia situatiei īn care prelucrarea este necesara pentru prevenirea unui pericol iminent, pentru prevenirea savārsirii unei fapte penale, pentru īmpiedicarea producerii rezultatului unei asemenea fapte sau pentru īnlaturarea urmarilor sale prejudiciabile.
(3) Cadrele medicale, institutiile de sanatate si personalul medical al acestora pot prelucra date cu caracter personal referitoare la starea de sanatate, fara autorizatia autoritatii de supraveghere, numai daca prelucrarea este necesara pentru protejarea vietii, integritatii fizice sau sanatatii persoanei vizate. Cānd scopurile mentionate se refera la alte persoane sau la public īn general si persoana vizata nu si-a dat consimtamāntul īn scris si īn mod neechivoc, trebuie ceruta si obtinuta īn prealabil autorizatia autoritatii de supraveghere. Prelucrarea datelor cu caracter personal īn afara limitelor prevazute īn autorizatie este interzisa.
(4) Cu exceptia motivelor de urgenta, autorizatia prevazuta la alin. (3) poate fi acordata numai dupa ce a fost consultat Colegiul Medicilor din Romānia.
(5) Datele cu caracter personal privind starea de sanatate pot fi colectate numai de la persoana vizata. Prin exceptie, aceste date pot fi colectate din alte surse numai īn masura īn care este necesar pentru a nu compromite scopurile prelucrarii, iar persoana vizata nu vrea ori nu le poate furniza.
Art. 10: Prelucrarea datelor cu caracter personal referitoare la fapte penale sau contraventii
(1) Prelucrarea datelor cu caracter personal referitoare la savārsirea de infractiuni de catre persoana vizata ori la condamnari penale, masuri de siguranta sau sanctiuni administrative ori contraventionale, aplicate persoanei vizate, poate fi efectuata numai de catre sau sub controlul autoritatilor publice, īn limitele puterilor ce le sunt conferite prin lege si īn conditiile stabilite de legile speciale care reglementeaza aceste materii.
(2) Autoritatea de supraveghere poate stabili si alte cazuri īn care se poate efectua prelucrarea datelor prevazute la alin. (1), numai cu conditia instituirii unor garantii adecvate pentru respectarea drepturilor persoanelor vizate.
(3) Un registru complet al condamnarilor penale poate fi tinut numai sub controlul unei autoritati publice, īn limitele puterilor ce īi sunt conferite prin lege.
Art. 11: Exceptii
Prevederile art. 5, 6, 7 si 10 nu se aplica īn situatia īn care prelucrarea datelor se face exclusiv īn scopuri jurnalistice, literare sau artistice, daca prelucrarea priveste date cu caracter personal care au fost facute publice īn mod manifest de catre persoana vizata sau care sunt strāns legate de calitatea de persoana publica a persoanei vizate ori de caracterul public al faptelor īn care este implicata.
CAPITOLUL IV: Drepturile persoanei vizate īn contextul prelucrarii datelor cu caracter personal
Art. 12: Informarea persoanei vizate
(1) Īn cazul īn care datele cu caracter personal sunt obtinute direct de la persoana vizata, operatorul este obligat sa furnizeze persoanei vizate cel putin urmatoarele informatii, cu exceptia cazului īn care aceasta persoana poseda deja informatiile respective:
a) identitatea operatorului si a reprezentantului acestuia, daca este cazul;
b) scopul īn care se face prelucrarea datelor;
c) informatii suplimentare, precum: destinatarii sau categoriile de destinatari ai datelor; daca furnizarea tuturor datelor cerute este obligatorie si consecintele refuzului de a le furniza; existenta drepturilor prevazute de prezenta lege pentru persoana vizata, īn special a dreptului de acces, de interventie asupra datelor si de opozitie, precum si conditiile īn care pot fi exercitate;
d) orice alte informatii a caror furnizare este impusa prin dispozitie a autoritatii de supraveghere, tinānd seama de specificul prelucrarii.
(2) Īn cazul īn care datele nu sunt obtinute direct de la persoana vizata, operatorul este obligat ca, īn momentul colectarii datelor sau, daca se intentioneaza dezvaluirea acestora catre terti, cel mai tārziu pāna īn momentul primei dezvaluiri, sa furnizeze persoanei vizate cel putin urmatoarele informatii, cu exceptia cazului īn care persoana vizata poseda deja informatiile respective:
a) identitatea operatorului si a reprezentantului acestuia, daca este cazul;
b) scopul īn care se face prelucrarea datelor;
c) informatii suplimentare, precum: categoriile de date vizate, destinatarii sau categoriile de destinatari ai datelor, existenta drepturilor prevazute de prezenta lege pentru persoana vizata, īn special a dreptului de acces, de interventie asupra datelor si de opozitie, precum si conditiile īn care pot fi exercitate;
d) orice alte informatii a caror furnizare este impusa prin dispozitie a autoritatii de supraveghere, tinānd seama de specificul prelucrarii.
(3) Prevederile alin. (2) nu se aplica atunci cānd prelucrarea datelor se efectueaza exclusiv īn scopuri jurnalistice, literare sau artistice, daca aplicarea acestora ar da indicii asupra surselor de informare.
(4) Prevederile alin. (2) nu se aplica īn cazul īn care prelucrarea datelor se face īn scopuri statistice, de cercetare istorica sau stiintifica, ori īn orice alte situatii īn care furnizarea unor asemenea informatii se dovedeste imposibila sau ar implica un efort disproportionat fata de interesul legitim care ar putea fi lezat, precum si īn situatiile īn care īnregistrarea sau dezvaluirea datelor este expres prevazuta de lege.
Art. 13: Dreptul de acces la date
(1) Orice persoana vizata are dreptul de a obtine de la operator, la cerere si īn mod gratuit pentru o solicitare pe an, confirmarea faptului ca datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, īn situatia īn care prelucreaza date cu caracter personal care privesc solicitantul, sa comunice acestuia, īmpreuna cu confirmarea, cel putin urmatoarele:
a) informatii referitoare la scopurile prelucrarii, categoriile de date avute īn vedere si destinatarii sau categoriile de destinatari carora le sunt dezvaluite datele;
b) comunicarea īntr-o forma inteligibila a datelor care fac obiectul prelucrarii, precum si a oricarei informatii disponibile cu privire la originea datelor;
c) informatii asupra principiilor de functionare a mecanismului prin care se efectueaza orice prelucrare automata a datelor care vizeaza persoana respectiva;
d) informatii privind existenta dreptului de interventie asupra datelor si a dreptului de opozitie, precum si conditiile īn care pot fi exercitate;
e) informatii asupra posibilitatii de a consulta registrul de evidenta a prelucrarilor de date cu caracter personal, prevazut la art. 24, de a īnainta plāngere catre autoritatea de supraveghere, precum si de a se adresa instantei pentru atacarea deciziilor operatorului, īn conformitate cu dispozitiile prezentei legi.
(2) Persoana vizata poate solicita de la operator informatiile prevazute la alin. (1), printr-o cerere īntocmita īn forma scrisa, datata si semnata. Īn cerere solicitantul poate arata daca doreste ca informatiile sa īi fie comunicate la o anumita adresa, care poate fi si de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.
(3) Operatorul este obligat sa comunice informatiile solicitate, īn termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).
(4) Īn cazul datelor cu caracter personal legate de starea de sanatate, cererea prevazuta la alin. (2) poate fi introdusa de persoana vizata fie direct, fie prin intermediul unui cadru medical care va indica īn cerere persoana īn numele careia este introdusa. La cererea operatorului sau a persoanei vizate comunicarea prevazuta la alin. (3) poate fi facuta prin intermediul unui cadru medical desemnat de persoana vizata.
(5) Īn cazul īn care datele cu caracter personal legate de starea de sanatate sunt prelucrate īn scop de cercetare stiintifica, daca nu exista, cel putin aparent, riscul de a se aduce atingere drepturilor persoanei vizate si daca datele nu sunt utilizate pentru a lua decizii sau masuri fata de o anumita persoana, comunicarea prevazuta la alin. (3) se poate face si īntr-un termen mai mare decāt cel prevazut la acel alineat, īn masura īn care aceasta ar putea afecta bunul mers sau rezultatele cercetarii, si nu mai tārziu de momentul īn care cercetarea este īncheiata. Īn acest caz persoana vizata trebuie sa īsi fi dat īn mod expres si neechivoc consimtamāntul ca datele sa fie prelucrate īn scop de cercetare stiintifica, precum si asupra posibilei amānari a comunicarii prevazute la alin. (3) din acest motiv.
(6) Prevederile alin. (2) nu se aplica atunci cānd prelucrarea datelor se efectueaza exclusiv īn scopuri jurnalistice, literare sau artistice, daca aplicarea acestora ar da indicii asupra surselor de informare.
Art. 14: Dreptul de interventie asupra datelor
(1) Orice persoana vizata are dreptul de a obtine de la operator, la cerere si īn mod gratuit:
a) dupa caz, rectificarea, actualizarea, blocarea sau stergerea datelor a caror prelucrare nu este conforma prezentei legi, īn special a datelor incomplete sau inexacte;
b) dupa caz, transformarea īn date anonime a datelor a caror prelucrare nu este conforma prezentei legi;
c) notificarea catre tertii carora le-au fost dezvaluite datele a oricarei operatiuni efectuate conform lit. a) sau b), daca aceasta notificare nu se dovedeste imposibila sau nu presupune un efort disproportionat fata de interesul legitim care ar putea fi lezat.
(2) Pentru exercitarea dreptului prevazut la alin. (1) persoana vizata va īnainta operatorului o cerere īntocmita īn forma scrisa, datata si semnata. Īn cerere solicitantul poate arata daca doreste ca informatiile sa īi fie comunicate la o anumita adresa, care poate fi si de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.
(3) Operatorul este obligat sa comunice masurile luate īn temeiul alin. (1), precum si, daca este cazul, numele tertului caruia i-au fost dezvaluite datele cu caracter personal referitoare la persoana vizata, īn termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (2).
Art. 15: Dreptul de opozitie
(1) Persoana vizata are dreptul de a se opune īn orice moment, din motive īntemeiate si legitime legate de situatia sa particulara, ca date care o vizeaza sa faca obiectul unei prelucrari, cu exceptia cazurilor īn care exista dispozitii legale contrare. Īn caz de opozitie justificata prelucrarea nu mai poate viza datele īn cauza.
(2) Persoana vizata are dreptul de a se opune īn orice moment, īn mod gratuit si fara nici o justificare, ca datele care o vizeaza sa fie prelucrate īn scop de marketing direct, īn numele operatorului sau al unui tert, sau sa fie dezvaluite unor terti īntr-un asemenea scop.
(3) Īn vederea exercitarii drepturilor prevazute la alin. (1) si (2) persoana vizata va īnainta operatorului o cerere īntocmita īn forma scrisa, datata si semnata. Īn cerere solicitantul poate arata daca doreste ca informatiile sa īi fie comunicate la o anumita adresa, care poate fi si de posta electronica, sau printr-un serviciu de corespondenta care sa asigure ca predarea i se va face numai personal.
(4) Operatorul este obligat sa comunice persoanei vizate masurile luate īn temeiul alin. (1) sau (2), precum si, daca este cazul, numele tertului caruia i-au fost dezvaluite datele cu caracter personal referitoare la persoana vizata, īn termen de 15 zile de la data primirii cererii, cu respectarea eventualei optiuni a solicitantului exprimate potrivit alin. (3).
Art. 16: Exceptii
(1) Prevederile art. 12, 13, ale art. 14 alin. (3) si ale art. 15 nu se aplica īn cazul activitatilor prevazute la art. 2 alin. (5), daca prin aplicarea acestora este prejudiciata eficienta actiunii sau obiectivul urmarit īn īndeplinirea atributiilor legale ale autoritatii publice.
(2) Prevederile alin. (1) sunt aplicabile strict pentru perioada necesara atingerii obiectivului urmarit prin desfasurarea activitatilor mentionate la art. 2 alin. (5).
(3) Dupa īncetarea situatiei care justifica aplicarea alin. (1) si (2) operatorii care desfasoara activitatile prevazute la art. 2 alin. (5) vor lua masurile necesare pentru a asigura respectarea drepturilor persoanelor vizate.
(4) Autoritatile publice tin evidenta unor astfel de cazuri si informeaza periodic autoritatea de supraveghere despre modul de solutionare a lor.
Art. 17: Dreptul de a nu fi supus unei decizii individuale
(1) Orice persoana are dreptul de a cere si de a obtine:
a) retragerea sau anularea oricarei decizii care produce efecte juridice īn privinta sa, adoptata exclusiv pe baza unei prelucrari de date cu caracter personal, efectuata prin mijloace automate, destinata sa evalueze unele aspecte ale personalitatii sale, precum competenta profesionala, credibilitatea, comportamentul sau ori alte asemenea aspecte;
b) reevaluarea oricarei alte decizii luate īn privinta sa, care o afecteaza īn mod semnificativ, daca decizia a fost adoptata exclusiv pe baza unei prelucrari de date care īntruneste conditiile prevazute la lit. a).
(2) Respectāndu-se celelalte garantii prevazute de prezenta lege, o persoana poate fi supusa unei decizii de natura celei vizate la alin. (1), numai īn urmatoarele situatii:
a) decizia este luata īn cadrul īncheierii sau executarii unui contract, cu conditia ca cererea de īncheiere sau de executare a contractului, introdusa de persoana vizata, sa fi fost satisfacuta sau ca unele masuri adecvate, precum posibilitatea de a-si sustine punctul de vedere, sa garanteze apararea propriului interes legitim;
b) decizia este autorizata de o lege care precizeaza masurile ce garanteaza apararea interesului legitim al persoanei vizate.
Art. 18: Dreptul de a se adresa justitiei
(1) Fara a se aduce atingere posibilitatii de a se adresa cu plāngere autoritatii de supraveghere, persoanele vizate au dreptul de a se adresa justitiei pentru apararea oricaror drepturi garantate de prezenta lege, care le-au fost īncalcate.
(2) Orice persoana care a suferit un prejudiciu īn urma unei prelucrari de date cu caracter personal, efectuata ilegal, se poate adresa instantei competente pentru repararea acestuia.
(3) Instanta competenta este cea īn a carei raza teritoriala domiciliaza reclamantul. Cererea de chemare īn judecata este scutita de taxa de timbru.
CAPITOLUL V: Confidentialitatea si securitatea prelucrarilor
Art. 19: Confidentialitatea prelucrarilor
Orice persoana care actioneaza sub autoritatea operatorului sau a persoanei īmputernicite, inclusiv persoana īmputernicita, care are acces la date cu caracter personal, nu poate sa le prelucreze decāt pe baza instructiunilor operatorului, cu exceptia cazului īn care actioneaza īn temeiul unei obligatii legale.
Art. 20: Securitatea prelucrarilor
(1) Operatorul este obligat sa aplice masurile tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal īmpotriva distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat, īn special daca prelucrarea respectiva comporta transmisii de date īn cadrul unei retele, precum si īmpotriva oricarei alte forme de prelucrare ilegala.
(2) Aceste masuri trebuie sa asigure, potrivit stadiului tehnicii utilizate īn procesul de prelucrare si de costuri, un nivel de securitate adecvat īn ceea ce priveste riscurile pe care le reprezinta prelucrarea, precum si īn ceea ce priveste natura datelor care trebuie protejate. Cerintele minime de securitate vor fi elaborate de autoritatea de supraveghere si vor fi actualizate periodic, corespunzator progresului tehnic si experientei acumulate.
(3) Operatorul, atunci cānd desemneaza o persoana īmputernicita, este obligat sa aleaga o persoana care prezinta suficiente garantii īn ceea ce priveste masurile de securitate tehnica si organizatorice cu privire la prelucrarile ce vor fi efectuate, precum si sa vegheze la respectarea acestor masuri de catre persoana desemnata.
(4) Autoritatea de supraveghere poate decide, īn cazuri individuale, asupra obligarii operatorului la adoptarea unor masuri suplimentare de securitate, cu exceptia celor care privesc garantarea securitatii serviciilor de telecomunicatii.
(5) Efectuarea prelucrarilor prin persoane īmputernicite trebuie sa se desfasoare īn baza unui contract īncheiat īn forma scrisa, care va cuprinde īn mod obligatoriu:
a) obligatia persoanei īmputernicite de a actiona doar īn baza instructiunilor primite de la operator;
b) faptul ca īndeplinirea obligatiilor prevazute la alin. (1) revine si persoanei īmputernicite.
CAPITOLUL VI: Supravegherea si controlul prelucrarilor de date cu caracter personal
Art. 21: Autoritatea de supraveghere
(1) Autoritatea de supraveghere, īn sensul prezentei legi, este Avocatul Poporului.
(2) Autoritatea de supraveghere īsi desfasoara activitatea īn conditii de completa independenta si impartialitate.
(3) Autoritatea de supraveghere monitorizeaza si controleaza sub aspectul legalitatii prelucrarile de date cu caracter personal care cad sub incidenta prezentei legi.
Īn acest scop autoritatea de supraveghere exercita urmatoarele atributii:
a) elaboreaza formularele tipizate ale notificarilor si ale registrelor proprii;
b) primeste si analizeaza notificarile privind prelucrarea datelor cu caracter personal, anuntānd operatorului rezultatele controlului prealabil;
c) autorizeaza prelucrarile de date īn situatiile prevazute de lege;
d) poate dispune, īn cazul īn care constata īncalcarea dispozitiilor prezentei legi, suspendarea provizorie sau īncetarea prelucrarii datelor, stergerea partiala ori integrala a datelor prelucrate si poate sa sesiseze organele de urmarire penala sau sa intenteze actiuni īn justitie;
e) pastreaza si pune la dispozitie publicului registrul de evidenta a prelucrarilor de date cu caracter personal;
f) primeste si solutioneaza plāngeri, sesizari sau cereri de la persoanele fizice si comunica solutia data ori, dupa caz, diligentele depuse;
g) efectueaza investigatii din oficiu sau la primirea unor plāngeri ori sesizari;
h) este consultata atunci cānd se elaboreaza proiecte de acte normative referitoare la protectia drepturilor si libertatilor persoanelor, īn privinta prelucrarii datelor cu caracter personal;
i) poate face propuneri privind initierea unor proiecte de acte normative sau modificarea actelor normative īn vigoare īn domenii legate de prelucrarea datelor cu caracter personal;
j) coopereaza cu autoritatile publice si cu organele administratiei publice, centralizeaza si analizeaza rapoartele anuale de activitate ale acestora privind protectia persoanelor īn privinta prelucrarii datelor cu caracter personal, formuleaza recomandari si avize asupra oricarei chestiuni legate de protectia drepturilor si libertatilor fundamentale īn privinta prelucrarii datelor cu caracter personal, la cererea oricarei persoane, inclusiv a autoritatilor publice si a organelor administratiei publice; aceste recomandari si avize trebuie sa faca mentiune despre temeiurile pe care se sprijina si se comunica īn copie si Ministerului Justitiei; atunci cānd recomandarea sau avizul este cerut de lege, se publica īn Monitorul Oficial al Romāniei, Partea I;
k) coopereaza cu autoritatile similare de peste hotare īn vederea asistentei mutuale, precum si cu persoanele cu domiciliul sau cu sediul īn strainatate, īn scopul apararii drepturilor si libertatilor fundamentale ce pot fi afectate prin prelucrarea datelor cu caracter personal;
l) īndeplineste alte atributii prevazute de lege.
(4) Īntregul personal al autoritatii de supraveghere are obligatia de a pastra secretul profesional, cu exceptiile prevazute de lege, pe termen nelimitat, asupra informatiilor confidentiale sau clasificate la care are sau a avut acces īn exercitarea atributiilor de serviciu, inclusiv dupa īncetarea raporturilor juridice cu autoritatea de supraveghere.
Art. 22: Notificarea catre autoritatea de supraveghere
(1) Operatorul este obligat sa notifice autoritatii de supraveghere, personal sau prin reprezentant, īnainte de efectuarea oricarei prelucrari ori a oricarui ansamblu de prelucrari avānd acelasi scop sau scopuri corelate.
(2) Notificarea nu este necesara īn cazul īn care prelucrarea are ca unic scop tinerea unui registru destinat prin lege informarii publicului si deschis spre consultare publicului īn general sau oricarei persoane care probeaza un interes legitim, cu conditia ca prelucrarea sa se limiteze la datele strict necesare tinerii registrului mentionat.
(3) Notificarea va cuprinde cel putin urmatoarele informatii:
a) numele sau denumirea si domiciliul ori sediul operatorului si ale reprezentantului desemnat al acestuia, daca este cazul;
b) scopul sau scopurile prelucrarii;
c) o descriere a categoriei sau a categoriilor de persoane vizate si a datelor ori a categoriilor de date ce vor fi prelucrate;
d) destinatarii sau categoriile de destinatari carora se intentioneaza sa li se dezvaluie datele;
e) garantiile care īnsotesc dezvaluirea datelor catre terti;
f) modul īn care persoanele vizate sunt informate asupra drepturilor lor; data estimata pentru īncheierea operatiunilor de prelucrare, precum si destinatia ulterioara a datelor;
g) transferuri de date care se intentioneaza sa fie facute catre alte state;
h) o descriere generala care sa permita aprecierea preliminara a masurilor luate pentru asigurarea securitatii prelucrarii;
i) specificarea oricarui sistem de evidenta a datelor cu caracter personal, care are legatura cu prelucrarea, precum si a eventualelor legaturi cu alte prelucrari de date sau cu alte sisteme de evidenta a datelor cu caracter personal, indiferent daca se efectueaza, respectiv daca sunt sau nu sunt situate pe teritoriul Romāniei;
j) motivele care justifica aplicarea prevederilor art. 11, art. 12 alin. (3) sau (4) ori ale art. 13 alin. (5) sau (6), īn situatia īn care prelucrarea datelor se face exclusiv īn scopuri jurnalistice, literare sau artistice ori īn scopuri statistice, de cercetare istorica sau stiintifica.
(4) Daca notificarea este incompleta, autoritatea de supraveghere va solicita completarea acesteia.
(5) Īn limitele puterilor de investigare de care dispune, autoritatea de supraveghere poate solicita si alte informatii, īn special privind originea datelor, tehnologia de prelucrare automata utilizata si detalii referitoare la masurile de securitate. Dispozitiile prezentului alineat nu se aplica īn situatia īn care prelucrarea datelor se face exclusiv īn scopuri jurnalistice, literare sau artistice.
(6) Daca se intentioneaza ca datele care sunt prelucrate sa fie transferate īn strainatate, notificarea va cuprinde si urmatoarele elemente:
a) categoriile de date care vor face obiectul transferului;
b) tara de destinatie pentru fiecare categorie de date.
(7) Notificarea este supusa unei taxe care trebuie platita de operator autoritatii de supraveghere.
(8) Autoritatile publice care efectueaza prelucrari de date cu caracter personal īn legatura cu activitatile descrise la art. 2 alin. (5), īn temeiul legii sau īn īndeplinirea obligatiilor asumate prin acorduri internationale ratificate, sunt scutite de taxa prevazuta la alin. (7). Notificarea se va transmite īn termen de 15 zile de la intrarea īn vigoare a actului normativ care instituie obligatia respectiva si va cuprinde numai urmatoarele elemente:
a) denumirea si sediul operatorului;
b) scopul si temeiul legal al prelucrarii;
c) categoriile de date cu caracter personal supuse prelucrarii.
(9) Autoritatea de supraveghere poate stabili si alte situatii īn care notificarea nu este necesara, īn afara celei prevazute la alin. (2), sau situatii īn care notificarea se poate efectua īntr-o forma simplificata, precum si continutul acesteia, numai īn unul dintre urmatoarele cazuri:
a) atunci cānd, luānd īn considerare natura datelor destinate sa fie prelucrate, prelucrarea nu poate afecta, cel putin aparent, drepturile persoanelor vizate, cu conditia sa precizeze expres scopurile īn care se poate face o asemenea prelucrare, datele sau categoriile de date care pot fi prelucrate, categoria sau categoriile de persoane vizate, destinatarii sau categoriile de destinatari carora datele le pot fi dezvaluite si perioada pentru care datele pot fi stocate;
b) atunci cānd prelucrarea se efectueaza īn conditiile art. 7 alin. (2) lit. d).
Art. 23: Controlul prealabil
(1) Autoritatea de supraveghere va stabili categoriile de operatiuni de prelucrare care sunt susceptibile de a prezenta riscuri speciale pentru drepturile si libertatile persoanelor.
(2) Daca pe baza notificarii autoritatea de supraveghere constata ca prelucrarea se īncadreaza īn una dintre categoriile mentionate la alin. (1), va dispune obligatoriu efectuarea unui control prealabil īnceperii prelucrarii respective, cu anuntarea operatorului.
(3) Operatorii care nu au fost anuntati īn termen de 5 zile de la data notificarii despre efectuarea unui control prealabil pot īncepe prelucrarea.
(4) Īn situatia prevazuta la alin. (2) autoritatea de supraveghere este obligata ca, īn termen de cel mult 30 de zile de la data notificarii, sa aduca la cunostinta operatorului rezultatul controlului efectuat, precum si decizia emisa īn urma acestuia.
Art. 24: Registrul de evidenta a prelucrarilor de date cu caracter personal
(1) Autoritatea de supraveghere pastreaza un registru de evidenta a prelucrarilor de date cu caracter personal, notificate īn conformitate cu prevederile art. 22. Registrul va cuprinde toate informatiile prevazute la art. 22 alin. (3).
(2) Fiecare operator primeste un numar de īnregistrare. Numarul de īnregistrare trebuie mentionat pe orice act prin care datele sunt colectate, stocate sau dezvaluite.
(3) Orice schimbare de natura sa afecteze exactitatea informatiilor īnregistrate va fi comunicata autoritatii de supraveghere īn termen de 5 zile. Autoritatea de supraveghere va dispune de īndata efectuarea mentiunilor corespunzatoare īn registru.
(4) Activitatile de prelucrare a datelor cu caracter personal, īncepute anterior intrarii īn vigoare a prezentei legi, vor fi notificate īn vederea īnregistrarii īn termen de 15 zile de la data intrarii īn vigoare a prezentei legi.
(5) Registrul de evidenta a prelucrarilor de date cu caracter personal este deschis spre consultare publicului. Modalitatea de consultare se stabileste de autoritatea de supraveghere.
Art. 25: Plāngeri adresate autoritatii de supraveghere
(1) Īn vederea apararii drepturilor prevazute de prezenta lege persoanele ale caror date cu caracter personal fac obiectul unei prelucrari care cade sub incidenta prezentei legi pot īnainta plāngere catre autoritatea de supraveghere. Plāngerea se poate face direct sau prin reprezentant. Persoana lezata poate īmputernici o asociatie sau o fundatie sa īi reprezinte interesele.
(2) Plāngerea catre autoritatea de supraveghere nu poate fi īnaintata daca o cerere īn justitie, avānd acelasi obiect si aceleasi parti, a fost introdusa anterior.
(3) Īn afara cazurilor īn care o īntārziere ar cauza un prejudiciu iminent si ireparabil, plāngerea catre autoritatea de supraveghere nu poate fi īnaintata mai devreme de 15 zile de la īnaintarea unei plāngeri cu acelasi continut catre operator.
(4) Īn vederea solutionarii plāngerii, daca apreciaza ca este necesar, autoritatea de supraveghere poate audia persoana vizata, operatorul si, daca este cazul, persoana īmputernicita sau asociatia ori fundatia care reprezinta interesele persoanei vizate. Aceste persoane au dreptul de a īnainta cereri, documente si memorii. Autoritatea de supraveghere poate dispune efectuarea de expertize.
(5) Daca plāngerea este gasita īntemeiata, autoritatea de supraveghere poate decide oricare dintre masurile prevazute la art. 21 alin. (3) lit. d). Interdictia temporara a prelucrarii poate fi instituita numai pāna la īncetarea motivelor care au determinat luarea acestei masuri.
(6) Decizia trebuie motivata si se comunica partilor interesate īn termen de 30 de zile de la data primirii plāngerii.
(7) Autoritatea de supraveghere poate ordona, daca apreciaza necesar, suspendarea unora sau tuturor operatiunilor de prelucrare pāna la solutionarea plāngerii īn conditiile alin. (5).
(8) Autoritatea de supraveghere se poate adresa justitiei pentru apararea oricaror drepturi garantate de prezenta lege persoanelor vizate. Instanta competenta este Tribunalul Municipiului Bucuresti. Cererea de chemare īn judecata este scutita de taxa de timbru.
(9) La cererea persoanelor vizate, pentru motive īntemeiate, instanta poate dispune suspendarea prelucrarii pāna la solutionarea plāngerii de catre autoritatea de supraveghere.
(10) Prevederile alin. (4)-(9) se aplica īn mod corespunzator si īn situatia īn care autoritatea de supraveghere afla pe orice alta cale despre savārsirea unei īncalcari a drepturilor recunoscute de prezenta lege persoanelor vizate.
Art. 26: Contestarea deciziilor autoritatii de supraveghere
(1) Īmpotriva oricarei decizii emise de autoritatea de supraveghere īn temeiul dispozitiilor prezentei legi operatorul sau persoana vizata poate formula contestatie īn termen de 15 zile de la comunicare, sub sanctiunea decaderii, la instanta de contencios administrativ competenta. Cererea se judeca de urgenta, cu citarea partilor. Solutia este definitiva si irevocabila.
(2) Fac exceptie de la prevederile alin. (1), precum si de la cele ale art. 23 si 25 prelucrarile de date cu caracter personal, efectuate īn cadrul activitatilor prevazute la art. 2 alin. (5).
Art. 27: Exercitarea atributiilor de investigare
(1) Autoritatea de supraveghere poate investiga, din oficiu sau la primirea unei plāngeri, orice īncalcare a drepturilor persoanelor vizate, respectiv a obligatiilor care revin operatorilor si, dupa caz, persoanelor īmputernicite, īn cadrul efectuarii prelucrarilor de date cu caracter personal, īn scopul apararii drepturilor si libertatilor fundamentale ale persoanelor vizate.
(2) Atributiile de investigare nu pot fi exercitate de catre autoritatea de supraveghere īn cazul īn care o cerere īn justitie introdusa anterior are ca obiect savārsirea aceleiasi īncalcari a drepturilor si opune aceleasi parti.
(3) Īn exercitarea atributiilor de investigare autoritatea de supraveghere poate solicita operatorului orice informatii legate de prelucrarea datelor cu caracter personal si poate verifica orice document sau īnregistrare referitoare la prelucrarea de date cu caracter personal.
(4) Secretul de stat si secretul profesional nu pot fi invocate pentru a īmpiedica exercitarea atributiilor acordate prin prezenta lege autoritatii de supraveghere. Atunci cānd este invocata protectia secretului de stat sau a secretului profesional, autoritatea de supraveghere are obligatia de a pastra secretul.
(5) Daca exercitarea atributiei de investigare a autoritatii de supraveghere are ca obiect o prelucrare de date cu caracter personal, efectuata de autoritatile publice īn legatura cu activitatile descrise la art. 2 alin. (5) pentru un caz concret, este necesara obtinerea acordului prealabil al procurorului sau al instantei competente.
Art. 28: Norme de conduita
(1) Asociatiile profesionale au obligatia de a elabora si de a supune spre avizare autoritatii de supraveghere coduri de conduita care sa contina norme adecvate pentru protectia drepturilor persoanelor ale caror date cu caracter personal pot fi prelucrate de catre membrii acestora.
(2) Normele de conduita trebuie sa prevada masuri si proceduri care sa asigure un nivel satisfacator de protectie, tinānd seama de natura datelor ce pot fi prelucrate. Autoritatea de supraveghere poate dispune masuri si proceduri specifice pentru perioada īn care normele de conduita la care s-a facut referire anterior nu sunt adoptate.
CAPITOLUL VII: Transferul īn strainatate al datelor cu caracter personal
Art. 29: Conditiile transferului īn strainatate al datelor cu caracter personal
(1) Transferul catre un alt stat de date cu caracter personal care fac obiectul unei prelucrari sau sunt destinate sa fie prelucrate dupa transfer poate avea loc numai īn conditiile īn care nu se īncalca legea romāna, iar statul catre care se intentioneaza transferul asigura un nivel de protectie adecvat.
(2) Nivelul de protectie va fi apreciat de catre autoritatea de supraveghere, tinānd seama de totalitatea īmprejurarilor īn care se realizeaza transferul de date, īn special avānd īn vedere natura datelor transmise, scopul prelucrarii si durata propusa pentru prelucrare, statul de origine si statul de destinatie finala, precum si legislatia statului solicitant. Īn cazul īn care autoritatea de supraveghere constata ca nivelul de protectie oferit de statul de destinatie este nesatisfacator, poate dispune interzicerea transferului de date.
(3) Īn toate situatiile transferul de date cu caracter personal catre un alt stat va face obiectul unei notificari prealabile a autoritatii de supraveghere.
(4) Autoritatea de supraveghere poate autoriza transferul de date cu caracter personal catre un stat a carui legislatie nu prevede un nivel de protectie cel putin egal cu cel oferit de legea romāna atunci cānd operatorul ofera garantii suficiente cu privire la protectia drepturilor fundamentale ale persoanelor. Aceste garantii trebuie sa fie stabilite prin contracte īncheiate īntre operatori si persoanele fizice sau juridice din dispozitia carora se efectueaza transferul.
(5) Prevederile alin. (2), (3) si (4) nu se aplica daca transferul datelor se face īn baza prevederilor unei legi speciale sau ale unui acord international ratificat de Romānia, īn special daca transferul se face īn scopul prevenirii, cercetarii sau reprimarii unei infractiuni.
(6) Prevederile prezentului articol nu se aplica atunci cānd prelucrarea datelor se face exclusiv īn scopuri jurnalistice, literare sau artistice, daca datele au fost facute publice īn mod manifest de catre persoana vizata sau sunt strāns legate de calitatea de persoana publica a persoanei vizate ori de caracterul public al faptelor īn care este implicata.
Art. 30: Situatii īn care transferul este īntotdeauna permis
Transferul de date este īntotdeauna permis īn urmatoarele situatii:
a) cānd persoana vizata si-a dat īn mod explicit consimtamāntul pentru efectuarea transferului; īn cazul īn care transferul de date se face īn legatura cu oricare dintre datele prevazute la art. 7, 8 si 10, consimtamāntul trebuie dat īn scris;
b) cānd este necesar pentru executarea unui contract īncheiat īntre persoana vizata si operator sau pentru executarea unor masuri precontractuale dispuse la cererea persoanei vizate;
c) cānd este necesar pentru īncheierea sau pentru executarea unui contract īncheiat ori care se va īncheia, īn interesul persoanei vizate, īntre operator si un tert;
d) cānd este necesar pentru satisfacerea unui interes public major, precum apararea nationala, ordinea publica sau siguranta nationala, pentru buna desfasurare a procesului penal ori pentru constatarea, exercitarea sau apararea unui drept īn justitie, cu conditia ca datele sa fie prelucrate īn legatura cu acest scop si nu mai mult timp decāt este necesar;
e) cānd este necesar pentru a proteja viata, integritatea fizica sau sanatatea persoanei vizate;
f) cānd intervine ca urmare a unei cereri anterioare de acces la documente oficiale care sunt publice ori a unei cereri privind informatii care pot fi obtinute din registre sau prin orice alte documente accesibile publicului.
CAPITOLUL VIII: Contraventii si sanctiuni
Art. 31: Omisiunea de a notifica si notificarea cu rea-credinta
Omisiunea de a efectua notificarea īn conditiile art. 22 sau ale art. 29 alin. (3) īn situatiile īn care aceasta notificare este obligatorie, precum si notificarea incompleta sau care contine informatii false constituie contraventii, daca nu sunt savārsite īn astfel de conditii īncāt sa constituie infractiuni, si se sanctioneaza cu amenda de la 5.000.000 lei la 100.000.000 lei.
Art. 32: Prelucrarea nelegala a datelor cu caracter personal
Prelucrarea datelor cu caracter personal de catre un operator sau de o persoana īmputernicita de acesta, cu īncalcarea prevederilor art. 4-10 sau cu nesocotirea drepturilor prevazute la art. 12-15 sau la art. 17, constituie contraventie, daca nu este savārsita īn astfel de conditii īncāt sa constituie infractiune, si se sanctioneaza cu amenda de la 10.000.000 lei la 250.000.000 lei.
Art. 33: Neīndeplinirea obligatiilor privind confidentialitatea si aplicarea masurilor de securitate
Neīndeplinirea obligatiilor privind aplicarea masurilor de securitate si de pastrare a confidentialitatii prelucrarilor, prevazute la art. 19 si 20, constituie contraventie, daca nu este savārsita īn astfel de conditii īncāt sa constituie infractiune, si se sanctioneaza cu amenda de la 15.000.000 lei la 500.000.000 lei.
Art. 34: Refuzul de a furniza informatii
Refuzul de a furniza autoritatii de supraveghere informatiile sau documentele cerute de aceasta īn exercitarea atributiilor de investigare prevazute la art. 27 constituie contraventie, daca nu este savārsita īn astfel de conditii īncāt sa constituie infractiune, si se sanctioneaza cu amenda de la 10.000.000 lei la 150.000.000 lei.
Art. 35: Constatarea contraventiilor si aplicarea sanctiunilor
(1) Constatarea contraventiilor si aplicarea sanctiunilor se efectueaza de catre autoritatea de supraveghere, care poate delega aceste atributii unor persoane recrutate din rāndul personalului sau, precum si de reprezentanti īmputerniciti ai organelor cu atributii de supraveghere si control, abilitate potrivit legii.
(2) Dispozitiile prezentei legi referitoare la contraventii se completeaza cu prevederile Ordonantei Guvernului nr. 2/2001 privind regimul juridic al contraventiilor, īn masura īn care prezenta lege nu dispune altfel.
(3) Īmpotriva proceselor-verbale de constatare si sanctionare se poate face plāngere la sectiile de contencios administrativ ale tribunalelor.
CAPITOLUL IX: Dispozitii finale
Art. 36: Intrarea īn vigoare
Prezenta lege intra īn vigoare la data publicarii ei īn Monitorul Oficial al Romāniei, Partea I, si se pune īn aplicare īn termen de 3 luni de la intrarea sa īn vigoare.
Aceasta lege a fost adoptata de Senat īn sedinta din 15 octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constitutia Romāniei.
PRESEDINTELE SENATULUI
NICOLAE VACAROIU
Aceasta lege a fost adoptata de Camera Deputatilor īn sedinta din 22 octombrie 2001, cu respectarea prevederilor art. 74 alin. (2) din Constitutia Romāniei.
PRESEDINTELE CAMEREI DEPUTATILOR
VALER DORNEANU
Publicata īn Monitorul Oficial cu numarul 790 din data de 12 decembrie 2001
|
